中国最新法令UPDATE Vol.3:個人情報保護法
中国国内外から注目を集めてきた中国の「個人情報保護法」(以下「本法」という)は、3回の審議を経て2021年8月20日に正式に公布され、2021年11月1日より施行する予定となった。本法は、2017年6月1日施行の「サイバーセキュリティー法」、2021年9月1日に施行予定の「データセキュリティー法」と合わせて、中国の情報・データ管理法制度の基本的法律になる。「個人情報保護法」については、2020年10月に第一次草案公布以来、複数回の公開意見募集が行われた。本稿では、特に日系企業の関心が高いと思われる内容と、日本でも多くの議論がなされた二次草案(全国人民代表大会常務委員会2021年4月29日公布、草案二次審議案、以下「本草案」という)からの比較を中心に、本法について紹介する。
1. 適用範囲
本法は、中国国内の個人情報(*1)を処理する活動(*2)に適用されるほか、中国国外において中国国内の自然人の個人情報を処理する活動に関しても、①中国国内の自然人に向けて商品またはサービスを提供することを目的としている場合、②国内の自然人の行為を分析し、評価するためである場合、または③法律もしくは行政法規の規定するその他の状況に該当する場合には、本法を適用するとしている(3条)。
*1 電子的またはその他の方法により記録された、既に識別されまたは識別できる自然人に関する各種情報をいうが、匿名化処理後の情報を含まない(4条)。
*2 「個人情報の処理」は、個人情報の收集、保存、使用、加工、伝達、提供、公開、削除等の活動を含む(4条)。
当該範囲から、基本的に中国国内の自然人の個人情報を取り扱うことのある国内外の個人情報処理者(*3)に適用されるものであり、広範囲に適用されるものになる。本法は、総則のほか、個人情報規則、個人情報国外提供の規則、個人情報処理における個人の権利、個人情報処理者の義務、個人情報保護職責を履行する部門および法的責任等を各章に分けて規定している。
*3 「個人情報処理者」とは、個人情報処理の活動を行う場合、自主的に処理目的、処理方法等個人情報処理の事項を決定する組織、個人を指す(73条1項1号)。
2. 個人情報処理の原則
本法は、第一章の総則において、個人情報処理について、合法、正当、必要および信義誠実の原則(5条)、明確かつ合理的な目的を有し、最小範囲の収集と個人への影響を最小限とする処理方法の採用(6条)、公開および透明性、個人情報の処理規則の公開、処理目的、方法および範囲の明示(7条)、個人情報の品質を保証し、不正確さ、不完全さにより個人権益に不利な影響が生じることを避けること(8条)、個人情報処理者は、その個人情報処理活動に対して責任を負わなければならず、個人情報の安全を保障するために必要な措置を講じなければならないこと(9条)、不法な個人情報収集・使用・加工・伝達・売買・提供・公開の禁止(10条)等の原則的規定を設けている。
3. 個人情報処理の具体的規則
(1)個人情報処理を行うことができる場合(13条)
以下に列挙する状況のいずれかに該当してはじめて、個人情報処理者が個人情報を処理することができる。
① 個人の同意を取得している場合。
② 個人が一方の当事者である契約の締結、履行に必要、または法により制定された労働規則制度や法により締結された集団契約に基づき実施される人事管理に必要な場合。
③ 法定の職責または法定の義務の履行に必要な場合。
④ 突発的な公衆衛生上の事件に対応し、または緊急な状況において自然人の生命・健康および財産の安全の保護のために必要な場合。
⑤ 公共の利益のためのニュース報道、世論監督等の行為を実施する場合で、合理的範囲内で個人情報を処理する場合。
⑥ 本法の規定に基づき合理的な範囲内、個人が自ら公開したもしくはその他すでに合法に公開された個人情報を処理する場合。
⑦ 法律、行政法規の規定するその他の状況。
上記のうち、②ないし⑦のいずれかに該当する場合、個人情報処理について個人の同意を取得する必要はない。
特に、②の後半である「法により制定された労働規則制度や法により締結された集団契約に基づき実施される人事管理に必要な場合」は、草案段階にはなく、本法で追加された内容になる。
(2)告知と個人情報処理に関する同意の取得
上記(1)の個人の同意に基づき行う個人情報を処理する場合、その同意は、個人が充分に情報を知っていることを前提に、自発的で、明確に行ったものでなければならない。法律または行政法規が個人情報の処理について、個人の個別な同意または書面による同意を得なければならないと規定する場合には、当該規定に従う。個人情報の処理目的、処理方法および処理する個人情報の種類に変更が生じた場合には、改めて個人の同意を得なければならない(14条)。
個人は同意を撤回する権限を有し、個人情報処理者は、同意を撤回する利便性のある方法を提供しなければならない(15条)。
また、個人情報処理者は、個人がその個人情報の処理に同意しないまたは同意を撤回したことを理由に商品またはサービスの提供を拒絶してはならない(16条)(*4)。
*4 ただし、個人情報の処理が、商品またはサービスの提供に必要な場合にはこの限りではない(16条但書)。
個人情報処理者は、個人情報を処理する前に顕著な方法で、明確かつ理解しやすい表現を用いて、真実に、正確かつ完全に、個人情報処理者の名称や連絡先、処理目的・方法、処理する個人情報の種類と保存期間、個人の権利行使の方法と手続等を個人に対して告知しなければならない(17条1項)(*5) 。
*5 ただし、例外として、法律・行政法規の規定により、秘密保持をしなければならない場合もしくは告知しなくてよい場合には当該告知を行わないことができるとされており、さらに、緊急の状況において、人の生命、健康および財産の安全を保護するため直ちに個人に告知することができない場合には緊急の状況が消滅した後に告知することができるとされている(18条)。
(3)個人情報処理業務の委託と移転
個人情報処理者が個人情報の処理に関する委託をする場合、受託者との間で委託による処理の目的、期限、処理方法、個人情報の種類、保護措置および双方の権利と義務等を約定しなければならず、かつ受託者の個人情報処理活動に対し監督を行わなければならない(21条)。
個人情報処理者が合併、分立、解散および破産宣告等の理由で個人情報を移転する必要がある場合においては、個人に対し移転先の名称もしくは氏名および連絡先を告知しなければならない。移転先は継続して個人情報処理者としての義務を履行しなければならない(22条)。当該規定を受け、今後の企業の組織変更やM&A案件において個人情報管理者の移転が発生する場合、告知を行う必要がある可能性があるので実務上留意する必要がある。
(4)自動処理による意思決定に関する規定
本法は「自動処理による意思決定」(中国語原文では「自动化决策」、コンピュータープログラムを通じて、個人の行動習慣、興味嗜好または経済、健康、信用状况等を自動的に分析、評価し、かつ意思決定する活動をいう(73条1項2号))に関して詳細ルールを規定した。これは、アプリケーションプログラムによる不正な情報収集や、ビッグデータによる「殺熟」と呼ばれる常連客の情報の不正利用等に対する対策であるとされている (全国人民代表大会法工委2021年8月13日記者会見)。具体的には、決定の透明性および処理結果の公平性・公正性を保障しなければならず、個人に対する取引価格など取引条件面の不合理的な差別待遇を行ってはならず、自動処理による意思決定の方法によりプッシュ型情報配信、商業的マーケティング活動を行う場合には、その個人的特徴に基づかない選択肢も同時に提供するか、もしくは個人に対して利便性のある拒絶方法を提供しなければならない(24条)。特に、上記取引価格など取引条件面の不合理的な差別待遇の禁止は本草案にはなく、本法で新たに追加で明記されたものである。
(5)センシティブな個人情報に関する規定
本法は、センシティブ個人情報について「一旦漏洩しまたは不法に使用された場合、容易に自然人の人格尊厳が侵害され、または人身、財産安全に危害を受ける可能性がある個人情報をいい、生体認証、宗教信仰、特別な身分、医療健康、金融口座、行動追跡等の情報および14歳未満の未成年の個人情報を含む」と規定し、特定の目的および充分な必要性があり、かつ厳格な保護措置を講じた場合に限り、個人情報処理者がセンシティブ個人情報を取り扱うことができるとしている(28条)。このうち、本草案では14歳未満の未成年のすべての個人情報をセンシティブな個人情報とした内容はなく、本法で新たに追加で規定されたものである。
センシティブ個人情報処理を行う場合には、原則としてセンシティブ個人情報を処理する必要性および個人への影響を告知しなければならず(30条)、処理について個人から(一般的な個人情報処理の同意と別途で)個別に同意を得なければならない(29条)。14歳未満の未成年者に係る個人情報処理を行う場合、当該未成年者の父母またはその他後見人の同意を得なければならず、かつ専用の個人情報処理規則を制定しなければならない(31条)。
(6)個人情報の国外提供
個人情報処理者が業務等の必要により、確かに中国の国外に個人情報を提供する必要がある場合には、個人情報処理者は以下のいずれかを具備しなければならない。(38条)
① 本法40条の規定に基づいて国家ネットワーク通信部門による安全評価に合格する。
② 国家ネットワーク通信部門の規定に基づいて専門機構による個人情報保護の認証を得る。
③ 国家ネットワーク通信部門の定める標準契約に基づいて、国外の移転先と契約を締結し、双方の権利および義務を約定する場合。
④ 法律、行政法規または国家ネットワーク通信部門の規定するその他の条件。
上記①の安全評価に関しては、本法40条が、(i)重要情報インフラ運営者および(ii)処理する個人情報が国家ネットワーク通信部門の規定する数量に達した個人情報処理者は、中国国内で收集しまたは発生した個人情報を国内で保存しなければならない。確かに国外に提供する必要がある場合には、国家ネットワーク通信部門による安全評価に合格しなければならないとしている。
個人情報の国外提供については、これまでの法令でも規定がなされている。具体的には、「サイバーセキュリティー法」は「重要インフラ運営者」について原則国内保存の義務と国外提供の場合の「安全評価」を受ける義務を規定し(「サイバーセキュリティー法」37条)、「データセキュリティー法」は「重要情報インフラ運営者」が中国国内の運営において収集および生成した「重要なデータ」の国外提供安全管理については、「サイバーセキュリティー法」の規定を適用するとし、「その他のデータ処理者」の場合は「国家ネットワーク情報部門が国務院の関係部門と共同で『国外提供安全管理弁法』を制定して管理する」としていた(データセキュリティー法31条)。しかし、上記「重要情報インフラ運営者」や「重要情報インフラ運営者」等の概念が不明確なうえ、安全評価の詳細や安全管理弁法等の法令がまだ公布されておらず(*6) 、中国国内外から多くの関心ないし懸念を集めていた。
*6 国家ネットワーク情報弁公室は、2019年6月に「個人情報出国安全評価規則」(中国語原文は「个人信息出境安全评估办法」)の意見募集草案を公布していた。
この点、今回の「個人情報保護法」は、個人情報を国外に提供できる場合の明記をしたものの、40条の安全評価の適用範囲と詳細が依然として不明であり、今後の細則の公布等が待たされることになる。
4. 個人情報処理活動における個人の権利
本法は、個人はその個人情報の処理に対し、知る権利、決定権を享有し、他人がその個人情報を処理することを制限しまたは拒否する権利を有すると規定した(44条)。また、原則的に個人情報の閲覧、複製ができること(45条)、是正、補充を請求できること(46条)、さらに、①処理の目的が実現した場合、②商品やサービスの提供が停止され、または保存期間が満了した場合、③個人が同意を撤回した場合、④違法や契約違反になる処理があった場合等の削除を求める権利(47条)、⑤個人情報処理者に対してその個人情報処理規則の解釈および説明を要求する権利(48条)等を規定している。
また、本草案に対する追加内容として、49条において自然人が死亡した場合、原則としてその近親者が死者に関わる個人情報について上記閲覧、複製、訂正、削除などの権利を行使することができると規定した。
一方、個人の権利行使に関して、個人情報処理者としては利便性のある「個人の権利行使の申請受理および処理体制」を構築しなければならないとしている(50条1項)。さらに、個人情報処理者は個人の権利行使の請求を拒否した場合、その理由を説明しなければならず、これについて個人は法に基づいて人民法院に対して訴訟を提起することができると明記されている(50条1項、2項)。当該訴訟の権利は草案段階にはなく、本法で新たに追加された内容であり、個人情報処理者が個人の権利行使を拒否することが訴訟リスクにつながる可能性があることが明確になった。
5. 個人情報処理者の義務
個人情報処理者の義務として、本法は主に以下の内容を規定した。
(1)安全保護措置構築義務
個人情報の合法的な処理と安全性の保護処置として、①内部管理制度および実務規程の制定、②個人情報に対しレベル別の分類管理、③適切な暗号化、非識別化等の安全技術措置、④個人情報処理の操作権限を合理的に確定し、かつ従業員に対する定期的に安全教育および訓練、⑤個人情報安全事件応急措置の制定等の義務を規定している(51条)。
(2)個人情報保護責任者の指定義務
処理する個人情報数が、国家ネットワーク情報部門が規定した数量に達した場合、個人情報処理者は個人情報保護責任者を指定しなければならない(52条1項)。当該責任者は、個人情報処理活動および講じた保護措置等に対して監督を行う責任を負う(52条1項)。個人情報処理者は当該個人情報保護責任者の氏名、連絡先等を公開し、個人情報保護職責履行部門(*7)に報告しなければならない(52条2項)。当該責任者の資格、他の職務を兼任することができるか否かなどの詳細はまだ明らかにされていない。
*7 国家ネットワーク情報部門ならびに国務院および県以上地方政府の個人情報保護と監督を担当する部門(60条)。
(3)コンプライアンス監査義務
個人情報処理者は、その個人情報処理が法律、行政法規の規定に適合しているかのコンプライアンス監査を定期的に行わなければならない(54条)。ただし、当該監査の実施頻度、実施機関に対しる要求、内容等は明らかにされていない。
(4)国外個人情報処理者の義務
個人情報の国外提供における中国国外の個人情報処理者は、国内に専属機関を設立しまたは代表者を指定し、これをもって個人情報保護に関連する事務の処理について責任を負わせなければならず、かつ、当該機構の名称または代表者の氏名、連絡先等を個人情報保護職責履行部門に報告しなければならない(53条)。
(5)個人情報保護影響評価を行う義務
センシティブな個人情報の処理を行う場合、自動処理による意思決定を利用する場合、個人情報処理の委託、他の処理者への提供、個人情報の公開を行う場合、国外へ個人情報を提供する場合、その他個人権益に重大な影響を持つ個人情報処理活動を行う場合には、個人情報保護影響評価を行わなければならない(55条)。
当該個人情報保護影響評価の内容は、①個人情報処理の目的、処理方法等が合法、正当かつ必要であるか、②個人権益への影響および安全リスク、③講じる安全保護措置が合法、有效かつリスクの程度に相応しているかを含まなければならない(56条1項)。また、個人情報保護影響評価報告書および処理状況記録は、最低3年間は保存しなければならない(56条2項)。
(6)関連部門や個人への通知義務
個人情報処理者に対して、漏洩、改ざん、紛失が発生し、またはその恐れがある場合の関連部門や個人への通知義務が課せられている(57条)。
(7)特別個人情報処理者の義務
上記(6)に加えて、重要なインターネットプラットフォームサービス、ユーザー数が膨大、業務類型が複雑な個人情報処理者の場合には、①国家規定に基づき、個人情報保護コンプライアンス制度体系を構築・健全化し、主に外部第三者メンバーからなる独立機関を設立して個人情報保護状況を監督すること、②プラットフォーム規則を制定し、プラットフォーム内の商品またはサービス提供者に対して個人情報処理の規範および個人情報保護の義務を明確すること、③法律、行政法規に重大に違反し、個人情報処理を行うプラットフォーム内の商品またはサービス提供者に対して、サービスの提供を停止させる義務、④定期的に「個人情報保護社会責任報告」を公布し、社会からの監督を受けることが義務を付けられている(58条)。
当該規定が適用される個人情報処理者の該当要件や詳細内容が明確にされておらず、今後の法令制定等による明確化が必要になると思われる。
6. 法的責任
本法の規定に違反し、または本法の規定に基づく個人情報保護義務を果たさなかった場合、個人情報保護職責履行部門が是正を命じ、かつ違法所得を没収し、警告、アプリケーションプログラムのサービス停止・終了を命じられ、さらに是正しない場合には過料が課される可能性がある。情状が重い場合、是正命令、違法所得の没収、かつ5000万人民元以下または前年度の売上高の5%以下の過料に処され、関連業務の停止、業務許可ないし営業許可の取消とされる可能性がある。さらに、直接責任人員は10万元以上100万元以下の過料に処されるほか、かつその一定期間内に関連企業の董事、監事、高級管理職および個人情報保護責任者を務めることを禁ずることがある(66条)。本法の規定に違反し、治安管理に違反する行為を構成する場合、法に基づき治安管理処罰を行う。犯罪を構成する場合、法により刑事責任を追及する(71条)。
さらに、個人情報に関する権益が個人情報処理活動により侵害された場合、個人情報処理者が自らの過失がないことを証明できない場合、損害賠償等の権利侵害責任を負うとされている(69条)。
Authors
弁護士 湯浅 紀佳(三浦法律事務所 パートナー)
PROFILE:2003年弁護士登録(第二東京弁護士会所属)。中国の法律事務所で経験を積み、2005~2018年森・濱田松本事務所。2013~2016年同北京オフィス一般代表。2019年から現職
弁護士 趙 唯佳(三浦法律事務所 カウンセル)
PROFILE:2007年中国律師資格取得。2007~2019年森・濱田松本法律事務所。2019年4月から現職
弁護士 日置 巴美(三浦法律事務所 パートナー)
PROFILE:2008年新司法試験合格、2016年弁護士登録(第二東京弁護士会所属)。司法修習の後、 国会議員の政策担当秘書を歴任。その後、内閣官房情報通信技術(IT)総合戦略室参事官補佐等として、2017年改正個人情報保護法の制度設計から施行準備までを担当。現在は、弁護士として、データの取扱いに係るプラクティスに広く関与しており、法令遵守、レピュテーションリスク、CSR、行政対応、危機管理等の多角的な観点から、事業規模等を踏まえたリーガルサポートを行っている。また、近時は、行政機関、企業等の検討会の委員としても活動している
この記事が気に入ったらサポートをしてみませんか?