データコンプライアンスに関する評価レポート
特権および機密
【A社宛】
[From: F 法律事務所、上海]
電話: 86-21 xxxx xxxx
ファックス: 86-21 xxxx xxxx
[日付: 2022 年 12 月 7 日]
Re: 企業 G中国1のデータ コンプライアンスに関する評価レポート
宛先:A社
当事務所は、中華人民共和国 (「PRC」)において中国法を執行する正式な資格と権限を有する法律事務所です。
当社は、A 社から、G 社中国のデータ コンプライアンス管理に関する法的評価を提供するよう依頼されました
。
この目的のために、以下の手順で企業 G 中国のデータ コンプライアンス管理を調査および評価し
、
参考のためにこのレポートを発行しました。
-
Review various relevant documents, policies, contracts and / or
templates provided by the four Corporate G entities in the PRC; -
Collecting further information through the meetings, communications
and other written exchanges with the relevant teams of the four
Corporate G entities in the PRC.
このレポートは、有効な中国の法律、規制、適用される通達、およびポリシーに従って作成されているだけで
なく、このレポートの日付の時点で
政府の Web サイト上の出版物および会社によって提供された資料を参照して作成されて
おり、上記の目的のみを目的としています。
目的。その後の事実上の変更、法律の変更、またはその他の
政府情報の変更により、当社の見解および分析が変更される可能性があります
。このレポートは、特定の結果を保証するものではありません
。
エグゼクティブサマリー
Corporate G SE (「Corporate G」) は、
世界のオートメーション業界で長い間定評のある専門的なセンサー会社であり、誘導センサーから超音波センサー、光電センサーからロータリーセンサーまで、
優れた研究と高品質の製品を提供する世界的なセンサーサプライヤーです。識別システムからフィールドバス システムまで、液体レベルおよび材料レベル センサーからセーフティライト スクリーンまで、防爆センサーからセーフティ グリッド、アイソレーショングリッドおよびその他のセンサーまで。Corporate G SE は、中国で多くの事業体に投資し、設立しました。その中には、このデータ コンプライアンス評価の範囲に含まれる事業体が含まれます。
(以下「A社」)、G社(北京)工程自動化有限公司
(以下「B社」)、G社(上海)自動化工程有限公司(以下
「C社」)、D社(以下「B社」) D」) (総称して
「評価対象事業体」または「会社」と呼びます)。
評価対象事業者の事業内容、
処理するデータの種類、評価で得られたその他の情報に基づき
、当社は現在、サイバーセキュリティ法
に基づく「重要情報基盤事業者」に該当しないことを理解しています。また、当社がこれまでにアクセス・加工したデータのうち、個人情報データを除き、当社が加工・アクセスしたデータは個人情報保護法上の「重要なデータ」に該当しません。したがって、現在、当社のデータコンプライアンス管理の焦点は個人情報保護です。ただし、当社が今後「重要なデータ」にアクセスする可能性があることを考慮すると、
business, we also put forward some preliminary suggestions for the
identification and compliance management of important data in the
Company’s business for the Company’s reference in this report. In this
report, we will analyze the Company’s information systems, products and
services, supplier data, internal employee data, data storage and
transfer, data use and sharing, network security and data compliance
management, etc. In this executive summary, we selected and listed some
major compliance risks we identified in the assessment and provided the
corresponding suggestions for improvement and prepare a summary table as
follows. We would like to kindly remind that this summary only lists the
主要なコンプライアンス リスクについては、本文に記載されている評価レポートの完全版と改善のための提案を参照してください
。
本文
- Corporate G SE (「Corporate G
」) は、世界のオートメーション業界でセンサー技術を専門とする有名な企業であり、誘導型センサーから超音波センサーまで、光電センサーからロータリー エンコーダーまで、識別から
高品質の製品を提供しています。システムからフィールドバス システムまで、液体レベルおよび材料レベルセンサーからセーフティ ライト カーテンまで、防爆センサーから安全バリア、絶縁バリアおよびその他のセンサーまで。企業 G は、中国でいくつかの事業運営組織に投資し、設立しました。
データ コンプライアンス アセスメントには以下が含まれます。Corporate G SEが直接投資する3 つの外国法人個人
事業有限責任会社、すなわち、A 社 (「 A 社」)、Corporate G (Beijing) Process Automation Co., Ltd. (「B 社」) )、G社(上海)自動化工程有限公司(「C社」)、および関連事業体であるD社ビジョンテクノロジー(上海)有限公司(「D社」)(総称して「D社」) 「評価された事業体」または「会社」として)。それらの中で:
-
FA was established in 2006 and is mainly engaged in the research,
development, design, production, sales, supporting services,
technical consulting and other business of sensors, encoders,
identification systems and optical data transfer systems in the
field of automated components and systems. -
PA was established in 2009 and is mainly engaged in the research,
development, design, production, sales, supporting services,
technical consulting and other business of explosion-proof
electrical equipment and lamps, customized terminal boxes, junction
boxes and cabinets, controlling equipment products and components of
process automation equipment. -
SECは2015年に設立され、主に自動化機器およびメーター、防爆電気機器およびランプ、端子ボックス、ジャンクションボックスおよびキャビネット、自動化機器および付属品の
製造、販売、サポートサービス、技術コンサルティングおよびその他の事業に従事しています. -
VMTは2014年に設立され、主に画像技術および自動化技術の分野における
技術の研究開発、設計、システム統合および販売に従事しています産業用画像処理技術および支援ソフトウェアの研究開発、卸売、支援サービス、技術画像処理装置及び付帯設備のコンサルティング、その他の事業。
- During this assessment, the management team of the Assessed Entities
divided the Assessed Entities into two groups based on relevancy of
management team and business among the Assessed Entities, i.e.,
Company A and Company D are assessed as one group, and Company B and
Company C are assessed as another group. The two groups separately
provided responses to the questionnaires on the data processing
activities prepared by us (unless explained otherwise in the
responses). Therefore, this compliance assessment report will
analyze the various data process activities of the Assessed Entities
in their daily business and assess the risks of any based on the
responses and information provided by the Assessed Entities pursuant
to the above group allocation.
1. Information System Compliance
-
評価対象企業から提供された情報によると、
評価対象企業が使用する ERP システムは、
インフォアが提供する M3 の販売および財務モジュールです。評価対象事業体が使用する CRM システムは、
オラクルが提供する Siebel の CRM モジュールです。上記の
モジュールは、企業 G によって世界中で購入および提供されています。
評価対象事業体が使用する人事システムおよびワークフロー ソフトウェアは
、中国国内のソフトウェア ベンダーから購入されます (具体的には、
評価対象事業体は、DigiWin の休暇申請および払い戻し
システムを使用し、A 社および D 社は、
給与計算用の情報システムも中国から購入しました。シティレイ)。評価されたエンティティ
provided us with two software procurement contracts, including the
DigiWin Workflow Software V3.1 Maintenance Contract signed with
Digiwin Software Co., Ltd. and the Sales Contract signed with
SoftwareOne (Shanghai) Software Trading Co., Ltd. The above two
software procurement contracts do not contain specific clauses
related to data protection, and even if the contracts contain
confidentiality clauses, the purpose of the confidentiality clauses
is only for the protection of trade secrets. -
In terms of the access to information systems, the Assessed Entities
set general accessing permission primarily based on the employee’s
position/job role and temporary accessing permission based on the
direct supervisor’s approval and process owner’s authorization.
Amongst them, the DigiWin system and the Cityray system cannot be
access by the Corporate G ’ headquarters and other offshore
affiliates of the Assessed Entities. In conclusion, we understand
that the above practice of the Assessed Entities regarding the
access permission setting basically complies with the necessity
principle and minimization principle regarding the use of data. -
In addition, the four Assessed Entities have provided us with the
ZVEI-VDMA Code of Conduct (updated in January 2022), which,
according to the information provided by the Assessed Entities, is
applicable to all the subsidiaries of Corporate G including the four
Assessed Entities and is published on Corporate G official
website2. This document briefly introduces Corporate G ’
compliance management principles, and Article 3.5 Data Protection
Clause of this document includes the protection of personal
information3. It shows that Corporate G attaches great importance
to data compliance.
[Potential Compliance Risks:]
- The software procurement contracts signed by the Assessed Entities
and external third parties do not contain special clauses related to
data protection, and even if they contain confidentiality clauses,
the purpose is only for the protection of trade secrets. In the
process of using outsourced software, according to the answers
provided by the Assessed Entities, in general, the supplier cannot
access the data stored in the software used by the Assessed
Entities4, but it does not rule out the possibility that the
supplier may access some data of the Assessed Entities in the
process of providing software operation and maintenance services.
したがって、サプライヤーとの契約には、
データ コンプライアンスと個人情報
保護に関するさまざまな規定を含める必要があります。しかし、現在、ソフトウェアサプライヤーとの契約
には、データセキュリティおよび個人情報保護に関するコンプライアンス条項はありません
。
[主な提案:]
- ソフトウェアは一般に標準化された製品であり、その調達
契約は多くの場合、ソフトウェア サプライヤによって提供される標準契約です
。
このような標準契約に署名する前に、評価対象事業体がそれを見直して改訂することをお勧めします。評価対象
事業体は、データ保護に関する規定がないことを発見した場合、それに
応じて規定を追加し、ソフトウェア
サプライヤーにそれを遵守するよう要求するものとします。この状況下で、データ
セキュリティ インシデントまたは紛争が発生した場合、契約におけるそのような規定は、評価対象エンティティがその権利を保護する
ための利便性を提供します。
さらに、当社は、
既存の契約に関連するデータ保護条項を追加することをお勧めします。
ソフトウェアサプライヤー5.
2. 製品およびサービスに関連するデータ コンプライアンス
-
商品・サービスの基本情報
-
評価対象企業から提供された情報によると、
B 社および C 社が市場に提供する製品には、防爆
インターフェース モジュール、エンジニアリング ソリューション、
防爆モバイルおよび通信、イーサネット APL およびフィールドバス、
ワイヤレス ソリューション、リモート ソリューションが含まれます。 I/O、バス、電源、ソフトウェア製品。
さらに、B社とC社は、
販売、技術トレーニング、オンサイトサービス、修理、
返品などのサポートサービスも提供しています. -
A社とD社が市場に提供する製品は、
主に近接センサー、光電センサー、超音波
センサー、ロータリーエンコーダー、RFID、フィールド
バスモジュラー、ビジョン製品などのシステム製品です。エンジニアリング プロジェクトでは、A 社
と D 社は、
G 社のハードウェア製品に基づいて、インストール、プログラミング、およびシステム統合サービスも提供します。
前述のサービスに加えて、VMT の製品ラインには、2D および 3D の測定、測位、認識などのカスタマイズされたビジョン ソリューションとサービスも含ま
れています
。- **お客様の基本情報およびお客様情報
保護**
- **お客様の基本情報およびお客様情報
-
評価対象企業から提供された情報によると、
B 社および C 社の製品およびサービスの購入者/エンドユーザーは、
通常、次の
業界の市場参加者です: 石油化学、石油およびガス、公益事業、製薬、
生化学、オフショアおよび海洋、廃水、発電、食品および飲料、および B 社は、原子力業界の顧客とも
一定の取引を行っていますが、関連する取引量は比較的限定的です。また、B 社および C 社から製品およびサービスを購入するバイヤーの市場での役割には、 DCS 企業、システム インテグレーター、代理店/ディストリビューター、エンド ユーザー、OEM、研究などのカテゴリが含まれることもわかりました。
institutes. From the perspective of the ownership type of the
enterprises, the above-mentioned customers include state-owned
enterprises and private enterprises. From the perspective of the
flow of products and services, most of the products and services of
Company B and Company C are provided to the Chinese customers, and
only about 1% of the products and services are provided to customers
located in Southeast Asia. -
A社とD社の製品およびサービスの購入者/エンドユーザーは、
一般的に次の業界の市場参加者です:
自動車、機械、物流、ゲート制御、プロセス機器、
食品包装業界、エレクトロニクス、冶金、タバコ、新
エネルギー、ロボティクスと輸送。
企業の所有形態から見ると、FA と VMT の顧客には
国有企業と民間企業が含まれる。さらに、
会社 A チームの同僚は、会社 A と
会社 D には、
上海電気制御研究所 (すなわち、218 Research
研究所、中国兵器機器グループに所属)。
製品とサービスの流れの観点から、FA の製品
とサービスは中国国内の顧客にのみ販売され、
VMT の製品とサービスは主に中国で提供され、いくつかの製品
とサービスは主に中国を含む外国の顧客に販売されます。
インド、タイ、ベトナムの顧客。 -
G 社の 4 つの評価対象事業体が上記の製品およびサービスを提供する過程で、約15 年間で
約 42,000 の顧客 (B 社の顧客が約 11.7%、A 社の顧客が 88.3%) を蓄積し、約10万人の取引先担当者(約9.35%がB社の取引先、残りの90.65%がFAの顧客)に連絡。会社名、住所、部署、納税者コード、会社の銀行口座情報、プロジェクト情報、取引先の個人情報など、顧客関連の情報が収集される場合があります。その中で、プロジェクト情報には通常、製品のエンドユーザー、デバイス、
プロジェクト名、場所など、時には
プロジェクトの生産能力データも収集されます。ビジネス連絡先の個人情報には
、通常、個人の名前、
役職、携帯電話番号 (つまり、個人の携帯電話
番号または会社が従業員に提供する携帯電話番号) が含まれます。 -
Considering that many of the Assessed Entities’ customers are
state-owned enterprises and other large enterprises, such as
SINOCHEM GROUP, SEI, Sany Group, etc., based on our experience,
Assessed Entities may have access to important data when conducting
business with these companies and more stringent network security
and data protection measures need to be taken. According to current
laws, regulations and practices, we understand that the important
data include but are not limited to the following categories: 1)
manufacturing data, R&D information, intellectual property rights,
business operation data, operation and maintenance data, and supply
公共通信および
情報サービス、エネルギー、運輸、水利、
金融、公共サービス、政府業務、国防
科学技術およびその他のネットワーク施設などの重要な分野における重要なネットワーク施設および/または情報システムのチェーンデータおよび/または
国家の安全、
国家経済、国民生活、公共の利益を著しく損なう恐れのある情報システムは、一度
破壊されたり、機能を喪失したり、データ漏えい事件が発生したりする可能性があります。2) 地図
データ。3) ナビゲーションデータ; 4) 調査データ; 5) 重要な地理
情報。6) セキュリティ機器データ、セキュリティ展開
データ。7) エネルギー備蓄情報。その中で確認したところ、
with the Company B and Company C teams through questionnaires, their
responses to the question in item 1.2 of the questionnaire on
whether the products and services involve processing important data
is that Company B and Company C “do not access to such data”, “no
sensitive data is involved”. Although the terminology of “sensitive
data” mentioned by the Company B and Company C teams and “important
data” asked in item 1.2 of our questionnaire is different, from the
questions and responses in item 1.2, it is clear that Company B and
Company C do not collect important data of the customers. However,
in the process of the Company B and Company C teams’ filling out and
providing responses on item 3.1 of the questionnaire, we noticed
that the colleagues from the Company B and Company C teams mentioned
that as to the information collected from customers, “some sensitive
information may be collected from the institutes, including 711
Institute, 718 Institute (they are the institutes owned by the PRC
military), etc.”. After further verifying the meaning of “sensitive
information” mentioned here, we learned from the Company that the
“sensitive information” mentioned here is “mainly the project name
and production capacity”. At the same time, as confirmed by Company
B and SEC, the two companies had business dealings with some
機関 (711 および 718 を含む) および/または5 年前に軍が所有していた機関。しかしながら、当社は現在
これらの機関と取引を行っておらず、
今後も取引を行う予定はありません。また、
A社およびD社の関係者は、業務プロセスにおいて軍事産業関連情報
などのセンシティブな産業の情報にアクセスする可能性があると述べていましたが、同時にアンケートの項目1.2でも回答しました。会社 A と会社 D は重要なデータにアクセスできません。 -
さらに、顧客情報の保管と保護の観点から
、プロジェクト情報を含む顧客情報が
CRMおよびERPシステムに保管される可能性があることを知りました。さらに、
評価されたエンティティの営業および運用チームなどのチームは、
インタビューで、ビジネス接続のプロセス中に
、実際には、
電子メールのやり取りを通じていくつかの「機密情報」にアクセスする可能性があると述べましたが、そのような情報は
入力されません。 CRM や ERP システムに送信されることも、
海外に送信されることもありません6。 -
The Assessed entities will typically enter into confidentiality
agreements with the customers. In respect of the text of the
confidentiality agreement, Company B has provided us with the
Confidentiality Commitment unilaterally issued by Company B to ABB
Engineering (Shanghai) Ltd. (“ABB”), which stipulates the
confidential information, purpose of use, confidentiality
obligation, confidentiality period and liability for breach of
contract are stipulated and Company B even promises to entitle ABB
to inspect and audit on PA’s confidentiality system and measures. In
addition, we have also received the confidentiality agreement signed
by Company B and Zhejiang SUPCON Technology Co., Ltd., which
stipulates the data protection obligations of both parties. Based on
the above-mentioned information, we learned that Company B and
Company C used different texts/templates when signing
confidentiality agreements with the customers and some of them are
the templates provided by the customers, and some of them are the
unilateral confidentiality commitments signed by Company B or
Company C rather than the mutual confidentiality agreements. -
FA は、HIKROBOT Technology Co., Ltd. との間で締結された秘密保持契約(「 HIKROBOT 秘密保持契約」) と、Hainan Jinpan Smart Technology Co., Ltd. との間で署名されたサプライヤー秘密保持および完全性契約(「Jinpan Technology Confidentiality Agreement」) を提供してくれました。この 2 つの契約では、機密情報、使用目的、機密保持義務、機密保持期間、および契約違反に対する責任が規定されています。その中で、ジンパン技術機密保持契約は、主にFAを「当事者B」として、
海南金盤スマートテクノロジー有限公司に対して一方的に守秘義務を負っており、個人
情報/データ保護に関する具体的な規定はありません。また、A 社は、
蘇州電気器具科技学院有限公司と販売契約を結びました
。ただし、この契約にもデータ保護条項は含まれていません
。 -
VMT は、
Durr Paintshop Systems Engineering (Shanghai) Co., Ltd. との機密保持契約 (WORD 版) 、 Beijing Hinsong Yicheng Machinery & Electric Engineering Co., Ltd. との
機密保持契約、およびEBZ SysTec (Shenyang) Limited と機密保持契約を締結。これら 3 つの秘密保持契約の内容によると、3 つの秘密保持契約は主に、契約に基づく相手方当事者に対する D 社の一方的な秘密保持義務を規定しており、 EBZ SysTec (Shenyang) Limited と締結した秘密保持契約のみが D 社の一方的なデータ遵守義務を規定していました。 VMT、および他の 2 つ
機密保持契約は、個人情報/データ保護に関連するものを何も規定していません
。
[潜在的なコンプライアンス リスク:]{.underline}
-
(1) 一部の顧客との間で締結された契約にはデータ保護条項が含まれておらず、顧客は、顧客が提供する情報が関連する法律および規制に従って収集されること
を約束するものではありません。さらに、顧客による違法なデータ収集に関連するリスクから評価対象エンティティを保護するための「ファイアウォール」条項はありません。 -
(2) Different colleagues from the Assessed Entities may have
different views and determination on sensitive data and important
data. Additionally, the Company does not have any written
determination criteria or generate any common criteria or measures
for determining for identifying sensitive data and important data
from its practices, which may cause inaccuracy or discrepancies in
identifying the important data. -
(3)評価対象事業体と顧客の間で署名された、または署名される秘密保持契約の固定テンプレートはありません
。当社と顧客の間で締結された機密保持契約の一部は
、顧客から提供されたテンプレートであり
、それらの一部は、
相互の機密保持契約ではなく、評価対象事業体による一方的な機密保持の約束です
。さらに、ほとんどの機密保持契約には
データ保護条項が含まれていません。
[主な提案:]{.underline}
-
(1) 顧客が法的要件に違反して情報を収集することによって引き起こされるリスクから評価対象事業者を保護するための「ファイアウォール」を
設定するために、顧客と署名する、または署名する予定の契約にデータ保護条項を追加することをお勧めします。. -
(2)国家情報セキュリティ標準化技術委員会が起草し、2022 年 1 月 13 日に公開された情報セキュリティ技術 - 重要データの特定に関するガイドライン (コメントのドラフト)
を参照して、重要なデータの特定に関するガイドラインと手順を確立することをお勧めします。重要なデータ識別のガイドラインと手順に関するトレーニングを、顧客情報にアクセスする可能性のあるすべての従業員に提供し、関連する宣伝および実施活動を行うことで、従業員が顧客の重要なデータを正確に識別できるようにします。
have access to such data and protect such data in accordance with
the management and technical protection measures applicable to
important data. -
It is recommended that the Company should draft, update and amend
the template for a mutual confidentiality and data protection
agreement so that such fixed template could firstly be used and
signed by the parties when conducting business with the customers in
future. Such template should stipulate the confidentiality
obligations of both parties, rather than Corporate G ’ unilateral
confidentiality obligations. If any customer mandatorily requests
Corporate G to sign a confidentiality agreement or a unilateral
confidentiality commitment template drafted and provided by the
customers, such agreement or template should be carefully examined
on whether the confidentiality obligations set forth therein are
practical for the Assessed Entities, e.g., if the customer requests
to inspect or audit on the Assessed Entities’ confidentiality
measures for protecting customer information, then the Assessed
Entities should consider whether the Assessed Entities is in a
position to distinguish such customer’s data from that of other
customers and the Assessed Entities so that allowing such customer
to conduct an inspection or audit would not cause the Assessed
Entities violate confidentiality obligations to other customers and
would not result in the leak of information.
3. Supplier-related Data Compliance
- Data Compliance of PA’s and SEC’s Suppliers
<!-- -->
-
評価対象企業から提供された情報によると、
B 社は次の種類のサプライヤー、すなわち
防爆認証機関 2 社、完成品
サプライヤー 3 社、物流サプライヤー 5 社と契約していました。C社は、原材料
サプライヤー、機械加工サプライヤー、技術サービスプロバイダー、
設備サプライヤーなど、合計約600のサプライヤーを持っています。これらのサプライヤーに連絡する過程で
、B社とC社は、
サプライヤーの会社名、住所、電子メールアドレス、会社の
銀行口座情報、連絡先の名前、連絡先の
携帯電話番号、連絡先の役職などを収集する場合があります。の
情報は、ドイツのマンハイムにある G 社本社のローカル サーバーに保存されている M3 に保存されます
。サプライヤーに関する情報
(認証機関に関する情報など) は、
B 社および C 社から G 社の関連会社に共有される場合がありますが、
他の第三者には共有されません。 -
まず、サプライヤーの情報保護に関して、
B社とC社は全てのサプライヤーと秘密保持契約やデータ保護契約を結んでおらず、関連する調達契約やその他の協力契約にもデータ保護に関する具体的な条項
はありません。 -
第 2 に、B 社と C 社は、調達プロセスに適用される一般的な条件、つまり、
商品および/またはサービスの購入に関する条件を提供しており、
この文書の第 13 条 (機密保持) は機密保持条項
であり、サプライヤーは
、企業 G の業務および技術に関する情報の機密を保持する必要があります。ただし、この条項は、サプライヤーが協力の過程で接触する可能性のある企業 G の従業員の個人情報、または機密ではないが保護する必要がある情報など、
機密のビジネスおよび技術情報以外のデータを保護しません。. 言い換えれば、
Terms and Conditions for
Purchase of Goods and/or Services does not contain specific data
protection clauses. -
Additionally, Company B and Company C provided us with the
Agreement on the Principles of Cooperation applicable to the
supplier which also contains a confidentiality clause, i.e., Article
13 “Confidentiality of P+F/Information”. In this clause, the term
“P+F Information” refers to “all information provided by Corporate G
or its representatives or subcontractors to supplier in connection
with the operations, programs, goods and services covered by this
Contract, including, without limitation, pricing and other terms of
this Contract, specifications, data, formulas, compositions,
designs, sketches, photographs, samples, prototypes, test vehicles,
製造、梱包、または出荷の方法とプロセス、および
コンピューター ソフトウェアとプログラム (オブジェクト コードとソース
コードを含む)。P+F 情報には、バイヤー、サプライヤー、またはその他の人物
によって作成されたかどうかにかかわらず、P+F 情報を含む、またはそれに基づいた資料または情報も含まれます。」
この条項は、上記の商品および/またはサービスの購入に関する条件の
第 13 項 (機密保持) よりも保護的であり、前述のデータの使用目的と開示の範囲を指定していますが、その他の必要なデータ保護要件がまだ欠けています。データの返却または破棄、データの最大保持期間など。
[潜在的なコンプライアンス リスク:]{.underline}
-
(1) B 社および C 社は、すべてのサプライヤーと秘密保持契約またはデータ保護契約を締結しておらず、調達契約またはその他の協力契約にデータ保護に関する特定の規定
もありません。サプライヤーとの機密保持契約のテンプレートはありません。 -
(2) B社とC社が提供する商品および/またはサービスの購入条件および
協力
原則に関する合意書のひな型におけるデータ保護に関する合意は
十分ではありません。
[暫定的な提案]{.underline}:
-
(1)将来サプライヤーと取引する際に、両当事者が最初に固定テンプレートを使用して署名することを選択できるように、会社とサプライヤーの
間の相互機密保持およびデータ保護契約のテンプレートを更新および改善することをお勧めします。同時に、サプライヤーとの既存の契約に個人情報保護およびデータセキュリティ条項を追加し、法的要件に違反してサプライヤーがデータを処理することによって引き起こされるリスクから評価対象エンティティを保護する「ファイアウォール」条項を追加することをお勧めします。 . -
(2)商品および/またはサービスの購入に関する利用規約および
協力の原則に関する契約のテンプレートを更新および改善することをお勧めします。具体的には、
守秘義務条項に加えて、データ
保護条項を追加し、保護するデータの範囲
、利用目的、開示制限、共有
制限、最大利用期間、データの返却または破棄、サプライヤーに、データ保護のための内部ポリシーと対策、データ保護のためのハードウェアおよびソフトウェアの条件など
の遵守を約束することを要求し、権利を付与します。
Corporate G to monitor, inspect and audit the implementation of the
above data protection work of suppliers.- FA’s and VMT’s Supplier-related Data Compliance
-
FA および VMT のサプライヤーには、主に物流サプライヤー
(SF-express、EMS、TVS、FedEx、DHL を含む)、原材料
サプライヤー、機械加工サプライヤー、労務請負サプライヤー、
人材サービス プロバイダー、ソフトウェア サービス プロバイダー、イベント
サービス プロバイダーなどが含まれます。 A 社と D 社は、
サプライヤーの会社名、住所、電子メール アドレス、会社の銀行
口座情報、連絡先の名前、連絡先の携帯
電話番号、連絡先の役職などを収集します。ほとんどの情報は、会社
が使用する ERP システムに保存されます。また、
連絡先情報もメールボックスまたはメールボックス サーバーに保存されます。
評価対象事業体の国際ビジネスに関する情報
SF-expressとEMSも同時にCorporate Gシンガポールオフィスに報告されます。 -
上記のソフトウェア購入契約に加えて、会社 A と会社 D は、天津東電創新技術開発有限公司との購入および販売契約
のコピーも提供してくれました。Shenzhen Deshanghui Culture Communication Co., Ltd との祝賀サービス契約書の写し。PV プロジェクトのソフトウェア開発協力契約の WORD 版のコピー。および寧夏龍鶏 101 ワークショップ ショート サイド下請契約の WORD 版のコピー、中国郵政公社上海支店と署名した郵便輸入商業速達サービス契約( 「
EMS”). Among them,
the Purchase and Sale Contract does not contain confidentiality
and data protection clauses; the Celebration Activity Service
Agreement does not contain confidentiality and data protection
clauses; the two WORD versions contracts only stipulate the
supplier’s confidentiality obligations to FA, and there is no
stipulation on data protection; the Postal Import Commercial
Express Service Contract contains confidentiality clauses, which
has some stipulation on personal information protection, but the
relevant content is not sufficient to cover the relevant personal
情報保護義務。また、 A社とD社は通常、サプライヤーとの契約を締結する際に
サプライヤーの契約テンプレートを使用し、ソフトウェア開発契約を締結する際にのみG社独自のテンプレートを使用していることもわかりました。
[潜在的なコンプライアンス リスク:]{.underline}
- Firstly, given that Company A and Company D currently use the
supplier’s agreement templates when entering into agreements with
suppliers except for concluding the software development agreements,
if a supplier’s agreement template does not contain a
confidentiality and/or data protection clause, the final signed
agreement will not contain a confidentiality and/or data protection
clause, either. In other words, the parties will not be able to
clarify their respective data compliance obligations, and there will
be no “firewall” clause to protect FAs and Company D from any breach
of data handling by the other party. Besides, some of the agreements
with some existing suppliers do not contain protection and data
security clauses and a “firewall” clause that protect Company A and
Company D from any unlawful processing of data by the supplier.
[Preliminary Suggestions:]{.underline}
- It is recommended to develop, update and amend the template of the
mutual confidentiality and data protection agreement, so that
Company A and Company D and their suppliers could firstly select
such fixed template for execution when dealing with the suppliers in
the future. Meanwhile, it is also recommended to add the clauses on
personal information protection and data security, as well as a
“firewall” clause that protect Company A and Company D from any
unlawful data processing activities by the supplier to the existing
supplier agreements.
4. Internal Employee-related Data Compliance
- Collection of Personal Information of Candidates
<!-- -->
-
According to the Personal Information Protection Law and other
relevant laws, personal information processors shall inform
individuals of the purpose of collection, etc. and obtain their
consent in accordance with the law and shall follow the principle of
“minimum necessity” when processing personal information. Storage of
personal information shall follow the principle of necessity, unless
otherwise provided for by laws and administrative regulations, the
storage period of personal information shall be the minimum period
necessary for achieving the purpose of processing. -
Based on our review of the Liepintong Service Contract between
Company C and Tongdao Jingying (Tianjin) Information Technology Co.,
Ltd., we understand that one of the major recruitment channels of
Company C and Company B is recruitment on the third-party platform
and that the third-party platform engaged by Company C and Company B
is the “Liepin” platform operated by Tongdao Elite (Tianjin)
Information Technology Co., Ltd (“Liepin”). In this recruitment
process, Liepin sends candidates’ resumes to the two companies, and
the two companies will obtain the relevant personal information of
the candidates after receipt of the candidates’ resumes. In general,
履歴書に含まれる個人情報には、名前、携帯電話番号、電子メール アドレス、年齢、学歴、職歴などが含まれますが、これらに
限定されません。C 社と Liepin の間のLiepintong サービス契約を
調査した結果、 Liepin がそのような履歴書を 2 つの会社にどのように配信するか、またはそのような慣行の遵守を保証する方法についての説明条項を提供する条件は見つかりませんでした。Liepin の個人情報保護方針では、 「あなたは、履歴書を開示することを選択したユーザーの範囲内の Liepin ユーザーが、履歴書を取得するために履歴書を閲覧するために料金を支払う場合があることを認め、同意する」と規定しています。
提出またはアップロードする履歴書の情報」。しかし実際には、リエピンの候補者が自分の履歴書が B 社と SEC に送付されることを特に認識していない
可能性を排除することはできません。したがって、そのようなリスクを防止するために、情報受領者としての B 社と SEC は、Liepin に対し、そのような個人情報の収集と 2 社との共有が、関係することを避けるために、適用される法律と規制に準拠していることを確認するよう要求する場合があります。個人情報の処理中のサードパーティの採用プラットフォームの不遵守による。B社とC社は、サードパーティのプラットフォームを通じての採用に加えて、
recruitment through internal referral7. When collecting
candidates’ CVs through internal referral, the candidate is deemed
to give his/her consent to the two companies’ processing of the
personal information provided by the candidate for recruitment
purposes when the candidate sends the resume to the two companies or
the employee of the two companies. In addition, from the relevant
functional departments’ personnel’s responses to the questionnaire,
we learned that Company B and Company C do not collect any
additional information directly from the candidates during the
interview (e.g., the two companies do not ask the candidates to
面接中に情報フォームに記入してください)。
B社およびC社は、不適格な候補者の場合、該当するポジション
の採用が完了してから3か月以内に候補者の履歴書を削除します
。 -
Regarding the collection of candidates’ information by Company A and
Company D in the recruitment process, according to the information
provided by Company A and VMT, the two entities will carry out the
recruitment and collect the candidates’ information through 51job,
Liepin, Boss Zhipin, headhunter companies, the two companies’ WeChat
account and internal referral8. Currently, Company A and Company
D have not provided us with any service agreement with 51jobs,
Liepin and Boss Zhipin9. At the same time, the current user
agreements and privacy policies of the above-mentioned online
recruitment platforms mainly describe what types of the user
情報はプラットフォームによって収集および処理され、どのような
保護措置が取られ、個人情報主体が関連する個人情報の権利
を行使するためにどのような手段が利用可能か。
採用プロセス中に、
2 つのエンティティによって収集される情報には、候補者の
名前、携帯電話番号、電子メール アドレス、個人的な職歴
などが含まれます。履歴書の最初の審査の後、企業は
候補者との面接を手配し、候補者は
面接登録フォーム (「個人
データシート」)に記入する必要がある10 . パーソナル データ シートでは、いくつかの個人的な
information such as name, ID number, date of birth, mobile phone
number, home address, marital status, emergency contact name and
contact information, educational background, work experience, family
member information, etc. needs to be filled out by the candidate,
but the form does not contain a provision for the candidate’s
written authorization to consent to the companies’ processing of
personal information. Resumes and the Personal Data Sheet provided
by the unqualified candidates will generally be retained in the HR
Department for six months to one year and can only be accessed by
the HR Department and will not be transferred overseas. The reason
for retaining the unemployed candidate’s information is that some
candidates may still be employed by the companies. If such storage
period expired, such unemployed candidates’ information will be
deleted and shredded. However, the two companies do not inform such
candidates of how the companies will deal with his/her information.
[Potential Compliance Risks]{.underline}
-
(1) If the third-party platform Liepin unlawfully sends the
candidate’s resumes to Company B and Company C without the
candidate’s acknowledge and consent to the person to whom the resume
was sent to, thereby implicating Company B and SEC. The agreement
with Liepin did not contain Liepin’s commitment to processing data
in compliance with the laws and regulations. -
(2) A社及びD社が面接において候補者に個人情報の提供を求める場合において、個人情報の利用目的等を候補者に
通知せず、個人情報の収集について本人の正当な同意を得ない場合。 -
(3) A社とD社が利用しているオンライン求人プラットフォームの利用規約とプライバシーポリシーでは、主に
個人情報の取り扱いについて紹介しています。A社とD社は、データ保護に関する当事者の権利と義務を定義し、第三者によるデータの違法な処理から生じるリスクを防ぐための「ファイアウォール」を設定するために、オンライン求人プラットフォーム
と独占的なサービス契約を締結していない可能性があります。-パーティーのオンライン募集プラットフォーム。
[暫定的な提案:]{.underline}
-
(1) 会社 C と会社 B は、Liepin (および将来的には
他のサードパーティの採用プラットフォームまたはヘッドハンター) と署名したサービス契約に条項を追加し、相手方当事者がその収集と共有を引き受けることを要求することをお勧めします。 C社およびB社に対する候補者の個人情報データは、関連法を完全に遵守し、違法な収集、使用および処理がないこと。( A社とD社が第三者のヘッドハンターを通じて採用する場合も同様) -
(2) Considering that when Company A and Company D recruit through
the online platforms, they obtain the candidates’ resumes through
the platforms, if disputes arise between the platforms and
candidates in the processing of candidates’ information, Company A
and Company D could also be implicated. Therefore, it is recommended
that Company A and Company D sign the specific service agreements
with 51 jobs, Liepin, and Boss Zhipin to clarify the data compliance
obligations and set up “firewall” clauses to prevent the risks of
non-compliance with data processing by the third-party online
recruitment platforms. -
(3) A clause for obtaining an individual’s authorization and
consent shall be added to the registration form to be filled out by
the candidate as required by Company A and VMT. This clause shall
inform the candidate of the type, method, purpose and storage period
of the information to be processed and obtain his/her consent in
accordance with the Personal Information Protection Law. -
(4) 被評価企業が
企業 G の Web サイトを通じて採用を行う場合、つまり、候補者が Web サイトに情報を入力して
履歴書をアップロードする場合、被評価企業は Web
サイトにプライバシー ポリシーを掲載し、候補者にポリシーを読むよう要求する
ものとします。 「会社のポリシーに同意し、プライバシー ポリシーに従って
会社が個人情報を処理することに同意します」のチェックボックスをオンにします。
さらに、プライバシーポリシーは、
会社が採用目的で個人情報をどのように処理するかについて説明し、中国の法律および規制に従って個人が個人情報の権利を行使する
ためのチャネルを提供するものとします。
<!-- -->
- Background Check on the Proposed Employee before Employment
<!-- -->
- Based on the responses to the questionnaire from the relevant
functional staff, we understand that Company B and Company C will
engage a third-party service provider, i.e., FSG (Shanghai Foreign
Service (Group)) Co., Ltd.), to conduct a background check on the
proposed employees before onboarding. The background check is
conducted without the consent of the proposed employee. According to
general experience, the content of the background check may include
all the information on the resume of the proposed employee, such as
identity information and education information. We have reviewed the
service agreement signed by Company A and FSG provided by FA, which
会社によると、会社 B および会社 C にも適用され
、このサービス契約は、主に
FSG による査定対象事業体への給与計算サービスの提供に関する契約であり
、身元調査の提供は含まれておらず
、このサービスも含まれていません。契約には、個人情報保護および/またはデータ コンプライアンスに関する条項が含まれます
。A社
と VMT の場合、身元調査は現在、人事部
自身が実施しており、第三者は関与していません。
[潜在的なコンプライアンス リスク:]{.underline}
- 個人情報保護法により、個人
情報処理者は、ご本人
から収集した個人情報を
第三者に提供する場合には、ご本人に通知し、同意を得なければなりません。したがって、評価対象事業者が、採用予定者
に身元調査を
実施する旨を通知せず、その同意を得ていない場合、当社が
採用予定者の個人情報を身元調査会社に提供することは、本人の同意を得ずに
個人情報を第三者に提供することとなる可能性があります。個人情報保護法の関連規定に違反する
個人情報の主体の
.
[暫定的な提案]{.underline}
-
(1) Company B and Company C shall first obtain the proposed
employee’s authorization and consent for the processing of such
personal information before requiring FSG to conduct a background
check on the proposed employee. If the Assessed Entities provide any
sensitive personal information of the proposed employee to FSG, a
separate consent should be obtained from the proposed employee. In
addition, the service agreement with FSG should clearly stipulate
the rights, obligations and responsibilities of both parties on the
protection of personal information and contain a “firewall” clause
to prevent the risk associated with unlawful processing of personal
information by FSG. In addition, in order to reduce the
制御不能なリスクを回避するため、FSG とのサービス契約にバックグラウンド チェック サービスの下請けを禁止する条項を追加します
。会社 A と会社 Dが将来、提案された従業員のバックグラウンド チェックを
実施するために第三者を雇うつもりである場合、会社 Aと会社 D は、必要に応じてここでの提案を採用することができます。 -
(2) 当社は、個人情報保護
方針を定め、個人情報を取り扱う際の人事及びその他の従業員の遵守事項を定めます
。
<!-- -->
- 正式採用社員の個人情報の収集について
<!-- -->
-
Based on the responses to the questionnaire from the relevant
functional staff, after deciding to formally hire the candidate, the
Assessed Entities will ask such employee to fill out the Employee
Information Form (for Company B and SEC) or the Personal Data
Sheet 11(for Company A and VMT), which require the employee to
provide his/her personal information such as name, ID number,
contact information, address, bank card number, marital status,
children’s status, family members’ information including contact
phone numbers, education, etc., and sign the Employment Contract
with the employee, and require such employee to acknowledge and sign
for the Employee Handbook. In the daily work, if the employee asks
for a leave, the Assessed Entities could also collect the employee’s
information such as the sick leave statement. In addition, if
Company A and Company D intend to organize the employee’s onboarding
health check and the annual health check, they could also collect
the employee’s name, ID number, and review the employee’s health
check report. According to the Personal Information Protection Law
and other laws, when collecting the personal information, the
Company shall inform the individual of the purpose of collection and
obtaining his/her consent, and the collection shall comply with the
「必要最小限」の原則。特に、会社 B と会社 C の従業員
情報フォームには、「このフォームはアーカイブを目的としており、各従業員が誠実かつ慎重に
記入する必要がある」という声明が含まれています。
A社およびD社の個人データ
シートには、「私は、
私が提供した上記の情報が事実に基づいて
正しいことを宣言します」という記述が含まれています。評価対象の 4 事業体の従業員ハンドブックには
、「虚偽の情報が提供された場合、会社は雇用契約を終了する権利を有する」と規定されていますが、収集された情報の具体的な用途を説明する条項が
含まれていません。
a clause on the employee’s consent to the collection of personal
information by the Assessed Entities. In addition, the employment
contract templates provided by the four Assessed Entities did not
contain provisions on the protection of personal information. -
Regarding the data related to the employee attendance check, we
learned that SEC, Company A and Company D use fingerprint checking
for employee attendance on a daily basis. The fingerprints data of
the employees of Company C is stored in attendance checking machine
and is not stored on local servers or other devices located in
mainland China, nor is it provided to the Corporate G headquarters
in Germany, other affiliated companies outside of China, or other
third parties. The fingerprints data of Company A and Company D
employees is stored in the attendance checking machine and local
servers located in mainland China and are not provided to Corporate
G本社または中国国外の関連会社。現在、
SEC、A 社、D 社のそれぞれの人事部門と IT 部門の関係者のみが、
そのような指紋データにアクセスできます
。しかし、PA、A 社、および D 社は、
従業員の指紋データを収集する前に、従業員の同意を得ていませんでした
。 -
In addition, Company B and Company C installed cameras in their
plants and posted warning signs at the entrance of the plants, but
the monitoring act was not mentioned in the two companies’ Employee
Handbook or Employment Contract. The security cameras were also
installed in the offices of Company A and VMT, but there were no
warning signs notifying that the individual will be in the
monitoring area, and such monitoring act was not mentioned in the
two companies’ Employee Handbook or Employment Contract.
[Potential Compliance Risks:]{.underline}
- 評価対象の 4 つの事業体は、ID 番号、携帯電話番号、銀行カード番号、指紋の特徴などの機密性の高い
個人情報を含む個人情報の収集について、従業員から書面による同意を得ていません(SEC、 FA、および D 社は従業員を収集します)。個人の個別の同意に基づいて収集される出席目的の指紋) 。従業員ハンドブックまたは雇用契約には、個人情報の保護に関する規定はありません。さらに、当社は、従業員が情報を記入することを要求するフォームを見直して、現在収集されている情報の種類と範囲を評価していない可能性があります。
employees are consistent with the “minimum necessity” principle.
Company A and Company D do not place notification signs in the areas
where cameras are installed to indicate that the individuals are
entering the monitoring areas.
[Preliminary Suggestions:]{.underline}
-
(1) 従業員の個人情報の処理に関する同意通知書
と、
機微な個人情報の処理に関する同意通知書12 (および、 14 歳未満の
未成年者の個人情報の処理に関する通知書) を別途作成する。
収集される可能性のあるデータの種類
、収集の目的、
関連する可能性のあるその他のデータ処理活動 (
詳細については、以下の分析を参照してください)、データの保持期間、
個人が持つ権利を指定します。個人
情報とそのような権利を行使するための経路を尊重し、
従業員に署名を求める。 -
(2) Add provisions on the protection of personal information to
the existing Employment Contract and Employee Handbook. -
(3) Review the information collection forms that need to be
completed by employees to ensure that the information to be
collected from employees is necessary based on the day-to-day
operations and management of the Company, and, if necessary, add
representations regarding the authorization of consent for the
processing of personal information to the relevant forms. -
(4) Company A and Company D shall set up warning signs notifying
the individuals that they are in the monitoring area at conspicuous
places in the monitoring area.
<!-- -->
- 従業員の個人情報のその他の処理活動
<!-- -->
-
関連する機能スタッフからのアンケートの質問への回答と関連文書のレビューに基づいて、従業員の個人情報に関する
評価対象事業体のその他の処理活動は次のとおりであることがわかりました。 -
(1)従業員の個人情報(氏名、携帯電話番号等)は、
日常業務において取引先に提供する場合
。
しかし、関連する契約には個人情報の保護に関する記述はありません。 -
(2) 保管活動、すなわち、i) 従業員の個人
情報をドイツ本社に提供すること。具体的には、評価された 4 つのエンティティ
の従業員データ (機密性の高い個人情報を除く) が
現在 ERP システムに保存されており、 ERP システム内のすべてのデータが企業 G ドイツ本社
のローカル サーバーに保存されているため、そのようなデータ ストレージ
行為は、
個人情報の国境を越えた転送と見なされる可能性があります。ただし、
前述のとおり、そのような処理は
、関連する従業員情報フォーム、雇用契約書、
従業員ハンドブックなどに規定されておらず、従業員によって同意されていません。
一方、Personal Information Protection Law,
any of the following conditions must be satisfied prior to
cross-border transfer of personal information, namely: passing the
security assessment organized by the Cyberspace Administration of
China (“CAC”); or being certified by a specialized agency on the
protection of personal information; or entering into cross-border
data transfer agreements with the overseas recipient in accordance
with the standard contract formulated by the CAC. Amongst them,
according to the Security Assessment Measures for Outbound Data
Transfers, for 1) a data processor processing the personal
100 万人を超える情報、または 2) データ処理者が、前年の 1 月 1 日以降、合計で 10 万人分の個人情報または 10,000 人の機微な個人情報を海外に
提供した場合、または 3) 該当する場合は、CIIO個人情報を海外に転送する場合、 CACが実施する国境を越えたデータ転送に関する安全性評価を申請する必要があります。また、データ処理者が重要なデータを海外に転送する場合は、 CAC が実施する国境を越えたデータ転送に関するセキュリティ アセスメントも申請する必要があります。評価された事業体によって提供された情報によると、評価された事業体は現在、いずれの国の規制当局によっても認められていません。
authority as a CIIO, nor do the Assessed Entities process any
critical data. At the same time, according to the information
provided by the Assessed Entities, from 1 January 2021 to 25
November 2022, the total number of employees of the Assessed
Entities in China is 34413. Some of the personal information of
the aforementioned employees (excluding sensitive personal
information) is stored on a local server in Germany; the total
number of contacts of business partners including customers,
distributors and suppliers of the Assessed Entities stored in the
information system of the Assessed Entities is approximately
18,52814, the aforementioned contact information is stored on a
local server located in Germany. In conclusion, there are 18,872
PRC-located individuals in total whose personal information is
stored on the local server in Germany, i.e., the Assessed Entities
have transferred the personal information of around 18,872
PRC-located individuals to overseas. In addition, the total number
of personal information accessed by the Assessed Entities from 1
January 2021 to 21 November 2022 through websites, e-commerce
platforms and other channels in the course of conducting their
online sales business is 4,10015, and if these data are also
transferred to overseas, the total number of the PRC-based
個人情報が国外に転送される個人は、
約 22,972人 16であり、外部データ転送
に対する安全性評価措置で指定された100,000 人を下回っています。したがって、評価対象事業体によって提供された上記のデータおよび前述の計算に基づくと、このレポートの日付現在、評価対象事業体による国境を越えたデータ転送活動は、国境を越えたデータのセキュリティ評価が行われる状況にはありません。当面の間、振込が必要です。ただし、このレポートの日付の時点で、評価対象事業体の譲渡活動は専門家によって認定されていません。
個人情報保護法で義務付けられている個人情報の保護に関する機関であり、ドイツの本社法人 (および海外のその他の関連会社)
との間で、関連する国境を越えたデータ転送契約を締結していませんでした17。ii)当社の人事システムは、従業員の親族の情報や従業員の病気休暇に関する情報を含む従業員の情報を保存します18。人事担当者のラップトップには、従業員の個人情報も保存されています。さらに、人事部門は、従業員の個人プロファイルをハードコピーで保持しています。 -
(3) ある評価対象事業者の一部の従業員は、管理権限
に基づいて、別の評価対象事業者の従業員に関する情報を閲覧できます。
具体的には、評価された
エンティティが同じ機能チームを共有している可能性があることを知りました。たとえば、
4 つの評価対象事業体の IT 責任者は現在同一人物であり、 4 つの評価対象事業体
の 1 つと法的に雇用関係を確立している (つまり、
雇用契約に署名している)にもかかわらず
、彼はすべての評価対象事業体のデータを表示することができます。企業 G 中国の IT 責任者
としての管理権限に基づいて、実際に4 つの評価対象事業体を評価します。
そのような場合、4 つすべてが
Assessed Entities are the business entities of Corporate G China in
terms of the corporate management structure, but from legal
perspective, all the four Assessed Entities are legal entities
independent of each other. Therefore, from legal perspective, if the
employees of company A can view the internal data of company B,
company C and company D could be deemed as these three companies’
providing their internal data to Company A, and according to the
Personal Information Protection Law, the conduct of providing
personal information to external entities shall be notified to the
individual and the individual’s consent shall be obtained. A written
agreement shall also be signed with the external entity to clarify
the respective rights and obligations. Currently, we learned that no
personal information transfer and sharing agreements have been
signed among the four Assessed Entities. -
(4) Sharing the employee’s personal information to third-party
organizations, such as: -
(a) Providing the employee’s personal information such as the
name, ID Card number, contact information and other sensitive
personal information to the third-party services provider, i.e.,
Ctrip (applicable for Company B and SEC) and Spring Tour (applicable
for Company A and VMT) for the purpose of assisting the employees to
book air tickets, hotel tickets and other itineraries for their
business trips. Such information sharing behavior is not stipulated
in the documents such as the Employee Information Form, the
Employment Contract or the Employee Handbook, etc. or consented
to by the employees; the service agreements with Ctrip and Spring
航空会社には、個人情報保護やデータ コンプライアンスに関する規定もありません
。(b) 従業員の名前、性別、年齢、従業員の連絡先情報を、当社の従業員健康診断給付方針に基づいて第三者の健康診断会社
に提供し、そのような情報共有行為が従業員情報フォームなどのドキュメントに明記されていない場合、雇用契約書、従業員ハンドブックなどであり、事前に書面による従業員の同意を得ていません。©従業員のID番号や生年月日などの個人情報を第三者保険会社に提供
agencies, AIG (applicable for Company B and SEC) and Sun Life
Everbright Life Insurance Co., Ltd (applicable for Company A and
VMT) based on the Company’s benefit policy regarding purchasing
accident insurance, such data sharing conduct is not specified in
the documents such as the Employee Information Form, the
Employment Contract, the Employee Handbook, or is consented to
by the employees, and the agreements respectively signed with AIG
and Sun Life Everbright Life Insurance Co., Ltd do not contain data
protection provisions related to the use of the aforementioned
personal information and confidentiality requirements. (d)
Entrusting a third party (i.e. China International Intellectech
(Shanghai) Co., Ltd. (“CIIC”, applicable for FA) to provide
services related to the employees’ endowment insurance, medical
insurance, unemployment insurance, employment injury insurance and
maternity insurance, and housing provident fund, personnel file
management and work documents for entering Shanghai for work, handle
the evaluation on the professional and technical title, and the
handling of the registration of the collective Hukou, in which the
Company may need to provide the employees’ personal information to
CIIC. Such data sharing conduct is not stipulated in documents such
as 従業員情報フォーム、雇用契約書、
従業員ハンドブック、従業員による
事前の書面による同意はありません。 -
(5) 個人情報処理者は、個人情報保護法に基づき、次のいずれかの事由が生じた場合、当該個人
情報を削除するものとします。そのような目的を達成するためにもはや必要ではありません。(ii)個人情報処理者が商品若しくはサービスの提供を停止し、又は保管期間が満了したとき。(iii)本人が同意を撤回した場合。四 個人情報処理者が法律、行政法規又は契約に違反して個人情報を処理する場合 (v) その他
circumstances stipulated by laws and administrative regulations.
Therefore, in principle, according to the requirements of the
Personal Information Protection Law, if the candidate is not
employed or the employee resigns, the Company should delete his or
her personal information as soon as possible. Of course, in
practice, based on other legal provisions and necessary management
needs of the Company (for example, to prevent post-employment labor
disputes, the company may retain the information of the ex-employees
for a period of time), assuming that the Company has reasonably
determined the storage period applicable to the Company’s practice
ご本人に通知し、同意を得た場合、当社が定める保管期間
内において、ご本人の情報を保管することがあります
。ただし、保管期間内に
本人から個人情報の削除を求められた場合は、個人情報保護法の規定に従い、当社が削除するものとしますのでご注意ください。雇用終了後の従業員の情報の処理に関して、 B 社および SEC の HR から提供された情報によると、B 社および C 社は通常、従業員の個人情報を保管しています。
employees for certain period of time following their termination of
employment. The retention period of the hardcopy of the personal
information is usually 5 years and above, while that of the softcopy
of the personal information is three years. Company A and VM’s
regulations and practices on storage and deletion of the employee
information are to be confirmed. It is important to note that,
according to the information provided by the IT department of the
Company, the Company has not set up a unified deletion period for
the moment, i.e., based on the current practice, even if the HR
department has its own internal regulations on the storage and
deletion of data, which may not be known to the IT and other
部署によっては、実際には従業員データが
会社の内部情報システムに長期間保存される可能性があります。
[潜在的なコンプライアンス リスク:]{.underline}
-
当社は、個人情報保護
法の規定に従い、上記の
データ処理行為についてご本人に通知し、ご本人の同意を得る
とともに、「必要最小限」の原則を遵守するものとします。したがって、評価対象事業体による前述のデータ処理活動
の現在の慣行には、次のリスクが存在する可能性があります。 -
(1)顧客および販売業者との契約において、個人情報保護に関する規定はありません
。 -
(2)従業員の同意なしに、従業員の個人情報 (
センシティブな個人情報を含む場合があります) を他のコーポレート G 中国事業体に提供すること。 -
(3)個人情報保護法
に基づく個人情報保護に関する専門機関の認定を受けていない、またはドイツ本社(および該当する場合はその他の海外関連会社)と関連する国境を越えた情報移転契約を締結していない。 -
(4) Provide the employees’ personal information to an external
third-party institution without the consent of employees, and the
service agreement with the external third-party institution does not
include a data protection clause. -
(5) The departments vary in the practice on the setting of storage
method and the period of storage of employees’ personal information.
In addition, in practice, the former employees’ personal information
may be stored for a longer period than “the minimum period necessary
for the purpose of processing”.
[Preliminary Suggestions:]{.underline}
-
(1) 上記のとおり、
個人情報の取扱いに関する通知同意書、
機微な個人情報の取扱いに関する通知同意書を別途作成し、既存の雇用契約書及び従業員手帳
に個人情報保護の条項を追加すること. -
(2) 上記のとおり、当該取引先及び顧客との契約書に個人情報保護条項を追加すること
。 -
(3) 4 つの評価対象エンティティ間のデータ共有契約の締結を手配します。 -
(4) 企業 Gドイツ本社 (および/または
従業員の個人情報を共有するために評価対象エンティティを必要とするその他のオフショアエンティティ)との国境を越えたデータ転送契約に署名します。
同時に、
海外に転送された個人情報の量を個人の数で定期的に計算します
(海外のサーバーに保存されている個人情報の量、電子メールなどを介して海外の関連会社に
提供された個人情報の量を含みます)
.)、海外に転送されるデータが安全性評価が必要な状況に該当する
場合は、国境を越えたデータ転送に関する作業を行い、安全性評価を申請します。
19It should be noted that the
Personal Information Protection Law stipulates that for
cross-border transfer of personal information, one of the following
three conditions needs to be met: 1) completion of a security
assessment, or 2) certification on personal information protection,
or 3) drafting and signing of a cross-border data transfer agreement
with the overseas recipient in accordance with the contract template
issued by the CAC. Among the three requirements, as mentioned
above, the Assessed Entities are not currently in a situation where
security assessment on cross-border data transfers is required, but
評価対象事業者は、海外に転送される個人情報の量を個人の数
で定期的に計算し、送信データ転送のセキュリティ評価がトリガーされたときにセキュリティ評価が適時に CAC に報告されるようにする必要があります。残りの 2 つの要件に関しては、個人情報保護に関する認証の実用的なガイドラインの一部がさらに明確化される予定であり20、3つ目の方法、つまり国境を越えたデータ転送契約に署名する方法に関しては、CAC は次のように発表しただけです。 a個人情報の国境を越えた転送に関する標準契約案
であり、まだ確定も公布もされていない21。当社は現在、
規制当局によって重要情報インフラ
事業者として定義されておらず、現在重要なデータを処理していないことを考えると、
当社の性質と当社が処理するデータの種類に基づいて、
さらに洗練された実用的な
国境を越えたデータ転送に関するガイドラインが発行された場合、当社は
海外の受信者とデータ転送契約を締結するアプローチを採用する場合があります
。テンプレートまたはモデル契約は正式に発効していませんが、当社と海外の受信者との間の
国境を越えたデータ転送契約が
CAC によって発行された標準契約草案に従い、個人情報保護法およびその他の関連法に基づくデータ セキュリティおよび情報保護
の要件を遵守していれば、個人情報の国境を越えた移転に伴うリスクは比較的管理しやすい可能性があります。当社は、関連する規制および規則の発行を引き続き監視し、適時に当社に通知し、当社の国境を越えたデータ転送慣行が有効な法的要件に準拠していることを確認するための適切な措置を講じます。 -
(5) 当社の情報システムに
従業員の個人情報及び
従業員の親族の個人情報を保管する場合、当該情報を保管する際には厳重なアクセス
管理を行うものとする。機密性の高い個人情報
(銀行口座、ID
番号、携帯電話番号、病気休暇の報告書、健康診断
レポートなど) が情報システムに保存されている場合は、
暗号化された保存など、より厳格な保護対策を講じることをお勧めします。
そのような情報が漏洩するリスクをさらに軽減するために取られる。同時に、
当社は、統一された個人
情報保護方針を確立することが提案されている(これには、
個人情報の保管およびアクセス要件)。 -
(6) 関連する外部の第三者とのデータ共有および転送契約に署名します。 -
(7) 退職者の個人情報の保管期間については、競業避止義務契約で合意された期間、訴訟の制限、会社の日常管理上合理的に決定される必要性
などの要因を考慮することをお勧めします。統一された情報保持ポリシーを形成するために、そのような保管期間の長さと範囲。同時に、会社は個人に通知し、同意を得て、現在の従業員と同様の保護措置を講じる必要があります。保管期間の満了後、個人情報は削除または匿名化する必要があります。辞任した場合
employees request the Company to delete their personal information
within the retention period, the company should delete it as
requested.
5. Storage and Transfer of Data
-
As we have analyzed the storage and transfer of personal information
of the employees in Part 4, in this part we will discuss the storage
and transfer of the data other than that of personal information of
the employees. -
評価された 4 つのエンティティ間のデータの転送と共有に関しては
、前の段落で述べたように、エンティティは
管理部門と機能部門の一部のメンバーを共有しています。
中国の4 つの評価対象事業体
は、経営管理に関してはすべて企業 G の子会社ですが、法律上はすべて別個の法人です
。したがって、A社の従業員が
B社、C社、D社のデータにアクセスした場合、A社にデータを提供する3社とみなされるため、
データ転送および
共有契約に署名し、同意する必要があります。情報
主体を取得する必要があります。個人のコレクションのため
information of the employees of customers or suppliers, as it is
based on necessity of business and performing related personnel’s
duty, the four Assessed Entities need not obtain consent from them
but should inform them that the data collected (including the
contact person’s personal information) might be shared among the
four entities of Corporate G China. We learned that neither data
transfer and sharing agreement has been signed among the four
entities, nor efforts to inform the customer and supplier of the
data transfer have been made by the four entities in the relevant
agreements with customers and suppliers. -
さらに、関連する機能部門からのアンケートへの回答によると、データが中国内に保存されているDigiwin休暇および払い戻しシステムと Cityray HR システムを
除いて、 ERP および CRM を含むシステム内の他のすべてのデータは、ドイツのマンハイムに保管されています。したがって、被評価事業者が日常業務で生成したデータをERP システムや CRM システムにアップロードすると、サーバーが海外にあるため、データは実際には自動的に海外に転送されます。データに個人情報が含まれる場合の個人情報22
. 一方、評価対象事業者と
そのドイツ本社は別の法人であるため、かかる譲渡は個人情報保護法上の
「第三者への個人情報の提供」にも該当します。評価対象事業者から提供された情報によると、4事業者のいずれも、安全性評価、個人情報保護に関する認証、越境譲渡契約の締結、および個人情報が海外に転送される可能性があることを顧客およびサプライヤーに通知しました。 -
For the protection of data, the Assessed Entities adopted a series
of measures including using SSL encryption channels during transfer,
setting access permissions according to the principle of employee
access necessity, using IAM to manage file server permissions,
encrypting laptop hard disks, backing up mail servers and file
servers while using disks and tapes for multiple types of copy
backups, conducting backups on a regular one-week basis, adopting a
collocated backup method (use full backups and incremental backups),
etc. in the storage management process. But the entities do not set
deletion period of the data, nor have they formed a data protection
policy that includes access management, data source labeling, data
encryption and storage, data transfer security, data anonymization,
and data classification and hierarchical protection system, etc. -
The Personal Information Protection Law requires that the storage
of personal information should follow the principle of necessity,
i.e., unless otherwise provided by laws and administrative
regulations, the retention period of personal information shall be
the shortest period necessary to achieve the purpose of processing.
According to the information provided by the Assessed Entities, the
Assessed Entities have not set a deletion period for the stored data
which leads to compliance risks, for instance, the personal
information of some contacts of the customers which is no longer
valid is still retained, or some customers have changed their
連絡先の個人情報は削除されますが、無効になった連絡先の個人情報は引き続き保持されます。 -
さらに、評価対象
事業体から提供された情報によると、評価対象事業体の従業員は、
Corporate G China の IT チームによって業務用の電子メールを設定されており、電子メールの
やり取りは中国にあるローカル サーバーに保存されています。
[潜在的なコンプライアンス リスク:]{.underline}
-
(1) 評価対象事業体の 1 つの従業員は、管理権限に基づいて別の評価対象事業体のデータにアクセスすることができますが、
関連事業体によってデータ共有契約が締結されていません。 -
(2) The Assessed Entities do not notify the customers before
transfer of data, nor have they been certified on personal
information protection or signed cross-border transfer agreement
with the German headquarters (or other affiliated overseas entities)
as required by the Personal Information Protection Law. -
The Assessed Entities did not set a deletion period for some of the
stored electronic data.
[Preliminary Suggestions:]{.underline}
-
(1) As mentioned above, it is recommended that data sharing
agreements be signed among the Assessed Entities. -
(2) 前述のとおり、評価対象事業体とドイツ本社 (またはその他の海外関連事業体) との間で国境を越えたデータ転送契約を締結することをお勧めします
。同時に
、定期的に海外に提供する個人情報の量を個人
の数に基づいて計算します
(海外のサーバーに保存されている個人情報の量、および電子メールで海外の関連会社に転送される
個人情報の量を含みます。
等)、国外に提供するデータが安全性評価が必要な状況に該当する場合は、国境を越えた
データ移転に係る安全性評価の作業及び申請を行います。 -
(3) お客様の連絡先情報の見直し、
無効な連絡先の個人情報の削除、連絡先
等のお客様の個人情報が
国境を越えて送信され、
海外のサーバーに保存されることについて同意を得る旨の記載を契約書に追加するためまたは顧客に電子メールを送信し、削除
の要求を送信する方法を顧客に通知します
。 -
(4) 当社の
実際のニーズに基づいて、統一されたデータ ストレージ ポリシーを策定します。
6. データの処理、使用、共有
-
このレポートの第 4 部では、従業員の個人情報の処理、使用、および共有について分析したため、この部分では主に、サプライヤーおよび顧客の連絡先の個人情報を
含むその他のデータの処理、使用、および共有について説明します。 -
当社のアンケートに対する関連機能部門の回答によると、顧客またはサプライヤーの情報 (連絡担当者の名前、携帯電話番号、電子メール アドレス、製品のニーズ、および会社の金融口座を含む)
の収集の目的は、顧客を設定することです。またはサプライヤが内部システムにファイルし、注文を処理し、請求書を発行し、生産と販売の予測を行い23、製品のマーケティング活動を行い、顧客活動を組織し、社内外のトレーニングを実施します。顧客に送信されるプロモーション情報に関して、評価対象エンティティは、ユニバーサル メッセンジャーを通じてそれらを送信します。
software operated by the German headquarters with the server at
Germany or through the email sender at Germany. The emails contain
methods for the customers to unsubscribe, but it is unclear whether
consent is obtained beforehand24. -
Regarding the sales activities of the Assessed Entities, the main
sales modes include online sales and offline sales. -
Regarding online sales, the Assessed Entities would use the DCP
platform operated by Corporate G Germany (applicable to Company A
and VMT) and some third-party platforms (i.e., Company B and Company
C use EPEC, Company A uses JD, VIPMRO and 1688) for sales business,
including receiving orders, order settlement, aftersales service,
etc. To be specific: -
(1)ドイツのG 本社が運営する DCP Web サイトについて、顧客は、登録時に
連絡先の名前、連絡先番号、配送先住所、および請求書の要件を提供することにより、この Web サイトに登録して購入することができます。
A社およびD社の国有
企業または国有研究機関の顧客は、
現在DCPアカウントを持っていません。企業 G は
、基本的な顧客情報、
顧客注文の詳細、配送先住所など、すべての DCP 顧客データを表示できます。さらに、
現在 DCP をより頻繁に使用している中国のディストリビューターまたは認定代理店のために
、A 社はオンライン注文契約を締結しています。
それら(FAは参照用のテンプレート契約を提供します)。
本契約の第 9 条「セキュリティおよび機密保持義務」に従って、
両当事者は、他方当事者が他方
当事者のネットワーク プログラム、アカウント番号およびパスワード、
コンピュータ、電話番号、または同様の情報を
「機密」または「専有情報」として扱うことに同意するものとします。 .
アカウントを申請する不慣れなユーザーは、「
販売条件」をキックするだけです。同時に、DCP Web サイトには、ユーザーから提供された
個人情報をどのように処理するかをユーザーに通知するためのプライバシー ポリシーがあります
。なお、DCPの
ウェブサイトはドイツ本社が運営しているため、
in this case, if the Chinese distributor registers as a user on the
DCP website, the German headquarters will collect the personal
information of the contact person directly through the DCP website.
According to the Personal Information Protection Law, overseas
individuals and entities that process personal information from the
territory of the PRC for the purpose of providing products or
services to the individuals in the PRC shall comply with the
provisions of this law. Therefore, the DCP website’s processing of
such personal information shall comply with the provisions of the
Personal Information Protection Law. At present, the privacy
DCP Web サイトのポリシーは、主に EU GDPR に基づいており、
中国の法律に従ってさらに改訂する必要があります。さらに
、既存のオンライン注文契約は、プライバシー保護に関する規定を含んでいますが、データ保護に関する両当事者の権利と義務を
カバーするには不十分です。 -
(2) EPEC プラットフォーム上での B 社および C 社の事業に関して、被評価事業者が
提供するサービス契約および EPECプラットフォーム上で当社が見つけた情報に従って、B 社および C 社の従業員は個人情報を受け取ることができます。メンバーとして登録した後、プラットフォームサプライヤーおよび購入者の連絡担当者の実名、会社の電話番号、携帯電話番号、電子メールアドレス、会社の住所、およびその他の個人情報など、関連する個人に連絡してオンライン取引を処理することができます。同時に、EPEC プラットフォームの合意とポリシーに従って、プラットフォーム メンバーは個人情報をダウンロードしてはなりません。
プラットフォーム メンバーのローカル サーバー。したがって、会社 B と会社 Cは、プラットフォーム上の
購入者の連絡担当者から個人情報を受け取ることがありますが、そのような個人情報を PA と SEC のローカル サーバーにダウンロードすることは許可されていません。個人情報を除いて、PA および SEC のサプライヤーおよびパートナーとのやり取りに関与するデータの種類には、関連する機能部門の担当者のアンケートへの回答および関連するドキュメント。B社とC社との間の協力/サービス契約および
サードパーティのプラットフォームには、
両
当事者間の権利と義務を明確にするためのデータ保護条項が含まれていません。さらに、B 社と C 社は
現在、個人情報の処理に関するポリシーを持っていないことを理解しています
。 -
(3) Regarding FA’s sales business on JD, according to the
information provided by FA, there are currently two Corporate G
stores on JD. One is called “Corporate G JD Self-operated Flagship
Store”, which is not directly operated by FA, but operated by FA’s
online authorized distributor “Suzhou VIPMRO”. Company A cannot
directly view or download consumer or store membership data for this
store. After reviewing the Online Distribution Agreement signed by
Company A with Suzhou VIPMRO Information Technology Co., Ltd., it
does not contain relevant provisions on data compliance and personal
information protection or requiring distributor to process data in
accordance with legal regulations. The other store, the “Corporate G
Official Flagship Store”, is directly operated by FA. All e-commerce
team members responsible for operating the “Corporate G Official
Flagship Store” can view and download the order information of the
store through the store’s backend system. The order information
contains the ID number who placed the order, customer name, customer
address, contact number. If the customer chooses to invoice, they
can also see the invoicing information filled out by the customer
(such as the name of the party the invoice is issued to, tax number,
company address, the bank of deposit and account number). The
e-commerce team employees currently have the authority to send
messages to the consumers of the store, which is currently handled
by the store managers and customer service representatives. The
messages contain an option to unsubscribe, but according to the
information provided by the Company at present, it is uncertain
whether the consumers are informed in writing before sending such
messages. Besides, at present, Company A does not have a privacy
policy applicable to its self-operated store. It should be noted
that whether Company A directly views and downloads the store order
information when operating a store or obtain the consumers’ personal
information from the third-party agent or the online platform when
entrusting a third party to operate a store on its behalf, it shall
perform the corresponding personal information protection
obligations and process relevant personal information in accordance
with the provisions of the Personal Information Protection Law. In
addition, when entrusting VIPMRO to operate the store, it should
require VIPMRO to process the consumer data in accordance with
relevant laws and regulations and the provisions of the JD platform.
At present, Company A does not have a corresponding policy for the
protection of personal information. -
(4) Regarding the sales business of Company A on the VIPMRO
platform, according to the information provided by FA, the VIPMRO
platform belongs to the FA’s online authorized distributor “Suzhou
VIPMRO”. Company A has no stores on VIPMRO and only provides
Corporate G products on the platform and does not directly operate
the online transactions. Therefore, Company A cannot directly view
or download order and consumer data. After reviewing the Online
Distribution Agreement signed by Company A with Suzhou VIPMRO
Information Technology Co., Ltd., we found that it does not contain
relevant provisions on data compliance and personal information
protection or requires distributors to process data in accordance
with legal regulations. In addition, it should be noted that if
Company A obtains consumers’ personal information from VIPMRO
platform for necessary purposes such as post-sales services, it
shall perform the corresponding personal information protection
obligations and process relevant personal information in accordance
with the provisions of the Personal Information Protection Law. As
mentioned above, Company A does not currently have a policy in place
regarding the protection of personal information. -
(5) FA の 1688 プラットフォームでの販売事業については、 1688 プラットフォーム上に、G 社の正規代理店 2 社が運営する G 社の正規認定店が 2 店舗あります
。企業の G
e コマース チームのメンバーは、2 つの
店舗のバックエンド サブアカウントを持っているため、店舗の注文と、
注文で規定されている買い手の情報 (つまり、注文を行った ID、
受取人、配送先住所、連絡先番号)が表示されますが、
そのようなデータを直接ダウンロードすることはできません。データのダウンロードが必要な場合は、
代理店指定の店舗運営担当者がダウンロードし
、A社社員に送付します。担当者
ディストリビューターによって指定された店舗運営は、店舗の消費者にメッセージを送信でき、購読を解除するオプションがあります。FAが提供する上海百科自制科技有限公司の法人G店舗開設の認可に関する協力協定および上海武徳貿易有限公司の法人G店舗の開設認可に関する
協力協定を検討した後、顧客データ、販売記録、ドキュメントバウチャー、およびFAから提供されたその他の情報に関するディストリビューターの守秘義務であり、企業Gが要求または契約が終了した場合、そのような情報はすべて企業Gまたは
destroyed in accordance with Corporate G ’ instructions. However,
the two agreements do not contain provisions on personal information
and data compliance or requiring the distributors to process data in
accordance with the laws. In addition, it should be noted that when
viewing or obtaining consumer information, Company A employees shall
perform the corresponding personal information protection
obligations and process relevant personal information in accordance
with the provisions of the Personal Information Protection Law.
Besides, as mentioned above, Company A does not currently have a
policy in place regarding the protection of personal information. -
さらに、当社は、
オフラインのディストリビューターとのディストリビューション契約を締結することにより、製品およびサービスを販売しています。A社は、Beijing Hot Innovation Control System Co., Ltd. と締結した
販売代理店契約およびChongqing Xikaiang Technology Co., Ltd. と締結した販売代理店契約に従って、A 社は販売代理店に、配送先などの情報を書面で要求することができます。つまり、実際には、 A 社が販売業者からエンドユーザーの情報 (連絡担当者の個人情報も含まれる場合があります)を取得する可能性があります。2 つの販売代理店契約には含まれていません。
provisions on personal information protection and data compliance,
nor do they contain “firewall” clauses to prevent distributors from
implicating Company A due to their processing of data in violation
of regulations.
[Potential Compliance Risks:]{.underline}
-
(1) The Germany headquarters possibly sends emails containing
commercial advertisements to the personal email address of the
customers’ contact without the individual’s consent. Besides, the
persons operating the online stores possibly send the promotional
messages to the VIP members of the online stores without the
relevant individuals’ consent. -
(2) DCP Web サイトのプライバシー ポリシーは、中国
の関連法規に従って見直しおよび改訂する必要があり、 DCP をより頻繁に使用する一部のディストリビューターと締結されたオンライン注文契約は、プライバシーに関する条項が包括的ではありません。個人情報の保護。 -
(3)オンライン、オフラインの
ディストリビューターおよびサードパーティのオンライン プラットフォームとの契約には、個人情報保護およびデータ コンプライアンスに関する規定はありません。また、第三者による個人情報の違法な処理により、
当社が第三者によって関与されることを防ぐための「ファイアウォール」条項もありません。 -
(4) For FA’s self-operated store, the Company has not signed a
specific service agreement with JD to clarify the rights and
obligations of both parties in addition to a standard user
agreement, and the self-operated store has not formulated
corresponding privacy policies, nor has it informed the consumers
of how the store will process their personal information collected. -
(5) The Assessed Entities do not establish policies for the
protection of personal information to regulate employees’ use of
personal information obtained from third-party.
[Preliminary Suggestions:]{.underline}
-
(1)顧客との通信または協力契約に、
プロモーション メールの受信について顧客の同意を得るという条項を追加することをお勧めします。また、当社は、かかる宣伝メールの送信を
第三者に委託する場合があることをお客様に通知し
、お客様の
同意を得るものとします。センシティブな個人情報の処理が
含まれる場合は、関連する部分を強調表示し、別途
同意を得る必要があります。オンライン ストアの消費者にメッセージを送信する場合は
、消費者に
書面で通知し、同意を得る必要があります。 -
(2) Review the privacy policy of the DCP website and the Online
Order Agreement signed with some distributors who use DCP more
frequently based on the current PRC laws and regulations and make
necessary amendments. -
(3) Add the provisions on personal information protection and
data compliance in the agreements with online distributors and
offline distributors and the EPEC platform, as well as “firewall”
clauses to prevent the Company from being implicated in the
unlawful processing of personal information by third parties. -
(4) For FA’s self-operated store, if feasible, sign a specific
service agreement with JD to clarify the rights and obligations of
both parties. At the same time, formulate a privacy policy for the
self-operated store and inform the consumers of how the stores will
process the personal information. -
(5) Establish policies for the protection of personal
information.
7. Cybersecurity and Data Compliance Management
-
当社が提供した文書を精査し、
評価対象事業体の関連する事業部門にインタビューした結果、
当社は、当社がサイバーセキュリティ、データセキュリティ、および個人情報データ保護に関して、日常業務における一定の実際的な要件を有していることを理解しています
。専任のサイバーセキュリティ/データコンプライアンスオフィサー、一部のデータへの特定のアクセス許可を設定する、海外の親会社または関連会社にそのようなデータを表示する許可を得るために特定の管理プロセスに従うことを要求する、転送に SSL 暗号化チャネルを使用するなど。これらの慣行では、義務をカバーするのに十分ではありません
当社は、ネットワーク事業者およびデータ処理者として、ネットワークセキュリティ、データセキュリティ、および個人情報保護の観点から満たす必要があります
。
このような義務には、データ分類ポリシー、ネットワーク セキュリティ管理関連
ポリシー、ネットワーク セキュリティ事故緊急対応ポリシー、
情報セキュリティ事故管理ポリシー、ネットワークおよび
情報セキュリティ内部監査管理ポリシーおよび運用手順の策定が含まれる場合があります
。 -
また、当社提供資料及び
評価対象事業者の関係事業部門へのヒアリングにより、評価対象事業者はサイバーセキュリティ法上の「重要情報基盤事業者」に該当せず、データへのアクセス及び処理が行われて
いることが判明しました。当社が提供するデータには、個人情報保護法で定義される「重要なデータ」に該当しない個人情報その他の業務データが含まれます。これは、当社が処理するデータが、一度改ざんされると国家安全保障や公共の安全を危険にさらす可能性のある重要なデータを含まないことを意味します。
destroyed, or illegally acquired or exploited. At present, the
Assessed Entities have not formulated corresponding management
policies and operating procedures under the Personal Information
Protection Law, such as the personal information collection rules,
personal information use rules, sensitive personal information
processing rules, personal information storage and protection
policies, personal information sharing, provision, transfer and
entrusting the processing rules, personal information cross-border
transfer rules, etc.
[Potential Compliance Risks:]{.underline}
- 評価対象事業者は、サイバーセキュリティ法に基づくネットワーク事業者および個人情報保護法に基づく個人
情報処理者として、サイバーセキュリティ法および個人情報保護法の関連規定に従って関連する評価を実施しておらず、また、内部規則を策定していません。ネットワークセキュリティ保護および個人情報保護に関する管理方針および運用手順。
[暫定的な提案:]{.underline}
-
(1) 現在の法執行機関の慣行によれば、企業がネットワーク セキュリティおよび個人情報セキュリティ インシデントに関与していない場合、法執行部門
は一定の許容範囲を持っている可能性があります。国内と海外の情報交流を促進するために、ネットワーク セキュリティ、データ セキュリティ、および個人情報保護に関する関連する内部ポリシーと手順の確立をできるだけ早く開始することを提案します。一方、評価対象事業体は、ネットワーク セキュリティの機密保護の等級付け、ファイリング、評価を完了することを検討することをお勧めします。
include the following steps: (a) Determine the protection grade of
the system in accordance with the relevant laws and
regulations25. To be specific, the information system operator
should determine the security grade of the information system, use
the information technology products that meet the corresponding
requirements, carry out safety construction and reconstruction
work, formulate and implement the security management system
required by the corresponding security protection grade. (b) On the
condition that the grading is accurate and filing is needed26,
the operator should go to the public security organ at or above the
municipal level in the local area to handle the filing
formalities27. © Obtain a filing certificate. After the
submitted filing materials are reviewed and approved, the public
security organ at the municipal level or above in the local area
will issue the “Information System Security Grade Protection
Filing Certificate”. (d) Carry out graded security assessments.
Information systems operators should regularly carry out the
security assessments. The frequency of the security assessment on a
Level I system is at least once a year. The frequency of the Level
IV system is at least once every six months. The Level V
information system needs to be evaluated according to special
security needs. The system operator should promptly submit the
assessment report of the information system to the public security
organs. If there is need for rectification, the rectification
report should be submitted to the public security for the record
after the completion of rectification. At the same time, the public
security organs will also inspect the Level III and Level IV
information systems at the same frequency of assessment. The Level
V information systems are subject to inspection by special
departments designated by the state. It should be noted that the
first step, i.e., system grading, is particularly critical and the
public security organs will require the operator to make
rectification if the grading is inaccurate and may also recommend
that the operator to organize experts for a re-grading review.
Therefore, in order to ensure compliance from grading to
evaluation, many companies will choose to engage a third-party
institution with relevant qualifications and experience to assist
them in handling the matters from the beginning of system grading
to the following stages. We also recommend that the Assessed
Entities, if feasible, consider engaging a third-party institution
with relevant qualifications and experience to assist in the
grading, filing and evaluation of the network security grade
protection28. -
(2) In addition, in the practice of data compliance management
involving external entities (in particular third parties providing
data processing services to the Company), if the signatory party to
the agreement is one of the Corporate G entity, but the agreement
in fact covers all the Corporate G entities, assuming that the data
of the other Corporate G entities is leaked due to a data security
incident by a third party, causing losses to the other Corporate G
entities, in the process of claim for damages, it may be more
difficult to make claims because the other Corporate G entities are
not the signing parties. Therefore, it is recommended to sort out
whether this situation exists (after our preliminary sorting and
feedback from the Company, this situation does exist, such as an
agreement signed with the FSG, etc.). If so, it is recommended to
sign a supplementary agreement with the other party to the
contract, clarifying that the content of the agreement covers all
the relevant Corporate G entities, or clarify that the Corporate G
entity that signed the agreement with the external party is
entitled to make claims on behalf of the other entities in the
event of a dispute through an internal agreement among the relevant
Corporate G entities.
8. Compliance Tips for Using a Corporate VPN29
-
2022 年 5 月 20 日に電子メールで当社から提供された情報によると、4 つの評価対象エンティティは現在、ドイツの本社によって
「自己構築」された企業 VPN を使用しており、チェックポイントはこれらの企業 VPN 関連サービスを企業 G に提供しています。具体的には、Checkpoint は企業 G 本社とサービス契約を結び、企業 VPN サービスを企業 G にグローバルに提供しました。 -
2017 年、産業情報技術省は、インターネット ネットワーク アクセスサービス市場の
清算および規制に関する通知を発行しました。これは、管轄の電気通信当局の承認なしに、特定のネットワークを確立またはレンタルすることによって他のチャネルを使用することは許可されていないことをさらに明確にしています。国境を越えたビジネス活動を実行するためのチャネル(仮想プライベート ネットワーク VPN を含む) 30。基幹電気通信事業者が利用者に貸与する国際専用チャンネルは、共同利用者ファイルに記録し、利用者が社内事務にのみ利用し、利用者が利用しなければならないことを利用者に通知しなければならない。
not use it to connect the domestic or overseas data centers or
business platforms to carry out telecommunications business
activities. This means when foreign trade enterprises and
multinational enterprises need the cross-border networking through
special channel due to the reasons such as internal office use,
they can rent the special channel services from telecommunication
business operators who operate international communication entrance
and exit channel business in accordance with the laws. -
Based on the above provisions of the Ministry of Industry and
Information Technology and current market practice, currently, a
company can use the corporate VPN by the following two methods. One
method is to use the services provided by the basic telecom
operators (i.e., China Telecom, China Mobile, China Unicom) that
have a VPN business license. The companies with the needs can
communicate their needs with such operators (or through agents who
have cooperative relationships with such operators), and the
operators will provide corresponding service plan according to the
needs of the companies and implement the plan accordingly. The
other method is to establish an entirely independent
自己確立された企業 VPN (つまり、中国本土の基本的な通信事業者の VPN サービスを使用しない)。通常、チャネルを設定する前に、産業省、情報技術、およびその他の規制当局の承認/入力プロセスを最初に通過する
必要があります。会社の国内オフィスと海外オフィスの両方にある構成施設。規制当局への報告が必要であり、時間がかかるため、現在この方法を使用している企業は比較的少ない. -
企業 G の企業 VPN サービス プロバイダーであるCheckpoint は、公開検索および電話相談を通じて、
中国の北京に駐在員事務所を持っています (つまり、Israel Checkpoint
Security Software Technology Co., Ltd.、北京駐在員
事務所)。
中国の公式ウェブサイトに表示されている情報によると31、Checkpoint は中国本土の北京、上海、広州にオフィスを構えていますが、問い合わせによると、
VPN ビジネス ライセンスを持っていません。
電話で相談したところ、チェックポイントはVPNビジネスを提供する際の代理店であり、主に顧客とオペレーターの間の通信チャネルとしての役割を果たしている
ことがわかりました。
ニーズの交換、プログラムの詳細の確認など。具体的なプログラムの設計と実装作業は、依然として基本的な通信事業者によって
運営されています。
要約すると、チェックポイントがこのように
評価対象事業者に企業 VPN サービスを提供する場合、評価対象事業者が現在使用しているチェックポイントの企業 VPN サービスは、実際にはVPN 事業ライセンスを持つ基本的な通信事業者によって提供されていると理解しています。32また、 2022 年 7 月 5 日の当社 IT 部門長との電話連絡によると、当社は企業 VPN 用のハードウェア機器もCheckpointのエージェントから購入しています。
[潜在的なコンプライアンス リスク:]{.underline}
- It should be noted that if the agreements respectively signed with
Checkpoint and the hardware equipment supplier do not require that
the corporate VPN services or products provided by them should
comply with the relevant laws and regulations of the PRC, it may
cause losses to Corporate G if they are in breach of law.
[Preliminary Suggestions:]{.underline}
- It is recommended that Corporate G include a “firewall” clause that
requires Checkpoint and the hardware equipment supplier to provide
VPN services or products in compliance with relevant Chinese laws
and regulations in the service agreements respectively signed with
Checkpoint and the hardware equipment supplier so as to prevent
Corporate G from being implicated by their violations of laws and
regulations.
In this report, the assessment and analysis on cross-border
transmission of data was drafted based on the Assessment Entity’s
responses to the relevant questions on 25 November 2022, and the
assessment and analysis on the remaining data processing activities
is drafted based on the information provided by the Assessed
Entities as of 6 July 2022. ↩︎https://files.Corporate
G.com/webcat/navi/productInfo/doct/tdoct5900c_eng.pdf?v=20220428132148 ↩︎This document mentioned that Corporate G will process personal
information in accordance with the applicable laws and regulations
and only when appropriate technical and organizational measures are
used to protect personal information from loss, modification and
unauthorized use or disclosure. ↩︎Based on the Company’s response, the DigiWay on-leave system and
the Cityrays payroll system use SQL Server database, and the
software vendors do not have the DBA authority of the database and
therefore cannot access to the database. ↩︎また、G 社のグローバル調達のために使用される情報システムについては、可能であれば、中国の法律に
基づくデータ保護条項をソフトウェア調達契約に追加することをお勧めします。詳細な慣行については、当社の既存の事業を理解した上でさらに議論することができます。↩︎会社から提供された情報に基づいて、
評価された 4 つのエンティティすべての作業用メールボックスは中国の IT によって開かれ
、電子メールのやり取りも
中国本土にあるローカル サーバーに保存されます。後日、運用中に当該データが海外に転送される可能性が
あることを当社が発見した場合は、当社までお知らせください。↩︎社内紹介は主にメールやWeChatの
グループ告知で行います↩︎候補者の履歴書が両社の
公式WeChatアカウントまたは内部紹介を通じて収集された場合、
候補者が履歴書を会社または会社の従業員に送信した時点で、候補者は会社ができる
ことに同意したものとみなされます。採用目的で候補者
から提供された個人情報を処理します。↩︎PA からB 社と Liepin の間のサービス契約を受け取りました
。これが FA と VMT にも当てはまるかどうかお知らせください
。↩︎評価されたエンティティによると、FA および VMT の従業員は、オンボーディング
時に別の登録フォームに記入する必要はありません
。↩︎FA と VMT の回答によると、個人データ シートは
面接中に記入され、
正式な採用後に従業員のプロファイルに統合され、従業員は
オンボーディング時に個別にフォームに記入する必要はありません。↩︎
B社とC社が従業員の入社前健康診断報告書や年次
健康診断報告書などの健康情報を閲覧する場合、これらの情報もセンシティブな個人
情報です。↩︎そのうち 249 人が FA の従業員、47 人が PA の従業員、33 人
が C 社の従業員、15 人が VMT の従業員である。↩︎評価対象事業者からの回答によると、そのうち、FA の取引先の連絡先は 16,690 件、
PA の取引先の連絡先は1,238
件、C 社の取引先の連絡先は 500 件、VMT の取引先の連絡先の数は 100 件を超えないものとします。↩︎このような個人情報には、主に
受信者の名前、連絡先の電話番号、住所が含まれ、
機密性の高い個人情報は含まれないことを理解しています。私たちの理解が間違っている場合はお知らせください
。↩︎
提供された従業員の親族の個人情報(センシティブな個人情報を除く)がドイツのローカル サーバーに保存されている場合でも、ドイツのローカル サーバーに個人情報が保存されている従業員
の親族の数は344 人と推定されます*5。 =1,720、従業員 1 人あたり平均 5 人の親戚に基づく。この数を海外のサーバーに保管されている中国の個人情報の総数に加えると、海外に個人情報が保管されている人の数は22,972 + 1,720 = 24,692 となり、セキュリティ評価で指定された100,000 人よりも少なくなります。アウトバウンドデータ転送の対策。↩︎2022 年 11 月 25 日に評価対象事業体が提供した回答によると、評価対象事業体は、2022 年 12 月に関連するオフショア事業体と国境を越えたデータ転送契約を
締結する予定です。↩︎前述のように、このような機密性の高い個人情報は、
中国本土内のローカル サーバーに保存されます。↩︎評価されたエンティティによって現在提供されている情報に基づくと
、評価されたエンティティは重要な情報
インフラストラクチャ オペレーター (「CIIO」) ではなく、重要なデータを処理しません。
したがって、評価対象事業者は次の点に注意する必要があります。
処理される個人情報の数が 100 万
人に達しているかどうか
前年の 1 月 1 日以降に国外に転送された機微な個人情報の累積数が10,000 に達したかどうか、または前年の1 月 1 日以降に国外に転送された
個人情報の累積数が
100,000 に達したかどうか。
評価対象事業体のフォローアップ業務において
、重要なデータが国外に転送された場合、または評価対象
事業体は CIIO としてリストされ、評価対象事業体は
関連する作業を実施し、国境を越えた
データ転送に関するセキュリティ評価を適時に申請するものとします。転送↩︎
2022 年 11 月 4 日に国家市場監督管理総局および CACが発行した公告によると、
個人情報保護認証に携わる認証機関は、承認された
後に認証活動を実施し、認証実施規則
に従って認証を実施しなければなりません。
個人情報保護
認定。
発表が正式に発表されたばかりであることを考えると、
認証
機関がどのような承認を取得する必要があるか、どの組織が既に
承認されているかなどについては、さらに明確にする必要があると理解しています↩︎CAC は、 2022 年 6 月 30 日に、個人情報の国境を越えた転送に関する標準契約
に関する規定 (コメントを求める草案) を発行しましたが、まだ正式には発効していません。↩︎G社から提供された情報によると、処理されたデータには
現時点で重要なデータは含まれていません。
今後、重要なデータが含まれる場合は、
重要なデータに関する関連規制が適用されます。↩︎当社が売上予測および分析の過程で第三者を雇う場合は
、当社までお知らせください。↩︎Universal Messenger の顧客データは
、当社の ERP システムからのものであり、そのデータは
ドイツにあるドイツ本社のサーバーに保存されており、
Universal Messengers の担当者はアクセスできないことを理解しています。さらに、
電子メールの送信者がドイツの IT 部門によって設定されている場合、
電子メールのすべての記録もドイツのサーバーに保存されます。私たちの理解が不正確である場合は、そうでなければお知らせください
。↩︎According to the Guidelines for grading information system for
the classified protection of information security, it is currently
mainly divided into five levels. At the first level, when an
information system is damaged, it will cause damage to the
legitimate rights and interests of citizens, legal persons and other
organizations, but will not harm national security, social order and
the public interest. At the second level, when an information system
is damaged, it will cause serious damage to the legitimate rights
and interests of citizens, legal persons and other organizations, or
cause damage to social order and the public interest, but not to
国際セキュリティー。第 3 のレベルでは、情報システムが
損傷を受けると、社会秩序や
公益に重大な損害を与えたり、国家安全保障に損害を与えたりする可能性があります。第 4
レベルでは、情報システムが損傷を受けると、
社会秩序や公共の利益に特に深刻な損害を与えたり、
国家安全保障に深刻な損害を与えたりする可能性があります。第 5 レベルでは、
情報システムが損傷を受けると、国家安全保障に特に深刻な
損害を与える可能性があります。↩︎関連法規に従い、
運用(運用)されたレベルⅡ以上の情報システムは、所在する区市町村級以上の
公安機関で届出手続きを行う必要があります。↩︎
特定の材料要件は、公安省の公式ウェブサイト
https://zwfw.mps.gov.cn/work.htmlで確認できます。↩︎
G社様のご要望に応じて、実績のある第三者機関のご紹介も可能です↩︎
ここでの「VPN」は、特に国境を越えたネットワークのコンテキストでの VPN を指します。↩︎In 2019, a foreign trade enterprise in Zhejiang Province used
“circumvention software” to access the overseas blocked websites,
and its behavior has constituted unauthorized establishment and use
of non-statutory channels for international networking. The Haiting
police gave the company an administrative penalty of ordering it to
stop using “circumvention software” and giving a warning in
accordance with the relevant provisions of the Interim Provisions
of the People’s Republic of China on the Management of
International Networking of Computer Information Networks. ↩︎https://www.checkpoint.com.cn/about-us/contact-us/ ↩︎
チェックポイントに電話で相談した結果、
チェックポイントがこの方法でサービスを提供していることを知りました。当社と
チェックポイントの協力方法が、現在わかっているものと異なる場合は
、お知らせください。↩︎