2021年8月、「個人情報保護法」が公布された後、個人情報の国境を越えた伝送が企業の注目点となり、多くの外資系企業から個人情報の出国方法を相談されました。外資系企業の人的資源部は一般的に焦っています。外資系企業が中国人従業員を採用した後、従業員の情報を国境を越えて本部に伝送するため、規則に違反した場合、法的責任が重いため、最高5千万元以下または前年度の売上高5%以下の罰金を科すことができる。

だから法律が公布された当月、私たちは主管部門に相談しました：《個人情報保護法》第38条の規定、国外に個人情報を提供する場合、主管部門が制定した標準契約に基づいて国外の受信者と契約を締結しなければならなくて、この標準契約は提供することができますか？回答を得たのは、現在ビジネス環境を最適化し、主管部門は一般的に企業が国境を越えて従業員の個人情報を転送する行為にあまり干渉しないということだ。

これに対して私の理解は、個人情報の出国基準契約はまだ準備ができていないので、私たちは自分の経験と法律に対する理解に基づいて個人情報の出国のコンプライアンスの流れと基準の法律のテキストを制定して、これで顧客のために問題を解決することができますが、弁護士もより権威があるため、公式の基準契約を望んでいます。意見募集稿が公布されてから見てみましたが、標準契約とプロセスの内容は私たち弁護士が予想していた内容とほぼ一致していました。

一、どの企業が標準契約を締結した後、個人情報を転送して出国することができますか。

意見を求める原稿は排除法を用いて、次の4つの条件のいずれかをトリガして、すべてだめです：

（一）重要な情報インフラストラクチャ運営者。重要な情報インフラとは、公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業などの重要な業界と分野の重要なネットワーク施設、情報システムを指す。

重要な情報インフラストラクチャ運営者は、標準契約を通じて個人情報の国境を越えた伝送を実現することはできない。原則的には、国内で収集した個人情報をローカルに保存しなければならない。海外への転送が確実に必要な場合は、インターネット通信部門が組織した安全評価を通過しなければならない。例えば、「滴滴」は中国最大の外出と交通プラットフォームとして、国家の重要な情報インフラ運営者であり、それは相応の安全評価を通過しなければならず、標準契約を締結する方式で直接データの国境を越えた伝送を実現することはできない。

（二）個人情報が100万人を超えるものを処理する。100万人の敷居は実際には高くなく、速消品を行う企業が多く、天猫旗艦店で会員カードを開くと会員が百万人を突破する可能性があり、これでは標準契約を結んだ後に個人情報を出国することは適用できない。この場合、セキュリティ評価や認証など、データのクロスボーダー転送を実現するには、個人情報保護法に規定された他の条件を採用する必要があります。

（三）昨年1月1日から累計10万人の個人情報を国外に提供している。例えば、フォックスコンのように百万人以上を雇用する大代工場では、従業員の個人情報がすべて出国すると、標準契約書に署名してから個人情報を出国することはできません。

（四）昨年1月1日から累計1万人に達した機密個人情報を国外に提供した。敏感な個人情報とは、生物識別、宗教信仰、特定の身分、医療健康、金融口座、行方などの情報、未成年者の個人情報を指す。テスラのような会社では、車両の行方が1万件を超えると、標準契約書に署名して個人情報を出国することはできません。

二、標準契約にはどんな内容が含まれていますか。

意見募集稿第6条には、双方の基本情報、個人情報の出国の目的と範囲、事前の単独同意の取得、双方の個人情報保護の責任と任務などを含む標準契約が規定されており、海外の受信者の所在国が個人情報保護法規が標準契約に与える影響を明確にしており、基本的には「個人情報保護法」第39条の規定にも対応している。

意見募集稿はさらに標準契約テンプレートを同封し、さらに契約条項の内容を明確にした。特に提示しなければならないのは、標準契約テンプレートは海外企業が中国の法律管轄を受け入れることを明確に要求し、双方が交渉過程で法律を適用する問題を直接解決したことである。

三、標準契約の内容は修正できますか。

意見聴取稿第2条は、個人情報の出国時に、双方が締結すべき標準契約であり、かつ個人情報の出国その他の活動の契約時に、標準契約と一字一句対応する必要はなく、標準契約と衝突しなければよいと規定している。つまり、現在の意見募集稿を見る限り、標準契約は修正できないとは言っておらず、個人情報の出国時に標準契約を締結しなければならないことだけが規定されているが、出国する個人情報の他の活動に関わる場合は、具体的な状況に応じて標準契約を修正することができ、修正の最大の権限は標準契約と衝突しないことである。

それでも、意見聴取稿は自主締約と行政届出を結合した制度を採用していることが確定したため、相応の契約を締結しても届出手続きを履行する必要がある。標準契約に対する届出の厳格さは、標準契約の内容に対する改正尺度を決定することもある。

四、個人情報保護の影響評価にはどのような内容が含まれていますか。

意見聴取稿では、届出時に契約書と個人情報保護影響評価報告書を提供する必要があることを規定している。そのため、企業は標準契約を締結する以外にも、個人情報保護の影響評価を事前に行う必要がある。評価の主な内容は次のとおりです。

個人情報の出国の目的、範囲、方式などの合法性、正当性、必要性、数量、範囲、タイプ、敏感度、個人情報の出国が個人情報の権益にもたらすリスク、国外の受信者が承諾した責任義務、および責任義務を履行する管理と技術措置、能力などは出国個人情報の安全を保障できるかどうか、個人情報の国外流出、毀損、改ざん、濫用などのリスク、個人が個人情報の権益を守るルートが円滑であるかどうかなど、海外における現地の個人情報保護政策法規が本契約条項の遵守に及ぼす影響：その他の事項を評価する。

このほか、『情報セキュリティ技術個人情報セキュリティ影響評価ガイド』、『個人情報セキュリティ規範』及び『データ出国セキュリティ評価ガイド（意見聴取稿）』にも評価の内容、流れ及び方式に対して規定が行われ、企業の個人情報保護影響評価の展開に参考根拠を提供した。

最後に、公布は少し遅れているが、意見聴取稿は、「個人情報保護法」公布後の個人情報の国境を越えた伝送の法的責任が重いが、関連規則の規定が明確ではない問題を解決したため、合法的に個人情報を伝送して出国する必要がある中小企業の多くにとって有利である。私たちの弁護士は、企業に適切なコンプライアンスサービスを提供する際にも、より権威的な根拠を持っています。