ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

個人情報域外移転のための中国版標準契約(SCC)ひな型には何が書いてあるか

2022/06/30、中国サイバースペース管理局(国家互联网信息办公室)が、個人情報の域外移転について中国版SCC(標準契約)規定のパブコメ稿を公開したのは、前回の記事で試訳を公開したとおり。

パブコメ原文はこちらのページにある。

国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

ではSCCの具体的なひな型はどうなっているのかといえば、このページにPDFファイルとして埋め込まれている。PDFファイルへの直リンクは下記。

http://www.cac.gov.cn/rootimages/uploadimg/1658205973324457/1658205973324457.pdf

以下、17ページある標準契約ひな型の契約書本文の部分を試訳する。

この記事は自分自身のための備忘録のようなものであり、筆者は法律の専門家ではないので、例によってこの試訳をゆめゆめ実務に利用されぬようお願いいたします。

試訳はここからスタート。

個人情報域外移転標準契約

域外受領者の個人情報処理活動が、中華人民共和国の関連する法律法規の規定する個人情報保護標準を達成することを確保し、個人情報処理者と域外受領者の個人情報保護の義務と責任を明確にするために、双方は合意の上、本契約に署名し、共同で順守する。

個人情報処理者名/住所/電話番号/メールアドレス/連絡先氏名/所属/国籍

域外受領者名/住所/電話番号/メールアドレス/連絡先氏名/所属/国籍

個人情報処理者は域外受領者と本契約の付録一「個人情報域外移転説明」が列挙する定めに基づいて個人情報域外移転に関する活動、その活動に関する商業行為を実施する。

本契約の本文は『個人情報域外移転標準契約規定』の要求に基づいて定められ、双方はその他の約定が付録二に詳述されている場合、付録が本契約の一部を構成する。

 第一条 定義

本契約において、文脈上他の意味に解すべき場合を除き、以下のように定義する。

(一)個人情報処理者あるいは域外受領者の一方を「一方」、総称を「双方」とする。

(二)「個人情報」と「機微個人情報」は『中華人民共和国個人情報保護法』に規定する意味に同じ。

(三)「個人情報主体」は個人情報の示すあるいは関連する自然人を指す。

(四)「個人情報処理者」は『中華人民共和国個人情報保護法』に規定する意味に同じ。

(五)「域外受領者」は中華人民共和国国外に位置し、かつ、個人情報処理者から個人情報を受領する組織あるいは個人を指す。

(六)「監督機構」は中華人民共和国の省級以上の通信情報部門を指す。

(七)「関連する法律法規」は『中華人民共和国民法典』『中華人民共和国サイバーセキュリティ法』『中華人民共和国データセキュリティ法』『中華人民共和国個人情報保護法』『個人情報域外移転標準契約規定』等、中華人民共和国の法律法規と部門規則、および前述の法律法規と部門規則が修正、改正あるいは補充する法律法規と部門規則を指し、元の法律法規と部門規則に代わる後続の法律法規と部門規則を含む。

(八)本契約のその他未定義の用語の意味は関連する法律法規の規定する意味との一致を保持しなければならない。

 第二条 個人情報処理者の義務

個人情報処理者は以下のことを声明、保証、承諾する。

(一)関連する法律法規に基づいて個人情報を収集、使用等の処理を行う。域外移転個人情報の範囲は処理目的の実現に必要な最小範囲に限定する。

(二)個人情報主体に域外受領者の名称あるいは氏名、連絡方式、付録一「個人情報域外移転説明」内の関連する状況、および個人情報主体が権利を行使する方式と手続等の事項を告知し、個人単独の同意を取得する。ただし関連する法律法規が個人単独の同意の取得は不要と規定する場合は除く。

(三)域外受領者と本契約を締結することによって、個人情報主体を第三者受益者と定めることを、個人情報主体に告知する。個人情報主体が三十日以内に明確に拒絶しなければ、その契約に基づいて第三者受益者の権利を享受する。

(四)合理的な努力を尽くして域外受領者が本契約の規定する義務、かつ、以下のような技術と管理措置を採用できるよう確保する(個人情報の類型、数量、範囲および機微の程度、伝送する数量と頻度、個人情報の伝送および域外受領者の保存期限、個人情報処理の目的等がもたらす可能性がある個人情報セキュリティリスクを総合的に考慮すること)(例、暗号化、匿名化、去标识化、アクセス制御等の技術と管理措置)

(※訳注:去标识化の英訳はdeidentification、日本語訳が分からなかった)

(五)域外受領者の要求に応じて、関連する法律規定と技術標準の写しを域外受領者に提供する。

(六)監督機関の域外受領者の個人情報処理活動に関する照会に回答する。ただし域外受領者が回答することに双方が同意する場合を除く。その状況下で、域外受領者が要求された回答期限内に回答しなかった場合、個人情報処理者はその合理的に把握している情報に基づいて合理的な期限内に回答する。

(七)関連する法律に基づいて域外受領者に提供する個人情報の活動に対して個人情報保護影響評価を実施する。評価に際して以下を考慮する:

1.個人情報処理者と域外受領者の個人情報処理目的、範囲、方式等の合法性、正当性、必要性

2.域外移転個人情報の数量、範囲、類型、機微の程度、個人情報の域外移転が個人情報の権益にもたらす可能性のあるリスク

3.域外受領者が負うことを承諾する責任義務、および責任義務を履行するための管理と技術措置、能力等が域外移転個人情報のセキュリティを保障できるか否か

4.個人情報の域外移転後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報の権益を維持するための方式が明確であるか等

5.本契約第四条に基づいて現地の個人情報保護政策法規が本契約条項に及ぼす可能性のある影響を評価する

6.その他個人情報域外移転のセキュリティに影響する可能性のある事項

個人情報保護影響評価報告は少なくとも三年間保存する。

(八)個人情報主体の要求に基づいて個人情報主体に本契約の写しを提供する。商業機密あるいはその他の機密情報(例えば保護を受けるべき知的財産権の内容等)を保護するのに必要な範囲内で、写しを提供する前に本契約に対して関連する内容を適切に黒塗りすることができる。ただし個人情報主体に有効な摘要を提供することで契約内容の理解を助けることを承諾する。

(九)本契約の義務を履行していることを証明する証拠を提出する責任を承諾する

(十)関連する法律法規の要求に基づいて監督機関に第三条第(十)項に述べる情報を提供し、すべての監査結果を含める。

 第三条 域外受領者の義務

域外受領者は以下のことを声明、保証、承諾する。

(一)付録一「個人情報域外移転説明」が列挙する内容に基づき、処理する個人情報を定める。個人情報主体に事前の同意を取得している場合を除く。

(二)個人情報主体の要求に基づいて個人情報主体に本契約の写しを提供する。商業機密あるいはその他の機密情報(例えば保護を受ける知的財産権の内容等)を保護するのに必要な範囲内で、写しを提供する前に本契約に対して関連する内容を適切に黒塗りすることができる。ただし個人情報主体に有効な要約を提供することでその契約内容の理解を助けることを承諾する。

(三)域外移転個人情報の範囲は処理目的の実現に必要な最小範囲に限定する。

(四)個人情報の保存期限は処理目的の実現に必要な最短時間に限定する。上述の保存期限を超えた後、個人情報(すべてのバックアップを含む)に対して削除あるいは匿名化処理を実施する。個人情報主体から保存期間に関して単独の同意を取得している場合を除く。個人情報処理者の委託を受けて個人情報を処理する際は、削除あるいは匿名化後、個人情報処理者に関連する監査報告を提供する。

(五)以下の方式に基づき、個人情報処理のセキュリティを保障する

1.有効な技術と管理措置を採用し、個人情報のセキュリティを確保する。個人情報が予期せぬあるいは不法な破壊、紛失、改ざん、未認証の提供やアクセス(以下「データ漏えい」と略称)を受けることを防止することを含む。この義務を履行するため、第二条第(四)項に規定する技術と管理措置を採用する。定期検査を実施し、これらの措置を継続的に適切なセキュリティレベルに維持することを確保する。

2.認証された個人情報処理人員が機密保持義務を履行することを確保し、かつ、最小アクセス権限コントロールポリシーを確立し、前述の人員が職責に必要最小限の個人情報のみにアクセスできるようにし、かつ、職責を完了するのに必要最小限のデータのみを操作する権限を有するようにする。

(六)処理する個人情報にデータ漏えいが発生した場合、

1.すみやかに適切な修復措置を採用し、個人情報主体に生じる不利な影響を軽減する。

2.直ちに個人情報処理者に通知し、かつ、関連する法律法規の要求に基づいて中華人民共和国の監督機関に報告する。通知には以下の内容を含む。

(1)個人情報漏えいの原因

(2)漏えいした個人情報の種類と発生しうる危害

(3)採用した修復措置

(4)個人が採用できる危害軽減措置

(5)処理データ漏えいの責任を負う責任者あるいは責任団体の連絡方式

3.関連する法律法規が個人情報主体への通知を要求している場合、通知の内容は前述の第2項の内容を含む

4.データ漏えいに関する事実およびその影響のすべてを記録し、かつ、保存する。採用したすべての修復措置を含む。

5.個人情報処理者の委託を受けて個人情報を処理する際は、個人情報処理者が前述の第三項の規定する個人情報主体への通知義務を負う。

(七)個人情報を中華人民共和国の域外の第三者に提供しない。以下の要求に同時に符合する場合を除く。

1.確実に業務の必要があって個人情報を提供する場合

2.当該第三者の身分、連絡方式、処理目的、処理方式、個人情報の種類および個人情報主体が権利を行使する方式と手続等の事項を、個人情報主体に告知する場合。かつ、個人単独の同意を取得する。関連する法律法規の規定する個人単独の同意を取得する必要のない場合を除く。十四歳未満の未成年者の個人情報の場合、未成年者の父母あるいはその監督保護人の同意を取得する。法律、行政法規が書面による同意を取得しなければならないと規定している場合は、書面による同意を取得する。関連する法律法規が書面による同意を取得する必要がないと規定している場合を除く。告知が困難な場合、あるいは個人情報主体単独の同意を取得するのが困難な場合は、すみやかに個人情報処理者に告知し、かつ、個人情報主体への告知あるいは個人情報主体単独の同意の取得を支援するよう個人情報処理者に求める。

3.第三者との書面による合意によって、第三者の個人情報保護レベルが中華人民共和国の関連する法律法規の規定する個人情報保護標準より低くならないことを保障し、かつ、再提供が原因で個人情報主体に対して損害を生じた場合は連帯責任を負う。

4.個人情報処理者に当該合意の写しを提供する。

(八)個人情報処理者の委託を受けて個人情報を処理し、第三者に処理を再委託する際は、事前に個人情報処理者の同意を得る。再委託する第三者が本契約付録一「個人情報域外移転説明」に定める処理目的、処理方式等を超えて個人情報を処理しないことを確保し、かつ、当該第三者の個人情報処理活動に対して監督を行う。

(九)個人情報を利用して自動化決定を行う際は、決定の透明度と結果の公平、公正を保証し、個人に対する取引価格等の取引条件において非合理的な差別待遇を行わない。自動化決定方式によって個人にリコメンデーション、プロモーションを行う際は、同時にその個人の特徴に対するものではない選択肢、あるいは容易な拒否方式を提供する。

(十)個人情報処理者に必要な情報を提供することを承諾し、それをもって本契約内に規定する義務の順守を証明する。個人情報処理者がデータとファイルに対して査閲を行うことを許可し、あるいは本契約の対象となる処理活動に対して監査を実施することを許可する。査閲あるいは監査の実施を決定した際は、個人情報処理者が自らあるいは第三者に委託して監査を行うための便宜を提供し、かつ、個人情報保護方面の資格認証の所持状況を個人情報処理者の要求に基づいて提供する。

(十一)個人情報処理活動の実施について客観的な記録を行う。記録は少なくとも三年間保存する。関連する法律法規の要求に基づいて直接あるいは個人情報処理者を通じて監督機関に関連する記録データを提供する。

(十二)本契約の実施の監督に関連する手続きにおいて、監督機関の監督を受けることに同意する。監督機関からの照会に回答することを含むがそれに限定されない。監督機関の検査に協力し、監督機関の採用する措置あるいは決定に服従し、かつ、必要な行動を採用したことを証明する書面を提供する。

 第四条 現地の個人情報保護政策法規が本契約の順守に与える影響

(一)合理的な努力によってもなお、域外受領者の所在する国家あるいは地区の個人情報保護政策法規(いかなる個人情報提供の要求、あるいは公共機関の個人情報へのアクセスについての規定も含む)を知りえない場合、域外受領者が本契約の規定を履行する義務が停止されることを、双方はここに保証する。

(二)第四条(一)の保証を提供する際、すでに以下の要素を考慮していることを、双方は声明する。

1.域外移転の具体的状況、伝送する個人情報の類型、数量、範囲および機微の程度、伝送の規模と頻度、個人情報の伝送および域外受領者の保存期限、個人情報の処理目的、域外受領者による類似の個人情報を域外移転伝送と処理に関連する以前の経験、域外受領者が以前データセキュリティ関連のインシデントを発生させたか、およびすみやかに有効な対処をしたか、域外受領者が以前所在地の国家あるいは地区の公共機関の要求を受けて、個人情報の請求および域外受領者の対応状況を提供したことがあるか。

2.域外受領者の所在する国家あるいは地区の個人情報保護政策法規には、以下の要素を含む

(1)当該国家あるいは地区の現行の個人情報保護法律法規および普遍的に適用される標準的な状況

(2)当該国家あるいは地区が加盟している区域あるいはグローバルな個人情報保護方面の組織、および具体的な拘束力のある国際的な同意。

(3)当該国家あるいは地区が実施している個人情報保護制度。例えば個人情報保護の監督執行機関と関連する司法機関等を備えているか否か。

3.域外受領者のセキュリティ管理制度と技術手段の保証能力。

(三)域外受領者は、第四条(二)に基づいて評価を実施する際、個人情報処理者に必要な情報を提供するため最大限の努力をすることを、域外受領者は保証する。

(四)双方は第四条(二)に基づいて実施する評価の過程と結果を記録しなければならない。

(五)域外受領者の所在する国家あるいは地区の個人情報保護政策法規に変化が生じたために(域外受領者の所在する国家あるいは地区の法律改正、あるいは強制力のある措置の採用を含む)、域外受領者が本契約を履行できなくなった場合、域外受領者は前述の変化を知った後、直ちに個人情報処理者に通知しなければならない。

第五条 個人情報主体の権利

双方は、関連する法律法規に基づき、個人情報主体を第三者受益者として執行する本契約中の双方の個人情報保護の義務についての権利を付与する。

(一)個人情報主体は関連する法律法規に基づき、知る権利、決定権、他者がその個人情報を処理を制限あるいは拒否する権利、査閲兼、複製権、変更と補充の権利、削除権、およびその個人情報処理規則について解釈と説明を要求する権利を有する。

(二)個人情報保護主体がすでに域外移転している個人情報に対して上述の権利を行使する際、個人情報主体は個人情報処理者が適切な措置を採用実施することを請求し、あるいは直接域外受領者に対して請求することができる。個人情報処理者が実現できない場合は、域外受領者に対して実現への協力を通知かつ要求しなければならない。

(三)域外受領者は個人情報処理者の通知に基づいて、あるいは個人情報主体の請求に基づいて、合理的な期間内に個人情報主体が関連する法律法規に基づいて行使する権利を実現しなければならない。  域外受領者は明示的な方式で、明晰かつ理解しやすい言語で、真正に、正確に、完全に個人情報主体に関連する情報を告知しなければならない。

(四)個人情報主体が過剰で非合理的な要求を提出した場合、とくに重複した要求をした場合、域外受領者は要求が許容する実施と作業のコストを考慮した後に、合理的な費用を徴収するか、あるいはその要求の実施を拒否することができる。

(五)域外受領者が個人情報主体の請求を拒否した場合、個人情報主体にその拒否の理由、および個人情報主体が関連する監督機関に苦情を提出し、司法救済を求める方法を告知しなければならない。

(六)個人情報主体が本契約の第三者受益者として、個人情報処理者と域外受領者のいずれかに本契約の下、個人情報主体の権利に関する以下の条項を履行するよう主張かつ要求する権利を有する。

1.第二条、ただし第二条(四)(五)(六)(十)を除く

2.第三条、ただし第三条(六)の2と4、(八)、(十)、(十一)、(十二)を除く

3.第四条

4.第六条

5.第七条

6.第八条(三)、(四)、(六)

7.第十条(四)、(六)

第六条 救済

(一)域外受領者は組織内の連絡先担当者を一名定め、関係する個人情報処理の照会あるいは苦情に回答する権利を与え、かつ個人情報主体からのいかなる照会あるいは苦情についてもすみやかに処理しなければならない。域外受領者は連絡先の情報を個人情報処理者に告知しなければならない。かつ、容易に理解できる方式で、単独の通知あるいはウェブサイトの公告によって、個人情報主体に当該連絡先の情報を告知しなければならない。具体的には:

連絡先および連絡方式(事業所の電話番号あるいはメールアドレス)

(二)個人情報主体がその一方と本契約の順守について紛争を発生させた場合、相互に関連する状況を通知し、かつ、すみやかに共同で紛争を解決しなければならないことに、双方は合意する。

(三)紛争が有効に解決できない場合、個人情報主体は第六条(二)に基づいて第三者受益者の権利を行使し、域外受領者は個人情報主体から以下の権利維持の主張を受ける。

1.監督機関への苦情提出

2.第九条(四)に規定する裁判所への提訴

(四)域外受領者は関連する個人情報主体が本契約の紛争の解決を中華人民共和国の関連する法律法規に基づいて行うことに同意する。

(五)域外受領者は個人情報主体が権利維持のために行う選択が、個人情報主体がその他法律法規に基づいて求める救済の実体的あるいは手続き上の権利を減損しないことに同意する。

第七条 契約解除

(一)域外受領者が本契約の規定する義務に違反した場合、違約行為が是正されるまで、あるいは契約が解除されるまで、情報処理者は暫定的に域外受領者への個人情報伝送を停止することができる。

(二)以下の状況の一つでも発生した場合、個人情報処理者は本契約を解除し、かつ、必要な場合監督機関に通知する権利を有する。

1.個人情報処理者が第七条(一)の規定に基づき域外受領者への個人情報伝送を暫定的に停止した機関が一か月を超えた場合

2.域外受領者が本契約を順守しながらその所在する国家の法律規定に違反した場合

3.域外受領者が本契約の規定する義務に重大なあるいは継続的な違反をした場合

4.域外受領者の主管裁判所あるいは監督機関による上訴不可能な最終判決に基づき、域外受領者あるいは個人情報処理者が本契約の規定に違反した場合

5.域外受領者が破産、解散あるいは清算された場合。個人または組織名義によって提出された域外受領者に関する法に基づく解散請求が法定期限内に取り消されなかった場合、域外受領者が解散の決定をした場合、域外受領者が破産管理人に指定された場合、域外受領者が自ら破産、解散あるいは清算手続きを行った場合、域外受領者がその国家あるいは地区で類似の状況を呈した場合のいずれであるかにかかわらない。

 前述の1、2、あるいは4の状況下で、域外受領者は本契約を解除できる。

(三)監督機関が関連する法律法規に基づいて個人情報域外移転に関する決定を行った場合、例えば個人情報域外移転セキュリティ評価等により本契約が執行不能に至った場合、双方いずれも本契約を解除できる。

(四)双方当事者が契約解除に同意した場合。ただし本契約の解除は個人情報の処理過程にある個人情報の保護義務を決して免除するものではない。

(五)契約解除の際、域外受領者はすみやかに本契約に基づいて受領した個人情報を返却、消去破壊あるいは匿名化処理しなければならない。かつ、すでに消去破壊あるいは匿名化処理したことの監査報告を提供しなければならない。

第八条 違約責任

(一)双方は本契約に違反したことにより相手方に与えたいかなる損害についても責任を負う。

(二)双方の間の責任は違約していない側が受けた損失に限定される。

(三)双方のいずれも、本契約に違反したことにより個人情報主体が第三者受益者として享受する権利を侵害した場合、個人情報主体に対する責任を負わなければならない。個人情報主体は賠償を得る権利を有する。このことは個人情報処理者が関連する法律法規の条項の下負うべき責任に影響しない。

(四)個人情報処理者と域外受領者は、本契約に違反したことにより共同で個人情報主体に対して生じたいかなる物質的あるいは非物質的損害についても連帯責任を負う。

(五)一方(「賠償側」)がもう一方(「賠償請求される側」)の本契約に対する違反行為によって、個人情報主体に対する連帯責任を負い、かつ、賠償側が負う連帯責任がその負うべき責任の部分を超える場合、賠償側は賠償請求される側に追加の賠償請求を行う権利を有することに、双方は同意する。

(六)第八条(三)と第八条(四)の規定にかかわらず、個人情報処理者は域外受領者が本契約に違反し、個人情報主体にいかなる物質的、非物質的損失を生じた場合でも、個人情報主体に責任を負い、個人情報主体はそれに対して損害賠償責任を主張する権利を有する。

(七)個人情報処理者が第八条(六)に基づき域外受領者が生じさせた損害によって責任を負った場合、域外受領者に損害賠償を請求する権利を有することに、双方は同意する。

第九条 その他

(略)

付録一

個人情報域外移転説明

本契約に基づき域外提供する個人情報の詳細を以下のとおり定める。

(一)伝送する個人情報は以下の種類の個人情報主体に属する。

(二)伝送は以下の目的による

(三)伝送する個人情報の数量

(四)域外移転する個人情報の種別(参考 GB/T 35273『情報セキュリティ技術 個人情報セキュリティ規範』と関連する標準)

(五)域外移転する機微個人情報の種別(参考 GB/T 35273『情報セキュリティ技術 個人情報セキュリティ規範』と関連する標準)

(六)域外受領者が伝送する個人情報は以下の受領者にのみ提供する

(七)伝送方式

(八)域外移転後の保存期間

(九)域外移転後の保存場所

(十)その他の事項(状況を見て追記)

付録二

双方が約定するその他条項(必要に応じて)