国内企業は海外の親会社に従業員情報を転送していますが、PIA評価の範囲に属していますか?
「個人情報出国基準契約方法」と「個人情報出国基準契約届出ガイドライン(第1版)」は2023年6月に実施されてから2ヶ月半が経過した。その間、筆者は複数の多国籍企業から個人情報保護影響評価(PIA)報告書の発行及び個人情報出国基準契約の届出に関する問い合わせと依頼を受けた。筆者は、多国籍企業にはそれぞれ特有で普遍的な現象があることを発見した。つまり、海外親会社はそれと労働関係を構築した人員(以下、その人員と略称する)を国内子会社に派遣し、この場合、国内子会社は人的資源管理の必要性に基づいてその人員情報を収集し、海外親会社に伝達する。個人保護影響評価を行う前に、国内子会社は:海外親会社はすでに当該人員情報を収集しており、国内子会社は標準契約届出経路を通じて国境を越えて当該人員情報を海外親会社に提供する場合、当該人員情報を評価範囲に入れる必要はないか?
まず、『中華人民共和国個人情報保護法』(以下『個保法』と略称する)の適用範囲の角度から、中華人民共和国境内で自然人個人情報を処理する活動には、『個保法』の規定が適用される。個保法は個人情報処理者の個人情報収集、記憶、使用、加工、伝送、提供、公開、削除などの個人情報処理の全ライフサイクルにおける保護要求を規定している。国内子会社が国外に対して国内で収集、保存した個人情報を伝送する場合は、「個保法」の規定を遵守しなければならない。
次に、個人情報の国境を越えて提供する経路の角度から、「個保法」は国家ネット信用弁公室の安全評価、個人情報保護認証及び標準契約の届出の3種類の経路を規定している。国内子会社が収集した個人情報を国境を越えて伝送するには、自身の主体的性質、処理する個人情報の数、タイプに基づいて出国の経路を確定しなければならない。該当する経路を通じて国境を越えて個人情報を伝送していない場合、「個保法」に対する違反を構成する。
再び、個人情報保護影響評価の内容の角度から、個人情報保護影響評価の内容は処理活動が合法的に規則に合致しているかどうか、処理活動が個人情報主体の合法的権益に損害を与えている程度、および個人情報主体の管理措置と技術措置の有効性を保護することを含む。すなわち、個人情報保護の影響評価をトリガするのは個人情報処理者の特定の処理活動であり、特定の処理活動がある限り、これらの情報が海外の親会社に収集されているかどうかを考慮せずに評価を行うべきである。海外の親会社はすでにこのような人員情報を収集しているが、国内の子会社とは異なり、国境を越えて活動を提供する合法的なコンプライアンスを採用しており、採用された管理と技術措置は、個人情報が転送中に改ざん、破壊、不正利用、漏洩などのリスクを受けないことを保証することができる。
最後に、責任負担主体の角度から、国内子会社は国内法人主体であり、中国の法律の制約を受けなければならない。もし、標準契約の届出を経ずに国内で収集した個人情報を国境を越えて国外に転送した場合、民事侵害責任、行政責任、刑事責任及び信用懲戒などの法的結果を負う可能性がある。