本件に関しては、当事務所のニューズレター「中国で個人情報越境標準契約規定(中国版SCC)についてのパブリックコメント手続が開始」をご参照ください。
本仮訳は、2022年6月30日に開始されたパブリックコメント版のものです。
本件に関しては、当事務所のニューズレター「中国で個人情報越境標準契約規定(中国版SCC)についてのパブリックコメント手続が開始」をご参照ください。
別紙:
個人情報越境標準契約
中華人民共和国国家インターネット情報局 制定
国外受領者の個人情報処理活働が中華人民共和国の関係法律法規に定める個人情報保護基準を満たすことを確保し、個人情報処理者と国外受領者の個人情報保護の義務及び責任を明確にするため、両当事者合意の上、相互に遵守するために本契約を締結する。
個人情報処理者:
住所:
電話番号: メールアドレス:
担当者: 役職: 国籍:
国外受領者:
住所:
電話番号: メールアドレス:
担当者: 役職: 国籍:
個人情報処理者及び国外受領者は、本契約の付録一「個人情報越境説明書」記載の取り決めに従って、個人情報越境活動及び当該活動に関連する商行為を行い、両当事者は、〇年〇月〇日、[XXに関する商業契約に関して(もしあれば)]署名[した][することに合意する]。
本契約本文は、『個人情報越境標準契約規定』の要件に基づいて作成されるもので、両当事者間のその他の合意がある場合には、本契約の一部を構成する付録二において詳述する。
本契約において、文脈上別段の定めがある場合を除き、以下のとおりとする。
(一)個人情報処理者又は国外受領者を単に「当事者」といい、合わせて「両当事者」と呼ぶ。 (二)「個人情報」および「機微個人情報」とは、中華人民共和国個人情報保護法に規定され
ている意味と同じである。
(三)「個人情報主体」とは、個人情報によって識別又は関連づけられる自然人を指す。
(四)「個人情報処理者」とは、『中華人民共和国個人情報保護法』に規定されている意味と同じである。
(五)「国外受領者」とは、中華人民共和国外に所在し、個人情報処理者から個人情報を受領する組織または個人をいう。
(六)「規制当局」とは、中華人民共和国の省級以上のネットワーク安全情報化機関を指す。
(七)「関係法律法規」とは、『中華人民共和国民法』『中華人民共和国サイバーセキュリティ法』『中華人民共和国データセキュリティ法』『中華人民共和国個人情報保護法』『個人情報越境標準契約規定』等の中華人民共和国の法律法規及び部門規則、並びに前記法律法規及び部門規則に対して改正、修正又は補充を行う法律法規及び部門規則をいい、元の法律法規及び部門規則に代わる後続の法律法規及び部門規則を含む。
(八)本契約で定義されていないその他の用語の意味は、関係法律法規に規定されている意味と一致するものとする。
個人情報処理者は、以下を表明し、保証し、約束する。
(一)個人情報について、関係法律法規に従って収集、使用等の処理がされること。越境する個人情報の範囲は、処理目的を達成するために必要最小限の範囲に限定されること。
(二)個人情報主体に国外受領者の名称又は氏名、連絡方式、付録一「個人情報越境説明書」中の関連情報、並びに個人情報主体の権利行使の方式及び手続等の事項を告知し、かつ、個
人の個別の同意を取得したこと(ただし、関係法律法規の規定により個人の個別の同意を取得する必要がない場合を除く)。機微個人情報について、個人情報主体に機微個人情報を移転する必要性及び個人への影響を告知したこと。十四歳未満の未xxの個人情報について、未xx者の親または他の保護者の同意を取得したこと。法律、行政規則の規定によって書面で同意を取得すべきものについて、書面で同意を取得したこと(ただし、関係法律法規の規定によって書面での同意取得が不要である場合を除く)。
(三)個人情報主体に対し、個人情報処理者と国外受領者が本契約を通じて個人情報主体が第三者受益者であることについて合意し、個人情報主体が30日以内に明示的に拒否されなければ本契約に基づいて第三者受益者の権利を享受できることを告知したこと。
(四)国外受領者が本契約に定める義務を履行することを確保するために合理的な努力をし、以下の技術的及び管理的措置(個人情報の類型、数量、範囲及び機微の度合、移転の数量及び頻度、個人情報の移転期間及び国外受領者による保存期間、個人情報処理の目的、並びに考えられる個人情報のセキュリティリスクを総合的に考慮する)を講じたこと。
(暗号化、匿名化、非識別化、アクセス制御等の技術的及び管理的措置)
(五)国外受領者の要求に応じ、国外受領者に対して関係法律規定及び技術基準の写しを提供すること。
(六)国外受領者の個人情報の処理活働に関する規制当局からの照会に回答すること。ただし、国外受領者が回答することに両当事者が同意した場合を除く(この場合において、国外受領 者が回答期限内に回答しない場合には、個人情報処理者が、合理的に把握している情報に基 づいて、合理的な期間内に回答するものとする)。
(七) 関連法律法規に基づき、国外受領者への個人情報提供活動について個人情報保護への影響評価を実施したこと。影響評価においては以下を考慮したこと。
1.個人情報処理者及び国外受領者による個人情報処理の目的、範囲、方法等の適法性、正当性、必要性
2.越境する個人情報の数量、範囲、類型、機微の度合、個人情報の越境が個人情報の権利利益にもたらす可能性のあるリスク
3.国外受領者が負う責任義務、責任義務を履行する管理的及び技術的措置、国外における個人情報の安全を保障する能力等
4.個人情報の越境後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報に関する権利利益を保護する方法がスムーズであるか等
5.現地の個人情報保護政策及び法規が本契約の条項の遵守に及ぼす影響についての本契約第四条に基づく評価
6.その他の個人情報の越境の安全性に影響を及ぼす可能性のある事項。 個人情報保護の影響評価報告書は、少なくとも3年間保存するものとする。
(x)個人情報主体の要求に応じて、本契約書の写しを個人情報主体に提供すること。営業秘密またはその他の機密情報(保護された知的財産権の内容等)を保護するために必要な範囲内で、本契約の関連する内容を適切に隠すことはできるが、個人情報主体に対して契約の内容を理解するのに有効な要約を提供することを約束するものとする。
(九)本契約の義務が履行されたことの証明責任を負うこと。
(十)関連法律法規の要求に基づき、第三条第(十)款に定める情報(すべての監査結果を含む)を規制当局へ提供すること。
国外受領者は、以下を表明し、保証し、約束する。
(一) 個人情報主体の事前の同意がある場合を除き、付録一「個人情報越境説明書」記載の取り決めに従って、個人情報を処理すること。
(二)個人情報主体の要求に応じて、本契約書の写しを個人情報主体に提供すること。営業秘密またはその他の機密情報(保護された知的財産権の内容等)を保護するために必要な範囲内で、本契約の関連する内容を適切に隠すことはできるが、個人情報主体に対して契約の内容を理解するのに有効な要約を提供することを約束するものとする。
(三)越境する個人情報の範囲は、処理目的を達成するために必要最小限の範囲に限定されること。
(四)個人情報の保存期間を処理目的達成のために必要な最短期間とすること。上記の保存期間を過ぎた場合は、保存期間に関する個人情報主体の個別の同意を得ない限り、個人情報
(すべてのバックアップを含む)の削除または匿名化を行うこと。個人情報処理者から個人情報の取扱を委託された場合には、削除又は匿名化した上で、関連する監査報告書を個人情報処理者に提供すること。
(五)以下の方法により個人情報処理の安全性を確保すること。
1.個人情報の偶発的または不法な破壊、紛失、改ざん、不正な提供、またはアクセス(以下「データ漏えい」という。)の防止等、個人情報の安全を確保するための効果的な技術的及び管理的措置を講じる。当該義務を履行するために、第二条第(四)款に規定する技術的及び管理的措置を講じる。これらの対策が常に適切な安全水準を維持していることを確認するため、定期検査を実施する。
2.個人情報の処理権限を有する者による守秘義務の履行を確保し、権限が最小化されたアクセスコントロールポリシーを確立し、前記の者が職務に必要最小限の個人情報のみにアクセスできるようにし、職務遂行の必要最小限のデータ操作権限のみを付与する。
(六)データ漏えいが発生した場合、以下のことを行うこと。
1.個人情報主体に及ぼす不利益を軽減するため、適切な救済措置を速やかに講じること。
2.直ちに個人情報処理者に通知し、関係法律法規に基づいて中華人民共和国の規制当局に報告することを要求すること。通知には以下の内容を含む。
(1)個人情報漏えいの原因
(2)漏えいした個人情報の種類と想定される被害 (3)実施された救済措置
(4)個人ができる危害軽減措置
(5)データ漏えいへの対応に責任を負う担当者または担当チームの連絡先
3.関係法律法規によって個人情報主体への通知が求められる場合、通知の内容に前記第2項の内容を含めること。
4.データ漏えいに関するすべての事実及びその影響(実施したすべての救済措置を含む)を記録し、保管すること。
5.個人情報処理者が個人情報の処理を委託する場合、当該個人情報処理者は、前記第3項に定める個人情報主体への通知義務を負うこと。
(七)以下の要件を満たす場合を除き、中華人民共和国外に所在する第三者に個人情報を提供しないこと。
1.個人情報の提供について業務上の必要性がある。
2.個人情報主体に対して、当該第三者の身元、連絡方式、処理目的、処理方式、個人情報 の種類、個人情報主体の権利行使の方式及び手続等の事項を告知し、個人の個別の同意を取 得したこと(ただし、関係法律法規の規定により個人の個別の同意を取得する必要がない場 合を除く)。機微個人情報について、個人情報本体に機微個人情報を移転する必要性及び個 人への影響を告知したこと。十四歳未満の未xxの個人情報について、未xx者の親または 他の保護者の同意を取得したこと。法律、行政規則によって書面で同意を取得すべきものに ついて、書面で同意を取得したこと(ただし、関係法律法規の規定によって書面での同意取 得が不要である場合を除く)。個人情報主体への告知または個人情報主体の個別の同意を得 ることが困難な場合は、速やかに個人情報処理者に告知するとともに、個人情報処理者に対 して個人情報主体への告知又は個人情報主体の個別の同意の取得についての協力を要請する。
3.第三者と書面による契約を締結し、第三者の個人情報保護水準が中華人民共和国の関係法律法規が定める個人情報保護基準を下回らないことを保障し、かつ再提供により個人情報の主体に生じうる損害について連帯責任を負う。
4.個人情報処理者に対して当該契約書の写しを提供する。
(八)個人情報処理者から個人の情報の処理を委託され、当該処理を第三者に委託する場合、事前に個人情報処理者の同意を取得し、委託された第三者が本契約の付録一「個人情報越境説明書」で取り決められた処理目的、処理方式等を超えて個人情報を処理しないことを確保し、かつ当該第三者の個人の情報の処理活動に対して監督を行うこと。
(九) 自動化された意思決定のために個人情報を利用する場合、意思決定の透明性と結果のxx、xxを保証し、個人に対して取引価格等の取引条件において不合理な差別待遇を行わないこと。自動化された意思決定によって個人に対して情報の送信やマーケティングを行う場合、同時に、個人の特性に特化しないオプションを提供したり、便宜な拒絶方法を提供したりすること。
(十)本契約に規定された義務の遵守を証明するために必要なすべての情報を個人情報処理者に提供すること、個人情報処理者によるデータファイルおよび文書へのアクセス、または本契約の対象となる処理の監査を許可することを約束すること。アクセス又は監査の実施が決まった場合、個人情報処理者自らが行う又は第三者に委託される監査を促進し、個人情報処理者の要求に応じて、保有する個人情報保護に関する資格の認証状况を個人情報処理者に提供すること。
(十一)実施した個人情報の処理活動について客観的な記録を行い、少なくとも3年間記録を保存すること。関係法律法規の要求に応じて、直接又は個人情報処理者を介して、関連記録書類を規制当局に提供すること。
(十二)本契約の実施を監督する関連手続において、規制当局の監督管理を受けること(規制当局からの照会への回答、規制当局の検査への協力、規制当局が講じた措置または決定の遵守、及び必要な措置を講じたことの書面による証明の提供を含まれるがこれに限らない)に同意すること。
第四条 現地の個人情報保護政策及び法規が本契約条項の遵守に及ぼす影響
(一)両当事者は、合理的な努力をした結果、国外受領者の所在国または地域の個人情報保護政策及び法規(個人情報の提供要求または公共機関による個人情報へのアクセスを許可する規定を含む)が、国外受領者が本契約の義務を履行することを妨げていることを知らないことを保証する。
(二)両当事者は、第四条第(一)款の保証を提供する際に、以下の要素を考慮したことを表明する。
1.越境の具体的状況(移転する個人情報の類型、 数量、範囲、機微の度合、移転の規模及び頻度、個人情報の移転及び国外受領者の保存期間、 個人情報の処理目的、 国外受領者の過去の類似の個人情報の越境移転及び処理に関する経験、 国外受領者がデータセキュリティ関連事件を生じさせたことがあるか否か及び適時かつ効果的な措置を講じたか否か、国外受領者がその所在国または地域の公共機関から個人情報の提供要求を受けたことがあるか否か及び国外受領者の対応状況を含む)
2.国外受領者の所在国又は地域の個人情報保護政策及び法規(以下の要素を含む)
(1)当該国または地域における現行の個人情報保護法律法規及び一般的な適用基準の状況
(2)当該国または地域が加盟する個人情報保護に関する地域的または世界的な組織、および拘束力のある国際公約
(3)個人情報保護の監督執行機関や関連する司法機関等を備えているか等、当該国又は地域における個人情報保護の実施体制。
3.国外受領者の安全管理制度及び技術手段の保障能力。
(三)国外受領者は、第四条第(二)款に定める評価の実施に際して、個人情報処理者に必要な関連情報を提供するための最大限の努力をした旨を保証する。
(四)両当事者は、第四条第(二)款に基づいて実施した評価の過程及び結果を記録しなければならない。
(五)国外受領者の所在国または地域の個人情報保護政策法規の変更(国外受領者の所在国または地域の法律の変更、または強制措置の適用を含む)により、国外受領者が本契約を履行できない場合、国外受領者は、当該変更を知った後、直ちに個人情報処理者に通知しなければならない。
両当事者は、関係法律法規に基づき、第三者受益者である個人情報主体に対して、本契約における個人情報保護に関する当事者の義務を履行させる権利を付与することを認める。
(一)個人情報主体は、関係法律法規に基づき、知る権利、決定権、他人による個人情報の処理を制限または拒否する権利、アクセス権、複製権、訂正及び補足する権利、削除権、及びその個人情報の処理規則の説明を請求する権利を有する。
(二)個人情報主体が既に越境した個人情報に対して上述の権利の行使を要求する場合、個人情報主体は個人情報処理者に実現のための適切な措置を講じるよう請求し、または、国外受領者に直接請求を提出することができる。個人情報処理者がこれを実現できない場合、国外受領者に通知し、実現への協力を要求しなければならない。
(三)国外受領者は、個人情報処理者の通知又は個人情報主体の請求に基づき、個人情報主体が関連法律法規に基づき行使する権利を合理的な期限内に実現しなければならない。国外受領者は、顕著な方式で、明瞭で分かりやすい言語により、xx、正確かつ完全な形で、個人情報主体に対して関連情報を告知しなければならない。
(四)個人情報主体が過剰または不合理な要求、特に反復的な性質の要求を行う場合、国外受領者は、要求が認められた場合の実施および運用コストを考慮した上で、合理的な費用を徴収するか、または当該要求に応じることを拒否することができる。
(五)国外受領者が個人情報主体の請求を拒否しようとする場合、個人情報主体に拒否の理由と個人情報主体が規制当局に苦情を申し立て、司法的救済を受けるための方法を告知しなければならない。
(六)個人情報主体は、本契約の第三者受益者として、個人情報処理者及び国外受領者のいずれに対して、個人情報主体の権利に関する本契約の以下の条項の履行を主張し、要求する権利を有する。
1.第二条(ただし、第二条第(四)款、第(五)款、第(六)款、第(十)款を除く)
2.第三条(ただし、第三条第(六)款第2項及び第4項、第(八)款、第(十)款、第(十一)款、第(十二)款を除く)
3.第四条
4.第六条
5.第七条
6.第八条第(三)款、第(四)款、第(六)款
7.第九条第(四)款、第(六)款
(一)国外受領者は、組織内で個人情報の処理に関する問合せや苦情に回答する権限を有する担当者を決定し、個人情報主体からの問合せや苦情に速やかに対応しなければならない。国外受領者は、個人情報処理者にその担当者情報を告知し、かつ、個人情報主体に対し、分かりやすい方法で、個別の通知又はウェブサイト上での公告を通じて当該担当者情報を告知しなければならない。具体的には、以下のとおりである。
(二)両当事者は、個人情報主体といずれかの当事者間で本契約の遵守に関して紛争が生じた場合、相互に関連状况を通知し、適時に紛争を解决するために協力しなければならないことに同意する。
(三)紛争が円満に解決されず、個人情報主体が第六条(二)款に従って第三者受益者の権利を行使した場合、国外受領者は個人情報主体による以下の権利の主張を受け入れるものとする。
1.規制当局への苦情申立て
2.第九条(四)款に定める裁判所への訴訟提起
(四)国外受領者は、本契約に関する個人情報主体の紛争解決を中華人民共和国の関係法律法規に基づいて行うことに同意する。
(五)国外受領者は、個人情報主体が行った権利保護のための選択によって、個人情報主体がその他の法律法規に基づいて救済を求める実体的または手続的権利が減殺されないことに同意する。
(一) 国外受領者が本契約上の義務に違反した場合、個人情報処理者は、違約行為が是正されるか、または契約が解除されるまで、国外受領者への個人情報の移転を停止することができ
る。
(二)以下のいずれかの事情が生じた場合、個人情報処理者は、本契約を解除する権利を有するとともに、必要に応じて規制当局に通知するものとする。
1.個人情報処理者が第七条第(一)款の規定に従って国外受領者への個人情報移転を停止する期間が1ヶ月を超えるとき。
2.国外受領者が本契約を遵守すると、その所在国の法律の規定に違反することになるとき。
3.国外受領者による本契約上の義務の重大または継続的な違反があるとき。
4.国外受領者の管轄裁判所又は規制当局の上訴不能な終局的決定の下で、国外受領者又は個人情報処理者が本契約の規定に違反したとき。
5.国外受領者が破産、解散又は清算したとき。個人名義か組織名義かを問わず提起された国外受領者の法的解散請求が法定期間内に却下されなかったとき。国外受領者が解散決定をしたとき。国外受領者が破産管理人を指定されたとき。国外受領者が自ら破産、解散又は清算手続を行うとき、国外受領者の国又は地域において類似の状況が発生したとき。
上記第1、2又は4項の場合、国外受領者も本契約を解除することができる。
(三)規制当局が関係法律法規に従って個人情報の越境に関する決定定を下した場合、例えば個人情報の越境安全評価等によって本契約を履行できない場合、いずれの当事者も本契約を解除することができる。
(四)両当事者の同意によって契約を解除する場合。ただし、本契約の解除は、その個人情報処理過程における個人情報保護義務を免除するものではない。
(五)契約解除時に、国外受領者は、本契約に基づき受領した個人情報を速やかに返還、廃棄または匿名化処理し、かつ廃棄または匿名化処理の監査報告書を提供しなければならない。
(一)両当事者は、本契約の違反により相手方当事者に生じた損害について、相手方当事者に対して責任を負うものとする。
(二)両当事者間の責任は、非違反当事者が被った損失に限定される。
(三)各当事者は、本契約に違反した結果第三者受益者としての個人情報主体の権利を侵害した場合、個人情報主体に対して責任を負うものとする。個人情報主体は賠償を受ける権利を
有する。これは、関係法律法規に基づく個人情報処理者の責任に影響を及ぼすものではない。
(四)個人情報処理者及び国外受領者は、本契約の違反により個人情報主体に生じた物質的又は非物質的損害に対して共同して責任を負う場合、個人情報主体に対して連帯責任を負わなければならない。
(五)両当事者は、一方(「賠償者」)が、他方(「被求償者」)の本契約の違反行為につい
て、個人情報保護主体に対して連帯責任を負い、かつ、賠償者が負う連帯責任が自己の負う べき責任分を超える場合、賠償者が被求償者に対して求償する権利を有することに同意する。
(六)第八条(三)款及び第八条(四)款の規定にかかわらず、個人情報処理者は、本契約違反により、国外受領者が個人情報主体に生じさせる物質的及び非物質的損害について責任を負うものとし、個人情報主体はこれに対して損害賠償責任を主張する権利を有する。
(七)両当事者は、個人情報処理者が第八条第(六)款に基づき国外受領者が生じさせる損害について責任を負う場合、国外受領者に対して求償する権利を有することに同意する。
(一)本契約と、本契約の締結または署名時に両当事者間に既に存在する他の合意とが矛盾する場合、本契約の条項が優先するものとする。
(二)本契約は中華人民共和国の関係法律法規に準拠するものとする。
(三)一方の当事者から他方の当事者へのすべての通知は、電子メール、電報、テレックス、
ファクシミリ(確認用コピーを航空便で送付)または書留航空便で速やかに(具体的な住所)に送付するか、または当該住所に代わる住所への書面による通知で送付するものとする。 本 契約に基づく通知または連絡は、書留航空便で送付された場合は消印日の 日後に、 電子メール、電報、テレックスまたはファックスで送付された場合は送付日の
営業日後に受領されたものとみなされる。
(四)個人情報主体が第三者受益者として個人情報処理者又は国外受領者に訴訟を提起する場合、『中華人民共和国民事訴訟法』の規定に基づき管轄を確定しなければならない。
(五)個人情報処理者と国外受領者は、契約に起因する両当事者間の紛争及び一方当事者が先行して個人情報主体の損害賠償責任を賠償したことによる他方への求償については、両当事者の協議により解决しなければならない。協議によって解決できない場合には、一方当事者が以下のうち第 種の方法によって解決することができる(仲裁を選択する場合には仲裁機関にチェックをいれる)。
1.仲裁。紛争を以下に提起する。
□中国国際経済貿易仲裁委員会
□中国海事仲裁委員会
□北京仲裁委員会(北京国際仲裁センター)
□その他 『外国仲裁裁定の承認及び執行に関する条約』加盟国の仲裁機関 で、その時点で有効な仲裁規則に基づいて、 (仲裁地)において仲裁を行う
2.訴訟。法律に基づき管轄権を有する中国の人民法院に提起する。
(六)本契約は関係法律法規の規定に基づき解釈するものとし、関係法律法規に規定された権利、義務に抵触する形で本契約を解釈してはならない。
(七)本契約のxxは 部作成し、個人情報の処理者および海外の受取人はそれぞれ
部を保有し、その法的効力は同一とする。
(八)本契約は両当事者の正式な署名によって直ちに成立し、発効するものとする。
本契約は、個人情報処理者と海外の受取人との間で、 において締結する。
個人情報処理者: (押印)
法定代理人/委任代理人: (署名または押印)
年 月 日
国外受領者: (押印)
法定代理人/委任代理人: (署名または押印)
年 月 日
付録一
個人情報越境説明書
本契約に基づく個人情報の国外への提供の詳細について、以下のとおり取り決める。
(一) 移転される個人情報は、以下の個人情報主体の類別に属する
(二)移転は以下の目的のために行う
(三)移転される個人情報の数量
(四)越境個人情報の類別(GB/T 35273『情報セキュリティ技術 個人情報セキュリティ仕様』及び関連基準参照)
(五)越境機微個人情報の類別(該当する場合、GB/T 35273『情報セキュリティ技術 個人情報セキュリティ仕様』および関連基準参照)
(六)国外受領者が移転する個人情報は、以下の受領者のみに提供される
(七)移転方式
(八)越境後の保管時間
(九)越境後の保管場所
(十)その他の事項(適宜記入する)