見出し画像

中国最新法令UPDATE Vol.1:民法典の成立によるデータ保護法制への影響

三浦法律事務所/Miura & Partners

1. 総論

2020年5月28日、全国人民代表大会(以下「全人代」といいます。)において、中国初の民事における体系的法典である「中華人民共和国民法典」(以下「民法典」といいます。)が可決され、2021年1月1日から施行されることになりました。これまで中国では民法総則や契約法、物権法等、権利侵害責任法の個別法が制定されるにとどまり、これらを統合した法律は存在しませんでした。

民法典は総則、物権、契約、人格権、婚姻家庭、相続、権利侵害責任の全7編で構成され、全部で1260条あります。このうち、既存の個別法の規定を統合した条文が大多数を占めますが、新設された規定や既存の個別法の規定を大幅に変更した規定も相当数含まれています。なお、民法典の施行後は、個別法は効力を失い、民法典が統一的法律として適用されることになります。

民法典の膨大な条文の中で渉外企業法務の分野で注目に値するテーマの一つとして、プライバシー権・個人情報保護に関する規定が設けられたことが挙げられます。これまでプライバシー権・個人情報の保護に関しては民法総則(「中华人民共和国民法总则」)やサイバーセキュリティ法(「网络安全法」)等においても規定が設けられていますが(*1)、民法典では、「第6章 プライバシー及び個人情報保護」という章が新たに設けられています。結論としては、民法典におけるプライバシー・個人情報保護に関する規定は、従来からの解釈を変更するものではなく、これを確認するものといえると考えられます。

*1 民法総則において、「自然人の個人情報は、法律による保護を受ける。他者の個人情報を取得する必要がある組織及び個人は、法令に従って個人情報を取得し、個人情報の安全を確保しなければならず、他人の個人情報を違法に収集、利用、処理、又は譲渡することは禁止される。」(民法総則111条)と規定されていました。同趣旨の規定は民法典においても維持されており(民法典1035条等)、民法総則と同様の対応は引き続き必要となります。また、中国においては、サイバーセキュリティ法のほか、電子商取引法、消費者権益保護法、消費者の権利侵害に対する処罰弁法、電気通信及びインターネット利用者の個人情報の保護に関する規定等、さまざまな規則に個人情報保護に関する規定が散在しています。このため、データコンプライアンスの観点からは、これらの規定についても留意が必要となります。

以下では、中国における既存のデータ法制に触れつつ、民法典の規定を検討します。また、参考のため、日本法の整理についても触れたいと思います(日本においても、令和2年6月5日、第201回国会において、「個人情報の保護に関する法律等の一部を改正する法律」(以下「令和2年改正個人情報保護法」といいます)が成立しています。その詳細については、当事務所の日置巴美弁護士が執筆した、「令和2年個人情報保護法改正と施行準備等のポイント」をご参照下さい)。

2. 「プライバシー情報」と「個人情報」の区別

民法典において、「プライバシー権」の定義が初めて規定されました。民法総則では、各人がプライバシー権を有するものと規定されていましたが(民法総則110条)、プライバシー権やプライバシーの明確な定義はなく、「個人情報保護」について規定していました(民法総則111条)。民法典では、プライバシーとは、「自然人の私生活の平穏及び他人に知られたくない私生活、私的な活動、プライバシー情報」を指す旨が明確に定義されました(民法典1032条2項)。

ここで注目に値するのは、プライバシーの内容の一つとして、「プライバシー情報」(私密信息)が含まれる旨が規定されている点です。このため、①「プライバシー情報」と「個人情報」の区別、②データを取り扱う各企業において、「個人情報」と「プライバシー情報」につき、異なる取扱いをする必要があるのかという点が問題になります。

(1) これまでの中国データ保護法制における保護対象及び主なルール

サイバーセキュリティ法において、「個人情報」とは、電子又はその他の方法で記録され、単独又はその他の情報と結合することで自然人の個人の身分を識別できる各種情報と定義されています(サイバーセキュリティ法76条5号)。そして、「個人情報」の例示として、姓名、生年月日、身分証番号(出生日より付与される18桁の身分証番号)、生物識別情報(顔や指紋)、住所、電話番号が列挙されています(サイバーセキュリティ法76条5項)。

さらに、上記論点との関係で、「個人情報安全規範」が参考になります。「個人情報安全規範」は、あくまで強制力を有しない推薦標準であるため、法的拘束力はありませんが、実務上重要な参考とされています。当該規範の最新版は2020年3月6日に公布され、同年10月1日施行予定です。そのなかに「個人情報」と、いわゆるセンシティブデータとしての「個人センシティブ情報」が定められています。

「個人情報安全規範」においては、個人情報のうち、「いったん漏洩、不法に提供又は濫用されると、人身や財産の安全を害するおそれがあり、さらには個人の名誉・心身の健康が害されたり、偏った待遇等をもたらすおそれがある個人情報」は、「個人センシティブ情報」に該当するものとされています(個人情報安全規範3.2条)。「個人センシティブ情報」の例として、①個人財産情報、②個人健康生理情報、③個人生物識別情報、④個人身分情報、⑤インターネット身分標識情報等が挙げられています。「個人センシティブ情報」については、収集時に明確な同意が要求されています(個人情報安全規範5.4.c条)。また、伝送と保管に際しては、暗号化措置を講じなければならないとされています(個人情報安全規範6.3.a条)。その他の取扱いの留意点として、同意の選択を保障するための方法についての例示があります(個人情報安全規範別紙C)。また、現在未施行ではあるものの、データ安全管理弁法(意見募集稿)(2019年5月28日公布)においては、ネットワーク運営者は経営を目的として、個人センシティブ情報を直接又は間接的に収集する際に、インターネット情報部門へ届出を行うべきとされていることについても注意が必要です(データ安全管理弁法15条)。

(2) 民法典の検討

民法典では、「個人情報の中にプライバシー情報が含まれる場合には、プライバシー権に関する規定を適用する。規定が存在しない場合には、個人情報保護に関する規定を適用する。」との整理がなされています(1034条2項)。この規定から、「プライバシー情報」は、「個人情報」の特則であり、特にプライバシー権につき定める規定がある場合には、そちらの規定が優先し、そのような規定がなければ、個人情報に関する規制が適用されます。

もっとも、民法典において、プライバシー権の取扱いにつき特に定めているのは1033条(*2)のみであり、一定の行為を禁止し、法令又は明確な同意を要件としこれらの行為が認められるとしています。

*2 民法典1033条においては、法律に規定がある場合又は権利者の明確な同意がある場合のほか、いかなる組織又は個人も、以下の行為を行ってはならないと規定されています。
• 電話、チャット、電子メール、インスタントメッセージ、パンフレット等の方式で、他人の私的生活の安寧を侵害すること
• 他人の住居、ホテル等の私的空間に侵入したり、これを撮影、のぞき見すること
• 他人の身体の私的部分を撮影、のぞき見すること
• 他人のプライバシー情報を処理すること
• その他の方式により他人のプライバシー権を侵害すること

なお、例えば「個人情報安全規範」における「個人センシティブ情報」には前述のとおり財産や健康に関する個人情報が含まれるところ、これらは民法典がプライバシー情報とする「自然人の私生活の平穏及び他人に知られたくない私生活、私的な活動、私的な情報」にもあたり得るものと考えられます。しかし、民法典の規定からは、「個人センシティブ情報」と「プライバシー情報」との重なり合いの範囲は明らかではなく、「個人センシティブ情報」に該当する情報が、どのような場合に「プライバシー情報」にあたるのかは不明瞭です。今後制定が予定されている個人情報保護法等において、この点につきどのように整理されるのか、注目されます。

(3) 日本におけるプライバシーと個人情報保護

日本において、パーソナルデータの保護は、主にプライバシー法理と個人情報保護法の2つに分けられます。前者については、不法行為などの判断においてプライバシーの利益が保護法益として挙げられます。後者について、個人情報保護法は保護対象としての個人情報とし、その取扱いについてルールを設けています。その目的は必ずしもプライバシー保護ではなく、広く個人の権利利益を保護することであり、その手段として個人情報を定義して取扱いに係る義務を設けることとしています。なお、個人情報の中でも、人種、信条、社会的身分、病歴、犯罪の経歴(前科)、犯罪被害を受けた事実その他本人に対する不当な差別、偏見、その他の不利益が生じないように取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報は、「要配慮個人情報」(個人情報保護法2条3項、政令2条、規則5条)として取得時と第三者提供の制限においてルールが加重されています。

3. 「個人情報」の例示の拡充

近年は、いわゆるIoT(Internet of Things)の発展により、走行中のコネクテッドカーから稼働状況や位置情報を取得したり、ヘルスケアデバイス等のIoT機器等により健康情報を取得したり、ウェブサイトやスマートフォンからCookie・ADID等の端末識別子、ウェブ閲覧履歴等を取得する場面が増えています。

中国のサイバーセキュリティ法において「個人情報」とは上記2(1)の通り規定されており、個人情報安全規範において「個人情報」とは、「電子又はその他の方法で記録され、単独又はその他の情報と結合することで特定の自然人の身分を識別できる各種情報又は特定の自然人の活動状況を反映できる各種情報」と定義され、ネットワークIDの識別情報(IPアドレス等)、個人のネットワーク接続記録(ウェブサイトの閲覧記録・ソフトウェア使用記録等を含む)、個人の位置情報(行動の軌跡、正確な位置情報、緯度経度等を含む)が個人情報に該当するとされています(個人情報安全規範別添A表A1参照)。これらは、個人情報の定義の基本的部分が共通し(*3)、また、規制対象となる事業者が重複することから、これまでの中国データ保護法制においては、識別子、位置情報は個人情報に該当するものと位置づけられてきたものと考えられます。

*3 サイバーセキュリティ法と個人情報安全規範における「個人情報」の定義の基本部分はそれぞれ以下の通りであり、下記の太字下線部分除き、共通している。
• サイバーセキュリティ法:電子又はその他の方法で記録され、単独又はその他の情報と結合することで自然人の個人の身分を識別できる各種情報
• 個人情報安全規範:個人情報の定義「電子又はその他の方法で記録され、単独又はその他の情報と結合することで特定の自然人の身分を識別できる各種情報又は各種情報又は特定の自然人の活動状況を反映できる各種情報

民法典においては、次の通りこれまでの中国データ保護法制における個人情報に比して例示が拡充されていますが、前述の端末識別子や履歴情報は引き続き個人情報に該当するのでしょうか。

(1) 民法典の検討

個人情報の定義については、民法典においても、サイバーセキュリティ法と同様「特定の自然人を単独又は他の情報と組み合わせて識別できる情報」とされています(民法1034条)。このため、民法典における個人情報の対象は、これまでのデータ保護法制におけるのと同様のものであり、また、その解釈を変更するものではないと考えられます。

民法典における注目の点としては、個人情報に該当する情報の例示が拡充されている点が挙げられます。サイバーセキュリティ法は、個人情報の例示として姓名、生年月日、身分証番号(出生日より付与される18桁の身分証番号)、生物識別情報(顔や指紋)、住所、電話番号を挙げているところ(サイバーセキュリティ法76条5項)民法典では、電子メール、健康情報、位置情報が追加されています(民法典1034条)。例示として追加されている「電子メール」、「健康情報」、「位置情報」をみると、近年のデータ取扱いを踏まえ、デジタル化やIoTを意識しているようにも思われるところ、ネットワークIDの識別情報や位置情報も広く「個人情報」に該当するとする個人情報安全規範の内容を追認する趣旨であって、中国データ保護法制における個人情報のスコープを変更するものではないと考えられます。

(2) 日本における整理

日本においては、Cookie等の端末識別子は、単体では個人情報に該当しないとされ、また、ウェブ閲覧記録、位置情報についても基本的には単体で個人情報に該当しないものとして取り扱われています。他方、氏名等の情報と紐づけてこれらを取り扱う場合には、個人情報に該当するため、法の定めに従った取扱いが求められます。

しかし、令和2年改正個人情報保護法においては、Cookie等の端末識別子を含め個人情報に該当しない情報を「個人関連情報」とし、提供元では個人データに該当しないものの、提供先において個人データとすることが想定される場合には、一定の取扱いが求められることとされました(個人情報保護法26条の2)。なお、個人関連情報については、提供先が提供元から個人関連情報の提供を受けて氏名等と紐づけるなどすることによって個人データとして取得することが想定される場合に、提供先においてそのような取得を認める旨の本人同意が得られていることについて、提供元が個人情報保護委員会規則に定めに従って確認することが義務付けられています(個人情報保護法26条の2第1項)。

4. 個人情報保護規制適用対象の拡大

サイバーセキュリティ法では「ネットワーク運営者」(ネットワークの所有者、管理者およびネットワークサービス提供者。サイバーセキュリティ法76条3号。)に個人情報を適切に取り扱う義務が課されており(サイバーセキュリティ法41条)、当該義務に違反した場合の責任を負う(同法43条等)とされております。これに対して民法典では、「個人情報を処理する場合」、個人情報保護責任を負うとされ(民法典1035条等)、個人情報を取り扱うあらゆる事業者が適用対象となっています*4。

*4 ここの「処理」とは、「収集、保存、使用、加工、伝達、提供、開示等を含む」と規定されています(民法典1035条2項)。

5. 事業者への配慮

民法典では、一定の場合には事業者の免責を認めることが明記されています。

具体的には、個人情報を処理する際、以下の事情が認められる場合には、民事責任を負わないとされています。従前はこのような免責条項は定められていませんでした。民法典においては、個人情報保護規制により事業者の活動が過度に委縮することを避ける趣旨で、免責規定が新設されたものと考えられます。

・公共の利益のために新聞報道等において合理的な使用を行う場合(民法典999条)

・当該個人又はその保護者の同意がある場合(民法典1036条1項1号)

・当該個人が自ら公開し、又は、既に合法的に開示された情報である場合(ただし、当該個人が明確に拒絶している、又は、当該個人の重大な利益を侵害する情報である場合を除く。民法典1036条1項2号)

・公共の利益又は当該個人が権益を保護するため、合理的に実施されるその他の行為(民法典1036条1項3号)

6. 今後の法整備の動向

全人代は民法典の公布と共に全人代のウェブサイトにおいて、個人情報保護法とデータセキュリティ法の立法計画についても発表しました。また、データセキュリティ法の草案が2020年7月3日から、中国人民代表大会の公式サイトで公開され、意見募集がなされています。今後、これらの法律の整備により個人情報・データの保護体制が更に強化され、サイバーセキュリティ法等既存の法制度との連携が図られていくものと思われます。

Authors

弁護士 湯浅 紀佳(三浦法律事務所 パートナー)
PROFILE:2003年弁護士登録(第二東京弁護士会所属)。中国の法律事務所で経験を積み、2005~2018年森・濱田松本事務所。2013~2016年同北京オフィス一般代表。2019年から現職

弁護士 日置 巴美(三浦法律事務所 パートナー)
PROFILE:2008年新司法試験合格、2016年弁護士登録(第二東京弁護士会所属)。司法修習の後、 国会議員の政策担当秘書を歴任。その後、内閣官房情報通信技術(IT)総合戦略室参事官補佐等として、2017年改正個人情報保護法の制度設計から施行準備までを担当。現在は、弁護士として、データの取扱いに係るプラクティスに広く関与しており、法令遵守、レピュテーションリスク、CSR、行政対応、危機管理等の多角的な観点から、事業規模等を踏まえたリーガルサポートを行っている。また、近時は、行政機関、企業等の検討会の委員としても活動している

弁護士 趙 唯佳(三浦法律事務所 カウンセル)
PROFILE:2007年中国律師資格取得。2007~2019年森・濱田松本法律事務所。2019年4月から現職

弁護士 井上 諒一(三浦法律事務所 カウンセル)
PROFILE:2014年弁護士登録(第二東京弁護士会所属)。2015~2020年3月森・濱田松本法律事務所。2017年同事務所北京オフィスに駐在。2018~2020年3月同事務所ジャカルタデスクに常駐。2020年4月から現職。英語のほか、インドネシア語と中国語が堪能。

弁護士 大滝 晴香(三浦法律事務所 アソシエイト)
PROFILE:2017年弁護士登録(第一東京弁護士会所属)。2017~2020年3月北浜法律事務所。2020年4月から現職

この記事が気に入ったらサポートをしてみませんか?