一、中国とEUの間で国境を越えて個人データを伝送するにはどのようなルートがありますか。

        我が国が国外（EUと米国を含む）に個人データを国境を越えて伝送するには3つのルートがある：1、インターネット通信部門の安全評価、2、専門機関の個人情報保護認証、3、標準契約を締結する。

        EUの「共通データ保護ガイドライン」は、個人データの国境を越えた転送を実現するためのさまざまな方法を提供しており、主に3つのメカニズムに分けられている。2つ目は、標準契約（Standard Contractual ClauseまたはSCC）の締結、制約付き企業規則（Binding Corporate RulesまたはBCR）の採択、認証メカニズム、行動規則（CoC）などの適切な保障措置をとるメカニズムである。第三に、データ主体の同意を得て、契約を履行するために必要なことなどである。

        EUが認定した個人データ保護の十分性認定のホワイトリストには中国が含まれていないため、企業がEUの個人データを中国に転送するには、標準契約の締結、企業規則の制約、データ主体の同意の獲得など、『汎用データ保護ガイドライン』が規定する他の免除ルートをとる必要がある。グループ内のデータ転送については、大・中型多国籍企業グループは、グループ企業内でEUデータ保護法を遵守することを保証する文書や制度陳述を提出する制約付き企業規則を通過する経路を選択したい可能性があります。ほとんどの企業では、EUの個人データを中国に転送するための標準契約の経路に依存している可能性があります。

二、中欧国境を越えた個人情報伝送標準契約にはどのような異同があるのか。

        EU標準契約と我が国の標準契約はいずれも標準契約を締結するテキストであるが、重点と適用にはまだ違いがあり、具体的には：

1 適用主体と範囲

        EU標準契約の規定によると、データ保護の責任を負う企業であれば、EUで収集した個人データをEUから第三国に転送する際に、EUの「共通データ保護ガイドライン」を適用してデータのクロスボーダー転送を実現することができる。個人データ処理における主体の役割に応じて、標準契約では、主体を個人データのデータ制御者（Controller）とデータ処理者（Processor）に区分する。データ制御者はデータを収集する会社であり、処理者はデータを分析したり使用したりする会社であり、両者の法的責任と注目点はそれぞれ異なる。

        フェイスブック社がユーザーを制御するデータを収集しているが、ユーザーのデータ保護に力を入れていないため、わずか2万7000人のユーザーが使用しているケンブリッジ社が開発したアプリが5000万人を超えるユーザーのフェイスブックデータを獲得し、そのデータ分析結果が米大統領選の結果にまで影響を与え、最終的に50億ドルの罰金を科された。このケースでは、facebook社がデータ制御者であり、データを分析するケンブリッジ社がデータ処理者である。

        EUが主体を区別してデータを処理する役割に比べて、我が国は総称して個人情報処理者と呼ばれている。我が国の標準契約が業界を区別し、個人データの総量を処理する目的は、個人データの主体的権益を保障することに基づくほか、国家の安全と公共利益に基づく考慮がある。したがって、すべてのエージェントが標準契約を適用してデータのクロスボーダー転送を実現できるわけではありません。4つの条件を同時に満たしてこそ、標準契約を締結することで海外に個人情報を提供することができる：

        （一）非重要情報インフラストラクチャ運営者、

        （二）個人情報を処理して100万人未満の場合、

        （三）昨年1月1日から累計10万人未満の個人情報を国外に提供した場合、

        （四）昨年1月1日から累計1万人未満の機密個人情報を国外に提供している。一方、個人情報処理者とは、個人情報処理活動において処理目的、処理方式を自主的に決定する組織、個人を指す。

        適用範囲では、原則として、EU標準契約と我が国標準契約はいずれも標準契約を締結した双方にのみ適用されるが、EU標準契約におけるドッキング条項（docking clause）は、第三者がデータ送信者または受信者としてEUの標準契約に後続的に加入することができ、この契約の制約を受けることができる。一方、我が国の標準契約にはこのメカニズムはなく、国外の受信者が第三者に個人データを提供する場合は、ユーザーの単独同意を得なければならず、新たな書面合意を達成しなければならない。

2、法律の適用と紛争解決条項

        法律の適用条項では、EU標準契約の選択権は我が国の標準契約よりも多い可能性がある。というのも、EU加盟国の法律に加えて、特定の場合、EU標準契約は非EU加盟国の法律の適用を認めることができるからです。対照的に、我が国の標準契約は中国の法律しか適用できない。

        紛争解決条項では、EU標準契約の紛争解決は裁判所管轄に偏っているが、EUまたはEU以外の裁判所を選択することができ、我が国標準契約の紛争解決は民事紛争専用の解決メカニズム：裁判所管轄または仲裁管轄を採用している。裁判所の管轄要件は国内裁判所を選択しなければならないが、仲裁機関は中国国際経済貿易仲裁委員会、中国海事仲裁委員会または北京仲裁委員会、または「外国仲裁裁決条約の承認と実行」（すなわち「1958年ニューヨーク条約」）のメンバーの仲裁機関を選択することができる。

3、データ転送の評価

        EUと我が国はいずれもデータ伝送に対して相応の評価を行う必要があり、EUの『汎用データ保護準則』はデータクロスボーダー伝送活動に対してリスク評価を行い、有効な措置を取ってクロスボーダー伝送リスクを低減する構想をさらに強調しているが、データクロスボーダー伝送はデータ保護影響評価を行わなければならない場面ではなく、EU規制当局が要求する場合にのみ、企業は個人データのクロスボーダー転送評価記録を提供する必要があります。対照的に、我が国の標準契約は事前に個人情報影響評価報告を行い、同時にインターネット通信部門に評価報告を提供する必要がある（この報告は3年間保存する必要がある）。

        評価内容については、2つの評価の内容と重点は大同小異であり、EU標準契約に要求される評価には、データ転送の具体的な状況、データ受信者の所在国の法律と司法実践、関連して実施された補充契約、技術または組織保障措置などが含まれる。我が国の標準契約は出国の具体的な状況、国外の受信者の所在国または地域の個人情報保護政策法規が標準契約の履行に与える影響、国外の受信者が責任義務を履行する管理と技術措置、能力などが出国個人情報の安全を保障できるかどうかなどを重点的に評価する必要がある。

        前述したように、EU規制当局が要求する場合、企業は相応の評価記録を提供する必要があり、この場合、EU規制当局はその評価内容と記録を実質的に審査する可能性がある。一方、我が国の標準契約は届出制度を実行しているため、我が国のネット情報部門はすべての評価報告書と評価記録を実質的に審査することはできない。

4、技術保障措置

        EU標準契約はデータへのアクセスに厳しい制限を課している。すなわちEU標準契約の第3節では、データ受信者はEU以外の国の政府からデータアクセス要求を受け、その要求の正当性を疑う理由がある場合、データ送信者にすぐに通知しなければならない。

        EUの厳格なアクセス制限に比べて、我が国の標準契約では、個人情報処理者は合理的な努力を尽くして国外の受信者が有効な技術と管理措置を取ることを確保しなければならないと大雑把に規定している。具体的な技術と管理措置について、我が国の標準契約は暗号化、匿名化、非標識化、アクセス制御などの多種の措置を列挙し、そして「これらの措置は適切な安全レベルを維持する」ことを確保することを要求した。海外の受信者が所属する国の政府機関の訪問に対して、我が国の標準契約は評価時に考慮することを要求するだけで、厳格な制限はありません。

5、責任分配方式

        前述のように、EUの「共通データ保護ガイドライン」は、主体を個人データのデータ制御者とデータ処理者に区分し、データ制御者とデータ処理者の関係の違いに応じて、異なるパターンの標準契約を適用し、つまりデータ転送中にデータ受信者に対する制御力が異なることを意味するため、異なるパターンのEU標準契約の下で、契約双方が負うべき責任と義務には違いがある。

        対照的に、我が国の標準契約はデータ処理の役割を区別せずに個人情報処理者と総称されているため、個人情報処理者は海外の受信者と同じ義務を負っているが、処理を依頼するシーンでは異なる。