« 生成的AIとプライバシー当局(カナダ ニュージーランド) | Main | カナダ プライバシーコミッショナー 職場におけるプライバシーガイダンス »

2023.06.01

中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(第一版)」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「個人情報の越境移転に関する標準契約条項(第一版)」を公表していますね。。。昨年の6月末に意見募集をしたものが確定したということですかね。。。

本日2023.06.01から施行されます...

中国国外の受取人と個人情報移転標準契約を締結して中国国外で個人情報を提供する個人情報処理者は、「個人情報移転標準契約」の規定に基づき、提出ガイドラインに従って、所在地の省インターネット情報部門に記録を提出しなければならない。ことになりますね。。。ただし、この標準契約が使えるのは、重要インフラ事業者ではない事業者が、年間100万人の個人情報を海外に移転する場合ということですかね。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

・2023.05.30 国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》

 ・[DOC] 附件:《个人信息出境标准合同备案指南(第一版)》

 

 

1_20210612030101

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.01 中国 個人情報越境移転標準契約弁法 (2023.02.24)

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.07.02 中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

 

 

个人信息出境标准合同备案指南(第一版) 個人情報の越境移転に関する標準契約書の提出に関するガイドライン(第1版)
《个人信息出境标准合同办法》自2023年6月1日起施行。为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同(以下简称标准合同),特制定本指南。 個人情報の越境移転に関する標準契約書に関する措置は、2023年6月1日から施行されている。 本ガイドラインは、個人情報取扱事業者が個人情報の越境移転に関する標準契約(以下、標準契約という)を標準的かつ秩序立てて提出することを指導・支援するために制定された。
一、适用范围 I. 適用範囲
个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: 個人情報取扱事業者が、標準契約の締結により個人情報を国外に提供する場合、以下の状況にも対応しなければならない:
(一)非关键信息基础设施运营者; (1)重要情報インフラ事業者でないこと;
(二)处理个人信息不满100万人的; (2)100万人未満の個人情報を処理するものであること。
(三)自上年1月1日起累计向境外提供个人信息不满10万人的; (3)前年の1月1日以降の個人情報の国外への提供の累積が10万人未満である場合。
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 (4)前年の1月1日以降の機微な個人情報の国外への提供の累計が1万人未満である場合。
法律、行政法规或者国家网信部门另有规定的,从其规定。 法律、行政法規または国家インターネット情報局に別途規定がある場合、その規定を適用する。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 個人情報処理者は、法律に基づく越境移転安全評価を通過すべき個人情報を、標準契約を締結して海外に提供する場合、数量分割などの手段を採ってはならない。
以下情形属于个人信息出境行为: 以下の場合は、個人情報の越境移転行為に該当する:
(一)个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外; (1)個人情報取扱事業者が、国内の業務で収集・生成した個人情報を国外に転送・保管する場合;
(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (2)個人情報取扱事業者が収集・生成した個人情報を領域内に保管し、領域外の機関、組織または個人が照会、検索、ダウンロードまたは越境移転することができる;
(三)国家网信办规定的其他个人信息出境行为。 (3)国家インターネット情報局が規定するその他の個人情報越境移転行為。
二、备案方式 II. 申告の方法
个人信息处理者应当在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式,向所在地省级网信办备案。 個人情報処理者は、標準契約の発効日から10営業日以内に、書面を交付し、電子資料を添付して、所在地の国家サイバースペース管理局に申告しなければならない。
三、备案流程 III. 申告プロセス
标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。 標準契約書の提出プロセスには、資料提出、資料検査とフィードバック提出結果、補充または再提出のほか、その他のリンクが含まれる。
(一)材料提交 (1)資料の提出
个人信息处理者备案标准合同,应当提交如下材料(要求见附件1): 標準契約書を提出する個人情報処理事業者は、以下の資料を提出しなければならない(要件は附属書1を参照のこと):
1. 统一社会信用代码证件影印件 1. 統一社会信用コード書類のコピー
2. 法定代表人身份证件影印件 2. 法定代理人の身分証明書のコピー
3. 经办人身份证件影印件 3. 責任者の身分証明書のコピー
4. 经办人授权委托书(模板见附件2) 4. 責任者の承認書(雛形は附属書2参照)
5. 承诺书(模板见附件3) 5. 誓約書(雛形は附属書3参照)
6. 标准合同(范本见附件4) 6. 標準契約書(雛形は附属書4参照)
7. 《个人信息保护影响评估报告》(模板见附件5) 7. 個人情報保護影響評価報告書(雛形は附属書5参照)
(二)材料查验及反馈备案结果 (2)資料の閲覧および記録結果に対するフィードバック
省级网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。 地方インターネット情報局は、資料を受領した後、15営業日以内に資料検査を完了し、個人情報取扱者に申告結果を通知する予定である。
备案结果分为通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。 申告結果は合格と不合格に分かれる。 合格の場合、省内インターネット情報局は個人情報処理者に記録番号を発行し、不合格の場合、個人情報処理者に不合格通知とその理由を通知し、個人情報処理者が資料を補足・改善する必要がある場合、個人情報処理者は資料を補足・改善し、10営業日以内に再度提出しなければならない。
(三)补充或者重新备案 (3)補完又は再提出をする場合
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续: 標準契約の有効期間中に次の各号のいずれかに該当する場合、個人情報処理事業者は、新たに個人情報保護に関する影響評価を行い、標準契約を補完または再締結し、それに対応する届出手続をしなければならない:
1. 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; 1. 国外で提供される個人情報の目的、範囲、種類、機密性、方法および保管場所、海外受取人による個人情報の使用または取り扱い方法に変更がある場合、または国外で個人情報を保管する期間が延長される場合。
2. 境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的; 2. 海外受取人が所在する国・地域等の個人情報保護方針・規制の変更等、個人情報の権利・利益に影響を及ぼす可能性のある場合。
3. 可能影响个人信息权益的其他情形。 3. その他、個人情報の権利利益に影響を及ぼす可能性のある事情。
个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为15个工作日。 個人情報取扱者が標準契約の有効期間内に標準契約の補足を締結する場合、所在地の省インターネット情報局に補足資料を提出し、標準契約を再締結する場合は、再提出をしなければならない。 補足資料または再提供資料の確認期限は15営業日です。
个人信息处理者对所提交材料的真实性负责,提交虚假材料的,按照备案不通过处理,并依法追究相应法律责任。 個人情報取扱者は、提出された資料の真偽について責任を負い、虚偽の資料を提出した場合、記録に従って、処理を通過することはできず、法律に従って対応する法的責任を負う。
四、咨询、举报联系方式 IV. 相談と報告のための連絡先
电子邮箱:bzht@cac. gov. cn 電子メール: bzht@cac. gov. cn
联系电话:010-55627565 電話番号:010-55627565
附件:1. 个人信息出境标准合同备案材料要求 附属書:1. 個人情報発信標準契約書提出資料の要件
2. 经办人授权委托书(模板) 2. 管理者の承認書(雛形)
3. 承诺书(模板) 3. コミットメントレター(雛形)
4. 个人信息出境标准合同(范本) 4. 個人情報越境移転標準契約書(ひな形)
5. 个人信息保护影响评估报告(模板) 5. 個人情報保護影響評価報告書(雛形)
附件1 附属書1
个人信息出境标准合同备案材料要求 個人情報越境移転標準契約書提出のための資料要件
序号 材料名称 要求 番号 資料の名称 要求事項
1 统一社会信用代码证件 影印件加盖公章 1 統一社会信用コード文書 公印のあるコピー
2 法定代表人身份证件 影印件加盖公章 2 法定代理人の身分証明書 公印のあるコピー
3 经办人身份证件 影印件加盖公章 3 担当者の身分証明書 公印のあるコピー
4 经办人授权委托书 原件 4 管理者の承認書 原文
5 承诺书 原件 5 誓約書 原文
6 个人信息出境标准合同 原件 6 個人情報の越境移転に関する標準契約書 原本
7 个人信息保护影响评估报告 原件 7 個人情報保護影響評価書 原文
   
附件2 附属書2
经办人授权委托书(模板) 処理者の委任状(テンプレート)
本人 姓名(身份证件号码:  )系 个人信息处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码:  )为个人信息出境标准合同备案经办人。经办人代表我单位进行个人信息出境标准合同备案过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。 個人情報の処理者名の法定代理人である私(ID番号:)は、個人情報の越境移転に関する標準契約書の提出のための管理者として、私の名前(ID番号:)をここに委任する。 私は、私の所属する部隊の名前(ID番号: )が、個人情報の越境移転に関する標準契約書の提出のための管理者として行動することを承認し、署名およびアップロードされた情報を含む、個人情報の越境移転に関する標準契約書の提出の過程で管理者が私の部隊に代わって行ったすべての行動を認め、対応する法的責任を負うことをここに承認する。
授权委托期限:    年   月   日至    年   月   日 委任期間:1ヶ月から1ヶ月
经办人无转委托权。 管理者は、再委任する権利を有しません。
单位名称(盖章): ユニット名(押印):
法定代表人(签字): 法定代理人(署名):
经 办 人(签字): (署名): マネージャー
年   月   日 (署名)
   
附件3 附属書3
承 诺 书(模板) 誓約書(テンプレート)
本单位郑重承诺: 本ユニットは、以下のことを厳粛に誓約する。
一、出境个人信息的收集、使用符合中华人民共和国有关法律法规规定; I. 中華人民共和国の関連法令に基づき、出国者個人情報の収集と利用を行う;
二、备案材料所有内容真实、完整、准确和有效; ii. 提出資料のすべての内容は、真実、完全、正確、有効である;
三、未采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供; iii. 法律に基づき、国外へのセキュリティ評価を通過すべき個人情報を、標準的な契約を締結する方法で海外に提供するために、数量分割などの手段を採用していない;
四、为国家网信办组织实施的个人信息出境标准合同备案工作提供必要的配合和支持; iv. 国家インターネット情報局が組織・実施する個人情報越境移転の標準契約書の提出に必要な協力と支援を提供すること;
五、个人信息保护影响评估工作为备案之日前3个月内完成,且至备案之日未发生重大变化。 v. 個人情報保護影響評価は、提出日前3ヶ月以内に完了することになっており、提出日までに大きな変更はない。
本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。 本ユニットは、上記のコミットメントの内容を認識し、十分に理解しており、コミットメントが真実でない場合、またはコミットメントに反する場合、対応する法的責任を負うことを望んでいる。
                  法定代表人(签字):                   法定代表者(署名):
单位(盖章): ユニット(捺印):
年   月   日 年 月 日
   
附件4 附属書4
个人信息出境标准合同 個人情報の越境移転に関する標準契約書
国家互联网信息办公室  制定 国家サイバースペース管理局が制定
   
为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同。 本契約は、海外受取人の個人情報取扱活動が中華人民共和国の関連法規に規定された個人情報保護基準に適合することを確保し、個人情報取扱者と海外受取人の個人情報保護に関する権利義務を明確にするため、双方の合意により締結される。
个人信息处理者:                                            個人情報取扱事業者                                           
地址:                                                      住所                                                     
联系方式:                                                  連絡先                                                 
联系人:                      职务:                        担当者:役職名                       
境外接收方:                                                海外受取人:住所                                               
地址:                                                      住所                                                     
联系方式:                                                  連絡先詳細:                                                 
联系人:                      职务:                        担当者:役職名                       
个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于   年    月   日订立    (商业合同,如有)。 個人情報処理者および海外受取人は、本契約に従って個人情報の越境移転活動を行い、その活動に関連する商業活動を行うため、当事者は、今月の日付で(商業契約がある場合は、その契約)を締結することを[確認]/[合意]した。
本合同正文根据《个人信息出境标准合同办法》的要求拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。 本契約の本文は、個人情報の越境移転に関する標準契約措置の要件に従って作成され、本契約の本文の内容と矛盾しない範囲で、当事者間の他の合意は、本契約の不可欠な部分を形成する付録IIに詳述することができる。
第一条 定义 第1条 定義
在本合同中,除上下文另有规定外: 本契約の目的上、文脈上別段の定めがない限り、以下のとおり定義する:
(一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。 (1)「個人情報処理者」とは、個人情報処理活動において、個人情報の処理の目的および方法を自ら決定し、中華人民共和国国外に個人情報を提供する組織または個人をいう。
(二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。 (2)「海外受信者」とは、中華人民共和国国外の個人情報取扱事業者から個人情報を受信する組織または個人をいう。
(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。 (3) 個人情報取扱事業者又は海外受取人を「一方当事者」といい、「双方当事者」と総称することがある。
(四)“个人信息主体”是指个人信息所识别或者关联的自然人。 (4)「個人情報の主体」とは、個人情報によって識別され、又は関連付けられる自然人をいう。
(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 (5)「個人情報」とは、電子的その他の方法により記録された、識別され、又は特定される自然人に関するすべての種類の情報をいい、匿名化された情報を除く。
(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 (6)「機微な個人情報」とは、漏洩し、又は不正に使用されることにより、容易に自然人の人格的尊厳を侵害し、又はその身体若しくは財産の安全を脅かすこととなる個人情報であって、生体情報、信仰、特定の身分、医療及び健康、金融口座、居場所及び軌跡の情報並びに14歳未満の未成年の個人情報をいう。 (7) 14歳未満の未成年者の個人情報。
(七)“监管机构”是指中华人民共和国省级以上网信部门。 (7)「規制機関」とは、中華人民共和国の省レベル以上のインターネット情報部門をいう。
(八)“相关法律法规”是指《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》《中华人民共和国民事诉讼法》《个人信息出境标准合同办法》等中华人民共和国法律法规。 (8)「関連法規」とは、中華人民共和国のネットワークセキュリティ法、中華人民共和国のデータセキュリティ法、中華人民共和国の個人情報保護法、中華人民共和国の民法、中華人民共和国の民事訴訟法、個人情報の越境移転に関する標準契約弁法およびその他の中華人民共和国の法律・規則 の法令を含みます。
(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。 (9)本契約に定義されていないその他の用語の意味は、関連法令に規定されている意味と一致するものとする。
第二条 个人信息处理者的义务 第2条 個人情報取扱事業者の義務
个人信息处理者应当履行下列义务: 個人情報の処理者は、以下の義務を履行しなければならない:
(一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。 (1)個人情報を関連法令に従って取り扱い、処理目的の達成に必要な最小限の範囲に限り、個人情報を外国に提供すること。
(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。 (2)個人情報の主体に対して、国外の受取人の名称または氏名、連絡先、別紙1「個人情報越境移転指示書」に定める処理目的、処理方法、個人情報の種類、保存期間、個人情報の主体の権利行使の方法および手続を通知すること。 機微な個人情報を国外に提供する場合には、機微な個人情報を提供する必要性及び本人の権利利益に及ぼす影響についても、個人情報主体に通知しなければならない。 ただし、法令又は行政規則に当該通知を要しない旨の定めがある場合を除く。
(三)基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。 (3)本人の同意に基づき個人情報を国外に提供する場合は、個人情報の主体である本人の同意を得るものとする。 歳未満の未成年者の個人情報が含まれる場合には、当該未成年者の父母その他の保護者の単独の同意を得るものとする。 また、法令等により書面による同意が必要とされる場合は、書面による同意を得るものとする。
(四)向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则可以依据本合同享有第三方受益人的权利。 (4)個人情報主体が第三者受益者であることを本契約を通じて海外受取人と合意していることを個人情報主体に伝え、30日以内に明示的に拒否しない場合は、本契約に基づき第三者受益者の権利を享受できるものとする。
(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务: (5)海外受取人が本契約に基づく義務を履行するために、以下の技術的および管理的措置(個人情報の処理目的、個人情報の種類、規模、範囲および感受性、送信量および送信頻度、海外受取人との間で送信される個人情報の保持期間から生じる個人情報の安全性に対する可能なリスクを考慮する)を講じるよう合理的に努力しなければならない:
(如加密、匿名化、去标识化、访问控制等技术和管理措施)                                                              (例:暗号化、匿名化、非識別化、アクセス制御、その他の技術的および管理的措置)。                                                            
(六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。 (6)海外受取人の要請に応じて、関連する法的規定および技術的基準の写しを海外受取人に提供すること。
(七)答复监管机构关于境外接收方的个人信息处理活动的询问。 (7)海外受取人の個人情報処理活動に関する規制当局からの照会に対応すること。
(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容: (8)海外の受信者に個人情報を提供することを目的とした活動に対して、関連法令に基づき、個人情報の保護に関する影響評価を実施すること。 アセスメントは、以下の点に重点を置いて行われる:
1. 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。 1. 個人情報の処理者および海外受取人が個人情報を取り扱う目的、範囲および方法の合法性、正当性、必要性。
2. 出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险。 2. 越境移転される個人情報の規模、範囲、種類及び機密性、並びに個人情報の越境移転に起因する個人情報の権利及び利益に対する起こり得るリスク。
3. 境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。 3. 海外受取人が負うべき義務、及びその義務を果たすための管理・技術的措置・能力により、出国する個人情報の安全性を確保できるかどうか。
4. 个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。 4. 出国後の個人情報の改ざん、破壊、漏えい、紛失、不正使用等のリスク、個人情報の権利利益を保護するためのルートが開かれているか等。
5. 按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。 5. 本契約第4条に基づく、現地の個人情報保護政策・規制が契約履行に与える影響の評価。
6. 其他可能影响个人信息出境安全的事项。 6. その他、出国する個人情報の安全性に影響を及ぼす可能性のある事項。
保存个人信息保护影响评估报告至少3年。 個人情報保護影響評価報告書を少なくとも3年間保存すること。
(九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。 (9)個人情報主体の要求に応じて、本契約書の写しを提供すること。 なお、営業秘密や営業上の秘密が含まれる場合、本契約書の写しの該当する内容については、個人情報主体の理解を損なわない範囲で適切に取り扱うことができる。
(十)对本合同义务的履行承担举证责任。 (10)本契約に基づく義務の履行について、立証責任を負うこと。
(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。 (11)関連法令の要求に従い、すべてのコンプライアンス監査の結果を含む本契約の第3条第11号の情報を規制当局に提供すること。
第三条 境外接收方的义务 第3条 オフショア受信者の義務
境外接收方应当履行下列义务: オフショア受信者は、以下の義務を履行するものとする:
    (一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。 (1) 別紙Ⅰ「個人情報の越境移転に関する指示」に定める取り決めに従って、個人情報を取り扱うこと。 なお、個人情報の取扱いの目的、取扱いの方法、取扱う個人情報の種類が取り決めを超える場合、および本人の同意に基づく場合は、あらかじめ個人情報の主体の本人の同意を、14歳未満の未成年者の個人情報が含まれる場合は、その保護者の本人の同意を得なければならないものとする。
(二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。 (2)個人情報取扱事業者から個人情報の取扱いを委託された場合は、当該個人情報取扱事業者との契約に従って個人情報を取り扱うものとし、当該個人情報取扱事業者と合意した目的および取扱方法を超えて個人情報を取り扱わないものとする。
(三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。 (3)個人情報主体からの求めに応じて、本契約書の写しを個人情報主体に提供すること。 なお、商業上の秘密や業務上の機密情報が含まれる場合は、個人情報主体の理解を損なわない範囲で、本契約書の写しの該当内容を適切に取り扱うことができる。
(四)采取对个人权益影响最小的方式处理个人信息。 (4)個人情報は、本人の権利・利益への影響を最小限にとどめるよう取り扱う。
(五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。 (5)個人情報は、処理目的の達成に必要な最小限の期間保管し、保管期間が満了した時点で個人情報(全てのバックアップを含む)を削除する。 個人情報を個人情報取扱事業者に委託した場合において、委託契約が効力を失い、無効となり、取り消され、または終了したときは、個人情報を個人情報取扱事業者に返還し、または削除し、個人情報取扱事業者に書面による説明をしなければならない。 個人情報の削除が技術的に困難な場合は、保管以外の処理を停止し、必要な安全保護措置を講じるものとする。
(六)按下列方式保障个人信息处理安全: (6)個人情報の取り扱いについて、以下の方法でセキュリティを確保する:
1. 采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。 1. 個人情報の安全性を確保するために、本契約第2条第5項を含む技術的・管理的措置を講じるとともに、定期的に点検を実施すること。
2. 确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。 2. 個人情報を取り扱う権限を有する者に守秘義務を履行させ、最低限の権限を有するアクセス制御権限を設定すること。
(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作: (7)取り扱う個人情報の改ざん、破壊、漏えい、紛失、不正利用、不正提供、不正アクセスが発生した場合、以下の事項を実施すること:
1. 及时采取适当补救措施,减轻对个人信息主体造成的不利影响。 1. 個人情報の主体への悪影響を軽減するために、速やかに適切な改善策を講じる。
2. 立即通知个人信息处理者,并根据相关法律法规要求报告监管机构。通知应当包含下列事项: 2. 関係法令に基づき、直ちに個人情報取扱事業者に通知し、監督官庁に報告する。 なお、通知には、以下の事項を含めるものとする:
(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。 (1) 改ざん、破損、漏えい、紛失、不正利用、無断提供、アクセスされた個人情報の種類、その原因および発生しうる損害。
(2)已采取的补救措施。 (2) 取られた是正措置。
(3)个人信息主体可以采取的减轻危害的措施。 (3) 害を軽減するために個人情報の主体が講じることができる措置。
(4)负责处理相关情况的负责人或者负责团队的联系方式。 (4)対応責任者または担当チームの連絡先。
3. 相关法律法规要求通知个人信息主体的,通知的内容包含本项第2目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。 (3) 関連法令により個人情報主体への通知が必要な場合、通知の内容には本号第2号の事項が含まれる。 個人情報取扱事業者から個人情報の取扱いを委託された場合、個人情報取扱事業者は、個人情報主体に通知しなければならない。
4. 记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。 4. 改ざん、破壊、漏えい、紛失、不正利用、不正提供またはアクセスの発生または発生の可能性に関するすべての状況を、講じたすべての改善策を含めて記録し、保管する。
(八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息: (8) 個人情報は、以下の条件が同時に満たされる場合に限り、中華人民共和国外の第三者に提供することができる:
1. 确有业务需要。 1. 真に業務上の必要性がある。
2. 已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。 2. 個人情報の主体が、当該第三者の名称又は氏名、連絡先、処理目的、処理方法、個人情報の種類、保存期間、個人情報の主体の権利を行使するための方法及び手続について知らされていること。 機微な個人情報を第三者に提供する場合には、機微な個人情報を提供する必要性及び本人の権利利益に与える影響についても、個人情報主体に通知しなければならない。 ただし、法令又は行政規則に当該通知を要しない旨の定めがある場合を除く。
3. 基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。 3. 本人の同意に基づき個人情報を取り扱う場合は、個人情報の主体である本人の同意を得るものとする。 また、14歳未満の未成年者に関する個人情報の場合は、当該未成年者の親権者等の個別の同意を得るものとする。 法令等により書面による同意が必要とされる場合は、書面による同意を得るものとする。
4. 与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。 4. 第三者の個人情報処理活動が中華人民共和国の関連法令に規定された個人情報保護基準に適合するよう、第三者と書面による契約を締結し、中華人民共和国外の第三者に個人情報を提供した結果、個人情報の主体が享受する権利が侵害された場合には法的責任を負うものとすること。
5. 根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。 5. 個人情報主体の求めに応じて、同意書の写しを個人情報主体に提供する。 なお、商業上の秘密や業務上の秘密が含まれる場合は、当該契約書の内容を適切に処理することにより、個人情報主体の理解を得ることができます。
(九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。 (9) 個人情報取扱事業者から個人情報の取扱いを委託された第三者は、あらかじめ個人情報取扱事業者の同意を得るとともに、本契約書別表Ⅰの「個人情報越境移転指示書」で合意した目的及び取扱方法を超えて個人情報を取り扱わないよう求め、当該第三者の個人情報取扱行為を監督するものとする 第三者の個人情報取扱行為を監督すること。
(十)利用个人信息进行自动化决策的,应当保证决策的透明度和结果公平、公正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。 (10) 個人情報を用いて自動的な意思決定を行う場合、意思決定の透明性、結果の公平性・公正性を確保し、個人情報の対象者に対して取引価格等の取引条件に不当な差をつけないようにすること。 自動化された意思決定によって個人情報の主体に対して情報が押し出され、または商業マーケティングが行われる場合、個人的特徴を対象としない選択肢を伴うか、または個人情報の主体に便利な拒否の手段を提供しなければならない。
(十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。 (11) 本契約に基づく義務を遵守したために必要な情報を個人情報取扱事業者に提供し、個人情報取扱事業者が必要なデータファイルおよび文書にアクセスし、または本契約の対象となる処理活動の遵守監査を行うことを許可し、個人情報取扱事業者が行う遵守監査を促進することを約束する。
(十二)对开展的个人信息处理活动进行客观记录,保存记录至少3年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。 (12) 実施された個人情報処理活動の客観的な記録を保持し、少なくとも3年間は記録を維持し、関連する法令に基づき、監督官庁に直接または個人情報取扱事業者を通じて関連記録文書を提供する。
(十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。 (13)監督当局の照会に応じること、監督当局の検査に協力すること、監督当局が講じた措置または決定したことに従うこと、必要な措置を講じたことを証明する書面を提供すること等、本契約の実施を監視するための関連手続きにおいて監督当局の監督および管理を受け入れることに合意する。
第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响 第4条 海外受取人の国又は地域における個人情報保護に関する政策及び規制が契約の履行に与える影響について
(一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规(包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。 (1)両当事者は、本契約締結時に合理的な注意を払い、海外受取人の所在する国又は地域の個人情報保護に関する政策及び規制(個人情報の提供の要求又は公的機関による個人情報へのアクセスを許可する規定を含む)が、海外受取人の本契約上の義務の履行に影響を与えることが判明していないことを確認するものとする。
(二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估: (2)当事者は、本条第1項の確約をする際に、以下の状況を併せて評価したことを宣言する。
1. 出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。 1. 個人情報処理の目的、移転される個人情報の種類、規模、範囲および機密性、移転の規模および頻度、海外受取人の個人情報の移転および保持期間、同様の国境を越えた個人情報の移転および処理に関する海外受取人の以前の経験、海外受取人が個人情報のセキュリティに関する事件を起こしたことがあるか、それらが迅速かつ効果的に処理されたかどうかなどの越境移転に関する特定の状況、そのほか 海外受取人が所在する国または地域の公的機関から個人情報の提供を求められたことがあるかどうか、および海外受取人がどのように対応したか。
2. 境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素: 2. 海外受取人が所在する国または地域の個人情報保護方針および規則(以下の要素を含む):
(1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。 (1) 当該国または地域における個人情報保護に関する現行の法令および一般に適用される基準。
(2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺。 (2) 当該国又は地域が加盟している地域的又は世界的な組織及び個人情報の保護に関連して当該国が行った拘束力のある国際的な約束。
(3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。 (3) 個人情報保護に関する監督・執行機関及び関連する司法機関の存在など、その国又は地域における個人情報保護を実施するための仕組み。
3. 境外接收方安全管理制度和技术手段保障能力。 (3) 海外受取人が、セキュリティ管理体制や技術的手段を保証する能力。
(三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。 (3) 海外受取人は、本条第2項に基づく評価の際に、必要な関連情報を個人情報取扱事業者に提供するために最善の努力を尽くしたことを保証する。
(四)双方应当记录根据本条第二项进行评估的过程和结果。 (4)当事者は、本条第2項に基づく評価の過程及び結果を文書化しなければならない。
(五)因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。 (5)海外受取人が、海外受取人の国又は地域の個人情報保護方針及び規則の変更(海外受取人の国又は地域の法律の変更、強制措置の採用を含む)により、本契約を履行できなくなった場合、海外受取人は、当該変更を把握した時点で速やかに個人情報処理機関に通知しなければならない。
(六)境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。 (6)海外受取人が所在する国または地域の政府機関または司法機関から、本契約に基づく個人情報の提供の要請を受けた場合は、直ちに個人情報取扱事業者に通知するものとする。
第五条 个人信息主体的权利 第5条 個人情報主体の権利
双方约定个人信息主体作为本合同第三方受益人享有以下权利: 当事者は、個人情報主体が本契約の第三者受益者として、以下の権利を有することに同意する:
(一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。 (1) 個人情報主体は、自己の個人情報の取扱いについて、関係法令に基づき説明を受け決定する権利、自己の個人情報の他人による取扱いを制限又は拒否する権利、自己の個人情報の閲覧、複写、訂正、補充又は削除を求める権利、自己の個人情報の取扱いに関する規則の説明を求める権利等を有しなければならない。
(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。 (2) 個人情報主体は、国外に流出した個人情報に関して上記の権利の行使を求める場合、個人情報処理者に対し、その実現のために適切な措置を講じるよう求めるか、国外の受領者に直接請求することができる。 個人情報取扱事業者がこれを行うことができない場合は、その旨を通知し、国外の受領者に援助を求めるものとする。
(三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。 (3)国外の受取人は、個人情報処理者の通知に従い、または個人情報主体の要求に応じて、合理的な期間内に関連法令に基づき、個人情報主体の権利を実現しなければならない。
境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。 外国受取人は、個人情報主体に対し、関連情報を目立つように、明確で理解しやすい言葉で、真実、正確かつ完全な形で通知しなければならない。
(四)境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。 (4)外国受信者は、個人情報主体の要求を拒否する場合、個人情報主体に拒否の理由および個人情報主体が関連監督機関に苦情を申し立て、司法的救済を求めるための方法を通知しなければならない。
(五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款: (5)個人情報主体は、本契約の第三者受益者として、個人情報主体の権利と関連して、本契約に基づく以下の条項の履行を個人情報加工業者及び外国受取人の一方または双方に主張し要求することができる権利を有しなければならない:
1. 第二条,但第二条第五项、第六项、第七项、第十一项除外。 1. 第2条(5)、(6)、(7)、(11)を除く。
2. 第三条,但第三条第七项第2目和第4目、第九项、第十一项、第十二项、第十三项除外。 2. 第3条(第3条第7項、第2項および第4項、第9項、第11項、第12項および第13項を除く。
3. 第四条,但第四条第五项、第六项除外。 3. 第4条(第4条第5項および第6項を除く。
4. 第五条。 4. 第5条
5. 第六条。 5. 第6条
6. 第八条第二项、第三项。 6. 第8条第2項および第3項。
7. 第九条第五项。 7. 第9条(5)。
上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权益。 上記の合意は、中華人民共和国の個人情報保護に関する法律に基づく個人情報主体の権利および利益に影響を与えないものとする。
第六条 救济 第6条 救済措置
(一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,并应当及时处理个人信息主体的询问或者投诉。境外接收方应当将联系人信息告知个人信息处理者,并以简洁易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体为: (1) 海外受取人は、個人情報の取り扱いに関する問い合わせまたは苦情に対応するための窓口を特定し、権限を与え、個人情報主体からの問い合わせまたは苦情に速やかに対応しなければならない。 海外受取人は、その連絡先の情報を個人情報取扱事業者に通知し、その連絡先の情報を個人情報主体に、別途の通知またはウェブサイトでの公表により、簡潔で分かりやすい方法で、以下のように通知しなければならない。
联系人及联系方式(办公电话或电子邮箱)                   連絡先及び連絡先(事業所電話番号又は電子メールアドレス)                  
(二)一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。 (2) この契約の履行に伴い、一方の当事者と個人情報の主体との間で紛争が生じた場合は、他方の当事者に通知し、その解決に協力しなければならない。
(三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利: (3)紛争が円満に解決されず、個人情報主体が第5条に基づく第三者受益者の権利を行使する場合、洋上受信者は、個人情報主体が以下の形態で権利を主張することを承諾する:
1. 向监管机构投诉。 1. 監督当局への苦情申し立て
2. 向本条第五项约定的法院提起诉讼。 2. 本条第5項において合意された裁判所への提訴
(四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用中华人民共和国相关法律法规的,从其选择。 (4)当事者は、本契約に基づく紛争に関して、個人情報主体が第三者受益者の権利を行使することに同意し、個人情報主体が中華人民共和国の関連法令の適用を選択する場合は、その選択に従うものとする。
(五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。 (5)本契約に基づく紛争に関し、個人情報主体が第三者受益者の権利を行使することに当事者が同意した場合、個人情報主体は、中華人民共和国の民事訴訟法に基づき、管轄権を有する人民法院に訴訟を提起することができます。
(六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。 (6)個人情報主体が自己の権利を守るために選択したことが、個人情報主体が他の法令に従って救済を求める権利を損なわないことに、当事者は同意する。
第七条 合同解除 第7条 契約の解除
(一)境外接收方违反本合同约定的义务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。 (1)個人情報処理事業者は、海外受取人が本契約上の義務に違反した場合、又は海外受取人の国若しくは地域の個人情報保護方針及び規則の変更(海外受取人の国若しくは地域の法令の変更、強制措置の採用を含む)により、海外受取人が本契約を履行できなくなった場合には、違反が是正されるまで海外受取人に対する個人情報の提供を停止することができる。 または契約を解除することができる。
(二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构: (2) 個人情報処理機関は、以下のいずれかに該当する場合、本契約を解除する権利を有し、必要に応じて監督官庁に通知することができる:
1. 个人信息处理者根据本条第一项的规定暂停向境外接收方提供个人信息的时间超过1个月。 1. 個人情報処理事業者が、本条第1項の規定により、1ヶ月を超える期間、海外受取人への個人情報の提供を停止する場合。
2. 境外接收方遵守本合同将违反其所在国家或者地区的法律规定。 2. 海外受取人が本契約を遵守することが、その所在する国または地域の法令に違反することとなる場合。
3. 境外接收方严重或者持续违反本合同约定的义务。 3. 海外受取人が、本契約に基づく義務に重大または継続的に違反していること。
4. 根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了本合同约定的义务。 4. 海外受取人または個人データの処理者が、海外受取人の管轄裁判所または監督当局の最終決定により、この契約に基づく義務に違反している。
在本项第1目、第2目、第4目的情况下,境外接收方可以解除本合同。 本号の第1号、第2号および第4号の場合、外国の受領者は、この契約を解除することができる。
(三)经双方同意解除本合同的,合同解除不免除其在个人信息处理过程中的个人信息保护义务。 (3)本契約が双方の合意により解除された場合、その解除は、個人情報の処理における個人情報保護義務を免除するものではない。
(四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。 (4)本契約が終了した場合、海外受取人は、本契約に基づき受領した個人情報(すべてのバックアップを含む)を速やかに返却または削除し、個人情報の処理者に書面による説明を行うものとする。 個人情報の削除が技術的に困難な場合は、保管および必要な安全保護措置を講じる以外の処理を停止しなければならない。
第八条 违约责任 第8条 契約不履行に対する責任
(一)双方应就其违反本合同而给对方造成的损失承担责任。 (1)両当事者は、本契約に違反した結果、相手方に損害を与えた場合、その責任を負うものとする。
(二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。 (2) 本契約の違反により個人情報主体が享有する権利を侵害した者は、個人情報主体に対して民事上の法的責任を負うものとし、個人情報処理者が関係法令に基づき負うべき行政上及び刑事上の法的責任に影響を与えない。
(三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。 (3)法律に基づき両当事者が連帯責任を負う場合、個人情報主体はどちらか一方または両方の当事者に責任を負うよう要求する権利を有するものとする。 一方の当事者が負担する責任が、自己が負担すべき責任分担を超える場合には、他方の当事者から回収する権利を有する。
第九条 其他 第9条 その他
(一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。 (1)本契約と当事者が締結した他の法的文書との間に矛盾がある場合、本契約の規定が優先されるものとする。
(二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。 (2) 本契約の成立、効力、履行、解釈および本契約に起因する当事者間の紛争については、中華人民共和国の関連法令が適用されるものとする。
(三)发出的通知应当以电子邮件、电报、电传、传真(以航空信件寄送确认副本)或者航空挂号信发往(具体地址)          或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的   天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的   个工作日应当视为收讫。 (3)与えられた通知は、電子メール、電報、テレックス、ファクシミリ(確認用コピーを航空便で送付)または書留航空便で(特定の住所)に送付されるか、または当該住所に代わる別の住所に書面による通知により送付されるものとする。 本契約に基づく通知は、書留航空便で送付された場合は消印日の1日後、電子メール、電報、テレックスまたはファクシミリで送付された場合は送付日の1営業日後に受領されたものとみなされるものとする。
(四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列第   种方式加以解决(如选择仲裁,请勾选仲裁机构): (4)本契約に起因する紛争および損害賠償責任の対象となる個人情報の最初の補償の結果、一方の当事者が他方の当事者から回収する場合は、当事者間の交渉により解決するものとし、交渉が不調に終わった場合は、一方の当事者は以下のいずれかの手段で解決することができます(仲裁を選択した場合、仲裁機関にチェックを入れてください)。
1. 仲裁。将该争议提交 1. 仲裁委員会に紛争を提出する。
□中国国际经济贸易仲裁委员会 □ 中国国際経済貿易仲裁委員会
□中国海事仲裁委员会 □ 中国海事仲裁委員会
□北京仲裁委员会(北京国际仲裁中心) □ 北京仲裁委員会(北京国際仲裁センター)
□上海国际仲裁中心 □ 上海国際仲裁センター
□其他《承认及执行外国仲裁裁决公约》成员的仲裁机构       外国仲裁判断の承認及び執行に関する条約に加盟しているその他の仲裁機関      
按其届时有效的仲裁规则在 (仲裁地点)       进行仲裁; (仲裁地)において、その時点で有効な仲裁規則に従い、仲裁を行う;
2. 诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。 2. 訴訟 訴訟は、法律に従い、管轄権を有する中華人民共和国の人民法院において提起されるものとする。
(五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。 (5)本契約は、関連法令の規定に従って解釈されるものとし、関連法令に規定された権利および義務に矛盾するような解釈はしないものとする。
(六)本合同正本一式   份,双方各执   份,其法律效力相同。 (6)本契約の原本は1通とし、各当事者は1通を保有し、その法的効力は同一とする。
本合同在(地点)   签订 本契約は、(場所)において締結される。
个人信息处理者:                              個人情報取扱事業者                             
   年   月   日    年 月 日
境外接收方:                                  国外の受取人                                 
   年   月   日     年 月 日 
附录一 付録1
个人信息出境说明 個人情報の出国に関する指示
    根据本合同向境外提供个人信息的详情约定如下:     本契約に基づく個人情報の国外への提供の詳細について、以下のとおり合意する:
(一)处理目的: (1)処理の目的
(二)处理方式: (2)処理の方法
(三)出境个人信息的规模: (3) 越境移転される個人情報の規模
(四)出境个人信息种类(参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准): (4) 越境移転される個人情報の種類(GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」および関連規格を参照すること:)
(五)出境敏感个人信息种类(如适用,参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准): (5) 送出される機密個人情報の種類(該当する場合、GB/T 35273「情報セキュリティ技術個人情報セキュリティコード」及び関連基準を参照): (5) 送出される機密個人情報の種類(該当する場合、GB/T 35273「情報セキュリティ技術個人情報セキュリティコード」及び関連基準を参照):
(六)境外接收方只向以下中华人民共和国境外第三方提供个人信息(如适用): (6) 送信先の受信者は、中華人民共和国外の以下の第三者にのみ個人情報を提供する(該当する場合):
(七)传输方式: (7) 送信の形態:
(八)出境后保存期限: (8) 終了後の保持期間:
( 年 月 日至 年 月 日) (年 月~年 月)
(九)出境后保存地点: (9) 退出後の保管場所:
(十)其他事项(视情况填写): (x) その他の事項(適宜記入すること):
   
附录二 付録 II
双方约定的其他条款(如需要) 当事者が合意したその他の条件(必要な場合)
   
附件5 附属書5
个人信息保护影响评估报告(模板) 個人情報保護影響評価報告書(ひな形)
(出境版) (越境移転版)
个人信息处理者名称:    (盖章)     個人情報取扱者の氏名:(押印)    
年   月   日 日付
   
一、评估工作简述 I. アセスメント作業の簡単な説明
评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。如有第三方机构参与评估,需说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。 評価作業の実施に関する情報(開始日、終了日、組織、実施プロセス、実施方法など)を記載する。 第三者機関が評価に参加する場合は、第三者機関の基本情報および評価への参加状況を記載し、当該内容のページに第三者機関の公印を押印すること。
二、出境活动整体情况 II. アウトバウンド活動の全体状況
详细说明个人信息处理者基本情况、个人信息出境涉及的业务和信息系统、出境个人信息情况、个人信息处理者个人信息保护能力情况、境外接收方情况、是否向第三方提供个人信息以及如何确保标准合同条款落实等。包括不限于: 個人情報取扱事業者の基本情報、個人情報の越境移転に関わる業務及び情報システム、個人情報の越境移転、個人情報取扱事業者の個人情報保護能力、海外受取人の状況、個人情報の第三者への提供の有無、標準契約条項の履行を確保する方法について詳細に説明する。 これには、以下のものが含まれますが、これらに限定されるものではありません:
(一)个人信息处理者基本情况 (1) 個人情報取扱事業者の基本情報
1. 组织或者个人基本信息; 1. 組織または個人に関する基本情報;
2. 股权结构和实际控制人信息; 2. 持株構成及び実質的支配者についての情報。
3. 组织架构信息; 3. 組織構造に関する情報
4. 个人信息保护机构信息; 4. 個人情報保護団体に関する情報
5. 整体业务与个人信息情况; 5. 事業および個人情報の全体的な状況;
6. 境内外投资情况。 6. 国内・海外投資に関する情報
(二)个人信息出境涉及业务和信息系统情况 (2)個人情報の離脱に関わる事業及び情報システムに関する情報
1. 个人信息出境涉及业务的基本情况; 1. 個人情報の越境移転に関わる事業に関する基本情報
2. 个人信息出境涉及业务的个人信息收集使用情况; 2. 個人情報の越境移転に関わる事業者の個人情報の収集と利用に関する情報
3. 个人信息出境涉及业务的信息系统情况; 3. 個人情報の越境移転に関わる事業者の情報システム
4. 个人信息出境涉及的数据中心(包含云服务)情况; 4. 個人情報の越境移転に関わるデータセンター(クラウドサービスを含む)についての情報
5. 个人信息出境链路相关情况。 5. 個人情報の越境移転リンクに関する情報
(三)拟出境个人信息情况 (3) 越境移転する個人情報に関する情報
1. 说明个人信息处理者和境外接收方处理个人信息的目的、范围、方式,及其合法性、正当性、必要性; 1. 個人情報取扱事業者及び海外受取人における個人情報の取扱いの目的、範囲及び方法並びにその適法性、正当性及び必要性についての説明。
2. 说明出境个人信息的规模、范围、种类、敏感程度,处理敏感个人信息和利用个人信息进行自动化决策情况; 2. 越境移転する個人情報の規模、範囲、種類および機密性、敏感な個人情報の取り扱い、自動意思決定のための個人情報の使用に関する説明。
3. 拟出境个人信息在境内存储的系统平台、数据中心等情况,计划出境后存储的系统平台、数据中心等; 3. 越境移転される個人情報が国内で保存されているシステムプラットフォーム、データセンター等、および越境移転後に保存される予定のシステムプラットフォーム、データセンター等に関する情報。
4. 个人信息出境后向境外其他接收方提供的情况。 4. 個人情報の出国後の国外の他の受取人への提供について
(四)个人信息处理者个人信息保护能力情况 (4)個人情報取扱事業者の個人情報保護能力
1. 个人信息安全管理能力,包括管理组织体系和制度建设情况,全流程管理、应急处置、个人信息权益保护等制度及落实情况; 1. 管理組織体系とシステムの構築、全過程管理の体系と実施、緊急対応、個人情報の権益保護などの個人情報安全管理能力;
2. 个人信息安全技术能力,包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等; 2. 個人情報の収集、保存、利用、処理、伝送、提供、開示、削除などの全過程で講じたセキュリティ技術的措置を含む個人情報セキュリティ技術能力;
3. 个人信息保护措施有效性证明,例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况; 3. 個人情報保護認証、個人情報保護コンプライアンス監査、ネットワークセキュリティレベル保護評価など、個人情報保護措置の有効性を証明するために実施したこと。
4. 遵守个人信息保护相关法律法规的情况。 4. 個人情報保護に関する法令を遵守していること。
(五)境外接收方情况 (5) 海外受取人に関する情報
1. 境外接收方基本情况; 1. 海外受取人の基本情報
2. 境外接收方处理个人信息的用途、方式等; 2. 海外受取人における個人情報の利用目的および取扱い方法について
3. 境外接收方的个人信息保护能力; 3. 海外受取人の個人情報保護能力について
4. 境外接收方所在国家或地区个人信息保护政策法规情况; 4. 海外受取人が所在する国・地域の個人情報保護に関する方針・規制等。
5. 境外接收方处理个人信息的全流程过程描述。 5. 海外受取人による個人情報の取扱いの全過程の説明。
(六)个人信息处理者认为需要说明的其他情况 (6)その他、個人情報取扱者が説明する必要があると考える情報
三、拟出境活动的影响评估情况 III. 提案されたアウトバウンド活動に関する影響評価
就下列事项逐项说明影响评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。 以下の事項についての影響評価であって、評価によって特定された問題点およびリスク・危険性、ならびに対応する是正措置および是正措置の有効性に重点を置く。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (1)個人情報取扱事業者及び海外受取人による個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性について;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; (2) 越境移転される個人情報の規模、範囲、種類及び機密性、並びに個人情報の越境移転に起因する個人情報の権利及び利益に対する起こり得るリスク;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; (3)海外受取人が負うべき義務、及びその義務を履行するための管理・技術的措置・能力により、出国する個人情報の安全性を確保できるかどうか。
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (4)出国後の個人情報の改ざん、破壊、漏えい、紛失、不正使用等のリスク及び個人情報等の権利利益を保護するための手段の有無;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; (5)海外受取人の国又は地域における個人情報の保護に関する政策及び規制が標準契約の履行に与える影響。
(六)其他可能影响个人信息出境安全的事项。 (6)その他、出国する個人情報の安全性に影響を与える可能性がある事項。
四、出境活动影响评估结论 IV. 出国活動の影響度評価の結論
综合上述影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。 上記の影響評価と対応する是正を統合して、個人情報の出国活動に対する客観的な影響評価結論を出し、評価結論の理由と論拠を十分に説明する。

|

« 生成的AIとプライバシー当局(カナダ ニュージーランド) | Main | カナダ プライバシーコミッショナー 職場におけるプライバシーガイダンス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 生成的AIとプライバシー当局(カナダ ニュージーランド) | Main | カナダ プライバシーコミッショナー 職場におけるプライバシーガイダンス »