四)越境する個人情報の種類(GB/T 35273『情報セキュリティ技術 個人情報セキュリティ仕様』及び関連基準参照):
xx総合法律事務所
別紙:
国家インターネット情報局 制定
国外受領者の個人情報処理活働が中華人民共和国の関係法律法規に定める個人情報保護基準を満たすことを確保し、個人情報処理者と国外受領者の個人情報保護の権利及び義務を明確にするため、両当事者合意の上、本契約を締結する。
個人情報処理者:
住所:
連絡先:
担当者: 役職:
国外受領者:
住所:
連絡先:
担当者: 役職:
個人情報処理者及び国外受領者は、本契約に基づいて個人情報越境活動を行うことに合意する。当該活動に関連する商行為について、両当事者は、〇年〇月〇日、(商業契約(もし あれば))を締結[した][することに合意する]。
本契約本文は、『個人情報越境標準契約弁法』の要求に基づいて作成されるもので、本契約の本文の内容と矛盾しない範囲で両当事者間のその他の合意がある場合には、本契約の一部を構成する付属書二において詳述する。
第一条 定義
本契約において、文脈上別段の定めがある場合を除き、以下のとおりとする。
(一)「個人情報処理者」とは、個人情報処理活動において、個人情報の処理の目的及び方法を自ら決定し、中華人民共和国外に個人情報を提供する組織又は個人を指す。
(二)「国外受領者」とは、中華人民共和国外に所在し、個人情報処理者から個人情報を受領する組織又は個人をいう。
(三)個人情報処理者又は国外受領者を「一方当事者」、総称して「両当事者」という。 (四)「個人情報主体」とは、個人情報によって識別又は関連づけられる自然人を指す。
(五)「個人情報」とは、電子的又はその他の方法により記録された、識別された又は識別可能な自然人に関する各種情報をいい、匿名化処理された後の情報を除きます。
(六)「機微個人情報」とは、一旦漏えいしたり不法に使用されたりすると自然人の人格的尊厳の侵害又は人身・財産の安全への危機を容易に招く個人情報をいい、生体情報、信教、特定の身分、医療・健康、金融口座、位置情報等の情報、及び14歳未満の未xx者の個人情報を含む。
(七)「規制当局」とは、中華人民共和国の省級以上のインターネット情報部門を指す。
(八)「関係法律法規」とは、『中華人民共和国サイバーセキュリティ法』『中華人民共和国データセキュリティ法』『中華人民共和国個人情報保護法』『中華人民共和国民法』『中華人民共和国民事訴訟法』『個人情報越境標準契約弁法』等の中華人民共和国の法律法規を指す。
(九)本契約で定義されていないその他の用語の意味は、関係法律法規に規定されている意味と一致するものとする。
第二条 個人情報処理者の義務
個人情報処理者は、以下の義務を履行しなければならない。
(一)関連する法律法規の規定に従って個人情報を処理し、国外提供する個人情報を処理目的の達成に必要最小限の範囲に限定すること。
(二)個人情報主体に対して、国外受領者の名称又は氏名、連絡先、付属書一「個人情報越境説明書」中の処理目的、処理方法、個人情報の種類、保存期間、及び個人情報主体の権利行使の方式及び手続等の事項を通知すること。機微個人情報を国外提供する場合、機微個人情報の提供の必要性及び本人の権利利益に及ぼす影響についても個人情報主体に通知しなければならない。ただし、法律、行政法規が当該通知を要しない旨を規定している場合を除く。
(三)本人の同意に基づき個人情報を国外提供する場合、個人情報主体の個別の同意を得なければならない。十四歳未満の未xxの個人情報については、当該未xx者の父母又は他の保護者の個別の同意を得なければならない。法律、行政規則が書面で同意を取得すべき旨を規定している場合、書面で同意を取得しなければならない。
(四)個人情報主体に対し、個人情報処理者と国外受領者が本契約において個人情報主体が第三者受益者であることに合意したことを通知し、個人情報主体が30日以内に明示的に拒否しない場合、本契約に基づいて第三者受益者の権利を享受することができるようにすること。
(五)国外受領者が以下の技術的及び管理的措置を講じるよう合理的な努力を行い(個人情報の処理目的、個人情報の種類、量、範囲及び機微性の程度、移転の回数及び頻度、個人情報の移転及び国外受領者による保存期間、並びに考えられる個人情報の安全上のリスクを総合的に勘案する)、本契約で合意する義務を履行すること。
(暗号化、匿名化、非識別化、アクセス制御等の技術的・管理的措置等)
(六)国外受領者の要求に応じ、国外受領者に対して関係法律規定及び技術標準の写しを提供すること。
(七)国外受領者の個人情報の処理活働に関する規制当局からの照会に回答すること。
(八)国外受領者への個人情報提供活動について、以下を重点的に評価して、関連法律法規に基づき個人情報保護の影響評価を実施すること。
1.個人情報処理者及び国外受領者が個人情報の処理を行う目的、範囲、方法等の適法性、正当性、必要性
2.越境する個人情報の規模、範囲、種類、機微の度合い、個人情報の越境が個人情報の権利利益にもたらす可能性のあるリスク
3.国外受領者が負う義務、義務を履行する管理的及び技術的措置、越境する個人情報の安全を保障する能力
4.個人情報の越境後の改ざん、破壊、漏えい、紛失、不法な利用等のリスク、個人情報に関する権利利益を保護する手続が円滑であるか等
5.本契約の第四条に基づく、現地の個人情報保護政策及び法規が契約履行に及ぼす影響についての評価
6.その他の個人情報の越境の安全性に影響を及ぼす可能性のある事項。個人情報保護の影響評価報告書を少なくとも3年間保存する。
(九)個人情報主体の求めに応じて、本契約書の写しを個人情報主体に提供すること。もし企業秘密又は営業秘密情報に関わる場合、個人情報主体の理解に影響しないことを条件に、本契約書の写しの関連する内容について適切な処理を行うことができる。
(十)本契約の義務の履行について証明責任を負うこと。
(十一)関連法律法規の要求に基づき、本契約第三条第十一項に定める情報(すべてのコンプライアンス監査結果を含む)を規制当局へ提供すること。
第三条 国外受領者の義務
国外受領者は、以下の義務を履行しなければならない。
(一)付属書一「個人情報越境説明書」で合意したところに従って、個人情報を処理すること。もし、個人情報の処理目的、処理方法、及び処理する個人情報の種類が合意した内容を超え、本人の同意に基づいて個人情報を処理する場合は、事前に個人情報主体の個別の同意を得る こと。十四歳未満の未xx者の個人情報については、当該未xxの父母又は他の保護者等の 個別の同意を取得すること。
(二)個人情報処理者から個人情報の処理の委託を受けた場合、当該個人情報処理者との合意に従って個人情報を処理しなくてはならず、当該個人情報処理者と合意した処理目的、処理方法等を超えて個人情報を処理してはならない。
(三)個人情報主体の求めに応じて、本契約書の写しを個人情報主体に提供すること。もし企業秘密又は営業秘密情報に関わる場合、個人情報主体の理解に影響しないことを条件に、本契約書の写しの関連する内容について適切な処理を行うことができる。
(四)個人の権利利益への影響が最小となる方法を用いて個人情報を処理すること。
(五)個人情報の保存期間を処理目的達成のために必要な最短期間とし、保存期間が満了した場合に個人情報(すべてのバックアップを含む)を削除すること。個人情報処理者から個人情報の処理の委託を受けた場合、委託契約が未発効、無効、取消、又は終了したときは、個人情報を個人情報処理者に返却又は削除し、個人情報処理者に書面で説明すること。個人情報の削除が技術的に困難な場合は、保管及び必要な安全対策を講じる以外の処理を停止しなくてはならない。
(六)以下の方法により個人情報処理の安全を確保すること。
1.技術的及び管理的措置(第二条第五項に定めるものを含むがこれに限らない)を講じ、定期的な検査を実施し、個人情報の安全を確保する。
2.個人情報の処理権限を有する者による守秘義務の履行を確保し、最小限の認証アクセス制御を確立する。
(七)処理する個人情報の改ざん、破壊、漏えい、紛失、不法な利用、不正提供、不正な提供又はアクセスが発生した又は発生した可能性がある場合、以下を実施しなくてはならない。
1.個人情報主体に及ぼす不利益を軽減するため、適切な救済措置を速やかに講じる。
2.直ちに個人情報処理者に通知し、関係法律法規の要求に基づいて規制当局に報告する。通知には以下の事項を含まなくてはならない。
(1)改ざん、破損、漏えい、紛失、不法な利用、不正な提供又はアクセスが発生した又は発生した可能性のある個人情報の種類、その原因及び想定される危害
(2)既に実施された救済措置
(3)個人情報主体が採ることのできる危害軽減措置
(4)関連状況への対応に責任を負う担当者又は担当チームの連絡先
3.関係法律法規によって個人情報主体への通知が求められる場合、通知の内容に本項第2号の事項を含める。個人情報処理者から個人情報の処理の委託を受けた場合、当該個人情報処理者を通じて個人情報主体に通知する。
4.改ざん、破壊、漏えい、紛失、不法な利用、不正な提供又はアクセスの発生又は発生の可能性に関するすべての状況(実施したすべての救済措置を含む)を記録し、保管する。
5.個人情報処理者が個人情報の処理を委託する場合、当該個人情報処理者は、前記第3号に定める個人情報主体への通知義務を負う。
(八)以下の条件を同時に満たす場合に限り、中華人民共和国外の第三者に個人情報を提供できること。
1.業務上の必要性がある。
2.個人情報主体に対して、当該第三者の名称又は氏名、連絡先、処理目的、処理方法、個 人情報の種類、保存期間、並びに個人情報主体の権利を行使する方式及び手続等の事項を通 知し、個人の個別の同意を取得したこと。機微個人情報を第三者提供する場合、機微個人情 報を提供する必要性及び個人の権利利益への影響を個人情報主体に通知しなければならない。
ただし、法律、行政法規が当該通知を要しない旨を規定している場合を除く。
3.本人の同意に基づいて個人情報を処理する場合、個人情報主体の個別の同意を取得しなければならない。十四歳未満の未xx者の個人情報に関わる場合には、当該未xx者の父母又は他の保護者の個別の同意を取得しなければならない。法律、行政法規が書面で同意を取得すべき旨を規定している場合は、書面で同意を取得しなければならない。
4.第三者と書面による契約を締結し、第三者の個人情報処理活動が中華人民共和国の関連法律法規が定める個人情報保護基準に達していることを確保し、かつ、中華人民共和国国外の第三者への個人情報の提供によって個人情報主体が享受する権利を侵害した場合の法的責任を負う。
5.個人情報主体の要求に応じて、個人情報主体に当該契約書の写しを提供する。もし企業秘密又は営業秘密情報に関わる場合、個人情報主体の理解に影響しないことを条件に、本契約書の写しの関連する内容について適切な処理を行うことができる。
(九)個人情報処理者から個人の情報の処理を委託され、当該処理を第三者に委託する場合、
事前に個人情報処理者の同意を取得し、当該第三者に対して本契約の付属書一「個人情報越境説明書」で取り決められた処理目的、処理方式等を超えずに個人情報を処理することを要求し、かつ、当該第三者の個人の情報の処理活動に対して監督を行わなければならない。
(十)個人情報を利用して自動化された意思決定を行う場合、意思決定の透明性と結果のxx、xxを保証しなくてはならず、個人情報主体に対して取引価格等の取引条件において不合理 な差別待遇を行ってはならない。自動化された意思決定によって個人情報主体に対して情報 の送信やマーケティングを行う場合、同時に、個人の特性に特化しないオプションを提供し、又は、個人情報主体に対して便宜な拒絶方法を提供しなければならない。
(十一)本契約の義務の遵守を証明するために必要な情報を個人情報処理者に提供し、個人情報処理者による必要なデータファイル及び文書へのアクセス又は本契約の対象となる処理活動のコンプライアンス監査を許可し、かつ、個人情報処理者が実施するコンプライアンス監査に協力することを約束すること。
(十二)実施する個人情報の処理活動について客観的な記録を行い、少なくとも3年間記録を保存し、関係法律法規の要求に応じて、直接又は個人情報処理者を介して、関連する記録書類を規制当局に提供すること。
(十三)本契約の実施を監督する関連手続において、規制当局の監督管理を受けること(規制
当局からの照会への回答、規制当局の検査への協力、規制当局が講じた措置又は決定の遵守、必要な措置を講じたことの書面による証明の提供等を含むがこれに限らない)に同意するこ と。
第四条 国外受領者の所在国又は地域の個人情報保護政策及び法規の契約履行に対する影響
(一)両当事者は、本契約締結時に合理的な注意義務を尽くし、国外受領者の所在国又は地域の個人情報保護政策及び法規(個人情報の提供要求又は公共機関による個人情報へのアクセスを許可する規定を含む)が、国外受領者による本契約で合意した義務の履行に影響すると認識しなかったことを保証しなければならない。
(二)両当事者は、本条第一項の保証を行う際に、以下の状況を併せて評価したことを表明する。
1.越境の具体的状況(個人情報の処理目的、移転する個人情報の種類、規模、範囲、機微性の程度、移転の規模及び頻度、個人情報の移転及び国外受領者の保管の期間、国外受領者のこれまでの類似の個人情報の越境及び処理に関する経験、国外受領者が個人情報の安全に関する事件を生じさせたことがあるか否か及び適時かつ効果的な措置を講じたか否か、国外受領者がその所在国又は地域の公共機関から個人情報の提供要求を受けたことがあるか否か及び国外受領者の対応状況を含む)
2.国外受領者の所在国又は地域の個人情報保護政策及び法規(以下の要素を含む)
(1)当該国又は地域における現行の個人情報保護法律法規及び一般的な適用基準
(2)当該国又は地域が加盟する地域的又は世界的な個人情報保護に関する組織、及び拘束力
のある国際公約
(3)個人情報保護の監督官庁、執行官庁、関連司法機関等を備えているか等、当該国又は地域における個人情報保護の実施体制
3.国外受領者の安全管理制度及び技術手段の保障能力
(三)国外受領者は、本条第二項に定める評価に際して、個人情報処理者に必要な関連情報を提供するための最大限の努力をした旨を保証する。
(四)両当事者は、本条第二項に基づく評価の過程及び結果を記録しなければならない。
(五)国外受領者の所在国又は地域の個人情報保護政策及び法規の変更(国外受領者の所在国又は地域の法律の変更、又は強制措置の適用を含む)により、国外受領者が本契約を履行できない場合、国外受領者は、当該変更を知った後、直ちに個人情報処理者に通知しなければならない。
(六)国外受領者が、所在国又は地域の政府当局または司法機関から、本契約に基づいて提供する個人情報に関する要求を受けた場合は、直ちに個人情報処理者に通知しなければならない。
第五条 個人情報主体の権利
両当事者は、個人情報主体が本契約の第三者受益者として、以下の権利を享受することに同意する。
(一)個人情報主体は、関係法律法規に基づき、個人情報の処理に対して知る権利及び決定権、他人による個人情報の処理を制限又は拒否する権利、アクセス、複製、訂正、補足、削除を 要求する権利、個人情報処理規則についての説明を要求する権利を有する。
(二)個人情報主体が既に越境した個人情報に対して上記の権利の行使を請求する場合、個人情報主体は個人情報処理者に実現のための適切な措置を講じるよう請求し、又は、国外受領者に請求を直接提出することができる。個人情報処理者がこれを実現できない場合、国外受領者に通知し、実現への協力を要求しなければならない。
(三)国外受領者は、個人情報処理者の通知又は個人情報主体の請求に基づき、個人情報主体が関連法律法規に基づき享有する権利を合理的な期限内に実現しなければならない。国外受領者は、顕著な方式で、明瞭で分かりやすい言語により、xx、正確かつ完全な形で、個人情報主体に対して関連情報を通知しなければならない。
(四)国外受領者が個人情報主体の請求を拒否する場合、個人情報主体に拒否の理由及び個人情報主体が規制当局に苦情を申し立て、司法的救済を受けるための方法を通知しなければならない。
(五)個人情報主体は、本契約の第三者受益者として、本契約の条項に従い、個人情報処理者及び国外受領者の一方又は双方に対して、個人情報主体の権利に関する本契約の以下の条項の履行を主張し、要求する権利を有する:
1.第二条(ただし、第二条第五項、第六項、第七項、第十一項を除く)
2.第三条(ただし、第三条第七項第2号及び第4号、第九項、第十一項、第十二項、第十三項を除く)
3.第四条(ただし、第四条第五項及び第六項を除く)
4.第五条
5.第六条
6.第八条第二項、第三項
7.第九条第五項
上記合意は、個人情報主体が『中華人民共和国個人情報保護法』に基づき有する権利利益に影響を与えるものではない。
第六条 救済
(一)国外受領者は、担当者を決定し、個人情報の処理に関する問合せや苦情に回答する権限を付与し、個人情報主体からの問合せや苦情に速やかに対応しなければならない。国外受領者は、個人情報処理者にその連絡先情報を通知し、かつ、個人情報主体に対し、分かりやすい方法で、個別の通知又はウェブサイト上での公告を通じて、当該連絡先情報を通知しなければならない。具体的には、以下のとおりである。
担当者及び連絡先(会社の電話番号又は電子メール)
(二)一方当事者は、本契約の履行によって個人情報主体との間で紛争が生じた場合、他方当事者に通知し、両当事者は紛争解決に協力しなければならない。
(三)紛争が円満に解決されず、個人情報主体が第五条に従って第三者受益者の権利を行使した場合、国外受領者は個人情報主体が以下の形式により権利を維持すること受け入れるものとする。
1.規制当局への苦情申立て
2.xxx項に定める裁判所への訴訟提起
(四)両当事者が個人情報主体が本契約に関する紛争において第三者受益者の権利を行使することに同意し、個人情報主体が中華人民共和国の関係法律法規を適当することを選択した場合、その選択に従うものとする。
(五)両当事者が個人情報主体が本契約に関する紛争において第三者受益者の権利を行使することに同意した場合、個人情報主体は、『中華人民共和国民事訴訟法』に基づき、管轄権を有する人民法院に訴訟提起することができる。
(六)両当事者は、個人情報主体が行った権利保護のための選択によって、個人情報主体がその他の法律法規に基づいて救済を求める権利を減殺されないことに同意する。
第七条 契約解除
(一)国外受領者が本契約で合意した義務に違反した場合、又は国外受領者の所在国又は地域の個人情報保護政策及び法規の変更(国外受領者の所在国又は地域の法律の変更、又は強制措置の適用を含む)により国外受領者が本契約を履行できない場合、個人情報処理者は、違約行為が是正されるか、又は契約が解除されるまで、国外受領者への個人情報の提供を停止することができる。
(二)以下の各号のいずれかに該当する場合、個人情報処理者は、本契約を解除する権利を有するとともに、必要に応じて規制当局に通知するものとする。
1.個人情報処理者がxxx項の規定に従って国外受領者への個人情報移転を停止する期間が1ヶ月を超えるとき。
2.国外受領者が本契約を遵守すると、その所在国又は地域の法律に違反することになるとき。
3.国外受領者による本契約上の義務の重大又は継続的な違反があるとき。
4.国外受領者の管轄裁判所又は規制当局の終局的決定の下で、国外受領者又は個人情報処理者が本契約で合意する義務に違反したとき。
本項第1号、第2号、第4号の場合、国外受領者は本契約を解除することができる。
(三)両当事者の同意によって契約を解除する場合。ただし、本契約の解除は、その個人情報処理過程における個人情報保護義務を免除するものではない。
(四)契約解除時に、国外受領者は、本契約に基づき受領した個人情報(すべてのバックアップを含む)を速やかに返却又は削除し、個人情報処理者に書面で説明しなければならない。個人情報の削除が技術的に困難な場合は、保管及び必要な安全対策を講じる以外の処理を停止しなくてはならない。
第八条 違約責任
(一)両当事者は、本契約の違反により相手方当事者に生じた損害について、責任を負わなければならない。
(二)いずれの一方当事者も、本契約の違反によって個人情報主体の有する権利を侵害した場合、個人情報主体に対して民事上の法的責任を負わなければならず、かつ、これによって関係法律法規に基づいて個人情報処理者が負うべき行政、刑事当の法的責任に影響を及ぼさない。
(三)両当事者が法律に基づき連帯責任を負う場合、個人情報主体は一方当事者のいずれか又は両当事者に対して責任を負うよう要求する権利を有する。一方当事者がその負うべき責任割合を超えて責任を負う場合、他方当事者に対して求償する権利を有する。
第九条 その他
(一)本契約と両当事者が締結した他の法律文書とが矛盾する場合、本契約の条項が優先するものとする。
(二)本契約の成立、効力、履行、解釈及び本契約に起因する両当事者間のいかなる紛争について、中華人民共和国の関係法律法規が適用されるものとする。
(三)発出される通知は、電子メール、電報、テレックス、ファクシミリ(確認用コピーを航空便で送付)又は書留航空便((特定の住所)宛)若しくは当該住所に代わるその他の住所への書面による通知で送付しなければならない。本契約に基づく通知を書留航空便で送付する場合、消印日の 日後に受領されたものとみなし、電子メール、電報、テレックス、ファクシミリで送付された場合は送付日の 営業日後に受領されたものとみなす。
(四)本契約に起因する両当事者間の紛争及び一方当事者が先行して個人情報主体の損害賠償責任を賠償したことによる他方への求償について、両当事者は、協議により解决しなければならない。協議によって解決できない場合には、いずれかの一方当事者が以下の第 種の方
法によって解決することができる(仲裁を選択する場合には仲裁機関にチェックをいれる)。
1.仲裁。紛争を以下に提起する。
□中国国際経済貿易仲裁委員会
□中国海事仲裁委員会
□北京仲裁委員会(北京国際仲裁センター)
□上海国際仲裁センター
□その他の『外国仲裁裁定の承認及び執行に関する条約』に加盟している仲裁機関である
で、その時に (仲裁地)において有効な仲裁規則に則って仲裁を行う。
2.訴訟。法律に基づき中華人民共和国の管轄権を有する人民法院に訴訟提起する。
(五)本契約は関係法律法規の規定に基づき解釈しなければならず、関係法律法規に規定された権利、義務に抵触する形で本契約を解釈してはならない。
(六)本契約の正本は 部作成し、両当事者はそれぞれ 部を保有し、その法的効力は同一とする。
本契約を (場所)において締結する。
個人情報処理者:
年 月 日
国外受領者:
年 月 日
付属書一
個人情報越境説明書
本契約に基づく個人情報の域外への提供の詳細について、以下のとおり合意する。
(一)処理目的: (二)処理方法:
(三)越境する個人情報の規模:
(四)越境する個人情報の種類(GB/T 35273『情報セキュリティ技術 個人情報セキュリティ仕様』及び関連基準参照):
(五)越境する機微個人情報の種類(該当する場合、GB/T 35273『情報セキュリティ技術 個人情報セキュリティ仕様』及び関連基準参照)
(六)国外受領者は以下の中華人民共和国国外の第三者にのみ個人情報を提供する(もしあれば):
(七)移転方式:
(八)越境後の保存時間:
(●年●月●日から●年●月●日)
(九)越境後の保存場所:
(十)その他の事項(適宜記入する)