本契約の本文は、「個人情報越境移転標準契約弁法」の要件に従って作成されており、本契約の本文の内容と矛盾しない範囲で、当事者間のその他の合意があれば、本契約と一 体を成す附属書IIに詳述することができる。

附属書







個人情報越境移転標準契約書







国家サイバースペース管理局 制定



本契約は、国外受信者の個人情報の取扱いが中華人民共和国の関係法令に定める個人情報保護基準に適合することを確保し、個人情報の保護に関する個人情報取扱者と国外受信者の権利義務を明確にするために、双方の合意により締結されるものである。







個人情報取扱者

住所

連絡先

担当者名: 役職



国外受信者

住所

連絡先

担当者名: 役職



個人情報取扱者と国外受信者が本契約に基づき個人情報を実施する場合、両当事者は、本契約(商業契約がある場合はその契約)を締結することに[同意]している。

本契約の本文は、「個人情報越境移転標準契約弁法」の要件に従って作成されており、本契約の本文の内容と矛盾しない範囲で、当事者間のその他の合意があれば、本契約と一体を成す附属書IIに詳述することができる。

1条 定義

本契約の目的上、文脈上別段の定めがない限り。

  1. 「個人情報取扱者」とは、個人情報処理活動において、個人情報の処理目的及び処理方法を自ら決定し、中華人民共和国外に個人情報を提供する組織又は個人を指す。

  2. 「国外受信者」とは、中華人民共和国国外の個人情報取扱者から個人情報の提供を受ける組織又は個人を指す。

  3. 個人情報取扱者又は国外受信者は、「一方」又は「両方」と呼ぶ。

  4. 「個人情報主体」とは、個人情報に識別され、又は関連付けられた自然人を意味する。

  5. 「個人情報」とは、電子的又はその他の手段により記録された、特定又は識別される自然人に関するあらゆる種類の情報をいい、匿名化された情報は含まない。

  6. 「機微な個人情報」とは、生体情報、信教、特定個人情報、医療・健康、金融口座、所在情報など、漏えいや不正利用により、自然人の人間としての尊厳が容易に侵害され、その身体や財産に危険が及ぶ可能性のある個人情報と、14歳未満の未xx者の個人情報とを指す。個人情報

  7. 「規制機関」とは、中華人民共和国の省レベル以上のインターネット情報部門を指す。

  8. 「関連法規」とは、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国民法、中華人民共和国民事訴訟法、個人情報の出口に関する標準契約弁法及びその他の中華人民共和国の法規を指す。

  9. 本書に定義されていないその他の用語は、関連する法令で与えられている意味を有する。

2条 個人情報取扱者の義務

個人情報取扱者は、以下の義務を履行する。

  1. 個人情報の取り扱いは、関連する法令を遵守し、国外で提供される個人情報は、処理目的の達成に必要な最小限の範囲に限定する。

  2. 個人情報主体は、別表I「個人情報越境移転指示書」に記載された国外の提供先の名称、連絡先、取扱目的、取扱方法、個人情報の種類、保存期間、個人情報主体の権利行使の方法及び手続を通知しなければならない。機微な個人情報を国外に提供する場合には、機微な個人情報を提供する必要性及び本人の権利利益に及ぼす影響についても、個人情報主体に通知する。ただし、法令又は行政法規に定めがある場合を除き、当該通知を要しない。

  3. 個人の同意に基づき個人情報を国外で提供する場合には、個人情報主体である本人の同意を得なければならない。14歳未満の未xx者の個人情報を取り扱う場合には、当該未xx者の両親又はその他の保護者の単独の同意を得る。また、法令等により書面による同意が必要とされる場合は、書面による同意を得る。

  4. 個人情報主体及び国外受信者が本契約を通じて個人情報主体が第三者の受益者であることを合意したことを個人情報主体に通知し、30日以内に個人情報主体が明示的に拒否しない場合は、本契約に基づき第三者の受益者としての権利を享受できるようにすること。

  5. 国外受信者が本契約に基づく義務を履行するために、以下の技術的及び管理的措置(個人情報の処理目的、個人情報の種類、規模、範囲及び機微性、送信量及び頻度並びに国外受信者との間で送信される個人情報の保存期間から生じる個人情報の安全性に対する考えられるリスクを考慮する)をとるように合理的に努力すること。

(暗号化、匿名化、非識別化、アクセス制御などの技術的・管理的措置)。

  1. 関連する法的規制や技術基準の写しは、要求に応じて国外受信者に提供される。

  2. 国外受信者の個人情報処理活動に関する規制当局からの照会への対応。

  3. 国外受信者に個人情報を提供することを目的とした活動については、関連法令に基づき個人情報保護影響評価を実施する。アセスメントでは、以下の点に着目して実施する。

1. 個人情報取扱者及び受信者が国外で個人情報を処理する目的、範囲及び方法の合法性、適法性、必要性。

2. 越境移出する個人情報の規模、範囲、種類及び機密性、並びに個人情報の出国により生じ得る個人情報の権利及び利益に対するリスク。

3. 国外受信者が引き受ける義務、及びその義務を履行するための管理・技術的な措置と能力が、国外に出る個人情報の安全を保障することができるかどうかを確認する。

4. 移出後の個人情報の改ざん、破損、漏えい、紛失、不正使用等のリスク、個人情報の権利利益を保護するためのルートが開かれているかどうか、等。

5. 本契約の第4条に基づき、現地の個人情報保護方針及び規制が契約履行に与える影響を評価すること。

6. その他、個人情報の越境移出の安全性に影響を及ぼす可能性のある事項。個人情報保護影響評価報告書は、少なくとも3年間は保存すること。

  1. この契約書の写しは、求めに応じて個人情報主体に提供される。なお、営業秘密や企業秘密が含まれる場合は、個人情報主体の理解を損なわない範囲で、本契約書の写しに該当する内容を適切に取り扱うことができる。

  2. 証明責任は、本契約に基づく義務の履行にある。

  3. 関連法規の要求に従い、すべてのコンプライアンス監査結果を含む本契約第3条(11)に言及された情報を規制当局に提供すること。

3条 国外受信者の義務

国外受信者は、以下の義務を履行する。

  1. 個人情報の取り扱いは、別紙Ⅰ「個人情報越境移出指示書」に定める同意のもとに行う。合意した目的、取扱方法、取扱う個人情報の種類を超えて個人情報を取扱う場合、本人の同意に基づく場合は事前に本人の同意を、14歳未満の未xx者の個人情報の場合は、保護者の個別の同意を得る。

  2. 個人情報取扱者から個人情報の取扱いを委託された場合には、個人情報取扱者との契約に基づき個人情報を取り扱い、個人情報取扱者との間で合意した目的及び取扱方法を超えて個人情報を取り扱わない。

  3. この契約書の写しは、申し出により個人情報主体に提供される。なお、営業秘密や企業秘密が含まれる場合は、個人情報主体の理解を損なわない範囲で、本契約書の写しに該当する内容を適切に取り扱うことができる。

  4. 個人情報を本人の権利に最も影響を与えない方法で取り扱う。

  5. 個人情報は、処理目的の達成に必要な最小限の期間保管し、保管期間が終了した時点で個人情報(すべてのバックアップを含む)を削除する。個人情報取扱者から個人情報の処理を委託された場合、委託契約が有効でない、無効である、取り消された、又は終了したときは、個人情報を個人情報取扱者に返却するか、又は削除し、個人情報取扱者に書面で説明する。個人情報の削除が技術的に困難な場合は、保存以外の処理を中止し、必要な安全保護措置を講じる。

  6. 個人情報の取り扱いは、次の方法で確保する。

1. 本契約第2条第5項を含むがこれに限定されない技術的及び管理的な措置を採用し、個人情報の安全性を確保するために定期的なチェックを行う。

2. 個人情報を取り扱う権限を有する者が守秘義務を履行し、最小限の権限によるアクセス制御の許可を確立する。

  1. 取り扱う個人情報の改ざん、破壊、漏洩、紛失、不正利用、不正提供、アクセスなどが発生した場合、以下のように対応する。

1. 個人情報主体への悪影響を軽減するために、速やかに適切な改善策を講じる。

2. 関連法規の要求に従い、直ちに個人情報取扱者に通知し、監督官庁に報告すること。通知には、以下の内容を含める。

  1. 改ざん、破壊、漏えい、紛失、不正利用、無断提供、アクセスした個人情報の種類、原因及び発生する可能性のある損害。

  2. 講じた改善策。

  3. 個人情報主体が被害を軽減するために講じることができる措置。

  4. 対応責任者又は担当チームの連絡先。

3. 関係法令により個人情報主体に通知することが定められている場合、通知の内容は本項第2号の事項を含む。個人情報取扱者が個人情報の取扱いを委託した場合、当該個人情報取扱者は、個人情報主体に対して通知しなければならない。

4. 改ざん、破壊、開示、紛失、不法使用、不正な提供又はアクセスの発生又は発生の可能性に関するすべての状況を、講じたすべての改善策を含めて記録し、保持すること。

  1. 個人情報は、同時に以下の条件を満たす場合に限り、中華人民共和国国外の第三者に提供されることがある。

1. 真の事業上の必要性があること。

2. 個人情報主体は、当該第三者の名称又は氏名、連絡先、処理目的、処理方法、個人情報の種類、保存期間、個人情報主体の権利行使の方法及び手続きについて通知されていること。機微な個人情報を第三者に提供する場合、個人情報主体は、機微な個人情報を提供する必要性及び本人の権利利益に及ぼす影響についても知らなければならない。ただし、法令又は行政法規に定めのある場合を除き、このような通知を要しない。

3. 個人の同意に基づき個人情報を処理する場合、個人情報主体である本人の同意を得る。14歳未満の未xx者の個人情報を取り扱う場合には、当該未xx者の両親又はその他の保護者の単独の同意を得なければならない。法令等により書面による同意が必要とされる場合は、書面による同意を得る。

4. 第三者と書面による契約を締結し、第三者の個人情報取扱活動が中華人民共和国の関連法令に規定された個人情報保護基準を満たすことを保証し、中華人民共和国外の第三者に個人情報を提供した結果、個人情報主体が享受する権利を侵害した場合には法的責任を負いる。

5. 個人情報主体の求めに応じて、契約書の写しを提供する。なお、営業秘密や営業上の機密情報が含まれる場合は、個人情報主体の理解を損なわない範囲で、契約書の内容を適切に取り扱うことができる。

  1. 個人情報取扱者から個人情報の取扱いを委託された第三者については、あらかじめ個人情報取扱者の同意を得るとともに、本契約の付属書Iの「個人情報出口指示書」で合意した目的及び取扱方法を超えて個人情報を取り扱わないよう求め、当該第三者の個人情報の取扱いを監督する第三者の個人情報取扱業務の監督

  2. 個人情報を利用して自動的な意思決定を行う場合、意思決定の透明性とxx・xxな結果を確保し、取引価格やその他の取引条件において個人情報主体に不合理な差別的取り扱いを行わないようにしなければならない。自動化された意思決定により、個人情報主体に情報を押し出し、又は商業マーケティングを行う場合、個人特性に特化しない選択肢を同時に提供し、又は個人情報主体に便利な拒否方法を提供しなければならない。

  3. は、本契約に基づく義務を遵守するために必要な情報を個人情報処理機関に提供し、必要なデータファイル及び文書へのアクセス又は本契約の対象となる処理活動の遵守監査を行うことを個人情報処理機関に許可し、個人情報処理機関による遵守監査を促進することを約束する。

  4. 実施した個人情報処理活動の客観的な記録を残し、少なくとも3年間は記録を維持し、関連法令の要求に応じて、規制当局に直接又は個人情報処理機関を通じて関連記録文書を提供する。

  5. 規制当局の照会への回答、規制当局の検査への協力、規制当局の講じた措置又は決定への準拠、必要な措置がとられたことの書面による証明など、本契約の実施を監視するための関連手続きにおいて、規制当局による監督及び監視を受けることに同意すること。

4条 国外受信者の国又は地域における個人情報保護に関する政策規制が契約の履行に及ぼす影響

  1. 当事者は、本契約締結時に合理的な注意を払い、国外受信者の国又は地域における個人情報保護に関する方針及び規制(個人情報の提供又は公的機関による個人情報へのアクセスの許可に関する要件を含む)が、国外受信者の本契約に基づく義務の履行に影響を与えるものでないことを確認する。

  2. 当事者は、本条第 1 項の保証を行うにあたり、以下の状況を相互に評価したことを宣言する。

1.個人情報を取り扱う目的、移転される個人情報の種類、規模、範囲及び機密性、移転の規模及び頻度、国外受信者の個人情報の移転及び保管期間、国外受信者が過去に同様の国境を越えた個人情報の移転及び取り扱いを行った経験、国外受信者で個人情報セキュリティに関する事件が発生したかどうか及びその事件が適時かつ効果的に対処されたかなど出発に関する特定の状況、及び。国外の提供先が所在する国又は地域の公的機関から個人情報の提供を求められたことがあるかどうか、及びそれにどのように対応したか。

2.国外受信者の所在する国又は地域の個人情報保護方針及び規則(以下の要素を含む)。

  1. 国又は地域において施行されている個人情報保護に関する法令及び一般に適用される基準。

  2. 個人情報保護に関して、国又は地域が加盟している地域的又は世界的な組織、及び拘束力のある国際的なコミットメント。

  3. 個人情報保護のための監督・執行機関や関連する司法機関の存在など、国や地域で実施されている個人情報保護の仕組み。

3. 国外先がセキュリティ管理体制と技術手段を保証できること。

  1. 国外受信者は、本条第2項に基づく評価の際に、個人データ処理業者に必要かつ関連する情報を提供するために最善の努力をしたことを保証する。

  2. 締約国は、本条第2項に基づく評価の過程及び結果を文書化する。

  3. 国外受信者は、国外受信者の所在する国・地域の個人情報保護方針・規則の変更(国外受信者の所在する国・地域の法律の変更、強制措置の導入を含む)により、本契約を履行できない場合は、当該変更を把握した時点で速やかに個人情報処理機関に通知する。

  4. 国外受信者が、その所在国・地域の政府当局又は司法機関から、本契約に基づく個人情報の提供を求められた場合には、直ちに当該個人情報取扱者に通知する。

5条 個人情報主体の権利

当事者は、個人情報主体が本契約の第三受益者として、以下の権利を有することに同意する。

  1. 個人情報主体は、自己の個人情報について、関係法令に基づきその取り扱いを知る権利及び決定する権利、自己の個人情報について他者による取り扱いを制限又は拒否する権利、自己の個人情報の閲覧、複写、訂正、補足又は削除を求める権利、ならびに自己の個人情報の取り扱いに関する規定についての説明を求める権利を持っている。

  2. 個人情報主体が国外に流出した個人情報に関して上記の権利行使を要求する場合、個人情報主体は個人情報取扱者に権利実現のための適切な措置を要求するか、又は国外受信者に直接要求することができる。個人情報取扱者がこれを行うことができない場合は、国外受信者にこれを通知し、援助を要請しなければならない。

  3. 国外受信者は、個人情報取扱者の通知又は個人情報主体の要請により、合理的な期間内に関連法令に基づき、個人情報主体の権利を実現する。

国外受信者は、当該情報を、目立つように、かつ、わかりやすい言葉で、xx、正確かつ完全に個人情報主体に通知する。

  1. 国外受信者が個人情報主体の要求を拒否する場合、個人情報主体に拒否の理由と個人情報主体が関連監督機関に苦情を申し立て、司法的救済を受ける方法を通知しなければならない。

  2. 個人情報主体は、本契約の第三受益者として、本契約に基づく個人情報主体の権利に関する以下の条項を、本契約の条項に従って、個人情報取扱者及び沖合受信者の一方又は両方に対して主張し、その履行を要求する権利を有している。

1. 2条(5)、(6)、(7)、(11)を除く。

2. 3条(7)(b)及び(4)、(9)、(11)、(12)及び(13)を除く。

3. 4条(5)及び(6)を除く。

4. 5

5. 6

6. 8条第2項及び第3項。

7. 9条第5

上記の同意は、「中華人民共和国個人情報保護法」に基づく個人情報主体の権益に影響を与えるものではない。

6条 補償

() 国外受信者は、個人情報の処理に関する問い合わせ又は苦情に対応する権限を有する連絡先を特定し、個人情報主体の問い合わせ又は苦情に速やかに対応する。国外受信者は、その連絡先の情報を個人情報取扱者に通知し、その連絡先の情報を個人情報主体に、別途通知又はウェブサイトでの公表により、簡潔かつ理解しやすい方法で、以下のように通知しなければならない。

担当者と連絡先(会社の電話番号又はEメール)

Shape1

  1. 当事者は、この契約の履行に関連して、個人情報主体との間で紛争が生じた場合には、相手方に通知し、その解決に協力する。

  2. 紛争が円満に解決されず、個人情報主体が第5条に基づき第三者受益者の権利を行使する場合、国外受信者は、個人情報主体が以下の形式で権利を主張することを承諾する。

1. 規制当局への苦情。

2. 本条第5項に合意した裁判所に対して訴訟を提起すること。

  1. 本契約に基づく紛争について、個人情報主体が第三受益者の権利を行使することに同意し、中華人民共和国の関連法令の適用を選択する場合は、個人情報主体がその選択を行う。

  2. 本契約に基づく紛争に関連して、個人情報主体が第三受益者の権利を行使する場合、個人情報主体は中華人民共和国の民事訴訟法に基づき、管轄権を有する人民法院に訴訟を提起できることに同意する。

  3. 個人情報主体が自己の権利を守るために選択したことが、他の法令に基づく救済を求める権利を減殺するものではないことに同意する。

7条 契約の解除

  1. 国外受信者が本契約上の義務に違反した場合、又は国外受信者の国・地域の個人情報保護方針・規則の変更(国外受信者の国・地域の法律の変更、強制措置の導入を含む)により国外受信者が本契約を履行できなくなった場合、個人情報取扱者は違反が是正されるまで国外受信者の個人情報提供を停止するか、又は契約を解除することができる。

  2. 個人情報取扱者は、以下のいずれかの状況に該当する場合、本契約を終了させ、必要に応じて監督官庁に通知する権利を有する。

1. 個人情報取扱者が、本条第1号の規定に基づき、1ヶ月を超える期間、国外の提供先への個人情報の提供を停止する場合。

2 国外受信者がこの契約を遵守することが、その所在国又は地域の法令に違反する場合。

3. 国外受信者が本契約に基づく義務に重大な又は持続的な違反をしている場合。

4. 国外受信者又は個人情報取扱者が、国外受信者の管轄裁判所又は監督当局の最終決定により、本契約に基づく義務に違反している場合。

本号第1号、第2号及び第4号の場合、国外受信者は本契約を解除することができる。

  1. 本契約が双方の合意により解除された場合でも、個人情報の処理に伴う個人情報保護の義務を免除するものではない。

  2. 国外受信者は、契約が終了した場合、本契約に基づき受信した個人情報(すべてのバックアップを含む)を速やかに返却又は削除し、個人情報取扱者に書面で説明する。個人情報の削除が技術的に困難な場合は、保管及び必要な安全保護措置を講じる以外の処理を中止する。

8条 契約不履行に対する責任

  1. 各当事者は、本契約に違反した結果、相手方に損害を与えた場合、その損害を賠償する責任を負う。

  2. 本契約の違反により、個人情報主体が享受する権利を侵害した当事者は、個人情報主体に対して民事上の法的責任を負い、関連法令に規定されている個人情報取扱者の行政、刑事、その他の法的責任に影響を及ぼさない。

  3. 法律に従って両当事者が連帯して責任を負う場合、個人情報主体は、当事者の一方又は両方に対して責任を負うよう要求する権利を有する。一方の当事者がその分担額を超えて責任を負う場合、他方の当事者から回収する権利を有する。

9条 その他

  1. 本契約と当事者が締結した他の法的文書との間に矛盾がある場合、本契約の条項が優先される。

  2. 本契約の成立、効力、履行、解釈及び本契約に起因する当事者間の紛争には、中華人民共和国の関連法令が適用される。

  3. 通知は、電子メール、電報、テレックス、ファクシミリ(確認用コピーは航空便で送付)、書留航空便で(特定の住所)に、又は住所以外の住所に書面で行う。本契約に基づく通知は、書留航空便で送られた場合は消印の日の翌日、電子メール、電報、テレックス又はファクシミリで送られた場合は送信日の1営業日後に受領されたものとみなされる。

  4. 本契約に起因する当事者間の紛争及び個人情報本体の損害に対する当事者の一方による相手方からの回収は、協議により解決するものとし、協議が不調に終わった場合は、当事者の一方は、以下のいずれかの手段により解決することができる(仲裁を選択した場合は、仲裁機関にチェックを入れること)。

1. 仲裁紛争の提出先

中国国際経済貿易仲裁委員会

中国海事仲裁委員会

北京仲裁委員会 (北京国際仲裁センター)

上海国際仲裁センター

外国仲裁判断の承認及び執行に関する条約の他の加盟国の仲裁機関 (仲裁地)においてその時点で有効な仲裁規則に基づく仲裁。

2.訴訟訴訟は、中華人民共和国の管轄人民法院において、法律に基づき提起される。

  1. この契約は、関係法令の規定に従って解釈され、関係法令に規定された権利義務に矛盾しないように解釈される。

  2. 本契約の正本は副本であり、各当事者は同一の法的効力を有する。

この契約は、(場所)において締結される。

個人情報取扱者:

日付

国外受信者:

日付



附属書I

個人情報の取り扱いについて

本契約に基づく個人情報の国外提供の詳細については、以下のとおり合意している。

  1. 取扱目的

  2. 取扱方法

  3. 個人情報の越境移転の規模

  4. 越境移転する個人情報の種類(GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」及び関連規格を参照)。

  5. 越境移転する機微な個人情報の種類(該当する場合、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」及び関連規格を参照)

  6. 国外受信者は、中華人民共和国外の以下の第三者(該当する場合)にのみ個人情報を提供する。

  7. 伝送方式

  8. 終了後の保管期間

(自年月日 至年月日)

  1. 移転後の保管先

  2. その他の事項(適宜記入すること)





附属書 II 当事者が合意したその他の条件(必要な場合)

16

Document Metadata

Filed: February 28th, 2023