TMI 総合法律事務所

中国最新法令情報速報版

皆様には、日頃より弊事務所へのご厚情を賜り誠にありがとうございます。

2022 年 6 月 30 日に、国家インターネット情報部門 1（以下「情報部門」といいます。）が「個人情報越境提供標準契約規定（意見募集稿）」2（以下「本規定」といいます。）及びその別紙として個人情報越境提供標準契約 3の雛形（以下「標準契約」といいます。）を公開しました 4。2021 年 11 月に施行された中国個人情報保護法（以下「法」といいます。）において、個人情報の越境提供の適法要件の一つとして、情報部門が作成した標準契約に従い、中国国外における提供先（以下

「提供先」といいます。）と契約を締結し、双方の権利・義務を約定することが定められていますが 5、情報部門が作成した標準契約はこれまで公表されておらず、標準契約を締結したくてもできない状況が続いておりました。

本規定は、標準契約の締結に関する指針や手続を定めるとともに、標準契約の雛形を提供しています。本規定は意見募集稿の段階であり、今後改訂が重ねられていくことが想定され、また、正式に公布される時期は未定ですが、中国からの個人情報の越境提供の場面において、企業が取るべき対応について、一定の指針を示すものといえます。そこで、速報版として、簡単にその概要をご紹介いたします。

◆ 本ニュースレターの内容は、一般的な情報提供であり、個別の案件に適用可能な具体的な法的アドバイスを含むものではありません。

◆ ニュースレターの配信停止をご希望の場合には、本ニュースレター末尾記載の連絡先までご連絡をいただきますようお願い致します。

1 「国家互联网信息办公室」

2 「个人信息出境标准合同规定（征求意见稿）」

3 「个人信息出境标准合同」

4 xxxx://xxx.xxx.xxx.xx/0000-00/00/x_0000000000000000.xxx

5 法第 38 条第 1 項第 3 号

1．本規定の位置づけ

法第 38 条第 1 項第 3 号においては、中国国内の個人情報取扱者が中国国外に個人情報を提供する場合の適法性要件の一つとして「情報部門が作成した標準契約に従い、提供先と契約を締結し、双方の権利・義務を約定すること」を掲げているところ、本規定は、標準契約の雛形を示すとともに、個人情報取扱者が提供先との間で、標準契約の締結による越境提供を行うにあたっての指針を示すものである 6。

2．本規定の適用対象等

(1) 適用対象

本規定では、以下の条件をすべて満たす個人情報取扱者は標準契約を通じて、中国国外に向けて越境提供を行うことができる 7。

①重要情報インフラ運営者ではない。

②個人情報の取扱量が 100 万人未満である。

③前年の 1 月 1 日から現在までの個人情報の越境提供が累計 10 万人未満である。

④前年 1 月 1 日から現在までのセンシティブ個人情報の越境提供が 1 万人未満である。

上記①から④を満たさない場合は、情報部門によるセキュリティ評価に合格しなければならない場合であり 8、それらの場合には、標準契約を通じた越境提供の方法を取ることはできない。

(2) 個人情報保護影響評価ア概要 ‌

適用対象である個人情報取扱者は標準契約を通じて、中国国外に向けて越境提供を行う前に、

事前の個人情報保護影響評価（以下「影響評価」という。）を行う必要があり 9、主として以下の内容を評価する 10。法においても影響評価を行うべき項目が定められているが、本規定は個人情報の越境提供における影響評価として、評価項目の内容が若干追加され、具体化している。

• 個人情報取扱者及び提供先による個人情報取扱いの目的、範囲、方法等の適法性、正当性及び必要性

• 越境提供される個人情報の数量、範囲、類型、センシティブ性、個人情報の越境提供による個人情報の権益が生じうるリスク

• 提供先が誓約した責任・義務、及びその責任・義務を履行するための管理及び技術措置、能力等により、越境提供された個人情報のセキュリティを保障できるか否か

• 個人情報が越境提供された後の漏洩、毀損、改ざん、濫用等のリスク、個人情報当事者がその個人情報の権益を保護するルートがスムーズであるか否か

• 提供先の所在国又は地域の個人情報保護政策・法規が標準契約の履行に与える影響

• 個人情報の越境提供のセキュリティに影響を及ぼす可能性のあるその他の事項

6 本規定第 1 条、第 2 条

7 本規定第 4 条

8 法第 40 条、データ越境提供セキュリティ評価弁法（数据出境安全评估办法）第 4 条

9 法第 55 条第 4 号

10 法第 56 条第 1 項、本規定第 5 条

イ留意点

上記の影響評価は、個人情報取扱者自身が行う私的評価行為であり、法又は「データ越境提供セキュリティ評価弁法（以下「セキュリティ評価弁法」という。）における情報部門によるセキュリティ評価とは異なる。

法第 40 条により、重要情報インフラ運営者及び情報部門が規定する個人情報の取扱量に達する個人情報取扱者は、越境提供を行う必要がある場合、国家情報部門によるセキュリティ評価に合格しなければならないとされている。セキュリティ評価弁法では、重要データの越境提供、重要情報インフラ運営者及び個人情報の取扱量が 100 万人以上のデータ取扱者、前年 1 月 1 日から

起算して個人情報の越境提供が累計 10 万人以上又はセンシティブ個人情報の越境提供が累計 1万人以上のデータ取扱者、又は情報部門によるセキュリティ評価が必要と判断するその他の場合には、データ取扱者は所在地の省レベル以上の情報部門経由で国家情報部門に対して、データ越境提供セキュリティ評価を申請しなければならないとされている。

上記のデータ取扱者に該当する個人情報取扱者については、個人情報保護影響評価を実施することに加えて、情報部門によるセキュリティ評価を受ける必要があるが、本規定の適用対象の場合には、個人情報保護影響評価を実施したうえで、標準契約の締結による個人情報の越境提供ができる。

（3）届出手続

本規定では、個人情報取扱者は標準契約の発効日から 10 営業日以内に、所在地の省レベル以上の情報部門に対して、届出を行わなければならず、届出に際しては、①標準契約、②個人情報保護影響評価報告書を提出する必要がある 11。

ただ、届出は事前の許認可の性質ではなく、事後的コントロールの性質を持つ手続であり、個人情報取扱者は、届出の受理を待たずに、標準契約発効後、直ちに越境提供を行うことができる 12。

また、海外での個人情報の取り扱いに関する具体的な状況（処理の目的、方法、範囲、場所、用途、期間、海外の法規・政策等）に変化が生じた場合、個人情報取扱者は改めて標準契約を締結し、届出を行う必要がある 13。しかし、届出手続の具体的な方法は、本規定では触れられていない。

(4) 監督機関及びその職責ア概要 ‌

本規定は省レベル以上の情報部門を個人情報の越境提供の監督機関とし、届出の受理、苦情・通

報の受理、監督・処罰の職責を担わせている 14。本規定第 12 条によると、個人情報取扱者が以下の一つに当該する場合、省レベル以上の情報部門は期限内の是正を命じ、是正しない又は個人情報の権益を害する場合、越境提供の停止を命じ、法により処罰する。

• 届出手続を履行せず、又は虚偽の資料を提出して届出手続を行う場合

• 標準契約に規定される責任・義務を履行せず、個人情報の権益を侵害し損害をもたらす場合

11 本規定第 7 条第 1 項

12 本規定第 7 条第 2 項

13 本規定第 8 条

14 本規定第 10 条、第 11 条

• 個人情報の権益に影響を及ぼすその他の状況が発生する場合

イ留意点

個人情報取扱者が標準契約を通じて、個人情報の越境提供を行う場合、届出手続及び前述の影響評価は標準契約の発効条件ではないものの、不可欠な手続とされており、履行しないと、情報部門から処罰を受けるリスクがある。そのため、標準契約を結ぶだけではなく、影響評価、届出といった必要な手続の履行が必要といえる。

3．標準契約

個人情報越境提供標準契約は本規定の別紙として公表されており、9 つの条項と 2 つの附属文書で構成されている。

(1) 標準契約の構成

条文等	概要
第 1 条	定義
第 2 条	個人情報取扱者の義務
第 3 条	国外の提供先の義務
第 4 条	現地の個人情報保護政策・法規が契約条項に与える影響
第 5 条	個人情報当事者の権利
第 6 条	救済
第 7 条	契約解除
第 8 条	違約責任
第 9 条	その他準拠法（中国法）、通知、紛争解決（訴訟・仲裁）
附属文書一	個人情報越境提供の説明 (1)対象となる個人情報当事者の属性、(2)提供目的、(3)数量、(4)個人情報の種類、(5)センシティブ情報の種別、(6)提供先、(7)提供方法、(8)保存期間、(9)保存地点、(10)その他の事項
附属文書二	両当事者が定めるその他の事項必要に応じて約定する

附属文書一は、個人情報当事者への告知事項に含めること、また、提供先が標準契約で負う義務を具体化するものとして利用することが予定されている。

(2) 個人情報取扱者の義務

標準契約第 2 条は、個人情報取扱者の表明保証・誓約条項であり、個人情報取扱者の義務が細かく規定されている。法に規定されている技術的・管理措置の実施、個人情報保護の影響評価の実施等

15に加え、当局からの問い合わせへの回答、個人情報当事者への標準契約書の写しの提供、標準契約における義務が履行されたことを証明する立証責任等 16が規定されている。

(3) 国外の提供先の義務ア概要

標準契約第 3 条の表明保証・誓約条項は、国外の提供先の義務を明確化にしている。提供先は、

附属文書一「個人情報越境提供の説明」に定められた内容に基づき個人情報を取り扱い、効果的

15 法第 51 条、第 55 条

16 標準契約第 2 条第 6 項、第 8 項、第 9 項

な技術・管理措置を講じ、かつ厳格に守秘義務を履行しなければならない 17。

イ留意点

原則として、提供先は、個人情報をさらに中国国外における第三者に提供してはならないものの、以下の条件をすべて満たす場合はこの限りではない 18。

• 業務上、個人情報を提供する必要性がある。

• 個人情報当事者に対して、当該第三者の名称、連絡先、取扱目的、取扱方法、個人情報の種類及び権利の行使方法及び手続等の事項を既に告知しており、かつ、当該個人の個別的同意を取得した場合。但し、関連法令に基づき個別的同意を取得する必要がないと規定されている場合はこの限りではない 19。

• 第三者と書面による合意書を締結し、第三者の個人情報に対する保護レベルが中国の関連法令に規定されている個人情報保護基準を下回らないことを保障し、かつ、再提供により個人情報当事者に与えうる損害に連帯責任を負う。

• 個人情報取扱者に対して、当該合意書の写しを提供する。

上記内容から考えると、中国国外における提供先から中国国外における第三者への、個人情報の再提供は実施可能であるが、第三者の名称等の告知と個別的同意という厳しい条件が課されており、法的には必ずしも容易ではないといえる。

(4) 現地の個人情報保護政策・法規が標準契約に与える影響ア概要

標準契約第 4 条第 1 項では、標準契約を締結する際に、両当事者は、合理的な努力を尽くして

も、提供先が所在する国又は地域の個人情報保護政策・法規（個人情報提供の要求又は公共機関による個人情報へのアクセスを許可する規定を含む）を知ることができない場合、提供先の標準契約に定められる義務の履行を妨げる事由となり得る可能性があることを表明する旨の規定を置いている。

また、同条第 5 項の定めに基づき、提供先が所在する国又は地域の個人情報保護政策・法規等の変更により、提供先が標準契約を履行できない場合、提供先は、上記の変更を知り次第、直ちに個人情報取扱者に通知しなければならないとされる。

提供先が本契約に従うことがその所在国の法律に違反する場合は、契約解除事由とされているところ 20、もしも提供先の所在国の政策等に変化が生じ、提供先がこれを遵守すると標準契約を履行することができないという関係がある場合には、標準契約に解除事由が生じることになると考えられる。

イ留意点

中国国内における個人情報取扱者は、個人情報を提供する前 21及び提供の全過程において、

「提供先の所在国又は地域の個人情報保護政策・法規が標準契約の履行に与える影響」を評価しなければならず、この点について、中国国外の法律専門家の意見を得ながら実施する必要がある

17 標準契約第 3 条第 1 項、第 5 項

18 標準契約第 3 条第 7 項

19 さらに、センシティブ個人情報の場合の取扱い、14 歳未満の未xx者の個人情報の場合、書面同意が必要な場合等に関する詳細な規定がある。

20 標準契約第 7 条第 2 項第 2 号

21 影響評価の項目の一つに、「提供先の所在国又は地域の個人情報保護政策・法規が標準契約の履行に与える影響」が含まれている。

といえる。

4．まとめ

本規定の公表により、法第 38 条に定められている個人情報の越境提供に関する 3 種類の適法条件の根拠となる具体的な下位法令（意見募集稿を含む）が出そろい、次の通り、それぞれの適用場面も比較的明確になったといえる。

条文	対応	根拠となる下位法令	適用場面
法第 38 条第 1 項第 1号	情報部門のセキュリティ評価	セキュリティ評価弁法	個人情報取扱者が以下の一つに該当し、越境提供を行う場合 22。 • 重要データ • 重要情報インフラ運営者、個人情報の取扱量が 100 万人以上 • 前年 1 月 1 日から現在までの個人情報の越境提供が累計 10 万人以上又はセンシティブ個人情報の越境提供が累計 1 万人以上 • 情報部門によるセキュリティ評価が必要と判断するその他の場合
法第 38 条第 1 項第 2号	専 x x 構による個人情報保護認証	「サイバーセキュリティ標準実践ガイドライン‐個人情報越境処理活動認証技術規範」23	以下の一つに該当する場合 24。 • 異なる国の企業同士間、又は同一の経済・事業実体の子会社又は関連会社間における個人情報越境取扱活動 • 法第 3 条第 2 項の定める個人情報取扱者が、中国国外において、中国国内の自然人の個人情報を取扱う活動
法第 38 条第 1 項第 3号	標準契約の締結	本規定	以下の条件をすべて満たし、越境提供を行う場合 25。 • 重要情報インフラ運営者ではない • 個人情報の取扱量が 100 万人未満である • 前年の 1 月 1 日から現在までの個人情報の越境提供が累計 10 万人未満である • 前年 1 月 1 日から現在までのセンシティブ個人情報の越境提供が 1 万人未満である

本規定はあくまで意見募集稿であり、これに対して寄せられる意見に基づいてその内容に変更・修正が加えられることが予想される。ただ、立法者の制度設計・考え方が明らかになっており、実務上現に行われている個人情報の越境提供の場において、今後の対応方針を検討するうえで、参考になるといえる。

執筆担当：xxxx、xxx

22 セキュリティ評価弁法第 4 条

23 「网络安全标准实践指南—个人信息跨境处理活动认证技术规范」

24 規範第 1 条

25 本規定第 4 条

◼ 発行

TMI 総合法律事務所

◼ 編集・監修

xxxx、xxxxxxxx、xxxx

◼ 発行日

2022 年 7 月 8 日