M&P Legal Note 2021 No.10-3
中国の「個人情報保護法」の制定及び実施
2021年10月20日
松田綜合法律事務所
中国弁護士 徐 瑞静
1.はじめに
「中華人民共和国個人情報保護法」(以下「本法」という。)は、3回の審議と2回のパブリックコメント募集を経た後、2021年8月20日、第13期全国人民代表大会常務委員会第30回会議で採択され、11月1日から施行されます。これをもって、中国においては、個人情報に関し、「データ安全法」、「インターネット安全法安全法」、「暗号法」と共に、データ管理立法の枠組みがひとまず完成したことになります。
本法は、個人情報の範囲、その収集、保存、使用、加工、転送、提供、公開、削除など、個人情報保護に関する事項を網羅的に規定しています。個人に情報制御に関する権利を与えると同時に、個人の権利に対応する個人情報処理者の義務及び責任の規定も設けています。そのほか、個人情報の越境問題、個人情報保護の部門職責、関連法律責任について規定しています。以下において、本法の主要な内容について述べたいと思います。
2 本法の概容
(1)適用対象の範囲
電子または他の方法で記録され、識別された(または識別可能な)自然人に関する各種情報が適用の対象とされており(第4条)、このことは、自然人に関する情報のほとんどが保護の範囲に組み入れられることを意味しています。同時に、センシティブ個人情報については、それらを生物識別、宗教信仰、特定の身分、医療健康、金融口座、行方の軌跡などの情報に区分しており、それには、14歳未満の未成年者の個人情報も含んで、未成年者の個人情報保護に力を入れています(第28条)。また、匿名化処理後の情報については、保護の対象から除外しており(第4条第1項後段)、匿名化などの技術により、正常な情報処理活動の保障が可能であることを示しています。
(2)個人情報を処理する際の基本原則
個人情報を処理する際に、信義誠実の原則(第5条)、最小範囲の原則(第6条)、公開透明の原則(第7条)、個人情報の正確性の原則(第8条)、安全保障の原則(第9条)が採用されることが明言されていますが、これらの原則は中国の「民法典」、「インターネット安全法」の規定とも一致するものです。これらの原則は、個人情報の保護の目的のため、その収集、保存、使用、加工、転送、提供、公開、削除などの各処理において一貫しており、いかなる場合にも原則に合致しなければならず、いかなる組織も個人も、他人の個人情報を不正に売買、提供または公開することは許されません。また、国家の安全や公共の利益を損なう個人情報処理活動に従事することも許されません(第10条)。
(3)個人情報の処理規則
まず、個人情報を扱う場合の合法性の基礎に関連して、本法は、「情報を知る権利」、「決定権」について明確な規定を設けています(第44条)。個人の知る権利の保障のもとに、個人情報処理者は、個人情報を処理する前に、明瞭な方法と分かり易い言葉をもって、真実を正確に、かつ、完全に、その処理の目的、方法などの関連事項を個人に知らせなければなりません(第17条)。個人はその同意を随時撤回することはできますが、撤回前に同意に基づいて行われた個人情報処理活動の効力に影響を与えることはありません(第15条)。個人情報処理者は、個人情報の取扱いにおいて、商品又はサービスの提供に不可欠な場合を除き、個人が同意しないか、または同意を撤回したことを理由として、商品やサービスの提供を拒否することはできません(第16条)。「情報を知る権利」、「決定権」に基づいてセンシティブ個人情報を取り扱う場合には、個人の単独の同意が必要であるほか(第29条)、告知段階では、センシティブ個人情報を取り扱う必要性と個人の権益に対する影響を個人に知らせなければなりません(第30条)。
個人情報処理者が、個人情報を取り扱うことができるのは、下記の状況の何れかに該当する場合です(第13条)。すなわち、(一)個人の同意を取得した場合、(二)個人を一方の当事者とする契約の締結又は履行に必要な場合、または、法に基づいて制定された労働規則と法に基づいて締結された労働協約に基づく人事管理の実施のために必要な場合、(三)法定職責又は法定義務の履行に必要な場合、(四)突発的公衆衛生事件への対処又は緊急事態下における自然人の生命健康と財産安全の保護に必要な場合、(五)公共の利益のための新聞報道、世論監督などの行為をするために合理的な範囲内で個人情報を処理する場合、(六)本法の規定に基づいて、個人が合理的な範囲内で自ら公開するか、または、その他の合法的に公開された個人情報を処理する場合、(七)法律、行政法規に定めるその他の場合です。
同意以外の法根拠に基づく場合には、特定の状況を考慮し、個人情報の取扱いの基本原則に合致し、個人の権益への影響が最少となるよう、個人情報の濫用を厳しく制限する必要があります。そのため、とくに、第13条第2項が「法に基づいて制定された労働規則制度と法に基づいて締結された労働協約に基づく人事管理の実施」をもって、企業が従業員の個人情報を処理する必要がある状況に法的根拠を提示しました。労働関係における従属性の存在から、従業員の「同意」は自由意思によるものとして認定することが難しく、企業が従業員の個人情報を取り扱う際には困難が多いため、第13条第2項をもって、企業に従業員の個人情報を処理する際における一定の余裕空間と制限条件が設けられ、それにより、企業は正当な利益と合法的な基礎に対する濫用を回避することが可能となり、また、本法の厳格な規制目標も表明されています。
個人情報処理者が個人情報を利用して自動的にその意思決定(自動化方策決定方式)をする場合については、決定の透明性と処理結果の公平性、公正性を保証するだけでなく、個人に対し、取引価格などの取引条件で不合理な差別待遇を実施してはなりません(第24条第1項)。例えば、近時、業者側がビッグデータをもとに常連客の会員料金を高くするという現象がありましたが、このような「ビッグデータ殺熟」は明確に否定されています。自動化方策決定方式を利用して情報のプッシュ、商業マーケティングを行う場合には、個人の特徴に対するオプションを同時に提供しないようにするか、または、個人に拒否の方式を提供しなければなりません(第24条第2項)。
(4)個人情報の越境提供
「サイバーセキュリティ法」が施行されて以来、個人情報の越境移転・提供は注目されていたところですが、明確な規則はありませんでした。その点について、本法は、個人情報の越境に関し、以下のように規定しています。すなわち、海外の受信者による個人情報処理活動が、本法の要求する個人情報保護基準に達することを保障するために必要な措置を講じること(第38条)、個人情報の越境に関する状況(受信者の名前、連絡先、処理目的、処理方式、個人情報の種類等)を通知し、個人の個別承認を得ること(第39条)、事前に個人情報保護影響評価を行うこと(第55条)等を定めています。
個人情報処理者にとっては、個人情報の越境伝送を行う際には、上記共通要件以外に、自らの属性に応じて、それに対応する個人情報の越境伝送要件を満たす必要があります。例えば、重要情報インフラ運営者、及び、処理する個人情報が国家インターネット情報機関の規定数量に達している個人情報処理者は、中国で収集した個人情報を国内で保存しなければならず、それを国外に提供する場合には、原則として、国家インターネット情報機関による安全評価に合格する必要があります(第40条)。
個人情報処理者は、主管部門の許可をえることなく、外国司法機関若しくは法執行機関に対して、中国域内に保存された個人情報を提供してはなりません(第 41 条)。従って、企業は、自らの属性を顧慮したうえで、諸般の状況に適合する越境方法を設計する必要があります。また、企業は、上記の一般的要求以外に、その業界分野における特別な要求にも配慮しなければなりません。例えば、自動車業界においては、2021年10月1日から実施される「自動車データ安全管理に関する若干の規定(試行)」に基づき、自動車データ処理者が中国国内において重要データ(個人情報主体が10万人を超える個人情報を含む)を保存して、それを海外に提供する必要がある場合には、国家インターネット情報機関が組織したデータ越境安全評価を通じて、その他の関連要求をも満たさなければなりません。
(5)個人情報の処理における権利と義務
本法は、個人に対し、個人情報処理活動において、情報を知る権利、決定権(第44条)のほか、閲覧、複製権(第45条)、携帯可能権(第45条第3項)、更生、補正権(第46条)、削除権(第47条)、説明権(第48条)、逝者近親者の行使権(第49条)などの権利を付与しています。上記携帯可能権とは、個人が携帯する個人情報を指定された個人情報処理者に対して移転することを求め、それが、国家ネット情報部門の規定条件に合致する場合には、個人情報処理者は移転のためのルートを提供しなければなりません(第45条第2項)。削除権の行使については、保存期限の満了、違法違約などの状況の発生、個人情報処理者による自主的削除がない場合には、個人は削除を請求する権利があります(第47条)。
(6)個人情報保護部門の職責
国家インターネット部門は個人情報保護業務と関連監督管理業務を統括します。個人情報保護の職責を履行する部門は、個人情報保護に関する苦情、通報を受けた場合、それについて調査し、違法な個人情報処理活動を処分しなければなりません。他方、個人情報処理活動について、何らかの疑問がある組織や個人は、個人情報保護の職責を履行する部門に対し、苦情の申立てや告発をする権利があります。苦情申立ての通報を受けた部門は法に基づいて適正に処理し、その処理の結果を苦情申立者に報告しなければなりません(第65条)。
(7)関連法律責任
個人情報処理者は、定期的に、その個人情報処理活動に関し、法律や行政法規の遵守状況のコンプライアンス監査を行わなければなりません(第54条)。これにより、企業におけるコンプライアンス監査は、今後、常態化することが予想されます。違法な個人情報処理活動を事後的に調査処理するだけでなく、事前の予防メカニズムにより、個人情報が侵害されることを根源から防ぐことが要請されることになります。個人情報を侵害する行為が発生した場合には、個人情報処理者には過失推定原則が働くことになり、自らの過ちがないことが証明できない場合には、損害賠償などの権利侵害責任を負うことになります(第69条)。この結果、個人の負担を大幅に軽減し、個人情報処理者のコンプライアンス監査を促進することになります。多くの個人権益を侵害する場合には、人民検察院、並びに、法律で規定された消費者組織と国家インターネット部門が編成した組織は、法により人民法院に公益訴訟を提起することができるものとされています(第70条)。
3 おわりに
本法は、関連制度に対して多角的に規定することにより、政府が公民の基本権益を断固として守る姿勢が明らかにされるとともに、個人情報処理者にとっても、個人情報の収集及び利用の際の行為規範に関する明確な拠り所を提供されることとなります。その意味において、本法が社会生活一般に対してもたらす法的保障の恩恵は多大であり、個人の権利に対するものばかりではありません。今後、本法が、デジタル時代の個人情報を守る基本法として、中国のデジタル社会の法治とデジタル経済の発展のために寄与する重要な存在となるであろうことは、強い確信をもって予想されるところです。
このリーガルノートに関連する法務
お問い合わせ
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
松田綜合法律事務所
中国弁護士 徐 瑞静
info@jmatsuda-law.com
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。