《个人信息保护法(草案)》对跨境传输个人信息的影响 (『個人情報保護法草案(草案)』による個人情報の越境移転への影響 )

《个人信息保护法(草案)(二次审议稿)》(以下称“草案”)是否加强了对跨境传输个人信息的监管、是否加重了外商投资企业的负担?针对上述问题,本文将草案与国外法律规定进行对比,简述拙见以供参考。
 
『個人情報保護法草案(草案)(二次審議稿)』(以下「草案」という。)の規定が、個人情報の越境移転に対し、監督を強化して外商投資企業の負担をさらに重くしたのか。この疑問について、本文は草案と外国の法律規定を比較し、ご参考までに以下の意見を提供いたします。
 \
1、法律规定(法律規定)
 
草案第38条规定了以下情形可以跨境传输个人信息:
(1)经国家有关部门的安全评估;
(2)经专业机构的认证;
(3)使用国家有关部门提供的标准合同。
其中,(1)是中国特有的规定,(2)和(3)均可从国外(如欧盟、日本)的立法中找到相似规定。
 
草案第38条は、次に揚げる各号のいずれかに該当する場合、個人情報を越境移転することができると規定している。
(1)国家部門の安全評価を受けた場合
(2)専門機構の認証を受けた場合
(3)国家部門が提供した標準契約書を使用した場合
  うち、(1)は中国特有の規定で、(2)と(3)は諸外国(EU、日本など)の立法から相似の規定が見られる。
 
(1)国家有关部门的安全评估(国家関連部門の安全評価)
需要进行安全评估条件:“属于重要行业和领域”、“ 并且是关键信息基础设施的运营者”。  
①“重要行业和领域”,是指公共通信和信息服务、能源、交通、水利、金
融、公共服务、电子政务等行业和领域(《网络安全法》第31条);
②“关键信息基础设施的运营者”,目前没有准确的定义,一般理解为移动
互联、云计算、大数据、物联网和工业控制等基础设施(如网站、平台等)的运营者。
 
如果外商投资企业同时满足①和②两个条件,需要接受安全评估的可能性较大;如果只满足其中之一,不排除存在按照第(2)种或者第(3)种情形处理的可能性。
 
安全評価を受けなければならない条件は、「重要業界と領域に属し」と「且つ重要情報インフラの運営者であること」がある。
①重要業界と領域とは、公衆通信と情報サービス、エネルギー、交通、水利、金融、公衆サービス、電子政務等を指している(『インターネット安全法』第31条)
②重要情報インフラの運営者とは、現在、明確な定義はないが、一般にモバイル、クラウドテクノロジー、ビッグデーター、IoT、工業コントロール等インフラ(ウエブサイト、プラットフォーム等)の運営者と解されている。
 
外商投資企業が①と②のいずれにも該当する場合、安全評価を受けなければならない可能性が高くなるが、いずれかに該当する場合、第(2)あるいは第(3)に準じて対応される可能性がないとは言えない。
 
(2)专业机构的认证(専門機構の認定)
草案对于专业认证机构没有详细的说明,实务界一般理解为自律性组织,根据法律规定以及本行业的实际情况,对行业内或者构成团体成员的个人信息处理者,开展合法合规指导、确保个人信息正当处理等有关必要业务。
 
草案は、詳細な説明がなされていないため、一般に実務界では、専門機構を自律的組織と解されている。専門機構は、法律規定および業界の実情を踏まえ、業界内あるいは団体構成員の個人情報取扱事業者に対し、コンプライアンスの指導や個人情報等の適正な取扱いの確保に関し必要な業務等を行う。
 
欧盟和日本都有相似的法律规定。如欧盟《一般数据保护条例》(General Data Protection Regulation,以下称“GDPR”)[1]第42条、第43条的认证和认证机构,日本的《关于个人信息保护的法律》(以下称“个人信息保护法”) [2]第47条的认定个人信息保护团体。
 
EUと日本は類似の法律規定が見られる。例えば、EU『一般データ保護規則』(General Data Protection Regulation、以下「GDPR」という。)第42条、第43条の認定と認定機構や日本の『個人情報の保護に関する法律』(以下「個人情報保護法」という。)第47条の認定個人情報保護団体など。
 
(3)使用国家有关部门制定的标准合同(国家関連部門が作成した標準契約書の使用)
由于实务中千差万别的实际情况,仅有国家和专业机构的规定不可能满足所有的需求,故草案规定个人信息处理者与接收方签订合同、约定双方的权利义务、监督接收方保护个人信息达到标准后,可以跨境传输个人信息。
 
実務では各々の実情に対し、国家と専門機構の規定だけですべての需要を満たすのは無理があるため、草案は個人情報取扱事業者が先方と契約をし、双方の権利義務を約定し、先方の個人情報の保護が基準に達するのを監督した上で、個人情報を越境移転することができると規定している。
 
欧盟和日本都有相似的法律规定。如GDPR第46条规定的转移所需要的适当安全保障,日本个人信息保护法第24条的除外规定。
 
EUと日本は類似の法律規定が見られる。たとえば、GDPR第46条の移転のための適宜な安全保障や日本個人情報保護法第24条の除外規定など。
 
2、分析
2018年5月25日生效的GDPR号称“史上最严格的个人数据保护法案”。2019年1月23日,欧盟委员会根据GDPR第45条第1款的规定,决定认可日本个人信息保护制度的充分性,自此个人信息在两个经济区内可以自由流动。
 
2018年5月25日に発効したGDPRが「史上最も厳しい個人データーの保護法案」と言われている。2019年1月23日に、EU委員会がGDPR第45条第1項の規定に基づき、日本の個人情報保護制度について、充分性があるとの認可を決定した。これより、二つの経済体における個人情報の自由移転が実現できた。
 
这两个经济区都是中国的重要贸易伙伴。在两个经济区已经实现个人信息自由流动的情况下,很难想象因国内立法的滞后,中国与两个经济区内的个人信息流动受到限制的情形会一直持续下去。为改变这种状况,需要学习先进经验、完善法律制度,很难想象中国在立法过程中会设定与贸易伙伴相悖的规定。所以,在可能的范围内设定与贸易伙伴相容的规定是比较现实且可能性较大的选择。
 
二つの経済体がともに中国の重要な貿易パートナーである。二つの経済体における個人情報の自由移転が実現できているのに、中国とこれら経済体の個人情報移転が、国内立法の遅れのために制限を受ける状況がいつまでも続くとは考えにくい。この状況を変えるには、先進国から経験を学び、法律制度を改善しなければならないし、立法において貿易パートナーと相反する規定を設定することが考えにくい。従って、可能な範囲内に貿易パートナーと相容れる規定を設定するのが現実的且つ可能性の高い選択であろう。
 
综上,对于外商投资企业(需要接受安全评估的企业除外),如果已经根据外国的法律(如GDPR、日本个人信息保护法等),采取了应当采取的个人信息保护措施,建议关注立法进程,在详细规则公布后,对合同、内部规定等进行适当的调整和完善。
 
 以上をもって、外商投資企業(安全評価を受ける必要のある企業を除く。)は、外国の法律(GDPR、日本個人情報保護法など)に基づき、既に個人情報保護のために然るべき措置をすでに取ったのであれば、立法の進捗状況を注目し、詳細規則が公布された後、契約書や内部規定等について、適宜の調整と完善を図ることをお薦めいたします。

相关案例


 

在线
客服

 

在线客服客服时间:9:00-24:00

 

QQ
客服

 

QQ: 3380361549
7*24 在线客服

 

服务
热线

 

400-808-5997
7*24 服务热线

 

微信

Top