中国「個人情報越境移転標準契約弁法」と同標準契約の解説
2023/05/01   契約法務, 情報セキュリティ, 個人情報保護法, 中国法

GBL研究所理事・CIPP/E　浅井敏雄^[1]

本稿のPDF

・本年(2023年)2月22日, 中国の「個人情報越境移転標準契約弁法」(个人信息出境标准合同办法)(以下「本弁法」)が公布され, 本年6月1日から施行されます。本弁法は, 中国「個人情報保護法」[2](以下「PIPL」という)及びその他の法令に基づき, 個人情報の越境移転を規制するため制定されたもので, PIPL第38条第1項において, 個人情報処理者(個人情報の処理の目的・方法を自ら決定する者)が業務上等で中国本土外(境外)[3]への個人情報の提供(越境移転)を行うことが真に(確かに)必要である場合において満たすべき要件・根拠の一つとされている標準契約(以下「標準契約」という)の締結について定めるものです。個人情報の境外への越境移転の根拠としては, 他に以下のものがありますが, 標準契約は, 例えば, 中国子会社から自社他社の役員・従業員や個人顧客の個人情報の越境移転を日本の親会社が受ける根拠として最も利用し易いかもしれないと期待されていたものです。

(1)国家インターネット情報部門(CAC)による安全評価に合格していること。 — これに関しては2022年9月1日に「データ越境移転安全評価弁法」(以下「評価弁法」という)が施行されている。企業法務ナビ『9月1日施行の中国「データ越境移転安全評価弁法」の解説』(2022/8/22)参照。

(2)CACの規定に基づく専門機関による個人情報保護認証を得ていること。— これに関しては2022年6月24日に「サイバーセキュリティ標準実践指針—個人情報越境処理保護認証規範」が公表されている。企業法務ナビ『中国「個人情報越境処理保護認証規範」の解説』(2022/8/22)参照。

・但し, 先に結論を言えば, この標準契約も必ずしも企業が安心して利用できるものとは評価できず, 企業としては可能な限り, 中国本土内(境内)に個人情報を保存しつつ, どうしても越境移転が必要な個人情報に限定して標準契約の締結により越境移転を行うこととするのが適切と思われます。

・以下においては, 本弁法及び標準契約の内容を解説します。なお, 以下において, (  )内の数字は法令又は標準契約の条文番号, [  ]内の内容又は「 — 」以下の内容は筆者による補足・追記です。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) I. 現行法上のデータ越境移転規制 II. 標準契約により越境移転可能な条件 III. 事前の同意及び安全評価 IV. 標準契約の締結 V. 標準契約の事後届出 VI. 再評価・再届出 VII. 本弁法違反 VIII. 弁法の施行日・過去の越境移転 IX. 標準契約の内容 契約の構成 契約前文 第1条 定　義 第2条 個人情報処理者の義務 第3条 境外受領者の義務 第4条 境外受領者の所在国又は地域における個人情報保護政策及び法令が契約履行に及ぼす影響 第5条 個人情報主体の権利 第6条 救済 第7条 契約解除 第8条 違反に対する責任 第9条 その他／署名欄 別紙1  個人情報越境移転の内容 別紙2　その他両当事者が合意した条項(必要な場合) X. まとめ(標準契約による越境移転の評価)

 

I. 現行法上のデータ越境移転規制

・個人情報及び重要データを含むデータの越境移転に対する法規制は, サイバーセキュリティ法(CSL), データセキュリティ法(DSL)及び個人情報保護法(PIPL), 「自動車データ安全管理若干規定(試行)」^[4](以下「自動車規定」)等により行われており, その全体を整理すると下表のようになる。

なお, 下表おいては,

・PIPL 40条により安全評価合格を要する「処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者」を「大量個人情報処理者」としている。具体的には, その処理する個人情報が100万人分以上, 前年1月1日からの累計で境外提供した個人情報が10万人分以上又は前年1月1日からの累計で境外提供した機微個人情報が1万人分以上の個人情報処理者である。

・重要情報インフラ運営者, 大量個人情報処理者, 自動車データ処理者いずれにも該当しない者を「一般事業者」としている。

・個人情報の越境移転は, 中国政府による安全評価合格/個人情報保護認証取得/標準契約締結のいずれかによる必要があるが, いずれの場合も, 事前に個人情報主体(本人)の個別同意と個人情報保護影響評価[自己評価]が必要である(PIPL 39, 55)。

・表中の「重要データ」(重要数据)とは, 評価弁法(19)において, その改ざん・破壊・漏えい・不正取得・不正利用等により, 国家の安全, 経済運営, 社会の安定, 公衆衛生・安全に危害を及ぼすおそれのあるデータを意味すると定義されている。

	個人情報	重要データ	左記以外のデータ
重要情報インフラ運営者	原則中国境内で保存。越境移転は安全評価合格要(CSL 37, DSL 31, PIPL 40).		特別の制限はない (但し, 国家機密保護法, 輸出管理法等の他法による規制はあり得る)
大量個人情報処理者	原則中国境内で保存。越境移転は安全評価合格要(PIPL 40)。	CACが国務院関連部門と別途共同制定する行政規則遵守要(DSL 31)。
一般事業者	越境移転は以下のいずれかが必要。 - 個人情報保護認証取得/標準契約書締結/その他法令等で定める越境移転の条件(PIPL 38(1))。
自動車データ安全管理若干規定上の「自動車データ処理者」	以下のデータ・個人情報を「重要データ」として原則境内保存要。越境移転は安全評価合格要(規定11(1)前段)： - 軍事管理区域等の地理的情報・交通・通行量／交通量・物流データ／充電ネットワーク運用データ／顔データ／ナンバープレートデータ／10万人超の個人(自動車の所有者, 運転者, 同乗者, 通行人等)の個人情報, 等。		越境移転の安全管理には, 法律・行政法規の関連規定適用(規定11(1)後段)

(注) 表中の『自動車データ安全管理規定上の「自動車データ処理者」』とは, 「自動車データ」(自動車の設計・製造・販売・利用・運行・保守の過程において収集・利用される, 個人情報を含むデータおよび重要データ)を処理する自動車メーカー, 部品・ソフトウェア供給者, 販売業者, 保守修理業者, 配車サービス企業等を意味する(自動車規定3)。

page top

II. 標準契約により越境移転可能な条件

・個人情報処理者が標準契約の締結により個人情報を境外に提供するには, 以下の全ての要件を満たさなければならない(弁法4(1))。[この要件は個人情報保護認証を法的根拠として越境移転できる要件と同じである。]

(1)重要情報インフラ運営者ではないこと；

(2)処理する個人情報が100万人分未満であること；

(3)前年1月1日からの累計で境外提供した個人情報が10万人分未満であること；

(4)前年1月1日からの累計で境外提供した機微個人情報が1万人分未満であること；

— 上記(1)に関し, 重要情報インフラ運営者は, 前掲表の通り, 原則中国境内で保存しなければならず, 仮に越境移転する場合でも安全評価に合格する必要がある。又, 上記(2)～(4)に関し, これらの数値以上に個人情報又は機微個人情報を越境移転する場合には, 前掲表の大量個人情報処理者として安全評価に合格する必要がある。

— 越境移転する個人情報に「重要データ」が含まれている場合(例えば, 中国政府・軍関係者等に関する情報が該当する可能性があると思われる)には, 前掲表の通り, 別途制定される筈の行政規則を遵守しなければならない。従って, 標準契約に基づいて越境移転することはできない。

・法律, 行政法規又は国家ネットワーク情報部門[CAC]に別段の定めがある場合にはその定めに従う(弁法4(2))。

・個人情報処理者は, 法令上越境移転安全評価を経ることが必要な個人情報を, 数量の分割等の手段により標準契約の締結により境外に提供してはならない(弁法4(3))。

page top

III. 事前の同意及び安全評価

・個人情報の越境移転は, 標準契約締結による場合も, 事前に個人情報主体(本人)の個別同意と個人情報保護影響評価[自己評価]が必要である(PIPL 39, 55)。

・このうち, 個人情報保護影響評価については, 本弁法上, 個人情報処理者は, 越境移転前に, 以下の事項に重点を置いて当該評価を行わなければならない(弁法5)。

(1)個人情報処理者及び境外受領者が個人情報を処理する目的, 範囲及び方法の適法性, 正当性及び必要性；

(2)越境移転する個人情報の規模, 範囲, 種類及び機微度並びに個人情報の越境移転により生じる[個人の]個人情報に係る権利利益に対するリスク；

(3)境外受領者が負う義務, 及び, その義務を履行するための管理・技術的措置及び能力が, 越境移転する個人情報の安全を確保できるものであるか否か。

(4)越境移転後における個人情報の改ざん, 毀損, 漏洩, 消失, 不正使用等のリスク, [個人の]個人情報に係る権利利益を保護するための手段の確保；

(5)境外受領者の所在する国又は地域における個人情報保護政策及び法規が標準契約の履行に及ぼす影響。

(6)その他, 越境移転する個人情報の安全に影響を及ぼす可能性のある事項。

page top

IV. 標準契約の締結

・標準契約は, 本弁法の附属書に厳格に従って締結されなければならない。国家ネットワーク情報部門は, 実際の状況に応じ附属書を変更することができる。(以上弁法6(1))

・個人情報処理者は, 標準契約に抵触しない限り, 境外受領者と他の条件について合意することができる(弁法6(2))。 — この他の合意は, 標準契約別紙2に記載することとなっている。標準契約本体の条項を変更することはできない。

・個人情報の越境移転は, 標準契約発効後にのみ実施することができる(弁法6(3))。

page top

V. 標準契約の事後届出

・個人情報処理者は, 標準契約発効日から10営業日以内に, その所在地の省級ネットワーク情報部門に標準契約を届け出なければならない。この届出においては, 以下の資料を提出しなければならない。(7(1))。

(1)標準契約書；

(2)個人情報保護影響評価報告書。

・個人情報処理者は, 提出した資料の真実性を保証する責任を負う(7(2))。

[上記の通り標準契約の締結・発効後の届出であり, 標準契約の事前審査ではない。しかしながら, 個人情報保護影響評価報告書の添付が要求されていることからも, 事後に, 越境移転の内容(別紙1に記載要), 個人情報保護影響評価の内容・適否, 及び, そもそも越境移転自体が「真に必要」(PIPL 38(1))かが問題にされることはあり得ると思われる。]

page top

VI. 再評価・再届出

・個人情報処理者は, 標準契約の有効期間中に以下の各号のいずれかに該当することとなった場合には, 新たに個人情報保護影響評価を行い, 標準契約を補完又は再締結し, 所定の届出手続を行わなければならない(弁法8)。

(1)境外に提供される個人情報の目的, 範囲, 種類, 機微度, 方法及び保存場所, 境外受領者による個人情報の用途又は処理方法の変更, 又は個人情報の境外での保存期間の延長；

(2)境外受領者の所在する国・地域等における個人情報保護政策・法規の変更等個人情報に係る権利利益に影響を及ぼす可能性のある事項。

(3)その他, 当該個人情報に関る権利利益に影響を及ぼす可能性のある事項。

[上記(1)の事由は合理的と思われるし, 又, 事前に標準契約別紙1に将来発生し得る越境移転を含めて目的その他の事項を広めに規定しておくことにより, 再評価・再締結・再届出を回避し得る。しかし, 上記(2)・(3)の事由は, 越境移転の当事者にとり不可抗力的なものを含み, 又, 我が国の個人情報保護政策・法規が中国に対し厳格になった場合もしくは日中間の関係が悪化した等の場合には中国当局の認定により左右される可能性がある。このような場合には, 次のVIIに従い, 越境移転の中止が命令されることもあり得ると思われる。]

page top

VII. 本弁法違反

・如何なる組織又は個人も, 個人情報処理者が本弁法に違反して個人情報を境外に提供していることを発見した場合, 省級以上のネットワーク情報部門に通報することができる(弁法10)。

・省級以上のネットワーク情報部門は, 個人情報の境外移転に重大なリスクがあると判断した場合, 又は個人情報のセキュリティ事故が発生した場合, 法令に基づき個人情報処理者に対し事情聴取を行うことができる。個人情報処理者は, 必要に応じ, 危険を是正又は除去しなければならない。(弁法11)

本弁法の定めに違反した場合, 中国個人情報保護法及びその他の法令に基づき処理され, 犯罪に該当する場合は, 法令に基づき刑事責任が追及される(弁法12)。

page top

VIII. 弁法の施行日・過去の越境移転

 本弁法は, 2023年6月1日から施行される。 本弁法施行前に行われた個人情報越境移転が本弁法の定めに従っていない場合, 本弁法施行日から6ヶ月以内に是正しなければならない。(弁法13)

— 従って, 標準契約の締結・届出等による越境移転が可能となるのは2023年6月1日からである。過去に行った越境移転であって標準契約による移転が可能なものについては, 遅くとも2023年11月30日までに標準契約の締結とその届出を行わなければならない。

page top

IX. 標準契約の内容

 

契約の構成

標準契約は以下の①～④の構成となっている。

①契約前文：内容後述。

②契約本文：契約条項全9条。内容後述。

③別紙1(附录一)「個人情報越境移転の内容」(个人信息出境说明)：処理の目的・方法, 越境移転の規模・個人情報及び機微個人情報の種類, (該当する場合)境外受領者が個人情報を(再)提供する中国境外の第三者, 送付形態, 境外での保存期間・保存場所を記載。

④別紙1(附录二)「その他両当事者が合意した条項(必要な場合)」(双方约定的其他条款(如需要))：本契約本文の内容と矛盾しない範囲で, 両当事者間の他の合意の内容を記載できる(前文)。

page top

契約前文

本契約は, 境外受領者(境外接收方)(移転元の個人情報処理者から中国境外で個人情報を受領する者)の個人情報処理が中国の関係法令に定める個人情報保護の基準を満たすことを確保し, 個人情報処理者(個人情報の処理の目的・方法を自ら決定し中国境外に個人情報を提供する者)及び境外受領者の個人情報保護に関する権利義務を明確にするため, 両当事者の協議・合意により締結される(前文第1文)。

個人情報処理者及び境外受領者それぞれの住所／連絡先／担当者／その役職名の記載欄。

個人情報処理者及び境外受領者は, 本契約に基づき個人情報の越境移転を行う。両当事者は, 当該越境移転に関し, 　　年　月　日に　　　　(関係する商業契約がある場合その契約)を締結した。

本契約の本文は, 「個人情報越境移転標準契約弁法」の定めに従い作成されなければならない。但し, 本契約本文の内容と矛盾しない範囲で, 両当事者間の他の合意な内容を, 本契約の一部である別紙2に定めることができる。

— この標準契約は, 2021年6月に改訂版が公表されたGDPR上の標準契約条項(SCC)(こちらに筆者全訳がある)を参考に作成されたものと考えられる。SCCでは, ①管理者(個人データの処理の目的及び手段を決定する者)から管理者への移転, ②管理者から処理者(管理者に代わり個人データを処理する者)への移転, ③処理者から処理者への移転及び④処理者から管理者への移転の四つの移転タイプごとに契約条項のモジュールが用意されている。

一方, この標準契約は, 「個人情報処理者」の定義(個人情報の処理の目的・方法を自ら決定する者)からすれば, 移転元がGDPR上の「処理者」に相当する上記③・④の移転の場合は想定されていないようにも見える(但し, この場合も別紙1及び別紙2の記載を工夫することにより標準契約を利用できる可能性はあるかもしれない)。

page top

第1条 定　義

「個人情報処理者」／「境外受領者」／「個人情報主体」(本人)／「個人情報」／「機微個人情報」／「監督機関」(省級以上のネットワーク情報部門)／「関係法令」(サイバーセキュリティ法, データセキュリティ法, PIPL, 本弁法等)の定義が置かれている。詳細省略。

page top

第2条 個人情報処理者の義務

[移転元の]個人情報処理者は以下の義務を履行しなければならない：

(1)個人情報を関係法令に従い処理し, 個人情報の境外への提供は処理目的の達成に必要な最小限の範囲に限定すること。[従って, 監督機関から要求された場合, 越境移転がこの「最小限の範囲」であることを主張・立証できなければならない。]

(2)個人情報主体に対し, 境外受領者の名称又は氏名, 連絡先, 別紙1「個人情報越境移転の内容」に定める処理目的, 処理方法, 個人情報の種類及び保存期間, 並びに個人情報主体の権利行使の方法及び手続を通知すること。機微個人情報を境外に提供する場合には, 機微個人情報を提供する必要性及び本人の権利利益に与える影響について個人情報主体に通知すること。但し, 法律・行政法規に通知を要しない旨の定めがある場合を除く。[これら通知のタイミングは, PIPL第39条で, 個人情報の越境移転には個人情報主体に対する事前の通知・同意が義務付けられていることから越境移転の前である。]

(3)本人の同意に基づき個人情報を境外に提供する場合には個人情報主体の同意を得ること。14歳未満の未成年者の個人情報が含まれる場合, 当該未成年者の父母その他の保護者の個別の同意を得ること。法律・行政法規により書面による同意が必要とされる場合, 書面による同意を得ること。

(4)個人情報主体に対し, 個人情報主体が第三者受益者となることを本契約上境外受領者と合意したことを通知すること。[当該個人情報主体は, その後]30日以内に明示的にこれを拒絶しない場合, 本契約に基づき第三者受益者としての権利を享受できるものとする。

(5)境外受領者が本契約に基づく義務を履行するため, 以下の技術的・管理的措置(個人情報の処理目的, 個人情報の種類, 規模, 範囲及び機微度, 送信数量及び送信頻度, 個人情報の送信及び境外受領者による保存の期間等から生じ得る個人情報の安全性へのリスクを総合的に考慮すること)を講じるよう合理的な努力を行うこと：(例：暗号化, 匿名化, 非識別化, アクセス制御等の技術的・管理的措置)。

(6)境外受領者の要求に応じ, 関係法令及び技術標準の写しを境外受領者に提供すること。

(7)境外受領者による個人情報処理に関する監督機関からの照会に応じること。

(8)関係法令に基づき, 境外受領者への個人情報提供に関し, 個人情報保護影響評価を行うこと。当該評価は以下の事項に重点を置いて行うこと：[下記評価事項は前記IIIの本弁法に定める事項と実質上同じである]

1)個人情報処理者及び境外受領者が個人情報を処理する目的, 範囲及び方法の適法性, 正当性及び必要性；

2)越境移転される個人情報の規模, 範囲, 種類及び機微度並びに個人情報の越境移転により生じ得る[個人情報主体の]個人情報に係る権利利益に対するリスク；

3)境外受領者が負う義務, 及び, その義務を履行するための管理・技術的措置, 能力等が, 越境移転される個人情報の安全を確保できるものであるか否か。

4)越境移転後における個人情報の改ざん, 毀損, 漏洩, 消失, 不正使用等のリスク, [個人情報主体の]個人情報に係る権利利益を保護するための手段の確保；

5)本契約第4条に従い, 境外受領者の所在する国又は地域における個人情報保護政策及び法令が本契約の履行に及ぼす影響を評価すること。

6)その他, 個人情報越境移転の安全性に影響を及ぼす可能性のある事項。

個人情報保護影響評価報告書は最低3年保存しなければならない。

(9)個人情報主体の要求に応じ, 本契約書の写しを提供すること。なお, 商業秘密又は業務上の秘密情報が含まれる場合には, 本契約書の写しの該当する部分を, 個人情報主体の理解を損なわない範囲で適切に加工することができる。

(10)本契約上の義務の履行について立証責任を負うこと。

(11)本契約第3条第(11)号の[個人情報処理者による境外受領者の]本契約遵守監査の結果を含む情報を, 関係法令に従い, 監督機関に提供すること。

[上記(10),(11)より, 移転元の個人情報処理者は, 個人情報保護影響評価書, 越境移転の記録, 境外受領者の本契約遵守監査の結果の記録, 境外受領者に対する監査の記録, 契約終了時の個人情報返還等の記録, 第4条の移転先国の政策・法令が境外受領者の義務履行悪影響を及ぼさないとの評価書等を確実に作成及び保存し, これらを監督機関の要求に応じ提供できるようにしておくことが必要となる。]

page top

第3条 境外受領者の義務

[移転先の]境外受領者は以下の義務を履行しなければならない。

(1)別紙1「個人情報越境移転の内容」に定める合意に従い, 個人情報を処理すること。この合意された処理目的, 処理方法, 処理される個人情報の種類を超えて本人の同意に基づき個人情報を処理する場合には予め個人情報主体の同意を得ること；14歳未満の未成年者の個人情報が含まれる場合には当該未成年者の父母その他の保護者の個別の同意を得ること。

(2)個人情報処理者から個人情報の処理を委託された場合には個人情報処理者との契約に従い個人情報を処理し, 個人情報処理者と合意した目的及び処理方法を超えて個人情報を処理しないこと。

(3)個人情報主体からの求めに応じ, 本契約書の写しを個人情報主体に提供すること。[本契約に]商業秘密又は業務上の秘密情報が含まれる場合には, 本契約書の写しの該当する部分を, 個人情報主体の理解を損なわない範囲で適切に加工することができる。

(4)当該個人情報を, 本人の権利利益への[悪]影響を最小限にとどめるよう処理すること。

(5)当該個人情報の保存期間は, その処理目的の達成に必要な最短期間とし, 保存期間終了時点で当該個人情報(全てのバックアップを含む)を削除すること。個人情報処理者から個人情報の処理を委託された場合において, その委託契約が発効しないとき, 無効となったとき, 取消されたとき又は終了したときは, 当該個人情報を個人情報処理者に返還又は削除し, その旨個人情報処理者に書面で説明すること。個人情報の削除が技術的に困難な場合には保存及び必要な安全保護措置以外の処理を停止すること。

(6)個人情報の処理について以下の方法でセキュリティを確保すること：

1)個人情報の安全性確保のため, 本契約第2条第5項を含む(但しこれに限らない)技術的・管理的措置を講じ, これを定期的に点検すること。

2)個人情報の処理を許可された担当者が秘密保持義務を履行し, 最小限のアクセス権限が与えられるようにすること。

(7)処理される個人情報の改ざん, 毀損, 漏えい, 消失, 不正利用, 不正提供, 不正アクセスが生じ又はその可能性がある場合には以下の事項を実施すること：

1)個人情報主体への悪影響を軽減するため速やかに適切な対応措置を講じること。

2)直ちに個人情報処理者に通知しかつ関係法令に従い監督機関に報告すること。この通知には以下の事項を含めなければならない：

(1)改ざん, 毀損, 漏えい, 消失, 不正利用, 不正提供, 不正アクセスが生じ又はその可能性がある個人情報の種類, その原因及び発生し得る危害。

(2)既に講じられた対応措置。

(3)個人情報主体が危害を軽減するために講じることができる措置。

(4)関係する事態の対応責任者又は担当チームの連絡先。

3)関係法令により個人情報主体への通知が必要な場合, 通知の内容には本項第(2)の目的事項[個人情報処理者と合意した処理の目的]を含めること。個人情報処理者から個人情報の処理を委託された場合には個人情報処理者が, 個人情報主体に通知をしなければならない。

4)改ざん, 毀損, 漏えい, 消失, 不正使用, 不正提供又は不正アクセスの発生又はその可能性に関する全ての状況(講じた全ての対応措置を含む)を記録し, 保存すること。

(8)以下の全ての条件が満たされる場合に限り, 個人情報を中国の境外の第三者に[再]提供することができる：

1)真に業務上の必要性があること。

2)個人情報主体が, 当該第三者の名称又は氏名, 連絡先, 処理目的, 処理方法, 個人情報の種類, 保存期間, 個人情報主体の権利を行使するための方法及び手続について通知されていること。 機微個人情報を[中国境外の]第三者に[再]提供する場合には, 機微個人情報を提供する必要性及び本人の権利利益に与える影響についても, 個人情報主体に通知すること。但し, 法令又は行政規則に当該通知を要しない旨の定めがある場合を除く。

3)本人の同意に基づき個人情報を処理する場合には個人情報主体である本人の個別同意を得ること。14歳未満の未成年者の個人情報が含まれる場合には当該未成年者の父母その他の保護者の個別同意を得ること。法律・行政法規により書面による同意が必要とされる場合には書面による同意を得ること。

4)中国境外の第三者による個人情報処理が中国の関係法令に定める個人情報保護標準を満たすよう, 当該第三者と書面による契約を締結すること。当該第三者に個人情報を提供したことにより個人情報主体がその権利を侵害された場合は法的責任を負うこと。

5)個人情報主体の要求に応じて, 当該契約書の写しを個人情報主体に提供すること。[当該契約に]商業秘密又は業務上の秘密情報が含まれる場合には, 当該契約書の写しの該当する部分を, 個人情報主体の理解を損なわない範囲で適切に加工することができる。

(9)個人情報処理者から個人情報の処理を委託され, これを第三者に再委託する場合には予め個人情報処理者の同意を得るとともに, 当該第三者に対し, 本契約別紙1「個人情報越境移転の内容」で合意した処理目的及び処理方法を超えて個人情報を処理しないよう義務付け, かつ, 当該第三者による処理を監督すること。

(10)個人情報を自動意思決定のために利用する場合, その意思決定の透明性, 結果の公平性・公正性を確保し, 当該個人情報主体に対し取引価格等の取引条件に関し不合理な差別待遇をしないこと。自動意思決定により個人情報主体に対し情報の強制提供(推送)又は商業マーケティングが行われる場合, 個人の特性を対象としない選択肢も同時に提供するか又は個人情報主体にこれを簡単に拒絶できる手段を提供しなければならない。

(11)本契約上の義務を遵守するために必要な情報を個人情報処理者に提供し, 個人情報処理者による必要なデータファイル・文書へのアクセス又は本契約の対象となる処理の遵守監査を許可し, かつ, 個人情報処理者が実施する遵守監査に協力することを承諾すること。

(12)実施した個人情報の処理を客観的に記録しこれを最低3年間保存し, 関係法令に基づき, 関連記録文書を直接又は個人情報処理者を通じ監督機関に提供すること。

(13)本契約の実施監督のための関連手続において監督機関の監督管理を受けることに同意すること。これには, 監督機関の照会への対応, 監督機関の検査への協力, 監督機関が行う措置又は決定の遵守, 必要な措置を講じた旨の証明書提供等が含まれるがこれらに限られない。[従って, 標準契約締結により中国境外の境外受領者も自動的に中国の監督機関の調査・監督に服することになる。]

page top

第4条 境外受領者の所在国又は地域における個人情報保護政策及び法令が契約履行に及ぼす影響

(1)両当事者は, 本契約締結時に合理的な注意義務を果たし, 境外受領者の所在国又は地域の個人情報保護政策及び法令(公的機関への個人情報提供義務又は公的機関による個人情報へのアクセスを認める定めを含む)が, 境外受領者による本契約上の義務履行に[悪]影響を及ぼすことを認識しなかったことを保証する。

(2)両当事者は, 本条第(1)項の[移転先国の政策・法令が境外受領者の義務履行悪影響を及ぼさないとの]保証をするに当たり, 以下の事項を全て評価したことを宣言する。

1.越境移転に係る具体的状況。これには, 個人情報の処理目的, 移転される個人情報の種類, 規模, 範囲及び機微度, 移転の規模及び頻度, 個人情報の移転及び境外受領者による保存の期間, 境外受領者の個人情報の越境移転及び処理の以前の同様の経験, 境外受領者が個人情報のセキュリティ事故を起こしたことがあるか及びそれに適時・効果的に対処したか, 境外受領者がその所在国又は地域の公的機関から個人情報の提供を求められたことがあるか及びそれに対する境外受領者の対応が含まれる。

2.境外受領者が所在する国又は地域の個人情報保護政策及び法令(以下の要素を含む)：

1)その国又は地域における個人情報保護に関する現行法令及び一般に適用される基準。

2)その国又は地域が加盟している地域的又は世界的な個人情報保護組織及び個人情報保護に関連してその国が行った拘束力ある国際約束。

3)個人情報保護の監督・執行機関及び関連司法機関の存在等, その国又は地域における個人情報保護のための機構。

3.境外受領者の安全管理体制及び技術的手段保障能力。

(3)境外受領者は, 本条第(2)項に基づく[移転先国の政策・法令が境外受領者の義務履行悪影響を及ぼさないとの]評価に際し, 必要な関連情報を個人情報処理者に提供するため最善の努力を尽くしたことを保証する。

(4)両当事者は, 本条第(2)項に基づく[移転先国の政策・法令が境外受領者の義務履行悪影響を及ぼさないとの]評価の過程及び結果を文書化しなければならない。

(5)境外受領者は, 境外受領者の所在する国又は地域の個人情報保護政策又は法令の変更(境外受領者の所在国又は地域の法令の変更, 強制措置の適用を含む)により, 本契約を履行できなくなったことを知ったときは, 速やかにその旨個人情報処理者に通知しなければならない。

(6)境外受領者は, その所在国又は地域の政府機関又は司法機関から, 本契約に基づき保有する個人情報の提供の要求を受けた場合, 直ちにその旨個人情報処理者に通知しなければならない。

page top

第5条 個人情報主体の権利

両当事者は, 個人情報主体が本契約の第三者受益者として以下の権利を有することに合意する：

(1)個人情報主体は, 関係法令に基づき, 自己の個人情報の処理について, 知る権利, 決定する権利, 自己の個人情報の他人による処理を制限又は拒絶する権利, 自己の個人情報のアクセス, 複写, 訂正, 補足又は削除を求める権利, 自己の個人情報の処理ルールについて説明を求める権利等を有する。

(2)個人情報主体は, 境外に移転された個人情報に関して上記の権利の行使を要求する場合, 個人情報処理者に対してその[権利行使の]実現のために適切な措置を講じるよう求めるか, 又は直接境外受領者にこれを要求することができる。 個人情報処理者は, 自らこれを実現できない場合, その旨境外受領者に通知しその実現に協力するよう要求しなければならない。

(3)境外受領者は, 個人情報処理者からの通知に従い, 又は個人情報主体からの要求に応じ, 関係法令に基づき, 合理的期間内に個人情報主体の権利を実現しなければならない。境外受領者は, 個人情報主体に対し, 関連情報を目立つように, 明確で分かり易い言葉で, 真実, 正確かつ完全な形で通知しなければならない。

(4)境外受領者は, 個人情報主体からの請求を拒絶する場合, 個人情報主体に拒絶の理由及び個人情報主体が関連監督機関に苦情を申立て及び司法的救済を求めるための方法を通知しなければならない。

(5)個人情報主体は, 本契約の第三者受益者として, 個人情報主体の権利に関連し, 本契約上の以下の条項の履行を個人情報処理者及び境外受領者の一方又は両方に対し主張及び請求する権利を有する：(関係条項：省略)

page top

第6条 救済

(1)境外受領者は, 個人情報の処理に関する問合せ又は苦情に対応するための担当者1名を定め, 個人情報の処理に関する問合わせ又は苦情に対応する権限を与え, かつ, 個人情報主体の問合わせ又は苦情に速やかに対応しなければならない。境外受領者は, 個人情報処理者に対し当該担当者の情報を通知し, かつ, 簡潔かつ分かり易い形で, 個別の通知又はWebサイトでの公表により, 個人情報主体に対し当該担当者の情報を通知しなければならない。

(担当者及びその連絡先(事業所電話番号又は電子メールアドレス)の記載欄)

- 境外受領者がこの担当者情報を個人情報主体に個別通知し又はWebサイトで公表することは現実的には困難と思われるが, これを個人情報処理者による通知・公表を通じ行うことが可能なのか否かは明確でない。

(2)各当事者は, 本契約履行上, 個人情報主体との間で紛争が生じた場合, その旨他方当事者に通知しなければならず, 両当事者は, その解決に協力しなければならない。

(3)当該[個人情報主体との間の]紛争が円満に解決されず, 個人情報主体が第5条に基づく第三者受益者としての権利を行使する場合, 境外受領者は, 個人情報主体が以下の方法で権利主張することを承諾する：

1)監督機関への苦情申立。

2)本条第(5)項に定める人民法院への訴訟提起。

(4)両当事者は, 本契約上の紛争に関し, 個人情報主体が第三者受益者としての権利を行使することに同意し, 個人情報主体が中国の関係法令の適用を選択する場合は, その選択に従わなければならない。

(5)両当事者は, 本契約に基づく紛争に関し, 個人情報主体が第三者受益者としての権利を行使する場合, 個人情報主体は, 「中国民事訴訟法」上管轄権を有する人民法院に訴訟提起することができることに合意する。

[上記(3)～(5)より, 境外受領者は, 個人情報主体との紛争に関し, 標準契約締結により自動的に, 準拠法を中国の法令とすること, 及び, 中国の監督機関及び中国人民法院の監督・管轄に服することに合意したことになる。]

(6)両当事者は, 個人情報主体による自己の権利に関する選択が, 個人情報主体が他の法令に従い救済を求める権利を損なうものではないことに合意する。

page top

第7条 契約解除

(1)境外受領者が本契約上の義務に違反した場合, 又は境外受領者の所在する国又は地域の個人情報保護政策・法令の変更(境外受領者の所在する国又は地域の法律の変更, 強制措置の適用を含む)により, 境外受領者が本契約を履行できなくなった場合, 個人情報処理者は, 当該違反が是正されるか又は契約が解除されるまで境外受領者に対する個人情報提供を停止することができるものとする。

(2)個人情報処理者は, 次の各号のいずれかの場合, 本契約を解除する権利を有するとともに, 必要に応じ監督機関に通知しなければならない：

1)個人情報処理者が, 本条第1項の規定により1ヶ月を超える期間, 境外受領者への個人情報提供を停止する場合。

2)境外受領者による本契約遵守が, その所在する国又は地域の法令に違反することとなる場合。

3)境外受領者が, 本契約上の義務に対し重大な違反を犯し又はこれに継続的に違反した場合。

4)境外受領者の管轄裁判所又は監督機関が, 境外受領者又は個人情報処理者がこの契約上の義務に違反していると最終決定した場合。

境外受領者は, 本項第1号, 第2号又は第4号の場合, 本契約を解除することができる。

(3)本契約が両当事者の合意により解除された場合, その解除は, 個人情報の処理における個人情報保護義務を免除するものではない。

(4)本契約が解除された場合, 境外受領者は, 本契約に基づき受領した個人情報(全てのバックアップを含む)を速やかに返却又は削除し, かつ, 個人情報処理者に対しその旨の書面を提出しなければならない。当該個人情報の削除が技術的に困難な場合, [境外受領者は, 当該個人情報について]保存及び必要な安全保護措置を講じること以外の処理を止めなければならない。

page top

第8条 違反に対する責任

(1)両当事者は, 本契約違反により相手方に損害を与えた場合, その責任を負わなければならない。

(2)本契約違反により個人情報主体が享有する権利を侵害した者は, 個人情報主体に対し民事上の法的責任を負う。このことは, 個人情報処理者が関係法令上負うべき行政上及び刑事上の法的責任に影響を与えない。

(3)両当事者が法令上連帯責任を負う場合, 個人情報主体はいずれか一方又は両方の当事者に責任を負うことを請求する権利をする。各当事者は, その負担した責任が, 自己の負担すべき責任分担を超える場合には, 他方当事者に求償する権利を有する。

page top

第9条 その他／署名欄

(1)本契約と両当事者が締結した他の法的文書との間に矛盾がある場合, 本契約の規定が優先適用される。

(2)本契約の成立, 効力, 履行, 解釈及び本契約に起因する当事者間の紛争については, 中国の関係法令が適用される。[従って, 本標準契約の準拠法は中国法となる。]

(3)他の当事者に対する通知は, 電子メール, 電報, テレックス, ファックス(確認用コピーを航空便で送付)もしくは書留航空便又は書面で, (宛先　　　)もしくはこれに代わる他の宛先に送付されなければならない。本契約に基づく通知は, それが書留航空便で送付された場合には消印日の　日後に, 電子メール, 電報, テレックス又はファクスで送付された場合にはその送付日の　営業日後に受領されたものとみなす。

(4)本契約に起因する両当事者間の紛争, 及び, 各当事者が個人情報主体に損害を賠償し他方当事者に求償を行う場合については, 両当事者は, これを協議の上解決するものとする。協議で解決できない場合, 各当事者は, 以下の　　の手段による解決を求めることができるものとする(仲裁を選択する場合は仲裁機関にチェック)：

1.仲裁。 以下の機関に紛争解決を付託する。

□ 中国国際経済貿易仲裁委員会

□ 中国海事仲裁委員会

□ 北京仲裁委員会(北京国際仲裁センター)

□ 上海国際仲裁センター

□ その他, 「外国仲裁判断の承認及び執行に関する条約」に加盟する仲裁機関　　　　　　が, その時点で有効な仲裁規則に従い　　(仲裁地)　　において仲裁を行う；＊

2.訴訟。 訴訟は, 管轄権を有する中国人民法院に法令に従い提起しなければならない。

[上記より, 個人情報処理者と境外受領者間の紛争に限っては, 上記＊の中国以外の仲裁機関による仲裁を選択し得る。]

(5)本契約は, 関係法令(サイバーセキュリティ法, データセキュリティ法, PIPL, 本弁法等)の規定に従い解釈されるものとし, 関係法令に定める権利及び義務に矛盾する解釈をしてはならない。[従って, 本契約の準拠法は中国法となる。]

(6)本契約の正本　　部を作成し, 各当事者　　部保有するものとし, それらは同一の法的効力を有するものとする。

本契約は, 　　(場所)において署名締結された。

 

個人情報処理者：　　　　　　　　　　　　　　　　.

 　　年　　月　　日

境外受領者：　　　　　　　　　　　　　　　　.

　　年　　月　　日

 

別紙1   個人情報越境移転の内容

本契約に基づく個人情報の境外提供の詳細について以下の通り合意する：

(1)処理の目的：　　　　　　　　　　　　　　　　.

(2)処理の方法：　　　　　　　　　　　　　　　　.

(3)個人情報の越境移転の規模：　　　　　　　　　　　　　　　　.

(4)越境移転される個人情報の種類(GB/T35273「情報セキュリティ技術　個人情報安全規範」[5]及び関連標準参照)：　　　　　　　　　　　　　　　　.

(5)越境移転される機微個人情報の種類(該当する場合, GB/T35273「情報セキュリティ技術　個人情報安全規範」及び関連標準参照)：　　　　　　　　　　　　　　　　.

(6)(該当する場合)境外受領者が個人情報を(再)提供する中国境外の第三者は以下の者のみとする：　　　　　　　　　　　　　　　　.

(7)送付形態：　　　　　　　　　　　　　　　.

(8)越境移転後における[境外受領者による]保存期間：( 　　年　　月　　日から 　　年　　月　　日まで)

(9)越境移転後における[境外受領者による]保存場所：　　　　　　　　　　　　　　　　.

(10)その他の事項(適宜記入)：　　　　　　　　　　　　　　　　　.

 

別紙2　その他両当事者が合意した条項(必要な場合)

　　　　　　　　　　　　　　　　　.

 

page top

X. まとめ(標準契約による越境移転の評価)

標準契約の締結・届出等による越境移転が可能となるのは2023年6月1日からである。過去に行った越境移転であって標準契約による移転が可能なものについては, 遅くとも2023年11月30日までに標準契約の締結とその届出を行わなければならない。従って, この過去に行った越境移転については, 本弁法に従って標準契約の締結とその届出等を行わざるを得ない。

今後行われる越境移転であって標準契約による移転が可能なものについては, 個人情報保護認証による移転も可能である。しかし, 個人情報保護認証による移転については問題点(まだ認証機関, 認証申請方法等が示されていないこと／認証がなされるまで越境移転できないこと／政府が指定し認可した外部機関による認証であることや認証規範の内容から, 実際の認証審査は厳しいものになり場合により長期となり費用も相当要することが予想され, しかも, 必ずしも認証が取得できることは保証されていないこと／場合により当局に知られたくない情報まで要求される可能性もあると思われること等)があるので, 標準契約による越境移転は, 企業にとり, 個人情報保護認証による移転よりは選択し易いものであると言える。

しかしながら, 標準契約による越境移転についても以下のような問題点・リスクがある。

(1)そもそも標準契約による越境移転も「真に必要」なものでなければならない(PIPL 38(1))から, そのことを主張・立証できない場合は, 移転自体が違法と認定される可能性がある。

(2)標準契約による越境移転は, 重要情報インフラ運営者ではないことの他, 処理・越境移転する個人情報等に関する数値が所定の数値未満でなければならない。又, 越境移転する個人情報の中に「重要データ」(その改ざん・破壊・漏えい・不正取得・不正利用等により, 国家の安全, 経済運営, 社会の安定, 公衆衛生・安全に危害を及ぼすおそれのあるデータ。これに該当するか否かの判定は中国政府の裁量が大きい)が含まれていてはならない。

(4)越境移転の前提条件として, 移転する個人情報の個人情報主体全員に対し, 越境移転の内容・個人情報主体の権利行使の方法・手続を通知した上同意を得なければならない(PIPL 39,　標準契約2(2))ので, 当該同意を得られない個人情報主体の個人情報は移転できない。

(5)従って, 標準契約により安心して越境移転できる個人情報は相当に限定される。

(6)一旦標準契約により越境移転をした後も, 我が国の個人情報保護政策・法規が中国に対し厳格になった場合もしくは日中間の関係が悪化した等の場合も含め, 中国当局の認定により越境移転の中止が命令されることもあり得る。この中止命令は, 個人情報主体(事前の通知により越境移転の内容を知っている)からの通報(弁法10)等を契機になされる可能性もある。

(7)標準契約締結により, 境外受領者も, 自動的に中国の監督機関の調査・監督に服し(標準契約3(13)), 又, 個人情報主体に対しても直接権利行使に応じる義務を負い(標準契約5), 同主体との紛争に関し中国人民法院の裁判管轄に服する(標準契約5)。

以上の通り, 標準契約による越境移転にも問題点・リスクがあることから, 企業としては, 中国境内で収集した個人情報は, これを可能な限り中国境内で保存・処理することとし, 仮に標準契約による越境移転が可能な個人情報であっても, 可能な限り, 中国本土内でのみ処理するか, 又は移転範囲を安全と思われる範囲に限定すべきであると思われる。

以　上

page top

【注】

 

[1] 【本稿の筆者】 一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw企業法務研究所代表 浅井敏雄(Facebook)

[2] 【「中国個人情報保護法」】(原文) 「中华人民共和国个人信息保护法」. (和訳) Miura & Partners - Norika Yuasa and Yuika Zhao「個人情報保護法和訳」

[3] 【中国本土・境内・境外】「中国本土」は, 香港・マカオ・台湾を含まない中国本土。「境内」は中国本土内。「境外」は中国本土外。

[4] 【「自動車データ安全管理若干規定(試行)」】 原文「汽车数据安全管理若干规定(试行)」. (参考) (1) King & Wood Mallesons - Mark Schaub, Atticus Zhao and Fu Guangrui (Mark) "China Issues New Rules on Data Security in Auto Industry" September 2 2021, Lexology. (2) Jenny Sheng, Chunbin Xu, Esther Tao "China Publishes Regulation on Management of Automobile Data Security" September 2, 2021, JD Supra.

[5] 「中华人民共和国国家标准 GB/T35273—2020信息安全技术个人信息安全规范  Information security technology —Personal information security specification」。

規範附属文書A: 個人情報の例(和訳)

個人情報の例

個人情報とは, 電子的その他の方法で記録された, それ単独でまたは他の情報と組合わせて特定の個人を識別しまたは個人の行為を反映できる全ての情報をいう。これには, [個人の]氏名, 生年月日, 身分証(身份证)番号, 生体識別情報(生物识别信息), 住所, 通信連絡方法, 通信記録・内容, アカウントIDとパスワード(账号密码), 財産情報, 信用情報, 位置追跡・居場所(行踪轨迹), 宿泊情報, 健康生理情報, 取引情報等が含まれる(但しこれらに限定されない)。ある情報が個人情報か否かを判定する場合, 以下の2つのルートを考慮しなければならない。第1に, [情報の個人]識別可能性, すなわち情報から個人へのルートで, その情報自体の特殊性により特定の個人が識別され, その情報が特定の個人を識別するのに役立つものでなければならない。第2に, [特定の個人との]関連性, すなわち, 個人から情報へのルートで, 既知の特定の個人の行動から生じた情報(位置情報・通話記録・閲覧履歴等)が個人情報となる。上記のいずれかに該当する情報は, 個人情報と判定される。

表 A.1 に個人情報の例を示す。

表 A.1 個人情報の例

基本的な個人情報	氏名, 生年月日, 性別, 民族, 国籍, 家族構成, 住所, 個人の電話番号, 電子メールアドレス等
本人確認情報	身分証, 軍人証, パスポート, 運転免許証, 社員・職員証, パス, 社会保障カード, 住民票等
個人生体識別情報	個人の遺伝子, 指紋, 声紋, 掌紋, 耳介, 虹彩, 顔認識のための特徴等
ネットワーク本人認証情報	個人情報主体のアカウント番号, IPアドレス, 個人デジタル証明書等。
個人健康・生理情報	病状, 通院記録, 診療記録, 検査報告書, 手術・麻酔記録, 看護記録, 投薬記録, 薬物・食品アレルギー情報, 不妊症情報, 病歴, 診断・治療歴, 家族病歴, 現病歴, 感染歴等, 病気・治療に関する記録, 体重・身長・肺活量等の個人の健康に関する情報。
個人の教育・就労情報	個人の職業, 役職, 職場, 学歴, 学位, 教育経験, 職歴, 研修記録, 成績表等。
個人の財産情報	銀行口座, 本人認証情報(パスワード), 銀行預金情報(預金残高, 入出金記録等), 不動産情報, 信用情報, 取引・消費記録, 銀行取引明細書等, 仮想通貨, 仮想取引, ゲーム交換コード等の仮想財産情報。
個人の通信情報	通信記録・内容, SMS, MMS, 電子メール, 個人的通信データ(メタデータ)等。
連絡先情報	アドレス帳, 友人リスト, チャットグループリスト, 電子メールアドレスリスト等。
個人のインターネットログ	Web閲覧記録, ソフト利用履歴, クリック履歴, お気に入りリスト等, ログに保存された個人情報主体の操作履歴。
個人の常用機器情報	ハードウェアのシリアル番号, 機器のMACアドレス, ソフトウェアリスト, 機器固有の識別子(IMEI/Android ID/IDFA/Open UDID/GUID, SIMカードのIMSI情報等)等, 個人が常用する機器の基本情報。
個人の位置情報	移動記録, 高精度位置情報, 宿泊情報, 緯度経度等。
その他の情報	結婚歴, 宗教信仰, 性的指向, 未公開犯罪記録等。

 

規範附属文書B: 機微個人情報の判定(和訳)

機微個人情報の判定

機微個人情報とは, 個人の利益に重大な関係がある情報であって, 一旦漏えいしまたは不正に提供されまたは誤用された場合, 個人またはその財産の安全に危害を及ぼしまたは個人の名誉または心身の健康が損なわれまたは個人が差別的な扱いを受けるおそれがあるものをいう。一般に, 14歳未満の児童の個人情報や個人のプライバシーに関する情報は, 機微個人情報に該当する。ある情報が機微個人情報か否かを判定する場合には, 以下の点を考慮しなければならない。

漏えい：個人情報が漏えいした場合, 個人情報主体または個人情報を収集利用する組織が個人情報を管理できなくなり個人情報の拡散・利用が制御不能となる。個人情報の中には, 一旦漏えいした場合, それが直接利用されまたは個人情報主体の意思に反し他の情報と組合わせて分析されることにより, 個人情報主体の権益に重要なリスクを生じさせる可能性のあるものがある。このような個人情報は, 機微個人情報と判定される。(例)個人情報主体の身分証のコピーが, 他人により, SIMカードの実名登録や銀行口座の開設に利用される場合。

違法提供(原文：非法提供)：個人情報主体の同意範囲を超えその個人情報が拡散されただけで同主体の権益に重大なリスクを生じさせる情報は, 機微個人情報と判定される。このような情報には, 性的指向, 銀行預金情報, 伝染病の病歴等が含まれる。

誤用(滥用)：同意範囲を超えて利用された場合(処理目的変更, 処理範囲拡大等), 個人情報主体の権益に重大なリスクを生じさせるおそれがある情報は, 機微個人情報と判定される。(例)保険会社が, 個人情報主体の事前同意なく, 当該個人の健康情報をマーケティング目的または保険料水準決定に利用する場合。

表 B.1 に機微個人情報の例を示す。

表 B.1 機微個人情報の例 

個人の財産情報	銀行口座, 本人認証情報(パスワード), 銀行預金情報(預金残高, 入出金記録等), 不動産情報, 信用情報, 取引・消費記録, 銀行取引明細書等, 仮想通貨, 仮想取引, ゲーム交換コード等の仮想財産情報。
個人健康・生理情報	病状, 通院記録, 診療記録, 検査報告書, 手術・麻酔記録, 看護記録, 投薬記録, 薬物・食品アレルギー情報, 不妊症情報, 病歴, 診断・治療歴, 家族病歴, 現病歴, 感染歴等, 病気・治療に関する記録
個人の生体識別情報	個人の遺伝子, 指紋, 声紋, 掌紋, 耳介, 虹彩, 顔認識のための特徴等。
本人確認情報	身分証, 軍人証, パスポート, 運転免許証, 社員・職員証, 社会保障カード, 住民票等
その他の情報	性的指向, 結婚歴, 宗教・信仰, 非公開犯罪記録, 通信記録・内容, 住所録, 友人リスト, チャットグループリスト, 位置追跡・居場所(行踪轨迹), Web閲覧履歴, 宿泊情報, 高精度位置情報等