個人情報出国基準契約方法と届出ガイドラインの解読
2023年6月1日に『個人情報出国標準契約方法』(以下『方法』と略称する)が正式に発効して実施される。2023年5月30日、国家網信弁公室は「個人情報出国基準契約届出ガイドライン(第1版)」(以下「ガイドライン」と略称)を発表した。「方法」と「ガイドライン」は、個人情報処理者が標準契約を締結することによって海外に個人情報を提供するための明確なガイドラインを提供している。
現在、個人情報処理者が海外に個人情報を提供するには、(1)国家網信部門が組織した安全評価、(2)専門機関による個人情報保護認証、(3)国家網信部門が制定した標準契約に基づいて受信者と契約を締結する。3種類の個人情報の出国経路には異なる適用条件があり、標準契約を締結することによって海外に個人情報を提供するには、同時に「主体+数量」の条件、すなわち個人情報処理者の非重要情報インフラ運営者に合致しなければならず、個人情報の処理は100万人未満で、前年1月1日から累計で海外に個人情報を提供するのは10万人未満で、前年1月1日から累計で海外に敏感な個人情報を提供するのは1万人未満である。同時に数量分割などの手段を講じてはならず、法に基づいて出国安全評価を通過すべき個人情報を標準契約を締結する方式で国外に提供してはならないことに注意しなければならない。
「方法」及び「ガイドライン」の規定に基づき、個人情報処理者が標準契約を締結することにより海外に個人情報を提供する場合、まず「主体+数量」の条件に基づいて当該出国経路を適用できるかどうかを判断しなければならない。次に、個人情報保護影響評価を展開し、リスク源識別と安全事件の発生可能性評価、個人権益影響分析と影響程度判定、個人情報保護リスク総合評価を含み、最終的に出国活動影響評価の結論を得て、個人情報保護影響評価報告書を形成する、再び、ネット情報部門が制定した標準契約に厳格に従い、国外の受信者と契約を締結する、最後に、標準契約が発効した日から10日以内に、標準契約と個人情報保護影響評価報告書をインターネット通信部門に報告し、登録が通過した後に個人情報の出国活動を実施する。