中国 個人情報越境移転標準契約弁法 (2023.02.24)
こんにちは、丸山満彦です。
中国が標準契約による個人情報の国外への移転(越境移転)に関する弁法を公開していますね。。。EUで言うところのSCCですかね。。。
この標準契約で国外移転をする場合は、インフラ事業者ではないこと、100万人未満の個人情報取扱者であること、前年1月1日からの累計で10万人未満の国外個人情報提供者であること、前年1月1日からの累計で1万人未満の国外機微個人情報提供者であることなど、条件がありますね。。。
● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)
・2023.02.24 个人信息出境标准合同办法
个人信息出境标准合同办法 | 個人情報越境移転標準契約弁法 |
《个人信息出境标准合同办法》已经2023年2月3日国家互联网信息办公室2023年第2次室务会议审议通过,现予公布,自2023年6月1日起施行。 | 「個人情報越境移転標準契約弁法」は、2023年2月3日、国家サイバースペース管理局の2023年第2回会議で審議・採択され、ここに公布、2023年6月1日から施行されることになりました。 |
国家互联网信息办公室主任 庄荣文 | 国家サイバースペース管理局主任 荘栄文 |
2023年2月22日 | 2023年2月22日 |
个人信息出境标准合同办法 | 個人情報越境移転標準契約弁法 |
第一条 为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。 | 第1条 個人情報の権益を保護し、個人情報の越境に関する活動を規制するため、「中華人民共和国個人情報保護法」及びその他の法令に基づき、本弁法を制定する。 |
第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同(以下简称标准合同)的方式向中华人民共和国境外提供个人信息,适用本办法。 | 第2条 この措置は、個人情報取扱者が国外受信者との間で締結する個人情報の越境に関する標準契約(以下、標準契約という)により、中華人民共和国外で個人情報を提供する場合に適用されるものとする。 |
第三条 通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。 | 第3条 標準契約の締結による個人情報の越境活動は、自主契約と記録管理の組み合わせ、権益の保護とリスクの防止を堅持し、個人情報の国境を越えた安全かつ自由な流れを確保しなければならない。 |
第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: | 第4条 個人情報取扱者が標準契約の締結により個人情報を国外に提供する場合、同時に以下の事情を遵守しなければならない。 |
(一)非关键信息基础设施运营者; | (一)重要でない情報インフラ事業者。 |
(二)处理个人信息不满100万人的; | (二)100万人未満の個人情報を処理する場合 |
(三)自上年1月1日起累计向境外提供个人信息不满10万人的; | (三) 前年の1月1日以降の個人情報の国外への提供の累計が10万人未満である場合 |
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 | (四)前年の1月1日以降の機微な個人情報の国外提供の累計が1万人未満である場合。 |
法律、行政法规或者国家网信部门另有规定的,从其规定。 | 法律、行政法規または国家サイバースペース管理局に別途規定がある場合、その規定を適用する。 |
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 | 個人情報取扱者は、法律に基づく越境安全評価を通過すべき個人情報を、標準契約締結により国外に提供する場合、数量分割等の手段を採ってはならない。 |
第五条 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容: | 第5条 個人情報取扱者は、個人情報を外国に提供する前に、次の要素に着目して個人情報の保護に関する影響評価を行わなければならない。 |
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; | (一) 個人情報取扱者及び国外提供先における個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性。 |
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; | (二)移出しようとする個人情報の規模、範囲、種類及び機微性並びに個人情報の移出に伴い発生し得る個人情報の権利及び利益に対する危険性 |
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; | (三)国外受取人が引き受ける義務並びにその義務を履行するための管理上及び技術上の措置並びに能力が国外への個人情報の安全性を確保することができるかどうか。 |
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; | (四)移出後の個人情報の改ざん、破壊、漏えい、紛失、不正利用等の危険性及び個人情報等の権利利益を保護するための措置の有無 |
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; | (五)国外受取人の国又は地域における個人情報保護に関する政策及び規制が標準契約の履行に与える影響。 |
(六)其他可能影响个人信息出境安全的事项。 | (六)その他個人情報の出国の安全性に影響を及ぼす可能性のある事項。 |
第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。 | 第6条 標準契約は、本弁法の附属書に従って厳格に締結されるものとする。 国家サイバースペース管理局は、実際の状況に応じて、附属書を調整することができる。 |
个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。 | 個人情報取扱者は、国外受信者との間で、標準契約に抵触しない限り、その他の条件について合意することができる。 |
标准合同生效后方可开展个人信息出境活动。 | 個人情報の越境移転は、標準契約書の発効後にのみ行うことができる。 |
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料: | 第7条 個人情報取扱事業者は、標準契約書の発効日から10営業日以内に、地方のインターネット情報部門に標準契約書を提出しなければならない。 届出には、次の資料を提出しなければならない。 |
(一)标准合同; | (一) 標準契約書。 |
(二)个人信息保护影响评估报告。 | (二)個人情報保護影響評価報告書。 |
个人信息处理者应当对所备案材料的真实性负责。 | 個人情報取扱者は、提出された資料の真偽について責任を負うものとする。 |
第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续: | 第8条 個人情報取扱者は、標準契約書の有効期間中に次のいずれかに該当する事由が生じた場合には、新たに個人情報保護影響評価を行い、標準契約書を補完又は再締結し、これに対応する届出手続を行わなければならない。 |
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; | (一)国外で提供される個人情報の目的、範囲、種類、機密性、保管方法及び保管場所、又は国外受領者による個人情報の使用又は取扱い方法の変更、又は国外での個人情報の保管期間の延長。 |
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的; | (二)国外受取人の所在する国又は地域における個人情報の保護に関する施策の変更等、個人情報の権利利益に影響を及ぼす可能性のある事情 |
(三)可能影响个人信息权益的其他情形。 | (三)その他個人情報の権利利益に影響を及ぼす可能性のある事情 |
第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 | 第9条 インターネット情報部門及びその職員は、職務上知り得た個人のプライバシー、個人情報、商業上の秘密及び業務上の秘密について、法令に基づき秘密を保持し、他人に開示し、又は不正に利用してはならない。 |
第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门举报。 | 第10条 個人情報取扱者が本弁法に違反して個人情報を国外に提供していることを発見した組織または個人は、省レベル以上のインターネット情報部門に通報することができる。 |
第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。 | 第11条 省クラス以上のインターネット情報部門は、個人情報が国外に流出する危険性がより高い、または個人情報セキュリティ事件が発生したと判断した場合、法律に基づいて個人情報取扱者に事情聴取を行うことができる。 個人情報取扱者は、要求に基づき、隠れた危険性を是正し、除去しなければならない。 |
第十二条 违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 | 第12条 本弁法の規定に違反した場合、「中華人民共和国個人情報保護法」及びその他の法令に基づき処理され、犯罪に該当する場合は、法律に基づいて刑事責任を追及されるものとする。 |
第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 | 第13条 この弁法は、2023年6月1日から施行する。 本施策の実施前に既に実施された個人情報移出活動で、本施策の規定を遵守していないものは、本施策の実施日から6ヶ月以内に是正するものとする。 |
个人信息出境标准合同(点击即可下载) | 個人情報越境移転標準契約書 (ダウンロード) |
・[DOCX] 仮訳
プレス...
・2023.02.24 国家互联网信息办公室公布《个人信息出境标准合同办法》
国家互联网信息办公室公布《个人信息出境标准合同办法》 | 国家サイバースペース管理局が「個人情報越境移転標準契約弁法」を公布 |
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。 | 2月24日、国家サイバースペース管理局は、「個人情報越境移転標準契約弁法」(以下、「弁法」)を発表し、2023年6月1日から施行することを明らかにした。 国家サイバースペース管理局の担当者によると、本弁法の導入は、個人情報保護法の規定を実施し、個人情報の権益を保護し、個人情報の移出活動を規制することを目的としている。 |
近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长。为满足日益增长的个人信息出境需要,保护个人信息权益,《办法》规定了个人信息出境标准合同(以下简称标准合同)的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。 | 近年、デジタル経済の活況な発展に伴い、個人情報の越境移出に対する需要が急速に高まっている。 本弁法は、個人情報の移出ニーズの高まりに対応し、個人情報の権利利益を保護するため、個人情報の越境移転に関する標準契約(以下、標準契約という)の適用範囲、締結条件、届出要件等を規定し、標準契約のひな型を明確にし、個人情報の国外提供に関する具体的な指針を提供するものである。 |
《办法》规定,个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息适用本办法。明确通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 | 本弁法は、個人情報の取扱者と国外受信者との間の標準契約による中華人民共和国外への個人情報の提供は、本弁法の適用を受けると規定している。 標準契約の締結による個人情報の対外活動は、自主契約と記録管理の結合、権益保護とリスク防止の結合を堅持し、個人情報の安全かつ自由な越境を確保することを明確にしている。 個人情報取扱者が標準契約により個人情報を国外に提供する場合、同時に次のような状況を満たさなければならない。非重要情報インフラ事業者、100万人未満の個人情報取扱者、前年1月1日からの累計で10万人未満の国外個人情報提供者、前年1月1日からの累計で1万人未満の国外機微個人情報提供者。 法律、行政法規または国家サイバースペース管理局に別途規定がある場合、その規定を適用する。 個人情報取扱者は、標準契約を締結することにより、法律による国外移転安全性評価を通過すべき個人情報を、数量分割等の手段で国外に提供しないことを要求される。 |
《办法》明确,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估并明确了重点评估内容。规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出在标准合同有效期内个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续的具体情形。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。 | 本方針は、個人情報取扱者が個人情報を国外に提供する前に、個人情報保護影響評価を実施し、評価の重要な要素を特定しなければならないことを明確にしている。 個人情報取扱者は、契約の発効日から10営業日以内に、現地の省内インターネット情報部門に標準契約を提出しなければならないと規定されている。 個人情報処理機関が標準契約の有効期間内に、個人情報保護に関する影響評価を新たに行い、標準契約を補充または再締結し、対応する届出手続きを行わなければならない具体的な状況を提案している。 また、この弁法では、監督管理、法的責任、遵守と是正の要件についても規定している。 |
《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。 | 弁法の附属書は、標準契約のモデルであり、主に、契約の定義と基本要素、個人情報取扱者と国外受信者の契約義務、国外受信者の国又は地域の個人情報保護政策と規制が契約履行に与える影響、個人情報主体の権利と関連救済措置、さらに契約の解除、契約違反の責任、紛争解決などの事項、個人情報の越境の設計などが含まれている。 個人情報の越境に関する記述、その他当事者間で合意した条件など、2つの附属書を設計している。 |
Q&A...
・2023.02.24 《个人信息出境标准合同办法》答记者问
《个人信息出境标准合同办法》答记者问 | 個人情報越境移転標準契約弁法に関する質疑応答 |
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。 | 2月24日、国家サイバースペース管理局は「個人情報越境標準契約方法に関する弁法」(以下、「弁法」という)を発表しました。 国家サイバースペース管理局の担当者は、本方針に関連する問題について、記者からの質問に答えた。 |
问:请简要介绍《办法》出台的背景? | Q:本施策が導入された背景を簡単に紹介してください。 |
答:近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长,个人信息权益保护面临较大挑战。《个人信息保护法》对个人信息跨境提供规则作了基础性规定,按照国家网信部门制定的标准合同订立合同是向境外提供个人信息的法定途径之一。制定出台《办法》是落实法律规定的重要举措,目的是为了保护个人信息权益,规范个人信息出境活动。 | A:近年、デジタル経済の活況な発展に伴い、個人情報の越境需要が急増し、個人情報権益の保護がより大きな課題に直面するようにななりました。 個人情報保護法では、国境を越えた個人情報提供のルールについて基本的な規定を設けており、国家サイバースペース管理局が策定した標準契約に基づいて契約を締結することは、国外で個人情報を提供する合法的な方法の一つです。 本弁法の制定と導入は、個人情報の権益を保護し、個人情報の対外活動を規制することを目的とし、法律の規定を実施する重要なステップとなります。 |
问:哪些情形可以通过订立标准合同的方式向境外提供个人信息? | Q: 標準契約の締結により、個人情報を中国国外に提供できるのは、どのような場合ですか? |
答:《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时,《办法》明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 | A:弁法では、個人情報取扱事業者が標準契約により個人情報を国外に提供する場合、以下の状況に従うことを明確にしています。第一に、重要でない情報インフラ事業者であること、第二に、100万人未満の個人情報を取り扱っていること、第三に、前年の1月1日から合計10万人未満に個人情報を国外で提供していること、第四に、前年の1月1日から合計1万人未満に機微個人情報を国外で提供していること、などです。 同時に、本弁法は、法律、行政法規または国家サイバースペース管理局に別途規定がある場合は、その規定を適用することを明確にしています。 個人情報取扱者は、法律に基づく対外安全評価を通過すべき個人情報を、標準契約を締結して外国に提供する際、数量分割等の手段を採用しないよう求められています。 |
问:个人信息处理者如何开展个人信息保护影响评估? | Q:個人情報取扱者は、どのように個人情報保護の影響評価を行うのですか? |
答:《办法》要求个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;三是境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;六是其他可能影响个人信息出境安全的事项。 | A:本措置は、個人情報取扱者に対し、個人情報を国外に提供する前に、以下の点に着目して、個人情報保護の影響評価を行うことを求めています。第一に、個人情報取扱者と国外受信者の個人情報の取扱いの目的、範囲及び方法の合法性、正当性及び必要性、第二に、送出個人情報の規模、範囲、種類及び感受性、個人情報に対する起こり得る危険性。 第三に、国外受信者が引き受ける義務、及びその義務を履行するための管理・技術的措置と能力が移出する個人情報の安全性を保証できるかどうか、第四に、移出後の個人情報の改ざん、破壊、漏洩、紛失又は違法使用のリスク及び個人情報の権利利益を保護するためのルートが開かれているかどうか、第五に、国外受信者の国又は地域の個人情報保護政策と規制が標準契約の履行に与える影響。 標準契約の履行に及ぼす規制の影響、第六に、その他個人情報の出国の安全性に影響を及ぼす可能性のある事項。 |
问:个人信息处理者如何进行标准合同备案? | Q:個人情報の取扱者は、どのように標準契約を提出するのですか? |
答:《办法》规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案需提交的材料包括标准合同和个人信息保护影响评估报告。 | A:弁法では、個人情報取扱者が標準契約の発効日から10営業日以内に、地方のインターネット情報部門に標準契約を提出しなければならないと定めている。 提出する資料は、標準契約書と個人情報保護影響評価報告書です。 |
问:在标准合同有效期内出现哪些情形,个人信息处理者需要重新履行备案手续? | Q:標準契約書の有効期間中に、どのような状況が発生した場合、個人情報取扱事業者は再度届出手続きを行う必要があるのですか? |
答:《办法》明确了在标准合同有效期内,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续的3种情形:一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;三是可能影响个人信息权益的其他情形。 | A: 本施策では、個人情報取扱者が、標準契約の有効期間中に、新たに個人情報保護に関する影響評価を実施し、標準契約を補完または再締結し、届出手続きを行うべき3つの状況を規定しています。第一に、国外で提供する個人情報の目的、範囲、種類、機微性、方法および保管場所、または国外受信者による個人情報の使用または取扱方法に変更がある場合、または、標準契約の延長がある場合です。 第二に、国外受信者の所在する国又は地域の個人情報保護政策及び規則に個人情報の権利利益に影響を及ぼすような変更があった場合、第三に、その他個人情報の権利利益に影響を及ぼすような事情がある場合です。 |
问:标准合同备案后如何保障个人信息处理者的商业秘密等合法权益? | Q:標準契約書を提出した後、商業秘密など個人情報取扱者の合法的な権益をどのように保護するのですか? |
答:《办法》规定了网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 | A:弁法では、インターネット情報部門とその職員が、職務を遂行する上で知り得た個人のプライバシー、個人情報、商業秘密、業務上の秘密情報を、法律に従って守り、他人に開示したり、不法に使用したりしないことを規定しています。 |
问:标准合同范本包括哪些主要内容? | Q: 標準契約書の主な内容は何ですか? |
答:《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。 | A: 弁法の附属書は標準契約書であり、契約の定義と基本要素、個人情報取扱者と国外受信者の契約上の義務、国外受信者の国・地域の個人情報保護に関する政策・規制が契約履行に与える影響、個人情報主体の権利と関連救済、さらに契約の解除、契約違反の責任、紛争解決などの事項、個人情報設計 出の指示、その他当事者が合意する条件など、2つの附属書を設計しています。 |
问:标准合同内容是否可以更改?订立标准合同后何时可以开展个人信息出境活动? | Q:標準契約書の内容を変更することはできますか? また、標準契約締結後、どのような場合に個人情報の離脱を行うことができるのでしょうか? |
答:《办法》规定标准合同应当严格按照本办法附件的标准合同范本订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。《办法》明确标准合同生效后方可开展个人信息出境活动。 | A:弁法では、標準契約は弁法に附属する標準契約に厳格に従わなければならないと定めています。 国家サイバースペース管理局は、実際の状況に応じて、附属書を調整することができます。 個人情報の取扱者は、国外受信者と他の条件を取り決めることができるが、標準契約と矛盾してはなりません。 本弁法は、個人情報の越境活動は、標準契約が発効した後にのみ行うことができることを明確にしています。 |
问:违反《办法》如何追究法律责任? | Q: 本施策に違反した場合の法的責任は、どのように調査されますか? |
答:《办法》提出个人信息处理者违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 | A: 個人情報取扱業者が本措置の規定に違反した場合、中華人民共和国個人情報保護法およびその他の法令に基づき処理され、犯罪となる場合は、法令に基づき刑事責任を追及されることを提案しています。 |
问:《办法》施行前已经开展的个人信息出境活动是否适用本办法? | Q: 弁法の施行前にすでに行われていた個人情報の越境に関する活動にも弁法は適用されますか? |
答:《办法》明确本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 | A: 本施策は、本施策の実施前に既に実施された個人情報移出活動で、本施策の規定を遵守していないものは、本施策の実施日から6ヶ月以内に是正しなければならないことを明確にしています。 |
専門家の解釈(1)...
・2023.02.24 专家解读|出台标准合同规范 完善我国个人信息出境管理制度
专家解读|出台标准合同规范 完善我国个人信息出境管理制度 | 専門家の解釈|標準契約書仕様の発行 中国の個人情報越境管理制度の改善 |
2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)。《办法》对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排,细化落实了《个人信息保护法》第三十八条第一款第三项的规定。《个人信息保护法》对我国个人信息出境管理作出顶层设计,规定了国际条约或协定、安全评估、个人信息保护认证、标准合同四种个人信息出境方式。继《数据出境安全评估办法》《关于实施个人信息保护认证的公告》对安全评估、个人信息保护认证进行规范后,《办法》成为我国个人信息出境管理制度的重要组成部分。对于规范个人信息跨境流动、完善数据跨境管理制度和促进数据领域国际合作具有重大意义。 | 2023年2月24日、国家サイバースペース管理局は「個人情報越境移転標準契約弁法」(以下、本弁法)を発表した。 本弁法は、個人情報保護法第38条第1項第3号の規定の実施内容を精緻化し、標準契約締結による個人情報越境活動のための具体的な制度整備を行うものである。 個人情報保護法は、中国からの個人情報の移出を管理するトップレベルの設計を提供し、国際条約または協定、安全評価、個人情報保護の認証、標準契約による個人情報の移出の4つの方法を規定している。 安全性評価と個人情報保護認証を規定した「データ越境安全性評価弁法」と「個人情報保護認証実施に関する公告」に続き、本弁法は中国の個人情報越境管理制度の重要な一部となっている。 個人情報の国境を越えた流れを規制し、データの国境を越えた管理システムを改善し、データ分野における国際協力を推進する上で、大きな意義がある。 |
一、及时必要,规范个人信息有序高效跨境流动 | I. 適時かつ必要、秩序ある効率的な個人情報の越境流通を規制する。 |
出台《办法》是我国推动个人信息跨境流动、积极融入全球数字经济发展大势的重要举措。 | 本弁法の公布は、中国が個人情報の越境流通を促進し、世界のデジタル経済の発展趨勢に積極的に溶け込むための重要な一歩となる。 |
(一)落实《个人信息保护法》要求,保护个人信息权益。出台《办法》是为了保护个人信息权益,规范个人信息出境活动。当前,数字经济蓬勃发展,数据跨境日益频繁,各国个人信息跨境流动需求也快速增长。但由于不同国家和地区的个人信息保护水平存在差异,个人信息出境的风险日渐凸显。《个人信息保护法》提供了高水平的个人信息保护标准,标准合同的适用有利于保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准,确保个人信息出境后个人信息主体权益依然受到保护。 | (1) 個人情報保護法の要求を実施し、個人情報の権益を保護する。 本弁法の公布は、個人情報の権益を保護し、個人情報の流出活動を規制することである。 現在、デジタル経済が活況を呈し、データが国境を越えることが頻繁になり、各国の個人情報の国境を越えた流れに対する需要も急速に高まっている。 しかし、国や地域によって個人情報の保護水準に差があるため、個人情報が国外に流出するリスクが顕著になってきている。 個人情報保護法は高いレベルの個人情報保護基準を規定しており、標準契約の適用は、国外受信者の個人情報の取扱活動が中国の個人情報保護法に規定された個人情報保護基準を満たし、個人情報が国外に出た後も個人情報主体の権益が保護されるようにすることに資するものである。 |
(二)促进数字经济发展,回应中小企业个人信息跨境需求。2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“构建数据安全合规有序跨境流通机制”“坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作”。作为一种个人信息出境方式,标准合同具有便捷化、成本低的特征。《办法》的出台积极回应了社会关切,在为中小企业个人信息跨境业务合作提供法治保障的同时,也减轻了中小企业负担,有利于进一步促进数据自由流通和数字经济发展。 | (2) 中国共産党中央委員会と国務院の「データ要素の役割をよりよく果たすためのデータ基盤システムの構築に関する意見」は、「安全、コンプライアンス、秩序あるデータの国境を越えた流通のためのメカニズムを構築する」、「開放的な発展を堅持し、個人情報主体の権利を促進する」ことを提案した。 個人情報の越境として、標準契約は利便性が高く、低コストであるという特徴がある。 本措置の導入は、社会的な関心に積極的に応え、中小企業の個人情報の国境を越えた業務提携に法治主義的な保護を提供するとともに、中小企業の負担を軽減し、データの自由な流通とデジタル経済の発展を一層促進することに資するものである。 |
(三)紧跟数字时代潮流,顺应国际通行做法。国际上,以欧盟针对四种不同个人数据传输场景的“标准合同条款”为典型代表,东盟、英国和中国香港等国家和地区分别出台了“标准合同条款”范本。在借鉴域外经验和立足我国实际的基础上,《办法》提出具备完整合同结构的“标准合同范本”。国家网信部门可以根据实际情况对附件标准合同范本进行调整,使其保持灵活性、实践性和国际性。《办法》的出台既符合国际通行做法又具有中国法治特色,对于促进数据领域国际合作意义重大。 | (3) デジタル時代の趨勢に対応し、国際的な慣例に適合していること。 国際的には、EUの4種類の個人データ伝送シナリオに対する「標準契約条項」が代表的であり、ASEAN、英国、中国香港などの国・地域がそれぞれモデル的な「標準契約条項」を発表している。 国外の経験と中国の実情に基づき、本弁法は完全な契約構造を持つ「標準契約モデル」を提案する。 各国のサイバースペース当局は、付属の標準契約モデルを実際の状況に応じて調整し、柔軟性、実用性、国際性を保つことができる。 本措置の導入は、国際慣行に合致するだけでなく、中国の法治の特色を持ち、データ分野の国際協力の推進に大きな意義を持つ。 |
二、定位清晰,健全个人信息出境管理制度体系 | II. 個人情報越境管理の明確な位置づけと健全な制度 |
《办法》是继《数据出境安全评估办法》之后,第二部落实《个人信息保护法》个人信息出境管理规定的专门性部门规章,具有承前启后推动个人信息出境管理制度体系化的重要作用。 | 本弁法は、「データ越境安全評価弁法」に続く、個人情報保護法の個人情報越境管理規定を実施するための二番目の特別部門規定であり、個人情報越境管理システムの体系化を進め、推進する上で重要な役割を果たす。 |
(一)完善个人信息出境管理的重要配套规章。《办法》的出台,细化了《个人信息保护法》“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利义务”的要求,是对个人信息出境管理制度的重要补充。《个人信息保护法》第三十八条规定了“两类四种”个人信息出境方式:一类是个人信息处理者因业务等需要,确需向境外提供个人信息的,应该具备“安全评估”“个人信息保护认证”“标准合同”三种条件之一,并设置兜底条款“法律、行政法规或者国家网信部门规定的其他条件”;另一类是我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。《数据出境安全评估办法》明确了数据出境管理中的“安全评估”,《办法》与其共同作为《个人信息保护法》的配套规章,进一步落实了有关个人信息出境管理制度的顶层设计。 | (1) 個人情報の移出管理を改善するための重要な補助規定 本弁法の公布は、「国家サイバースペース管理局が策定した標準契約書に基づいて、国外受信者と契約を締結し、双方の権利義務を合意する」という個人情報保護法の要件をより明確にするものであり、個人情報越境管理システムを補完する重要なものである。 個人情報保護法第38条は、個人情報の越境方法について、「2種類と4種類」を規定している。1つは、個人情報取扱業者が業務目的などで本当に国外で個人情報を提供する必要がある場合、「安全性評価」 "個人情報保護認証 "と "標準契約 "を締結し、"その他法律、行政法規または国家サイバースペース管理局が規定する条件 "を底本とするもの、もう一つの類型は その他の区分とは、中国が締結または参加した国際条約・協定に中国国外での個人情報提供の条件が規定されている場合、その規定に従って実施することができる、というものである。 データ越境安全評価弁法」は、データ越境管理における「安全評価」を明確にし、同弁法とともに、個人情報保護法の補助規定として、個人情報越境管理システムのトップレベル設計をさらに実施するものである。 |
(二)丰富个人信息出境方式。《办法》通过划定个人信息出境标准合同的适用范围和情形,有效实现了标准合同和安全评估、个人信息保护认证的制度衔接,也为后续出台有关认证等其他个人信息出境方式的规则预留了制度接口。当个人信息处理者选择通过订立标准合同的方式向境外提供个人信息时,必须同时符合下列四种情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。实际上,《办法》给予个人信息处理者选择权,除必须申报安全评估的情形之外,个人信息处理者可以结合具体情况选择订立标准合同或者其他个人信息出境方式出境。 | (2) 個人情報の移出方法の充実 個人情報の移出に関する標準契約の適用範囲と状況を明確にすることで、標準契約と個人情報保護に関する安全性評価および認証との制度的インターフェースを有効に実現し、認証など他の個人情報の移出方法に関する規則を後から導入するための制度的インターフェースも確保されている。 個人情報取扱事業者が標準契約を締結して個人情報を国外に提供することを選択する場合、(1)重要情報インフラ事業者でない、(2)100万人未満の個人情報を取り扱っている、(3)前年1月1日から国外への個人情報提供の合計が10万人未満、(4)前年1月1日から国外への機密個人情報の提供が合計1万人未満、という4つの状況も満たしていなければならない。実際、本措置では、安全性評価の申告が必要な場合を除き、個人情報取扱事業者は、特定の状況に合わせて標準契約の締結等の個人情報越境方式を選択することができる権利を付与している。 |
(三)结合政府监管手段与市场自主行为的新型管理规则。《办法》的正文和附件标准合同范本前后衔接,既明确了个人信息出境标准合同的监管要求,又保障了合同双方的意思自治和合同磋商空间。正文为行政监管意义上的部门规章,规定了个人信息出境标准合同的监管要求。附件实质上为民商事活动领域中的格式合同,相较于传统民事合同,其承载着意思自治、个人信息保护、国家安全和公共利益等多元价值。标准合同范本中的部分内容已被预先设定,当个人信息处理者自愿选择通过订立标准合同的方式向境外提供个人信息时,该部分内容不可更改。但合同双方可在附录二中约定附件标准合同范本未明确的事项。总之,将标准合同作为个人信息出境的方式,是我国网络立法上的创新举措,有利于积极应对互联网新业态新模式带来的风险挑战,为促进个人信息跨境流动提供法治保障。 | (3) 政府の規制手段と自律的な市場行動を組み合わせた新しい管理ルール。 本措置の主文と付属のモデル標準契約書は背中合わせになっており、個人情報の移出に関する標準契約書の規制要件を明確にするだけでなく、契約当事者双方の自律性と契約交渉の余地を保証している。 本文は行政監督的な意味での部門規定であり、個人情報移出標準契約書の規制要件を定めている。 附属書は、基本的に民商分野のフォーム契約であり、従来の民事契約と比較して、意思の自律性、個人情報の保護、国家の安全、公共の利益など複数の価値を持つ。 標準モデル契約の内容の一部はあらかじめ決められており、個人情報取扱事業者が標準契約によって自発的に国外に個人情報を提供することを選択した場合には、変更することができない。 ただし、附属書Ⅱの標準モデル契約書に明記されていない事項については、契約当事者が合意することができる。 結論として、標準契約を個人情報移出の手段として利用することは、中国のサイバー法制における革新的な動きであり、インターネットの新しい産業とモデルがもたらすリスク課題に積極的に対応し、個人情報の国境を越えた流れを促進するための法治保護を提供することに資するものである。 |
三、守正创新,构建个人信息出境标准合同管理制度 | III. 義と革新、標準契約管理システムのうち、個人情報の建設 |
《办法》立足我国立法现状和实践情况,对个人信息保护影响评估、标准合同备案管理、举报监督制度与法律责任等作出明确规定。 | 本弁法は、中国の法律と実務の現状を踏まえ、個人情報保護の影響評価、標準契約の記録管理、報告・監督制度、法的責任について明確に規定している。 |
(一)个人信息保护影响自评估制度。《办法》第五条规定个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,其重点评估内容与《数据出境安全评估办法》中“数据出境风险自评估”的重点评估事项基本一致。但是,个人信息保护影响评估内容中增加了“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。这一点具体体现在附件标准合同范本的第二条第八项和第四条,合同双方应结合个人信息出境的具体情况、境外政策法规、境外接收方的安全管理制度和技术手段保障能力等进行评估。 | (1) 個人情報保護の影響に関する自己評価システム 弁法第5条は、個人情報取扱事業者が個人情報を外国に提供する前に、個人情報保護に関する影響評価を行うことを規定しており、その評価の焦点は、データ越境安全評価弁法における「データ越境リスクの自己評価」の焦点と基本的に同じである。 ただし、個人情報保護影響評価には、「国外の提供先が所在する国・地域の個人情報保護方針・規制が標準契約の履行に与える影響」が追加されている。 これは、付属のモデル標準契約書第2条第8号及び第4条に具体的に反映されており、契約の両当事者は、個人情報の移出の具体的状況、国外の政策及び規制、国外受信者の安全管理体制、技術的手段の保証能力などに照らして、個人情報を評価するものとする。 |
(二)个人信息出境标准合同备案管理制度。个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。从性质上看,《办法》设立的备案制度为事后监管,并不会产生功能性的效果。从内容上看,须备案的材料包括:(一)合同双方根据附件标准合同范本订立的个人信息出境标准合同,与之相关的独立商业合同并不需要备案;(二)个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。从结果上看,对于未履行备案程序或者提交虚假材料进行备案的违法行为,若由此导致个人信息出境活动存在较大风险或者发生个人信息安全事件,省级以上网信部门可以进行约谈,要求整改。 | (2) 個人情報の移出に関する標準契約の記録管理システム。 個人情報取扱者は、標準契約書の発効日から10営業日以内に、所在地の省内インターネット情報部門に標準契約書を提出しなければならない。 本弁法の制定した提出制度は、その性質上、事後的な規制であり、機能的な効果はない。 内容的には、提出すべき資料は、(1) 契約当事者双方が添付のモデル標準契約書に従って締結した個人情報越境に関する標準契約書、及びこれに関連する独立した商業契約は提出を要しない、(2) 個人情報保護に関する影響評価報告書などである。 個人情報の取扱者は、提出された資料の真偽について責任を負わなければならない。 その結果、提出手続きを行わない違反行為や虚偽の資料を提出することにより、個人情報の越境活動や個人情報セキュリティ事故の危険性が高まる場合、省レベル以上のインターネット情報部門が事情聴取を行い、是正を求めることができる。 |
(三)保护个人信息主体权利的涉他合同。从主体上看,附件标准合同范本涉及三方主体,包括个人信息处理者、境外接收方和个人信息主体,在为个人信息处理者、境外接收方设立合同义务的同时,亦为第三人“个人信息主体”设立了合同权利。从内容上看,个人信息处理者应履行告知、提供副本、答复询问、个人信息保护影响评估等义务。境外接收方应履行提供合同副本、采取技术和管理措施、接受监督管理等义务;若进行“再传输”“转委托”“自动化决策”等处理行为需符合相关条件。个人信息主体对其个人信息的处理享有知情权、决定权等权利,并有权请求合同一方或双方履行标准合同项下与个人信息主体权利相关的条款。此外,个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息的,除遵守《办法》规定外,合同的成立、效力、履行、解释以及因本合同引起的双方争议还应适用《民法典》等中华人民共和国相关法律法规。 | (3) 他の契約に関わる個人情報主体の権利保護:主体に関しては、付属の標準モデル契約は、個人情報取扱者、国外受信者、個人情報主体の三者を含み、個人情報取扱者と国外受信者の契約上の義務、及び「個人情報主体」である第三者の契約上の権利を定めている。 内容としては、個人情報の取扱者は、通知、コピーの提供、問い合わせへの対応、個人情報保護への影響の評価などの義務を負いる。 国外受信者は、「再送信」、「再委任」、「自動意思決定」等により処理が行われる場合、契約書の写しの提供、技術・管理措置、監督・管理の受諾等の義務を履行するものとします。 受信者は、当該条件を遵守しなければならない。 個人情報主体は、自己の個人情報の処理について知らされる権利、意思決定等を行う権利、及び個人情報主体の権利に関連して標準契約の条件を履行するよう当事者の一方または双方に要求する権利を有する。 また、個人情報取扱者が中国国外受信者と標準契約を締結して中国国外で個人情報を提供する場合、弁法の規定を遵守するほか、契約の成立、効力、履行及び解釈並びに当該契約に起因する当事者間の紛争は、中華人民共和国の民法及びその他の関連法規にも従うものとします。 |
(四)举报监督制度与法律责任。一方面,任何组织和个人发现个人信息处理者违反《办法》规定向境外提供个人信息的,可以向省级以上网信部门举报。另一方面,当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。此外,还规定了违反《办法》规定的应当依据《个人信息保护法》等法律法规处理,构成犯罪的依法追究刑事责任。 | (4) 報告・監督体制と法的責任。 一方、個人情報処理機関が本方針の規定に違反して中国国外で個人情報を提供していることを発見した組織または個人は、省レベル以上のインターネット情報部門に通報することができる。 一方、省クラス以上のインターネット情報部門は、個人情報が国外に流出する危険性がより高い、または個人情報セキュリティ事件が発生したと判断した場合、法律に基づいて個人情報取扱者に事情聴取することができる。 個人情報取扱事業者は、要求事項に従って、状況を是正し、隠れた危険を除去しなければならない。 また、本措置の規定に違反した場合、個人情報保護法及びその他の法令に基づき対処し、犯罪に該当する場合は、法令に基づき刑事責任を追及することを規定している。 |
四、小结 | IV.まとめ |
《办法》以标准合同为抓手规范我国个人信息出境管理制度,是我国深化开放合作、探索个人信息跨境流动与治理的新举措。出台《办法》不仅补充完善了我国数据跨境监管制度体系,体现了我国网络立法的系统性、整体性、协同性、时效性,更为数字经济浪潮中的中国企业提供了法治保障和具体指引。(作者:方禹 中国信通院互联网法律研究中心主任) | 本弁法は、標準契約をグリップとして中国の個人情報越境管理制度を規制するものであり、中国が開放と協力を深め、個人情報の国境を越えた流れとガバナンスを模索するための新たな取り組みである。 本弁法の公布は、中国のサイバー法制の体系的、全体的、相乗的、タイムリーな性質を反映し、中国のデータ越境規制制度を補完・改善するだけでなく、デジタル経済の波の中で、中国企業に法治保護と具体的指針を提供するものである。 (筆者:中国情報通信研究院インターネット法研究センター主任 兪 方)。 |
専門家の解釈(2)...
・2023.02.24 专家解读|《个人信息出境标准合同办法》出台 贡献数据跨境流动中国方案
专家解读|《个人信息出境标准合同办法》出台 贡献数据跨境流动中国方案 | 専門家の解釈|「個人情報越境移転標準契約弁法」が導入され、国境を越えたデータフローに対する中国の解決策に貢献 |
我国《个人信息保护法》已于2021年11月1日施行,其中对向境外提供个人信息作出了一系列规定,第三十八条规定了“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”等个人信息跨境合规路径。2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),明确了个人信息出境标准合同(以下简称“标准合同”)的订立、备案等要求,为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地蓝本与中国方案。 | 2021年11月1日に施行された中国の個人情報保護法には、個人情報の国外提供に関する一連の規定があり、第38条には「個人情報は国家サイバースペース管理局が組織する安全性評価に合格しなければならない」「個人情報は国家サイバースペース管理局の規定に基づき専門機関の認証を受けなければならない」と規定されている。 2023年2月24日、国家サイバースペース管理局は、個人情報の越境に関する標準契約を明確にした「個人情報越境移転標準契約弁法」(以下「本弁法」という。 )は、個人情報国外移転標準契約(以下、標準契約)の成立・提出要件を明確にし、個人情報保護法の範囲における個人情報の越境方法の一つである「標準契約」について、青写真と中国的な解決策を提供するものである。 |
我国的个人信息出境标准合同在形式上参考了国际上较常见的标准合同条款模板,同时充分考虑了中国法律的本土化表达,并在以下方面充分展现了中国方案的优越性: | 中国の個人情報越境移転標準契約は、より一般的な国際標準契約条項の雛形に基づき、中国法のローカルな表現を考慮し、以下の面で中国式の解決の優位性を十分に発揮している。 |
第一,注重制度匹配。《办法》在清晰界定自身适用范围的同时,也实现了与其他数据出境安全管理制度的有效衔接。比如,《数据出境安全评估办法》要求数据处理者与境外接收方拟订合同等具有法律效力的文件,《办法》提出的标准合同内容与上述法律文件内容要求衔接适用。因此,仅涉及个人信息出境的数据处理者申报数据出境安全评估时,相关法律文件可参照《办法》附件拟订。 | 第一に、システムマッチングに重点を置いている。 本弁法は、自らの適用範囲を明確に定める一方で、他のデータ越境セキュリティ管理体制との効果的なインターフェースを実現している。 例えば、「データ越境安全評価弁法」は、データ取扱者が国外受信者と契約書などの法的拘束力のある文書を作成することを求めており、同弁法が提案する標準契約の内容は、これらの法的文書の内容と合致している。 したがって、個人情報の出国のみに関わるデータ取扱者がデータ出国安全評価を申告する場合、本措置の附属書を参考に関連する法的文書を作成することができる。 |
第二,细化风险管理。《办法》在《个人信息保护法》第五十五条提出个人信息保护影响评估(以下简称“影响评估”)后进一步针对出境场景细化了影响评估的评估项,比如境外接收方承诺履行的个人信息保护义务、措施和能力;个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险。个人信息处理者在选定标准合同作为个人信息跨境传输合规路径的情况下,需要在向境外提供个人信息前进行影响评估,此为对《个人信息保护法》的落实。 | 第二に、リスク管理の精緻化である。 本措置は、個人情報保護法第55条で提案した個人情報保護影響評価(以下「影響評価」という)の評価項目を、出国シナリオについてさらに精緻化し、国外受信者が果たすべき個人情報保護義務、措置、能力、出国後の個人情報の改ざん、破壊、漏洩、損失、違法使用など。 出国後の個人情報の改ざん、破壊、漏えい、紛失、不正使用等のリスク。 個人情報取扱者が個人情報の越境移転のコンプライアンスルートとして標準契約を選択した場合、個人情報保護法の施行である国外への個人情報提供の前に影響評価を行うことが義務付けられている。 |
第三,平衡商业自由和监管需要。我国对标准合同采用“自主缔约与备案管理相结合”的原则。一方面,标准合同无需事先审批即可生效;另一方面,个人信息处理者的备案行为为网信部门持续监督提供了管理抓手。《办法》第六条规定,标准合同应当严格按照本办法附件订立,生效后个人信息处理者方可开展个人信息出境活动;第七条规定,个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。从文义上理解,《办法》明确了标准合同应该严格按照《办法》附件订立,省级网信部门备案不会对合同生效产生影响。 | 第三に、商業の自由と規制の必要性のバランス。 中国は標準契約について、「自主契約と記録管理の結合」という原則を採用している。 一方では、標準契約は事前承認なしに発効することができ、他方では、個人情報取扱業者の申告行動は、インターネット情報部門による継続的な監督のための管理グリップを提供するものである。 弁法の第6条は、標準契約は弁法の附属書に従って厳格に締結しなければならず、個人情報取扱者は標準契約の発効後にのみ個人情報の越境活動を行うことができると規定し、第7条は、個人情報取扱者は標準契約の発効日から10営業日以内に地方のインターネット情報部門に申告しなければならないと規定している。 本文から理解されるように、本弁法は、標準契約は弁法の附属書に従って厳格に締結されるべきであり、地方のインターネット情報部門による届出は契約の発効に影響を及ぼさないことを明確にしている。 |
第四,场景覆盖全面。根据标准合同范本第一条第(二)项,“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。这里的境外接收方既包括可以自主决定处理目的、处理方式的组织、个人,也包括受个人信息处理者委托处理个人信息的受托人。因此,订立标准合同的双方可能有“处理者—受托人”和“处理者—处理者”两种情形,也就是说,境内处理个人信息的受托人,不能作为标准合同的相对方,再次转委托境外主体处理个人信息。 | 第四に、シナリオが包括的にカバーされていることである。 モデル標準契約書」第1条第2項によると、「国外受信者」とは、中華人民共和国外で個人情報の取扱者から個人情報の提供を受ける組織または個人を指す。 ここでいう国外受信者には、処理の目的及び方法を自ら決定することができる組織及び個人と、個人情報取扱者から個人情報の処理を委託された受託者の両方が含まれる。 したがって、標準契約の当事者は、「取扱者-受託者」と「取扱者-取扱者」、すなわち、国内で個人情報を処理する受託者の双方になる可能性がある。 すなわち、国内で個人情報を処理する受託者は、標準契約の当事者として、国外の対象者に個人情報の処理を再委託することはできない。 |
第五,注重国际衔接。我国标准合同的主要内容,如个人信息再提供、处理安全、自动化决策处理等方面借鉴了有关国家、地区的有益做法,为数据跨境流动制度的国际合作奠定了基础,争取与更多的国家地区建立稳定可行的数据流通双多边机制。 | 第五に、国際的な収束を重視すること。 個人情報の再提供、処理セキュリティ、自動意思決定処理など、標準契約の主な内容は、関連国・地域の有益な慣行を借用し、国境を越えたデータの流れのシステムにおける国際協力の基礎を築き、より多くの国・地域と安定かつ実現可能なデータの流れの二国間・多国間メカニズムを構築しようと努力している。 |
总的来说,《办法》体现了四方面鲜明导向:一是以人民为中心,把维护个人信息主体合法权益放在首要位置;二是坚持一致性,《办法》与我国《个人信息保护法》等法律法规要求保持一致;三是突出简明性,标准合同范本内容注重易于企业理解、实践和应用;四是强调开放性,标准合同范本内容与国际通用规则的理念相兼容,便于企业对外开展对等的商业合作。相信《办法》能够为我国加大对外开放合作提供重要的制度保障。(作者:洪延青 北京理工大学教授) | 第一に、個人情報主体の合法的権益の保護を第一義とし、人を中心とすること、第二に、一貫性を堅持し、中国の個人情報保護法及びその他の法律法規の要求と一致すること、第三に、簡便性を強調し、モデル標準契約の内容は企業の理解、実践及び適用の容易性を重視し、第四に、開放性を強調し、モデル標準契約は、個人情報主体の合法的権利と利益を保護する。 その内容は、企業が外国と相互のビジネス協力を行うことを容易にする国際共通規則の概念に適合している。 この弁法は、中国が対外開放と協力を強化するための重要な制度的保障を提供することができると考えられている。 (筆者:北京理工大学教授 洪延慶) |
参考
● まるちゃんの情報セキュリティ気まぐれ日記
政策的な話...
・2023.01.10 中国 中国のサイバーセキュリティ政策の発展における成果と変化 (2022.12.30)
・2022.08.04 中国 デジタルチャイナ開発報告書(2021年)
・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見
・2021.11.20 中国 インターネットの法の支配についての普及・教育計画
個人情報保護法関係
・2022.12.20 中国 最高検察庁 国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例の公表 (2022.12.07)
・2022.11.23 中国 個人情報保護認証制度が始まりますね...中国版Pマーク?
・2022.07.02 中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」
・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様
・2022.01.03 中国 全国人民大会 個人情報保護法についての記事
・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則
・2021.08.31 中国 「個人情報保護法」についての専門家の解釈
・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明
・2021.08.22 中国 個人情報保護法は2021.11.01施行
・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。
・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)
データ越境セキュリティ評価弁法
・2022.09.02 中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版)
・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法
ヨーロッパ系(本家SCC)...
・2021.06.05 欧州委員会 個人データの域外移転のための標準契約約款 (SCC)
・2020.11.20 欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)
認定の話も...
こんな話題もあったので、EU-USデータプライバシーフレームワーク関係も...
・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始
・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応)
・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。
・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見
・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所
Comments