個人情報保護法(2021年11月12日)
2021-11-12個人情報保護法(2021 年 11 月 12 日)
個人情報保護法が、2021 年 8 月 20 日 の第十三節全国人民代表大会常務委員会第 30 回会議で承認され、2021 年 11 月 1 日より施行されています。 本法は、「自然人の個人情報保護」に関する法律であり(第 2 条)、対象となるのは、個人情報の取扱に従事する主体(組織)となります。 因みに、個人情報の取扱いとは、「個人情報の収集、保管、使用、加工、送信、提供、開示、削除等の活動」と規定されています(第 4 条)。 因みに、2021 年 9 月 1 日より施行されている「データセキュリティ法」は、 「データ(電子・その他形式による情報の記録)の取り扱いに従事する主体」を適用対象としています。
1.個人情報保護法の適用対象
同法の適用対象は、「中華人民共和国域内(中国本土内を意味する。以下、域内)で、自然人の個人情報を取扱う行為」となります。 但し、中国内の自然人の個人情報が、域外(中国本土外を意味する)で取り扱われる場合、その取扱いが、以下の条件に該当する場合は、同法の適用対象となり ます(第 3 条)。
<域外で取り扱われる場合の適用条件>
- 1) 中国内の自然人に対する、商品・サービスの提供を目的としている。
- 2) 中国内の自然人の行動を分析し、評価することを目的としている。
- 3) その他、法律・行政法規に定める場合。
2.個人情報の取扱と同意の取得
(1) 個人の同意取得の 原則
個人情報取扱者は、「個人の同意を取得した場合」、個人情報の取り扱いが可能になります(第 13 条・第一 号)。 但し、以下に該当する場合は、同意なしで取り扱うことができます。
- (一) 個人が一方の当事者となっている契約を締結、履行するために必要な場合。または、法律に基づいて作成された労働規則制度、及び団体契約に従って、人的資源の管理を行う必要がある場合。
- (二) 法的職責、若しくは、法 的義務を履行するために必要な場合。
- (三) 公衆衛生上の緊急事件に対応するため、または緊急な状況において自然人の生命健康と財産安全を保護するために必要な場合。
- (四) 公共利益のために新聞報道、世論監督等の行為を実施するため、合理的な範囲内で個人情報を取扱う場合。
- (五) 同法の規定に基づいて、合理的な範囲内において、本人から開示された個人情報、若しくは、既に合法的に開示された他の個人情報を取扱う場合。
- (六) 法律又は行政法規によって規定されているその他の状況。
尚、本人の同意は、十分な情報に基づいて本人が行うものとするが、法律・行政法規により、本人の単独な同意、若しくは、書面による同意の取得が義務付けられている場合は、その規定に従う必要があります。 また、個人情報の取扱(処理・目的など)に関する変更があった場合、個人情報取扱者は、再度本人の同意を得る必要があります(第 14 条)。
(2) 敏感な情報
敏感な個人情報とは、漏洩や不正により、人間の尊厳に対する侵害や、人身・財産の安全に対する脅威が予想される個人情報です。 この様な情報を取扱う場合は、その必要性と個人の権益に対する影響について、本人に通知した上で(第 30 条)、個人の単独な同意を取得することが義務付けられています(第 29 条)。 敏感な情報には、生体情報、宗教信仰、特定の身分、医療健康、金融口座、移動履歴などの情報、および 14 歳未満の未成年者の個人情報が含まれます(第 28 条)。 14 歳未満の未成年者の個人情報を取り扱う場合、当該未成年者の両親、若しくは、その他の保護者の同意を得る必要があります(第 31 条)。
3.個人情報処理者の義務
(1) 個人情報処理の外注
個人情報取扱者が、個人情報の処理を外部に委託する場合、委託の目的、期間、取扱い方法、個人情報の種類、保護手段及び双方の権利と義務等について受託者 と合意し、受託者の個人情報処理活動を監督する必要があります。 その上で、委託契約が取消し、終了した場合などは、受託者は、個人情報の返却、若しくは、削除が義務付けられます。また、受託者は、委託者の同意を得ず に、処理業務を外注することは禁止されます(第 21 条)。
(2) 個人情報の域外提供
個人情報取扱者が、業務上の目的等で域外に個人情報を提供する必要がある場合、「域外の受取人の名称・氏名、連絡先、取扱目的、取扱方法、個人情報の種類、域外の受取人との間で本法に基づく権利を行使するための方法・手続きを、個人に通知」した上で、個人の単独な同意を得る必要があります(第 39 条)。
また、情報提供を受ける域外の組織は、以下の条件の何れかを備える必要があります(第 38 条)。
- (一)同法第 40 条に基づき、国家サイバー情報部門が主催するセキュリティ評価に合格している。
- (二)国家サイバー情報部門の規定に基づき、専門機関による個人情報保護認証を得ている。
- (三)域外受信者との間で、国家サイバー情報部門が定めた標準契約書に基づき、双方の権利・義務を合意した上で契約を締結する。
- (四)法律、行政法規または国家サイバー情報部門が定めるその他の条件を満たしている。
例えば、中国内の現地法人が、従業員の情報などを海外の親会社に提供する場合、選択肢となるのは上記(三)となりそうですが、本原稿執筆時点では、標準契約書様式は発表されておらず、合法的な(個人情報保護法に合致した)対応が出来ない状況となっており、今後の法整備を待つ必要があります。
尚、域外の個人情報取扱者は、中国内に個人情報保護を取扱う専門機関を設置、若しくは、国内の代表者を指名し、その名称・氏名、及び連絡先を、個人情報保 護担当部門に報告する必要があります(第 53 条)。
(3) 個人情報取扱者の義務
個人情報取扱者は、安全性の確保のために、以下の措置を講じる必要があり(第 51 条)、また、定期的なコンプライアンス監査が必要となります(第 54 条)。
- (一)内部管理制度と運用手順の策定。
- (二)個人情報の分類管理。
- (三)暗号化や非識別化などの適切なセキュリティ技術の採用。
- (四)個人情報の取り扱いに関する業務権限の合理的な決定と、実務者に対する定期的なセキュリティ教育・訓練の実施。
- (五)個人情報のセキュリティ要因に対する対応措置の策定と実施。
- (六)法律、行政法規で定められた他の措置。
また、個人情報取扱者は、個人情報を取扱う前に、以下の事項を、正確・完全な形で、また、明確で理解しやすい方法と言語で、本人に通知することが義務付けられています(第 17 条)。 更に、内容の変更が有った場合、それに関する通知も必要となります。
- (一)個人情報取扱者の名称・氏名、連絡方法
- (二)個人情報の取扱目的、取扱方法、取扱う個人情報の種類、保管期間
- (三)個人が同法に定める権利を行使する方法と手続き
- (四)法律・行政法規に定める通知すべきその他の事項
尚、影響力のあるインターネットプラットフォーム運営企業の個人情報取扱に関しては、以下が義務付けられています(第 58 条)。
- (一)個人情報保護に関する法令遵守体制の確立と、保護状況監視のための外部委員を主体とした独立機関の設置。
- (二)開放・公平・公正の原則に基づいたプラットフォームルールの策定、個人情報取扱い規範の明確化と、プラットフォーム上で商品・サービスを提供する単位に対する個人情報保護義務の明- 確化。
- (三)法律・行政法規に著しく違反するプラットフォーム内商品・サービス提供者へのサービス提供停止。
- (四)個人情報保護に関する社会的責任報告書の定期的な発行と、社会的監督の受け入れ。
4.個人情報保護法の目的と意義
個人情報保護法の目的と意義に付いては、中央網絡安全信息化委 員会弁公室が、以下の通り解説しています。
(1) 個人情報保護原則の確定
個人情報法語保護法は、国際的な法制度に中国の個別事情を踏まえた上で作成され、個人情報処理の合法性・正当性の確保、処理基準の透明性・情報品質・安全 保護措置の明確化と確保を目的として制定されています。 同法においては、「個人情報の処理は、個人の同意を得る必要があるという原則」を強調すると共に、個人情報の収集を拒否した個人に対しても、サービス・商 品の提供を拒否してはならない点を明文化しています。 また、生体情報、宗教信仰、特定の身分、医療健康、金融口座、移動軌跡などの情報、14 歳未満の未成年者の個人情報等、個人の権利・安全性などの重要な影 響を与える個人情報に対しては、一層の保護を義務付けています。
(2) 個人情報処理者の義務強化
個人情報処理者の個人情報処理活動に際しては、必要な措置を講じて情報処理の安全性を保障する義務がある事を規定しています。当該活動の展開に際しては、 責任者を指定して監督し、定期的な合法性の監査を義務付けています。 また、影響力のある大手インターネットプラットフォームに対しては、上記3-(3)に規定 したような、一層の個人情報保護義務(第 58 条)を課しています。
(3) 個人情報の域外提供規範化
個人情報を域外に提供する場合に必要となる条件、手続きが規定されています(第 39 条・59 条。上記3-(2) )。
(4) 個人情報を差別的利用禁止
中国では、熟殺と俗称されるようなビッグデータを悪用した行為(その商品のリピーターに対して、敢えて高額な価格が提供されるような設定)が問題になって います。 この様な差別的価格設定をはじめとするデータ悪用を禁止し、意思決定の透明性・公正性の確保を義務付けています。
(5) 国家機関の処理活動の規範化
国家機関の個人情報処理活動に対しての専門規定を作成し、その範囲を、法定職責を利用するための必要な範囲内とすることを規定しています。