《个人信息保护法(草案)》对跨境传输个人信息的影响(二) 『個人情報保護法草案(草案)』による個人情報の越境移転への影響(二)

\
前文就《个人信息保护法(草案)》(以下简称“草案”)是否加强了对跨境传输个人信息的监管、是否加重了外商投资企业的负担的问题进行了分析。本文从实务的角度出发,对跨境传输个人信息时的企业内部规定进行简单分析,以供参考。
 
前文は、『個人情報保護法草案(草案)』(以下「草案」という。)の規定が、個人情報の越境移転に対し、監督を強化して外商投資企業の負担をさらに重くしたのかについて分析した。本文は、実務サイドから、個人情報の越境移転における企業の内部規定について簡易な分析をし、ご参考までに以下の意見を提供致します。
 
1、关于内部规定(内部規定について)
(1)法律规定
草案第38条第3项规定了使用国家有关部门制订的标准合同,约定双方的权利义务并监督接收方的个人信息处理行为达到法定标准时,个人信息处理者可以跨境传输个人信息,但内部规定是否适用未作出明确的规定。
 
(1)法律規定
草案第38条第3号は、国家関連部門の制定した標準契約書を使用し、双方の権利・義務を約定した上で、監督される提供先の個人情報処理行為が法定基準に達する場合、個人情報処理者が個人情報を越境移転することができると規定しているが、内部規定に適用されるかは明確に規定していない。
 
(2)企业的需求
对于初次合作的个人信息处理者来说,通过合同约定双方的权利义务较为常见,但是对于关系较为紧密的个人信息处理者(如总公司和子公司、同一集团的企业等)来说,如果共通的内部规定能保证个人信息的处理行为达到法定标准,那么要求另行签订合同显得有些多余,增加了企业的负担,而减轻负担是企业的切实需求。
 
(2)企業の要望
初めて仕事を共にする個人情報処理者が、契約書で双方の権利・義務を約定するのことがよく見られる。一方、緊密な関係を持つ個人情報処理者(例えば、本社と子会社、グループ企業間)にとって、個人情報の処理行為が共通の内部規定により、法定基準に達することが保証されれば、別途に契約書の締結が要求されることが企業の負担を増加させることになり、余分に見えるであろう。負担を軽減してほしいというのが企業の切実な要望である。
 
(3)外国立法例
草案第38条第3项主要是参考了于2021年6月4日公布的《欧盟委员会关于向第三国转移个人数据的标准合同条款》【1】(以下简称“欧盟标准合同”)。除欧盟标准合同之外,GDPR第46条第2款b项【2】规定有约束力的公司规则属于跨境转移个人信息的适当的保障措施;同法第47条【3】规定了公司规则需要满足的具体条件。
 
(3)外国立法例
草案第38条第3号は、主に2021年6月4日に公布された『EU委員会の第三国へ個人データーの移転に関する標準契約条款』【1】(以下「EU標準契約」という。)を参考したと言われている。EU標準契約以外、GDPR第46条第2項b号【2】は、約束力のある会社規則は、個人情報の越境移転についての適宜な保障措置に該当すると規定している。同第47条【3】は、会社規則がみたさなければならない要件を規定している。
 
日本的个人信息保护法等法令虽然没有明文规定,但是实施指南的外国第三者编以内部规定为例对相关条款进行了解读,实质上是认可了内部规定的效力。
 
日本の個人情報保護法等法令には、明文な規定はないが、『ガイドライン外国にある第三者編』では、内部規定を例にとって、関連する条款を解釈している。実質的に内部規定の効力を認めたと見られている。
 
所以,允许内部规定达到法定标准的企业跨境传输个人信息,可以说是具有现实意义的立法举措。虽然草案没有对内部规定作出明确的规定,但在后续的立法过程中规定内部规定也适用的可能性仍然存在。
 
従って、内部規定の法定基準に達する企業の個人情報の越境移転を許可することが、現実意義のある立法措置と言える。草案には、内部規定について明確な規定がないが、後続の立法プロセスにおいて、内部規定にも適用されると規定する可能性が依然としてある。
 
2、适用条件(適用条件)
(1)法律规定
草案第39条规定个人信息处理者跨境传输个人信息时,应当告知以下事项,并取得个人的单独同意:
·境外接收方的身份
·联系方式
·处理目的
·处理方式
·个人信息的种类
·向境外接收方行使权利的方式
 
(1)法律規定
草案第39条は、個人情報処理者が境外へ個人情報を提供するする場合、以下の事項を告知し、本人の単独同意を得なければならないと規定している。
 ・境外提供先の身分
・連絡方法
・処理の目的
・処理の方法
・個人情報の種類
・境外提供先に対する権利行使の方法
 
草案第4条第2款规定了个人信息的处理包括收集、存储、使用、加工、传输、提供、公开等行为。
 
草案第4条第2項には、収集、保管、使用、加工、移転、提供、公開等個人情報処理行為があると規定している。
 
(2)分析
草案第39条是对跨境传输详细的规定,外商投资企业必须按照规定履行义务。如果还有草案第4条第2款规定的传输行为之外的行为,外商投资企业也必须按照规定履行相应的义务。需要注意的是,这里并不是要求履行所有行为的义务,而是根据个案的实际情况进行判断,对可能发生的行为履行相应的义务即可。
 
(2)分析
草案第39条は、越境移転についての詳細な規定で、外商投資企業が規定に基づいて義務を履行しなければならない。草案第4条第2項の移転以外の行為がある場合、規定に基づいて相応な義務を履行しなければならない。ここで、すべての行為の義務を履行しなければならないのではなく、個別案件の実情に応じて、発生し得る行為の義務を履行すれば足りるということに注意していただければと思う。
 
【事例】某外商投资企业为向境外总公司汇报现地管理层人员组成,跨境传输了管理层人员的个人信息,境外总公司收到后存档保存。
 
【事例】、某外商投資企業が現地管理職の人員構成を境外本社に報告するため、管理職人員の個人情報を越境移転し、境外本社がファイルリングして保管した。
 
该外商投资企业的个人信息处理行为有收集、存储、传输,境外总公司的个人信息处理行为仅有存储。那么,该外商投资企业的收集、存储、传输行为以及境外总公司的存储行为均需要符合法律规定,同时该外商投资企业必须通过合同或者内部规定监督境外总公司的存储行为。
 
当該外商投資企業の個人情報処理行為は、収集、保管、移転がある。境外本社の個人情報処理行為は保管しかない。当該外商投資企業の収集、保管、移転行為および境外本社の保管行為が、どちらも法律規定に符合しなければならない。同時に、当該外商投資企業は契約書もしくは内部規定で境外本社の保管行為を監督しなければならない。
 
【1】译者:周杨、江智茹、谭蓝青、梁天翔,网安寻路人,2021.6.9
https://mp.weixin.qq.com/s/sRUkFOb-abgqykb7_OJWQw
 
【2】丁晓东(译),欧盟《一般数据保护条例》,法学学术前沿,2019.12.30
https://mp.weixin.qq.com/s/PKqny1biZmHgd9TnEl-yZA

相关案例


 

在线
客服

 

在线客服客服时间:9:00-24:00

 

QQ
客服

 

QQ: 3380361549
7*24 在线客服

 

服务
热线

 

400-808-5997
7*24 服务热线

 

微信

Top