« デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。 | Main | 経済産業省 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」 »

2022.07.02

中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「個人情報の越境移転に関する標準契約条項(意見募集案)」を公表し、意見募集をしていますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

2022.06.30 国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)

 

内容は、、、

个人信息出境标准合同规定 個人情報の越境移転に関する標準的契約条項
(征求意见稿) (意見募集案)
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。 第1条 個人情報の流出活動を規制し、個人情報の権益を保護し、国境を越えた個人情報の安全かつ自由な流通を促進するため、「中華人民共和国個人情報保護法」に基づき、本規定を制定する。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。 第2条 個人情報処理事業者は、中華人民共和国個人情報保護法第38条第1項第3号に基づき、海外の受取人に対し個人情報を提供する契約を締結する場合、これらの規定に基づき、個人情報の越境移転に関する標準契約(以下「標準契約」という)を締結するものとする。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。 その他、個人情報の越境移転に関して、個人情報取扱事業者と海外の受取人との間で締結される契約は、本標準契約に抵触しないものとする。
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。 第3条 標準契約に基づいて個人情報の越境移転を行う場合、独立した契約と記録管理の組み合わせを遵守し、個人情報の越境移転セキュリティリスクを防止し、法律に従って個人情報の秩序と自由な流れを確保しなければならない。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: 第4条 個人情報取扱事業者は、次の各号にも該当する場合は、標準契約によって個人情報を国外に提供することができる。
(一)非关键信息基础设施运营者; (一)非重要情報インフラ事業者。
(二)处理个人信息不满100万人的; (二)100万人未満の個人情報を取り扱うもの
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的; (三) 前年の1月1日からの国外への個人情報の提供の累計が10万人に達しないとき。
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 (四) 前年の1月1日以降、外国への機微な個人情報の提供の累計が1万人に達しない場合。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容: 第5条 個人情報取扱事業者は、個人情報を国外に提供する前に、以下の要素に着目して、個人情報保護に与える影響について事前に評価を行うものとする。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (一)個人情報取扱事業者及び海外受取事業者の個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性について。
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; (二) 越境移転される個人情報の量、範囲、種類及び機密性、並びに個人情報の越境移転に起因する個人情報の権利及び利益に対する起こり得る危険性
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; (三) 海外の受取人が負う責任及び義務並びにその責任及び義務を履行するための管理及び技術的な措置並びに能力が国外に持ち出される個人情報の安全を保障することができるかどうか。
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (四) 越境後の個人情報の漏えい、破壊、改ざん、不正使用等のリスク、個人が個人情報の権利・利益を守るための手段が開かれているか等
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; (五) 海外の受取人の国または地域における個人情報保護に関する政策や規制が標準契約の履行に与える影響。
(六)其他可能影响个人信息出境安全的事项。 (六) その他、個人情報の越境の安全性に影響を与える事項。
第六条 标准合同包括以下主要内容: 第6条 標準契約書の主な内容は次のとおりである。
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; (一) 個人情報の処理者及び海外受取人の氏名、住所、連絡先等の基本情報。
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; (二)越境する個人情報の目的、範囲、種類、機密性、数量、方法、保管期間、保管場所等
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; (三) 個人情報取扱事業者及び海外受取事業者の個人情報保護に関する責任及び義務並びに個人情報等の持ち出しに伴い発生し得る安全上のリスクを防止するために講じた技術的及び管理的措置。
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; (四) 海外の受取人の国または地域における個人情報保護に関する政策や規制が、この契約条件の遵守に与える影響。
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式; (五) 個人情報主体の権利、及び個人情報主体の権利を保護する方法・手段
(六)救济、合同解除、违约责任、争议解决等。 (六) 救済措置、契約の解除、契約不履行責任、紛争解決等
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料: 第7条 個人情報取扱事業者は、標準契約書の発効日から10営業日以内に、所在地の省内インターネット情報部門に契約書を提出しなければならない。 記録のため、以下の資料を提出すること。
(一)标准合同; (一)標準契約。
(二)个人信息保护影响评估报告。 (二) 個人情報保護に関する影響評価報告書。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。 個人情報取扱事業者は、提出された資料の真偽について責任を負うものとする。 個人情報処理事業者は、標準契約の効力発生後、個人情報の越境移転を行うことがでる。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案: 第8条 個人情報処理事業者は、標準契約の有効期間中に次の各号の一に該当する事由が生じたときは、標準契約を再締結し、これを届け出るものとする。
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (一) 海外の受取人に提供する個人情報の利用目的、範囲、種類、機密性、数量、方法、保管場所及び海外受取人による個人情報の利用及び取扱いの変更、又は国外での個人情報の保管期間の延長。
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的; (二) 海外の受取人の所在する国または地域の個人情報保護方針および規則の変更で、個人情報の権利・利益に影響を及ぼす可能性があるもの。
(三)可能影响个人信息权益的其他情况。 (三) その他個人情報の権利利益に影響を及ぼす可能性のある事情。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第9条 標準契約書の提出に関わる機関および職員は、職務遂行上知り得た個人のプライバシー、個人情報、商業上の秘密および業務上の機密を法律に従い守秘し、他人に開示し、または違法に使用してはならない。
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。 第10条 個人情報取扱事業者が本規定に違反していると認める組織または個人は、省レベル以上のインターネット情報部門に苦情または通報する権利を有する。
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 第11条 省レベル以上のインターネット情報部門は、標準契約の締結による個人情報越境移転が、実際の処理過程で個人情報越境移転の安全管理のための要件を満たさなくなったと判断した場合、個人情報加工業者に書面により通知し、個人情報越境移転を中止させなければならない。 個人情報処理事業者は、通知を受けた後、直ちに個人情報の越境移転を停止する。
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。 第12条 個人情報取扱事業者が、本規定に基づき海外の受取人と標準契約を締結し、個人情報を国外に提供する場合、省レベル以上のインターネット情報部門は、「中華人民共和国個人情報保護法」の規定に基づき、一定期間内に是正を命ずる。また、是正せず個人情報の権利・利益を損害した場合は、個人情報越境移転行為の停止を命じ、法律に基づき処罰する。 刑事責任は、法律に従って調査される。
(一)未履行备案程序或者提交虚假材料进行备案的; (一) 申告手続きに従わず、または虚偽の申告資料を提出した場合。
(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的; (二)標準契約で合意した責任義務を履行せず、個人情報の権利利益を侵害し、損害を与えた場合。
(三)出现影响个人信息权益的其他情形。 (三) その他個人情報の権利利益に影響を及ぼす場合。
第十三条 本规定自___年___月___日起施行。 第13条 この規定は、○月○日から施行する。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.07.06 中国のデータセキュリティ法案

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

 


 

越境移転関係

・2022.06.23 個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連..

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

・2022.03.08 経済産業省 データの越境移転に関する研究会 報告書 (2022.02.28)

・2021.11.21 欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

時代は少し遡り...

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 

 

|

« デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。 | Main | 経済産業省 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。 | Main | 経済産業省 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」 »