見出し画像

楽○もDe○Aも○MMも対象!中国個人情報保護法第二次草案57条のポイントを解説

ケンさん

先日の全人代で中国個人情報保護法の第二次草案が公開されました。中国個人情報保護法はヨーロッパのGDPRに近いコンセプトで、中国国内でビジネスをしていなくても中国人のデータを保有している企業は、個人情報保護法に準拠する必要があります。

つまり、中国に法人が無いからといって、日本企業は中国個人情報保護法を無視できないということです。

第二次草案で新たに加えられたのが、大量の個人情報を保有するインターネットプラットホーム事業者の取り組むべき義務です。
具体的には、プラットホーム事業者は独立した監督機関、プラットフォームガバナンス、社会的責任報告の義務が追加されました。本稿では、その対象範囲、法律で言及されている独立監督機関、個人情報に関するプラットフォームガバナンスの懸念、社会的責任報告に含まれる内容について詳しく説明します。

【数据法学】史宇航:互联网平台数据合规加码——解析《个人信息保护法(二次审议稿)》第57条

背景

インターネットプラットフォームは、非常に多くの個人情報を保有する組織の一つとなっており、保有する情報は極めてリアルタイムで正確なものです。 公的な情報では、本籍地や居住地、社会保障費の支払い状況程度しか分かりませんが、インターネットのプラットフォームでは、ランチで何を食べるか、仕事帰りにどこでお金を使うか、余暇にどんなビデオを見ているかが分かります。 また、プラットフォームにおける個人情報保護の問題は、非常にセンシティブな性質を持つため、社会的関心も高い状況にあります。

今回発表された「個人情報保護法(第二次草案)」では、最も注目すべき変更点の一つとして、インターネット・プラットフォーム企業に対して、独立した監督を受け入れ、プラットフォーム・ガバナンスを実施し、社会的責任報告書を公表する義務を課すため、新たに第57条を設定、プラットフォームにおける個人情報保護の全体的なレベルを向上させることが挙げられます。

基本的なインターネットプラットフォームサービスを提供し、多数のユーザーや複雑な業態を持つ個人情報処理事業者は、以下の義務を履行しなければならない。

(i) 個人情報処理活動を監督するために、主に外部のメンバーで構成される独立した機関を設置すること。
(ii) 法令や行政規則に著しく違反して個人情報を取り扱っているプラットフォーム内の製品・サービス提供者へのサービス提供を停止すること。
(iii)個人情報保護に関する社会的責任報告書を定期的に発行し、社会的な監督を受け入れること。

中国個人情報保護法第二次草案57条

対象の範囲について

主体を明確にすることは、法律研究の最初のステップです。
個人情報保護法(第二次草案)第57条では、「基本的なインターネットプラットフォームサービス」、「多数のユーザー」、「複雑な業種」の3つのグループを「句点」で繋いでいます。
これは 個人情報処理業者の資格、すなわちこの規定には2つの解釈が可能です。
1つは、3組の適格条件が「または」選択的であること、すなわち、第57条の義務を果たすためには、そのうちの1つが満たされる必要があるというものであり、もう1つは、第57条の義務を果たすためには、同時に満たされる必要があるという「および」の並立の考え方です。
 2つ目の解釈は「and」の並立で、第57条の義務を果たすためには両方が満たされている必要があります。 解釈の違いによって、その義務がどの程度適用されるかが決まります。
国家標準「句読点の使用法」(GB/T 15834-2011)の4.5.3.1によると、アポストロフィーは「並行する単語の間に使用する」とされています。 また、「または」という表現は、選択的な関係を示すために法律で直接使われています。 つまり、この法律の3つのセットの資格を同時に満たす必要があります。つまり、個人情報処理業者は、「基本的なインターネットプラットフォームサービス」、「多数のユーザー」、「複雑なタイプのビジネス」の3つの条件を同時に満たして初めて成り立つのです。
 第57条に定められた法的義務は、「基本的なインターネットプラットフォームサービス」、「多数のユーザー」、「複雑なビジネスタイプ」の3つの条件を同時に満たす場合にのみ履行される必要があると思慮されます。

つまり、基本的なインターネット・プラットフォーム・サービスを提供する個人情報処理事業者については、すべての業務を独立機関の監督下に置く必要はなく、大量の個人情報を扱う一部の複雑な業務のみを独立機関の監督下に置く必要があるというものです。

法律の適用にあたり、どのようなプラットフォームが「基本的なインターネットプラットフォームサービス」を構成するのか? 何人のユーザーが「相当数のユーザー」を構成するのか? 何が「複雑なタイプのビジネス」を構成するのか?
今後、個人情報保護法の施行に伴う行政規則や部内規程などで、より明確な説明がなされることを期待しています。

独立機関による監査:DPO

第57条(1)で設置された外部メンバーによる独立機関は、欧州個人情報保護法(以下、GDPR)における、外部から雇用されたデータ保護責任者(以下、DPO)と非常によく似ています。 GDPRでは、DPOは内部と外部の2つに分けて設定されており、会社の内部にいる場合と外部から雇われた場合があります。 中国の個人情報保護法では、第一次草案から「個人情報保護担当者」という役職が設けられ、第二次審査草案まで使用されています(第二次草案第52条)。

個人情報保護担当者は、役職名からして監督機能を持っていますが、その中核は個人情報の取り扱いに責任を持つことです。 このような設定は、独立した監督機関としての立場であるGDPRの下でのDPOとは大きく異なり、DPOは組織の違法なデータ処理活動に対して責任を負うことはありません。 

さらに、欧州の多くの国では、DPOが自由に解雇や処罰されないことを規定しています。例えば、フランスでは、DPOがその職務を行使したことで処罰や脅迫を受けたり、昇進を取り消したり、遅らせたり、キャリアアップを妨げたり、給付を減らしたりしてはならないと規定しています。

 一方、中国のサイバーセキュリティの責任者や個人情報保護の責任者は、責任を取ることが求められているため、こうした責任者ポストに外部の人材が入ることは難しいため、外部のメンバーで構成されるこの独立した機関は、一定の範囲で外部DPOとみなすことができ、その「独立性」は、処理者による個人情報の違法な取り扱いに責任を負わないことを判断することもでき、規制機能をよりよく発揮することができます。

独立機関の構成については、複数の分野にまたがる人材で構成され、個人情報の処理活動を監督するために、弁護士、技術顧問、その他の専門家が配置されることが推奨されます。 それが可能な企業は、「エキスパート・プール」を設立し、異なるプロジェクトの監督に参加する異なる専門家を抽選などで選出することもできます。 外部メンバーの資格は、行政規則や部門規則などで設定され、資格取得のために特定の研修や試験を必要としたり、既存の資格と組み合わせたりすることが予想されます。

また、上場企業の独立取締役制度を参考に、個人情報の規制に関する独立機関を設立する際には、構成員の独立性を確保するために、プラットフォームが該当する候補者にさらなる制限を設けることを推奨します。 例えば、関連する専門家に要求するなどです。

1.個人情報保護の分野で一定の年数の経験を持ち、関連する知識を持ち、関連する法律、行政規則、規定に精通していること。
2.参加する独立機関の数を制限し、監督を遂行するための時間と労力を確保するために、あまりにも多くのプラットフォームの監督に参加しないこと。
3. 近親者や重要な社会的関係者が外部専門家としてプラットフォームに参加しないなど、外部専門家の再任条件を設定する。
4. プラットフォーム上の個人情報の処理に外部の第三者として参加しないこと。
5. 機密保持契約を締結し、職務遂行中に知り得た企業秘密を公開しないこと、また、法律に違反してプラットフォーム利用者の個人情報を取得・利用しないこと。

また、個人情報処理プラットフォームは、以下を含む内部規範を採用する必要があります。(以下に限定されるものではない)

1. 外部専門家の勤務期間の明確化
2. 独立機関の組織構造を設定すること。
3. 召集と手続きの規則を定める。
4. 適切な財政的、空間的、技術的な保護措置を講じ、独立機関がプラットフォームのすべての部分の協力を得てその任務を遂行できるようにすること。
5.独立機関が効果的な決定を下すことができること、プラットフォームの個人情報の取り扱いが独立機関の監視を回避しないこと、監視が実施可能であり、それが覆されないことを保証すること。

個人情報プラットフォームガバナンス

第57条2項は、法律に違反した場合、プラットフォーム内の事業者にサービス提供の停止を求めることで、プラットフォームの責任をコンパクトにするという立法府の意図を反映したものです。

インターネット広告業界の業界全体を震撼させたアップル社のiOSのプライバシールール改訂など、プラットフォームガバナンスは、実は以前から個人情報保護の重要なテーマでした。 組織が開発したWeChatアプレットがオンラインで利用できるかどうかは、WeChatのプライバシールールが直接決定します。 モバイル・インターネット・アプリケーションの個人情報保護管理に関する暫定規定(パブリックコメント用ドラフト)」では、APP配信プラットフォームに、プラットフォーム上のAPPの審査・監督の責任を持たせ、棚のクリーンアップなどの処理を行うことができることが合意されています。

法的関係では、プラットフォームは、プラットフォーム内の事業者に対して、個人情報を共同で取り扱うという法的関係を構成し、多くの場面で、自然人の個人情報をどのように取り扱うかを両者が共同で決定することになります。例えば、電子商取引プラットフォームとプラットフォーム内のショップは、消費者の個人情報をどのように活用するかを共同で決定します。 個人情報保護法(第二次審査案)第21条に規定された事情により、個人情報を共同で処理する個人情報処理事業者は、他人の個人情報の権利利益を侵害した場合、連帯して責任を負うことになります。 したがって、プラットフォームは、個人情報プラットフォームのガバナンスメカニズムを確立するために、より多くのリソースを投入する必要があります。

これまでの経験から、プラットフォームには少なくとも以下の点を重視する必要があると考えています。

1.プラットフォームのルールには、プラットフォーム内のオペレーターのデータ処理行動を制約するための個人情報処理ルールを含めるべきである。
2.プラットフォーム・ルールには、協調的対応、コンティンジェンシー・プラン、送電ルール、ペナルティなどを含むべきである。
3. プラットフォーム規則は、プラットフォーム内の事業者による個人情報の収集および処理に関する基本的な遵守基準を設定し、収集される個人情報の範囲および権限の発動条件を明確にする。
4.プラットフォームは、プラットフォーム内の事業者の個人情報保護方針を完全に表示し、ユーザーが効果的に同意できるようにするなど、プラットフォーム内の事業者による個人情報保護義務の履行を促進するものとします。

社会的責任のレポート

社会的責任のレポートは、リスクアセスメント報告書の強化版となります。 中国個人情報保護法(第2次草案の第55条)では、リスク評価の仕組みが設計されており、これは特定の処理活動に対する評価という意味合いが強いです。 一方、社会的責任報告書は、プラットフォーム自身の個人情報保護について、主に会社、あるいはグループごとに、よりマクロに表現したものです。

プラットフォームは、中小企業に比べて、個人情報保護に関する技術力や管理能力が高く、より多くのリソースを投入することができるでしょう。 プラットフォームが技術的・管理的に個人情報を保護することは重要ですが、企業の個人情報保護の取り組みを一般に知ってもらうことも重要です。 技術的な手段や管理文書は、コードや社内文書に埋もれていたり、製品に組み込まれていたりすることが多く、個人情報のセキュリティを高めることはできても、ユーザーが直感的に感じることはできないかもしれません。

そのため、海外のインターネットベンダーは、自社のプライバシーに関する理念や慣行をよりよく説明するために、独自のプライバシーホワイトペーパーを発行し、その全体像を公開することが多い。 中国企業も近年、このモデルを採用するケースが増えており、例えばXiaomi社は、同社のMIUIオペレーティングシステムのセキュリティとプライバシーに関するホワイトペーパーを発表しています。"データセキュリティとユーザーのプライバシー保護に関するXiaomi社の携帯電話のプラクティスをユーザーと業界に共有し、相互理解と共通の進歩を目指す "としています。

また、社会的責任報告書による個人情報保護の資料を蓄積するための準備も、プラットフォームには必要です。 法的紛争が発生した場合に、個人情報保護のために多大なコストを投じ、義務を果たし、過失がないこと(第2次審査草案第68条)を規制当局や裁定委員に対してよりよく証明し、法的責任を軽減または免除するため。 なぜなら、定期的に発行される社会的責任報告書は、裁判所のために特別に作成された資料よりも、より客観的なものになるからです。

企業の報告書作成を支援してきた私たちの経験によると、説得力のある社会的責任報告書には、通常、以下が含まれます。

1.マクロ的視点から見た、プラットフォームの個人情報保護の理念、目的、目標。
2.プラットフォーム内外の様々なステークホルダーが個人情報保護に関与していること(社内の制度設定、社外の専門コンサルタント、サプライヤーの個人情報保護能力の見直しなどの施策など)。
3.個人情報保護のためにプラットフォームが策定したルールとその実施状況、プラットフォーム内の製品・サービスが個人情報保護の概念・目的・目標をどのように実践しているか、例えば、製品(サービス)におけるプライバシー・バイ・デザインの実践、企業内における個人情報保護のための教育・評価・緊急時の訓練などが紹介されることがあります。
4. プラットフォームが開催または参加した個人情報保護に関する会議・フォーラム・セミナーの開催状況および発表内容、個人情報保護に関する論文・記事の定期刊行物やメディアへの掲載、書籍の発行。
5.過去の一定期間における、個人情報に関する権利要求への対応の種類や数、対応に要した時間などの情報。
6.過去一定期間におけるプライバシーポリシーなどの個人情報保護文書の改訂状況
7.未成年者の個人情報保護について、未成年者向けのプラットフォームでどのような対策をとっているか、保護者からの要望への対応など
8.視覚障害者グループがプライバシーポリシーを理解しやすくするためにどのような措置が取られているか、高齢者モードではプライバシーポリシーのフォントを大きくし、間隔を広げるなどです。 これらの要素は、プラットフォームの社会的責任を反映するのに適しています。
9. どのようなセキュリティ・インシデントが発生したか、どのように対処されたか、どの第三者が関与しているかなど、個人情報のセキュリティ・インシデントに関する情報
10. 外部メンバーで構成された独立機関の人員の構成とパフォーマンス
11.プライバシー保護技術の適用に関する情報 社会的責任報告書には、ディファレンシャル・プライバシー、フェデラル・コンピューティング、匿名化、暗号化などの新しいプライバシーおよびセキュリティ手段の導入など、プラットフォームが採用または計画しているプライバシー保護技術の説明を含めることができます。

この記事が気に入ったらサポートをしてみませんか?