中国政府が中国のUber的な配車アプリ企業DiDi(滴滴)に約1600億円(80.26億元)もの罰金を科したとのこと。

www.cac.gov.cn

2021/07/02国家サイバースペース管理局は同社に対してサイバーセキュリティ審査を開始すると宣言していたが、今回の処罰はその結果によるもの。なおこの1年以上の間、同社は新規顧客の登録を停止されていた。

网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告-中共中央网络安全和信息化委员会办公室

処罰の理由について国家サイバースペース管理局と記者のQ&Aが公開されていたので要約してみる。五つの質問のうち一、三、五は形式的な項目なので省略した。

国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问-中共中央网络安全和信息化委员会办公室

二、滴滴にはどのような違法行為が存在したのですか？

• ユーザーのスマホのアルバム内の画面ショット情報1196.39万件を不法に収集

• ユーザーのクリップボード情報、アプリ一覧情報83.23億件を過度に収集

• 乗客の顔識別情報1.07億件、年齢層情報5350.92万件、職業情報1633.56万件、家族関係情報138.29万件、自宅と会社の配車住所情報1.53億件を過度に収集

• 乗客によるドライバー評価時、アプリのバックグラウンド実行時、スマホをドライブレコーダーに接続した時の正確な位置情報(経緯度)1.67億件を過度に収集

• ドライバーの学歴情報14.29万件を過度に収集、ドライバーの身分証番号情報5780.26万件を平文で保存

• 乗客に明示的に告知しない状態で、乗客の外出目的情報539.76億件、現住所情報15.38億件、出張/旅行情報3.04億件を分析

• 乗客が「順風車」サービスアプリを利用する際、無関係な電話発信権限を頻繁に要求

• ユーザーのデバイス情報など19項目の個人情報処理目的を正確、明確に説明しなかったこと

四、滴滴に対してサイバーセキュリティ審査に関連した行政処罰の決定をした主要な根拠は何ですか？

• 違法行為の性質：監督部門の要求に基づかず、サイバーセキュリティ、データセキュリティ、個人情報保護の義務を履行せず、国家サイバーセキュリティ、データセキュリティを顧みず、国家サイバーセキュリティ、データセキュリティに重大なリスクと損害を与えたこと。かつ、監督部門の改善命令の状況下でも、いまだ全面的で根本的な改善を行わず、性質が極めて劣悪であること。

• 違法行為の持続期間：2015年6月から今にいたる7年間に達し、2017年6月施行の『サイバーセキュリティ法』、2021年9月施行の『データセキュリティ法』、2021年11月施行の『個人情報保護法』に継続して違反したこと。

• 違法行為による損害：違法な手段によってユーザーのクリップボード情報、アルバムの中の画面ショット情報、家族関係情報などの個人情報を収集し、ユーザーのプライバシーに重大な侵犯をおかし、ユーザーの個人情報権益に重大な損害を与えた。

• 違法に処理した個人情報の量：647.09億件に達する個人情報を違法に処理し、数量が巨大であり、その中に顔識別情報、正確な位置情報、身分証番号などのセンシティブな個人情報を含んでいること。

• 個人情報の違法処理の状況：違法行為が多数のアプリにおよび、過度な個人情報収集、センシティブな個人情報の強制的収集、アプリの頻繁な権限要求、個人情報処理の告知義務の不十分な実施、サイバーセキュリティ、データセキュリティ保護義務の不十分な実施などを含む多岐にわたる状況があったこと。

以上、細かい数字にはあまり意味がなく、重大な違反をやった感を出しているだけと思われる。

2022/09/01より施行される「中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)」について、一部の英語メディアで個人データだけに関する規則だと読める記述を見つけた。

riskybiznews.substack.com

このニューズレターの同規則に関する以下の部分には少なくとも3つの誤りがある。

China to enforce new data export rules: The Chinese government passed new legislation last week that introduced new rules for companies that send the data of Chinese citizens to servers abroad. Any Chinese tech company that has sent the data of more than 100,000 Chinese citizens abroad will be subject to audits and security audits by the Chinese Cybersecurity Authority (CAC). The CAC will primarily check if companies took steps to protect the exported data against hacks, interception, or tampering. The new law will enter into effect on September 1, 2022, but will apply retroactively to all companies that have exported user data abroad after January 1, 2021.

• 重要データと個人情報の両方が対象なのに、個人情報に関する新規則だとしている点。

• 全業種が対象なのに、テック企業が対象だとしている点。

• 規則に反する域外移転をしていた場合、それがどれだけ以前であっても規則の施行後6か月以内の是正を求められるが、ニューズレターで遡及適用されるのは2021/1/1までとしている点。

英語のセキュリティ関連メディアが、中国の法制度について間違うのはよくあることなので仕方ないとして、このニューズレターの誤りのうち最も重大なのは同規則の重点が個人情報より「重要データ」にあることを見落としている点だ。

中国国家標準の「重要データ」の定義

では域外移転が規制される「重要データ」とは、いったいどんなデータのことなのか。それはこの規則に関連する中国国家標準に書かれている。

「情報セキュリティ技術 重要データ識別ガイドライン(信息安全技术 重要数据识别指南)」という国家標準だ。

信息安全技术 重要数据识别指南

このガイドラインは2022/01/13～2022/03/13の期間パブコメに出され、その後まだ正式版が出ていないが、パブコメ版でも「重要データ」の識別法の主旨は理解できる。

パブコメ稿はこちらにPDFファイルの直リンクがある。

https://www.tc260.org.cn/file/2022-01-13/bce09e6b-1216-4248-859b-ec3915010f5a.pdf

このパブコメ稿を抄訳してみる(太字は筆者によるもの)。

3.1 重要データ critical data

電子的な形式で存在し、いったん改ざん、破壊、漏えいあるいは不法な取得、不法な利用にあうと、国家の安全、公共の利益に危害を与える可能性のあるデータのこと。

注：重要データは国家機密と個人情報を含まない。ただし大量の個人情報に基づく統計データ、そこから派生するデータは重要データに属する可能性がある。

4 重要データ識別の基本原則

重要データの識別は以下の原則を順守すること

a) セキュリティ上の影響に焦点を当てること：国家安全、経済運営、社会の安定、公共の健康と安全などの角度から重要データを識別する。自組織にとってのみ重要あるいは機微なデータは重要データに属しない。たとえば企業の内部管理に関するデータなど。

b) 保護の重点が明らかであること：データ分類を通じて、セキュリティ保護の重点が明確であること。一般のデータは十分に流通させ、重要データはセキュリティ保護要求を満たしている前提で流通させることで、データの価値を発揮させる。

c) 既存の規定とリンクしていること：地方政府の既存の管理要求と業界の特色を十分考慮し、地方、部門がすでに制定、実施している関連するデータ管理政策と標準規範に密にリンクさせること。

d) リスクを総合的に考慮すること：データの用途、直面する脅威などさまざまな要素に基づき、データがさらされる改ざん、破壊、漏えいあるいは不法な取得、不法な利用などのリスクを総合的に考慮し、機密性、完全性、可用性、真実性、準拠性などから多角的にデータの重要性を識別すること。

e) 定量と定性の組合せ：定量と定性を組み合わせた方式で重要データを識別すること。かつ、具体的なデータの類型、特性に基づいて異なる定量的あるいは定性的な方法を採用すること。

f) 動的に識別のレビューをすること：データの用途、共有方式、重要性などの変化の発生にしたがって、動的に重要データを識別すること。かつ、定期的に重要データの識別結果をレビューすること。

5 重要データの識別要素

重要データを識別する際、以下の要素を考慮すること。

a) 国家の戦略的備蓄、緊急動員能力を反映するもの。例えば戦略物資の生産能力、備蓄量は重要データに属する。

b) 重要インフラ施設の運用あるいは重点的な工業生産領域をサポートするもの。例えば重要インフラ施設がある業種、業務運用のコアとなる領域、あるいは工業生産の重点領域をサポートするデータは重要データに属する。

c) 重要情報インフラ施設のネットワークセキュリティ保護状況を反映し、重要情報インフラ施設に対するサイバー攻撃の実施に利用されうるもの。例えば重要インフラ情報施設のサイバーセキュリティ計画、システム構成情報、中核となるソフトウェア設計情報、システムのトポロジー、緊急対応計画などの状況のデータは重要データに属する。

d) 輸出規制品に関するもの。例えば輸出規制品の基本設計、製造工程、製造方法などの情報およびソースコード、集積回路レイアウト、技術的なソリューション、重要パラメータ、実験データ、テストレポートは重要データに属する。

e) 他の国家あるいは組織に利用され我が国への軍事攻撃を引き起こす可能性があるもの。例えば一定の精度が求められる地理情報は重要データに属する。

f) 重点目標、重要な場所の物理的セキュリティ保護状況あるいは未公開の地理的目標の位置を反映し、テロリスト、犯罪者によって破壊行為のために利用される可能性のあるもの。例えば重要な安全保障組織の事務所、重要な製造企業、国家的な重要資産（鉄道、石油パイプライン）の施工図、内部構造、安全管理などの状況のデータ。および未公開の高速道路、未公開の飛行場などの情報は重要データに属する。

g) 重要設備、システムコンポーネントのサプライチェーンの破壊に利用され、APTなどのサイバー攻撃を引き起こす可能性のあるもの。例えば重要顧客リスト、重要情報インフラ運営者の未公開の製品・サービス購入状況、未公開の重大な脆弱性は重要データに属する。

h) 集団の健康状態、民族の特徴、遺伝情報などの基礎データ。例えば国勢調査資料、人類の遺伝資源情報、遺伝子配列の生データは重要データに属する。

i) 国家の天然資源、環境基礎データ。例えば未公開の水源情報、水質観測データ、気象観測データ、環境保護観測データは重要データに属する。

j) 科学技術の実力に関連し、国際競争力に影響するもの。例えば国防、国家安全に関連する知的財産権データは重要データに属する。

k) 機微な製品の生産と取引および重要装備の配備、使用に関連し、外国政府が我が国に対する制裁を実施する可能性のある情報。例えば重要企業の金融取引データ、重要装備の生産製造情報、および国家重大プロジェクトの工程内にある重要装備の配備、使用など生産活動情報は重要データに属する。

l) 政府機関、軍事企業およびその他機微な重要機構がサービスを提供する過程で産出する公開してはいけない情報。例えば軍事企業の比較的長期間にわたる車両使用情報。

m) 未公開の政務データ、業務機密、情報データと法執行司法データ。例えば未公開の統計データ。

n) その他国家政治、国土、軍需、経済、文化、社会、科学技術、生態系、資源、核施設、海外利益、生物、大気、極地、深海などの安全に影響する可能性のあるデータ。

以上の要素の一つでも具備していれば、重要データである。

以上が「データ域外移転セキュリティ評価規則」にいう「重要データ」の識別ガイドラインだ。

なお「評価規則」の重点が個人情報ではなく重要データにあることは、同規則の2021/10のパブコメ稿と最終稿を比べると分かる。

パブコメ稿では「重要インフラ施設運営者が収集・産出する個人情報と重要データ」が一番目だったが、最終稿では業種問わず「データ処理者が域外提供する重要データ」がトップに変更されている。

パブコメ稿

（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；

（二）出境数据中包含重要数据；

（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。

最終稿

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

以上、「データ域外移転セキュリティ評価規則(数据出境安全评估办法)」にいう「重要データ」とは何かについて、重要データ識別ガイドラインで確認してみた。

2022/06/30、中国サイバースペース管理局(国家互联网信息办公室)が、個人情報の域外移転について中国版SCC(標準契約)規定のパブコメ稿を公開したのは、前回の記事で試訳を公開したとおり。

パブコメ原文はこちらのページにある。

国家互联网信息办公室关于《个人信息出境标准合同规定（征求意见稿）》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

ではSCCの具体的なひな型はどうなっているのかといえば、このページにPDFファイルとして埋め込まれている。PDFファイルへの直リンクは下記。

http://www.cac.gov.cn/rootimages/uploadimg/1658205973324457/1658205973324457.pdf

以下、17ページある標準契約ひな型の契約書本文の部分を試訳する。

この記事は自分自身のための備忘録のようなものであり、筆者は法律の専門家ではないので、例によってこの試訳をゆめゆめ実務に利用されぬようお願いいたします。

試訳はここからスタート。

個人情報域外移転標準契約

域外受領者の個人情報処理活動が、中華人民共和国の関連する法律法規の規定する個人情報保護標準を達成することを確保し、個人情報処理者と域外受領者の個人情報保護の義務と責任を明確にするために、双方は合意の上、本契約に署名し、共同で順守する。

個人情報処理者名／住所／電話番号／メールアドレス／連絡先氏名／所属／国籍

域外受領者名／住所／電話番号／メールアドレス／連絡先氏名／所属／国籍

個人情報処理者は域外受領者と本契約の付録一「個人情報域外移転説明」が列挙する定めに基づいて個人情報域外移転に関する活動、その活動に関する商業行為を実施する。

本契約の本文は『個人情報域外移転標準契約規定』の要求に基づいて定められ、双方はその他の約定が付録二に詳述されている場合、付録が本契約の一部を構成する。

　第一条　定義

本契約において、文脈上他の意味に解すべき場合を除き、以下のように定義する。

（一）個人情報処理者あるいは域外受領者の一方を「一方」、総称を「双方」とする。

（二）「個人情報」と「機微個人情報」は『中華人民共和国個人情報保護法』に規定する意味に同じ。

（三）「個人情報主体」は個人情報の示すあるいは関連する自然人を指す。

（四）「個人情報処理者」は『中華人民共和国個人情報保護法』に規定する意味に同じ。

（五）「域外受領者」は中華人民共和国国外に位置し、かつ、個人情報処理者から個人情報を受領する組織あるいは個人を指す。

（六）「監督機構」は中華人民共和国の省級以上の通信情報部門を指す。

（七）「関連する法律法規」は『中華人民共和国民法典』『中華人民共和国サイバーセキュリティ法』『中華人民共和国データセキュリティ法』『中華人民共和国個人情報保護法』『個人情報域外移転標準契約規定』等、中華人民共和国の法律法規と部門規則、および前述の法律法規と部門規則が修正、改正あるいは補充する法律法規と部門規則を指し、元の法律法規と部門規則に代わる後続の法律法規と部門規則を含む。

（八）本契約のその他未定義の用語の意味は関連する法律法規の規定する意味との一致を保持しなければならない。

　第二条　個人情報処理者の義務

個人情報処理者は以下のことを声明、保証、承諾する。

（一）関連する法律法規に基づいて個人情報を収集、使用等の処理を行う。域外移転個人情報の範囲は処理目的の実現に必要な最小範囲に限定する。

（二）個人情報主体に域外受領者の名称あるいは氏名、連絡方式、付録一「個人情報域外移転説明」内の関連する状況、および個人情報主体が権利を行使する方式と手続等の事項を告知し、個人単独の同意を取得する。ただし関連する法律法規が個人単独の同意の取得は不要と規定する場合は除く。

（三）域外受領者と本契約を締結することによって、個人情報主体を第三者受益者と定めることを、個人情報主体に告知する。個人情報主体が三十日以内に明確に拒絶しなければ、その契約に基づいて第三者受益者の権利を享受する。

（四）合理的な努力を尽くして域外受領者が本契約の規定する義務、かつ、以下のような技術と管理措置を採用できるよう確保する（個人情報の類型、数量、範囲および機微の程度、伝送する数量と頻度、個人情報の伝送および域外受領者の保存期限、個人情報処理の目的等がもたらす可能性がある個人情報セキュリティリスクを総合的に考慮すること）（例、暗号化、匿名化、去标识化、アクセス制御等の技術と管理措置）

（※訳注：去标识化の英訳はdeidentification、日本語訳が分からなかった）

（五）域外受領者の要求に応じて、関連する法律規定と技術標準の写しを域外受領者に提供する。

（六）監督機関の域外受領者の個人情報処理活動に関する照会に回答する。ただし域外受領者が回答することに双方が同意する場合を除く。その状況下で、域外受領者が要求された回答期限内に回答しなかった場合、個人情報処理者はその合理的に把握している情報に基づいて合理的な期限内に回答する。

（七）関連する法律に基づいて域外受領者に提供する個人情報の活動に対して個人情報保護影響評価を実施する。評価に際して以下を考慮する：

１．個人情報処理者と域外受領者の個人情報処理目的、範囲、方式等の合法性、正当性、必要性

２．域外移転個人情報の数量、範囲、類型、機微の程度、個人情報の域外移転が個人情報の権益にもたらす可能性のあるリスク

３．域外受領者が負うことを承諾する責任義務、および責任義務を履行するための管理と技術措置、能力等が域外移転個人情報のセキュリティを保障できるか否か

４．個人情報の域外移転後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報の権益を維持するための方式が明確であるか等

５．本契約第四条に基づいて現地の個人情報保護政策法規が本契約条項に及ぼす可能性のある影響を評価する

６．その他個人情報域外移転のセキュリティに影響する可能性のある事項

個人情報保護影響評価報告は少なくとも三年間保存する。

（八）個人情報主体の要求に基づいて個人情報主体に本契約の写しを提供する。商業機密あるいはその他の機密情報（例えば保護を受けるべき知的財産権の内容等）を保護するのに必要な範囲内で、写しを提供する前に本契約に対して関連する内容を適切に黒塗りすることができる。ただし個人情報主体に有効な摘要を提供することで契約内容の理解を助けることを承諾する。

（九）本契約の義務を履行していることを証明する証拠を提出する責任を承諾する

（十）関連する法律法規の要求に基づいて監督機関に第三条第（十）項に述べる情報を提供し、すべての監査結果を含める。

　第三条　域外受領者の義務

域外受領者は以下のことを声明、保証、承諾する。

（一）付録一「個人情報域外移転説明」が列挙する内容に基づき、処理する個人情報を定める。個人情報主体に事前の同意を取得している場合を除く。

（二）個人情報主体の要求に基づいて個人情報主体に本契約の写しを提供する。商業機密あるいはその他の機密情報（例えば保護を受ける知的財産権の内容等）を保護するのに必要な範囲内で、写しを提供する前に本契約に対して関連する内容を適切に黒塗りすることができる。ただし個人情報主体に有効な要約を提供することでその契約内容の理解を助けることを承諾する。

（三）域外移転個人情報の範囲は処理目的の実現に必要な最小範囲に限定する。

（四）個人情報の保存期限は処理目的の実現に必要な最短時間に限定する。上述の保存期限を超えた後、個人情報（すべてのバックアップを含む）に対して削除あるいは匿名化処理を実施する。個人情報主体から保存期間に関して単独の同意を取得している場合を除く。個人情報処理者の委託を受けて個人情報を処理する際は、削除あるいは匿名化後、個人情報処理者に関連する監査報告を提供する。

（五）以下の方式に基づき、個人情報処理のセキュリティを保障する

１．有効な技術と管理措置を採用し、個人情報のセキュリティを確保する。個人情報が予期せぬあるいは不法な破壊、紛失、改ざん、未認証の提供やアクセス（以下「データ漏えい」と略称）を受けることを防止することを含む。この義務を履行するため、第二条第（四）項に規定する技術と管理措置を採用する。定期検査を実施し、これらの措置を継続的に適切なセキュリティレベルに維持することを確保する。

２．認証された個人情報処理人員が機密保持義務を履行することを確保し、かつ、最小アクセス権限コントロールポリシーを確立し、前述の人員が職責に必要最小限の個人情報のみにアクセスできるようにし、かつ、職責を完了するのに必要最小限のデータのみを操作する権限を有するようにする。

（六）処理する個人情報にデータ漏えいが発生した場合、

１．すみやかに適切な修復措置を採用し、個人情報主体に生じる不利な影響を軽減する。

２．直ちに個人情報処理者に通知し、かつ、関連する法律法規の要求に基づいて中華人民共和国の監督機関に報告する。通知には以下の内容を含む。

（１）個人情報漏えいの原因

（２）漏えいした個人情報の種類と発生しうる危害

（３）採用した修復措置

（４）個人が採用できる危害軽減措置

（５）処理データ漏えいの責任を負う責任者あるいは責任団体の連絡方式

３．関連する法律法規が個人情報主体への通知を要求している場合、通知の内容は前述の第２項の内容を含む

４．データ漏えいに関する事実およびその影響のすべてを記録し、かつ、保存する。採用したすべての修復措置を含む。

５．個人情報処理者の委託を受けて個人情報を処理する際は、個人情報処理者が前述の第三項の規定する個人情報主体への通知義務を負う。

（七）個人情報を中華人民共和国の域外の第三者に提供しない。以下の要求に同時に符合する場合を除く。

１．確実に業務の必要があって個人情報を提供する場合

２．当該第三者の身分、連絡方式、処理目的、処理方式、個人情報の種類および個人情報主体が権利を行使する方式と手続等の事項を、個人情報主体に告知する場合。かつ、個人単独の同意を取得する。関連する法律法規の規定する個人単独の同意を取得する必要のない場合を除く。十四歳未満の未成年者の個人情報の場合、未成年者の父母あるいはその監督保護人の同意を取得する。法律、行政法規が書面による同意を取得しなければならないと規定している場合は、書面による同意を取得する。関連する法律法規が書面による同意を取得する必要がないと規定している場合を除く。告知が困難な場合、あるいは個人情報主体単独の同意を取得するのが困難な場合は、すみやかに個人情報処理者に告知し、かつ、個人情報主体への告知あるいは個人情報主体単独の同意の取得を支援するよう個人情報処理者に求める。

３．第三者との書面による合意によって、第三者の個人情報保護レベルが中華人民共和国の関連する法律法規の規定する個人情報保護標準より低くならないことを保障し、かつ、再提供が原因で個人情報主体に対して損害を生じた場合は連帯責任を負う。

４．個人情報処理者に当該合意の写しを提供する。

（八）個人情報処理者の委託を受けて個人情報を処理し、第三者に処理を再委託する際は、事前に個人情報処理者の同意を得る。再委託する第三者が本契約付録一「個人情報域外移転説明」に定める処理目的、処理方式等を超えて個人情報を処理しないことを確保し、かつ、当該第三者の個人情報処理活動に対して監督を行う。

（九）個人情報を利用して自動化決定を行う際は、決定の透明度と結果の公平、公正を保証し、個人に対する取引価格等の取引条件において非合理的な差別待遇を行わない。自動化決定方式によって個人にリコメンデーション、プロモーションを行う際は、同時にその個人の特徴に対するものではない選択肢、あるいは容易な拒否方式を提供する。

（十）個人情報処理者に必要な情報を提供することを承諾し、それをもって本契約内に規定する義務の順守を証明する。個人情報処理者がデータとファイルに対して査閲を行うことを許可し、あるいは本契約の対象となる処理活動に対して監査を実施することを許可する。査閲あるいは監査の実施を決定した際は、個人情報処理者が自らあるいは第三者に委託して監査を行うための便宜を提供し、かつ、個人情報保護方面の資格認証の所持状況を個人情報処理者の要求に基づいて提供する。

（十一）個人情報処理活動の実施について客観的な記録を行う。記録は少なくとも三年間保存する。関連する法律法規の要求に基づいて直接あるいは個人情報処理者を通じて監督機関に関連する記録データを提供する。

（十二）本契約の実施の監督に関連する手続きにおいて、監督機関の監督を受けることに同意する。監督機関からの照会に回答することを含むがそれに限定されない。監督機関の検査に協力し、監督機関の採用する措置あるいは決定に服従し、かつ、必要な行動を採用したことを証明する書面を提供する。

　第四条　現地の個人情報保護政策法規が本契約の順守に与える影響

（一）合理的な努力によってもなお、域外受領者の所在する国家あるいは地区の個人情報保護政策法規（いかなる個人情報提供の要求、あるいは公共機関の個人情報へのアクセスについての規定も含む）を知りえない場合、域外受領者が本契約の規定を履行する義務が停止されることを、双方はここに保証する。

（二）第四条（一）の保証を提供する際、すでに以下の要素を考慮していることを、双方は声明する。

１．域外移転の具体的状況、伝送する個人情報の類型、数量、範囲および機微の程度、伝送の規模と頻度、個人情報の伝送および域外受領者の保存期限、個人情報の処理目的、域外受領者による類似の個人情報を域外移転伝送と処理に関連する以前の経験、域外受領者が以前データセキュリティ関連のインシデントを発生させたか、およびすみやかに有効な対処をしたか、域外受領者が以前所在地の国家あるいは地区の公共機関の要求を受けて、個人情報の請求および域外受領者の対応状況を提供したことがあるか。

２．域外受領者の所在する国家あるいは地区の個人情報保護政策法規には、以下の要素を含む

（１）当該国家あるいは地区の現行の個人情報保護法律法規および普遍的に適用される標準的な状況

（２）当該国家あるいは地区が加盟している区域あるいはグローバルな個人情報保護方面の組織、および具体的な拘束力のある国際的な同意。

（３）当該国家あるいは地区が実施している個人情報保護制度。例えば個人情報保護の監督執行機関と関連する司法機関等を備えているか否か。

３．域外受領者のセキュリティ管理制度と技術手段の保証能力。

（三）域外受領者は、第四条（二）に基づいて評価を実施する際、個人情報処理者に必要な情報を提供するため最大限の努力をすることを、域外受領者は保証する。

（四）双方は第四条（二）に基づいて実施する評価の過程と結果を記録しなければならない。

（五）域外受領者の所在する国家あるいは地区の個人情報保護政策法規に変化が生じたために（域外受領者の所在する国家あるいは地区の法律改正、あるいは強制力のある措置の採用を含む）、域外受領者が本契約を履行できなくなった場合、域外受領者は前述の変化を知った後、直ちに個人情報処理者に通知しなければならない。

第五条　個人情報主体の権利

双方は、関連する法律法規に基づき、個人情報主体を第三者受益者として執行する本契約中の双方の個人情報保護の義務についての権利を付与する。

（一）個人情報主体は関連する法律法規に基づき、知る権利、決定権、他者がその個人情報を処理を制限あるいは拒否する権利、査閲兼、複製権、変更と補充の権利、削除権、およびその個人情報処理規則について解釈と説明を要求する権利を有する。

（二）個人情報保護主体がすでに域外移転している個人情報に対して上述の権利を行使する際、個人情報主体は個人情報処理者が適切な措置を採用実施することを請求し、あるいは直接域外受領者に対して請求することができる。個人情報処理者が実現できない場合は、域外受領者に対して実現への協力を通知かつ要求しなければならない。

（三）域外受領者は個人情報処理者の通知に基づいて、あるいは個人情報主体の請求に基づいて、合理的な期間内に個人情報主体が関連する法律法規に基づいて行使する権利を実現しなければならない。 　域外受領者は明示的な方式で、明晰かつ理解しやすい言語で、真正に、正確に、完全に個人情報主体に関連する情報を告知しなければならない。

（四）個人情報主体が過剰で非合理的な要求を提出した場合、とくに重複した要求をした場合、域外受領者は要求が許容する実施と作業のコストを考慮した後に、合理的な費用を徴収するか、あるいはその要求の実施を拒否することができる。

（五）域外受領者が個人情報主体の請求を拒否した場合、個人情報主体にその拒否の理由、および個人情報主体が関連する監督機関に苦情を提出し、司法救済を求める方法を告知しなければならない。

（六）個人情報主体が本契約の第三者受益者として、個人情報処理者と域外受領者のいずれかに本契約の下、個人情報主体の権利に関する以下の条項を履行するよう主張かつ要求する権利を有する。

１．第二条、ただし第二条（四）（五）（六）（十）を除く

２．第三条、ただし第三条（六）の２と４、（八）、（十）、（十一）、（十二）を除く

３．第四条

４．第六条

５．第七条

６．第八条（三）、（四）、（六）

７．第十条（四）、（六）

第六条　救済

（一）域外受領者は組織内の連絡先担当者を一名定め、関係する個人情報処理の照会あるいは苦情に回答する権利を与え、かつ個人情報主体からのいかなる照会あるいは苦情についてもすみやかに処理しなければならない。域外受領者は連絡先の情報を個人情報処理者に告知しなければならない。かつ、容易に理解できる方式で、単独の通知あるいはウェブサイトの公告によって、個人情報主体に当該連絡先の情報を告知しなければならない。具体的には：

連絡先および連絡方式（事業所の電話番号あるいはメールアドレス）

（二）個人情報主体がその一方と本契約の順守について紛争を発生させた場合、相互に関連する状況を通知し、かつ、すみやかに共同で紛争を解決しなければならないことに、双方は合意する。

（三）紛争が有効に解決できない場合、個人情報主体は第六条（二）に基づいて第三者受益者の権利を行使し、域外受領者は個人情報主体から以下の権利維持の主張を受ける。

１．監督機関への苦情提出

２．第九条（四）に規定する裁判所への提訴

（四）域外受領者は関連する個人情報主体が本契約の紛争の解決を中華人民共和国の関連する法律法規に基づいて行うことに同意する。

（五）域外受領者は個人情報主体が権利維持のために行う選択が、個人情報主体がその他法律法規に基づいて求める救済の実体的あるいは手続き上の権利を減損しないことに同意する。

第七条　契約解除

（一）域外受領者が本契約の規定する義務に違反した場合、違約行為が是正されるまで、あるいは契約が解除されるまで、情報処理者は暫定的に域外受領者への個人情報伝送を停止することができる。

（二）以下の状況の一つでも発生した場合、個人情報処理者は本契約を解除し、かつ、必要な場合監督機関に通知する権利を有する。

１．個人情報処理者が第七条（一）の規定に基づき域外受領者への個人情報伝送を暫定的に停止した機関が一か月を超えた場合

２．域外受領者が本契約を順守しながらその所在する国家の法律規定に違反した場合

３．域外受領者が本契約の規定する義務に重大なあるいは継続的な違反をした場合

４．域外受領者の主管裁判所あるいは監督機関による上訴不可能な最終判決に基づき、域外受領者あるいは個人情報処理者が本契約の規定に違反した場合

５．域外受領者が破産、解散あるいは清算された場合。個人または組織名義によって提出された域外受領者に関する法に基づく解散請求が法定期限内に取り消されなかった場合、域外受領者が解散の決定をした場合、域外受領者が破産管理人に指定された場合、域外受領者が自ら破産、解散あるいは清算手続きを行った場合、域外受領者がその国家あるいは地区で類似の状況を呈した場合のいずれであるかにかかわらない。

　前述の１、２、あるいは４の状況下で、域外受領者は本契約を解除できる。

（三）監督機関が関連する法律法規に基づいて個人情報域外移転に関する決定を行った場合、例えば個人情報域外移転セキュリティ評価等により本契約が執行不能に至った場合、双方いずれも本契約を解除できる。

（四）双方当事者が契約解除に同意した場合。ただし本契約の解除は個人情報の処理過程にある個人情報の保護義務を決して免除するものではない。

（五）契約解除の際、域外受領者はすみやかに本契約に基づいて受領した個人情報を返却、消去破壊あるいは匿名化処理しなければならない。かつ、すでに消去破壊あるいは匿名化処理したことの監査報告を提供しなければならない。

第八条　違約責任

（一）双方は本契約に違反したことにより相手方に与えたいかなる損害についても責任を負う。

（二）双方の間の責任は違約していない側が受けた損失に限定される。

（三）双方のいずれも、本契約に違反したことにより個人情報主体が第三者受益者として享受する権利を侵害した場合、個人情報主体に対する責任を負わなければならない。個人情報主体は賠償を得る権利を有する。このことは個人情報処理者が関連する法律法規の条項の下負うべき責任に影響しない。

（四）個人情報処理者と域外受領者は、本契約に違反したことにより共同で個人情報主体に対して生じたいかなる物質的あるいは非物質的損害についても連帯責任を負う。

（五）一方（「賠償側」）がもう一方（「賠償請求される側」）の本契約に対する違反行為によって、個人情報主体に対する連帯責任を負い、かつ、賠償側が負う連帯責任がその負うべき責任の部分を超える場合、賠償側は賠償請求される側に追加の賠償請求を行う権利を有することに、双方は同意する。

（六）第八条（三）と第八条（四）の規定にかかわらず、個人情報処理者は域外受領者が本契約に違反し、個人情報主体にいかなる物質的、非物質的損失を生じた場合でも、個人情報主体に責任を負い、個人情報主体はそれに対して損害賠償責任を主張する権利を有する。

（七）個人情報処理者が第八条（六）に基づき域外受領者が生じさせた損害によって責任を負った場合、域外受領者に損害賠償を請求する権利を有することに、双方は同意する。

第九条　その他

（略）

付録一

個人情報域外移転説明

本契約に基づき域外提供する個人情報の詳細を以下のとおり定める。

（一）伝送する個人情報は以下の種類の個人情報主体に属する。

（二）伝送は以下の目的による

（三）伝送する個人情報の数量

（四）域外移転する個人情報の種別（参考 GB/T 35273『情報セキュリティ技術 個人情報セキュリティ規範』と関連する標準）

（五）域外移転する機微個人情報の種別（参考 GB/T 35273『情報セキュリティ技術 個人情報セキュリティ規範』と関連する標準）

（六）域外受領者が伝送する個人情報は以下の受領者にのみ提供する

（七）伝送方式

（八）域外移転後の保存期間

（九）域外移転後の保存場所

（十）その他の事項（状況を見て追記）

付録二

双方が約定するその他条項（必要に応じて）