ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国政府が個人情報の域外移転について中国版SCC法案のパブコメ開始

個人情報保護法 中国 個人情報 GDPR

2022/06/30、中国サイバースペース管理局(国家互联网信息办公室)が、個人情報の域外移転について中国版SCC(標準契約)規定のパブコメ稿を公開した。

国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

以下、試訳する。筆者は法律の専門家ではないので、例によってこの試訳をゆめゆめ実務に利用されぬようお願いいたします。

個人情報域外移転標準契約規定(パブコメ稿)

第一条 個人情報の域外移転活動を規制し、個人情報の権益を保護し、個人情報の国境を越えたセキュリティ、フリーフローを促進するため、『中華人民共和国個人情報保護法』に基づいて本規定を制定する。

第二条 個人情報処理者は『中華人民共和国個人情報保護法』第三十八条一(三)項に基づき、域外受領者と域外に提供する個人情報に関する契約を締結する場合、本規定に基づいて個人情報域外移転標準契約(以下「標準契約」と略称)を締結しなければならない。

個人情報処理者は域外受領者と個人情報域外移転活動に関するその他の契約を締結する場合、標準契約と衝突してはならない。

第三条 標準契約に基づいて個人情報の域外移転活動を展開する際は、自主的な契約の締結と登録申請による管理を組み合わせて堅持し、個人情報域外移転のセキュリティリスクから防護し、個人情報の法に基づく秩序あるフリーフローを保障しなければならない。

第四条 個人情報処理者は以下の状況を同時に満たす場合、標準契約の締結の方式で個人情報を域外に提供することができる

(一)重要情報インフラ施設運用者ではないこと

(二)処理する個人情報が100万人に満たないこと

(三)毎年1月1日以降に域外提供する個人情報が累計で10万人に達しないこと

(四)毎年1月1日以降に域外提供する機微な個人情報が累計で1万人に達しないこと

第五条 個人情報処理者は個人情報を域外提供する前に、個人情報保護の事前影響評価を行い、以下の内容を重点的に評価しなければならない

(一)個人情報処理者と域外受領者の個人情報処理の目的、範囲、方式等の合法性、正当性、必要性

(二)域外移転する個人情報の数量、範囲、類型、機微の程度、個人情報の域外移転が個人情報の権益にもたらす可能性のあるリスク

(三)域外受領者が負うべき責任と義務、および責任と義務を履行するための管理と技術的措置、能力等が域外移転個人情報のセキュリティを保障できるかどうか

(四)個人情報の域外移転後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報の権益を維持するための手段が明確になっているか

(五)域外受領者の存在する国家あるいは地区の個人情報保護政策法規の標準契約の履行に対する影響

(六)その他個人情報の域外移転のセキュリティに影響する可能性のある事項

第六条 標準契約は以下の主要な内容を含むこと

(一)個人情報処理者と域外受領者の基本情報、名称、住所、連絡先氏名、連絡方式などを含むがこれらに限定されない

(二)個人情報の域外移転目的、範囲、類型、機微の程度、数量、方式、保存期限、保存場所等

(三)個人情報処理者と域外受領者の個人情報保護の責任と義務、および個人情報の域外移転がもたらす可能性のあるセキュリティリスクからの防護のために採用する技術と管理措置等

(四)域外受領者の存在する国家あるいは地区の個人情報保護政策法規の、本契約条項に対する影響

(五)個人情報主体の権利、および個人情報主体の権利を保障する方法と方式

(六)救済、契約解除、違約責任、紛争解決等

第七条 個人情報処理者は標準契約の発効後10営業日以内に、所在地の省級の通信情報部門に登録申請しなければならない。登録申請には以下の資料を提出しなければならない

(一)標準契約

(二)個人情報保護影響評価報告

個人情報処理者は登録申請資料の真実性に対して責任を持つ。標準契約の発効後個人情報処理者は直ちに個人情報の域外移転活動を実施してよい。

第八条 標準契約の有効期限内に以下の状況が一つでも発生した場合、個人情報処理者は標準契約の締結ならびに登録申請を再び実施しなければならない

(一)域外に個人情報を提供する目的、範囲、類型、機微の程度、数量、方式、保存期限、保存場所と域外受領者の個人情報処理用途、方式に変化が発生した場合、あるいは、個人情報の域外保存期限を延長する場合

(二)域外受領者の存在する国家あるいは地区の個人情報保護政策法規に変化が発生する等、個人情報の権益に影響する可能性がある場合

(三)個人情報の権益に影響する可能性があるその他の状況

第九条 標準契約の登録申請に参与する機構と人員は職責履行中に知り得た個人のプライバシー、個人情報、取引機密、業務機密情報等を法に基づいて保護し、漏えいあるいは不法に他者に提供、不法に使用してはならない。

第十条 いかなる組織と個人も個人情報処理者が本規定に違反するのを発見した場合、権限のある省級以上の通信情報部門に苦情を申し立て、通報すること。

第十一条 省級以上の通信情報部門が標準契約の締結による個人情報域外移転活動について、実際の処理の過程で個人情報の域外移転セキュリティ管理の要求に符合しないことを発見した場合、個人情報処理者に書面をもって個人情報の域外移転活動の中止を通知しなければならない。個人情報処理者は通知を受領後、直ちに個人情報の域外移転活動を中止しなければならない。

第十二条 個人情報処理者が本規定に基づき、域外受領者と標準契約を締結し個人情報を域外提供する際、以下の状況が一つでも発生した場合、省級以上の通信情報部門は『中華人民共和国個人情報保護法』の規定に基づき、期限を決めて改正を命じる。改正を拒否あるいは個人情報の権益に損害を与えた場合、個人情報の域外移転活動を中止するよう命じ、法に基づいて処罰する。犯罪を構成する場合、法に基づいて刑事責任を追及する。

(一)登録申請手順の未履行あるいは虚偽の資料を提出して登録申請した場合

(二)標準契約に定める責任義務の未履行により、個人情報の権益に損害を生じた場合

(三)個人情報の権益に影響するその他の状況が発生した場合

十三条 本規定は__年__月__日より施行する。

試訳は以上。