先日、全人代常務委員会において個人情報保護法の草案について審議が開始されたという報道が出されました。

japanese.cri.cn

中国においては、個人情報の保護に関する体系的な法律は制定されておらず、数多くの法律、国家基準や行政法規によって個別的、非体系的に個人情報保護に関するルールが定められてきました。そのため、個人情報保護法の制定は、これまでも度々全人代の立法計画に掲げられてきたものの、立法に至らないということが繰り返されてきたという経緯があります。

しかし、2017年に施行された民法総則やサイバーセキュリティ法といった法律の中で、個人情報の保護に関する規定が定められた頃から、個人情報保護法の制定に向けた期待と動きが徐々に強まっていったように思われます。

その後、2019年の年末には全人代常務委員会が2020年にはデータセキュリティ法と並んで個人情報保護法を成立させる予定であることを表明しており、2020年5月に公布された民法典でも個人情報保護に関する比較的詳細な規定が定められたこと、7月にはデータセキュリティ法の草案がパブリックコメントの募集を開始したこともあり、個人情報保護法の制定が益々現実的な話となってきていたところ、10月13日に全人代常務委員会が個人情報保護法草案（以下「本草案」といいます。）の審議を開始したという報道が出されました。

（データセキュリティ法草案については以下をご参照） 

chinalaw.hatenablog.com

今の時点では、まだ本草案の具体的な条文については公表されていませんが、全8章、70の条文によって構成されているようです。恐らく、内容としてはこれまで既に制定、施行されてきた国家基準、ガイドライン（特に2020年10月1日より施行されている改正個人情報安全規範（个人信息安全规范））を、民法典やサイバーセキュリティ法との整合性を持たせる形で整理したものになると想像されますが、今回は、全人代のウェブサイトに掲載されている本草案に関する概要を、最新情報としてご紹介していきたいと思います（原文はこちら）。

• 1　個人情報保護法の適用範囲
  • 1-1　個人情報等の定義
  • 1-2　域外適用
• 2　個人情報処理に関するルール
  • 2-1　適法、正当な方法による処理
  • 2-2　告知と同意
  • 2-3　国家機関による個人情報処理
• 3　個人情報の越境提供
• 4　権利義務の明確化
• 5　ネットワーク情報部門による統括
• 6　終わりに

1　個人情報保護法の適用範囲

1-1　個人情報等の定義

全人代のウェブサイトの記載によれば、「個人情報」とは、電子又はその他の方式によって記録される、認識され又は認識が可能な、自然人の各種関連情報と定義されているようです。

もっとも、民法典ではより詳細に、電子又はその他の方式によって記録され、単独で又はその他の情報と結合して特定の自然人を識別できる情報（自然人の姓名、生年月日、身分証番号、生物識別情報、住所、電話番号、メールアドレス、健康情報、行動情報等を含む。）と定義されておりますので（民法典第1034条第2項）、実際には民法典と同じような定義になるのではないかと思われます。

また、本草案において、「個人情報の処理」には、個人情報の収集、保存、使用、加工、移転、提供、公開等の活動を含むと定義されているようですが、これは民法典と一致しています（民法典第1035条第2項）。

1-2　域外適用

本草案によれば、個人情報保護法は、中国国内の個人権益を十分に保護するために域外適用がなされることが規定されているとのことです。すなわち、中国国内の自然人に対して商品又はサービスを提供することを目的として、又は中国国内の自然人の行為等の分析評価をするために、中国国外で発生する個人情報処理については、中国個人情報保護法が適用され、尚且つ、中国国外の個人情報処理者に対し、中国国内において専門機関又は指定代表を設置し、個人情報保護関連事務に責任を負わせなければならない旨が定められているようです。

2　個人情報処理に関するルール

2-1　適法、正当な方法による処理

本草案においては、個人情報の処理は、適法、正当な方法によらなければならず、明確で合理的な目的を有すること、目的の実現に最小限度にとどめること、処理規則を公開すること、情報の正確性を保証すること、安全保護措置を講じること、といった原則を、個人情報処理のすべての過程において遵守することが定められているようです。この辺りは、民法典でも一定の定めを置いていますが（民法典第1035条第1項）、これと関連、又は補充する内容の規定になるかもしれません。

2-2　告知と同意

また、「告知」と「同意」を個人情報処理における中心的な原則として据え、個人情報の処理をするにあたっては、事前に十分な告知をしたうえで個人の同意を得ること、尚且つ個人は同意を撤回することができることを要求しているとのことです。

そのほか、重要事項に変更が発生した場合に改めて個人から同意を取得すること、個人が個人情報の処理に対する同意をしないことを理由として商品、サービスの提供を拒絶してはならないことを定めているようです。

中でも、センシティブ個人情報（敏感个人信息）に対してはより厳格な制限を置き、特定の目的と必要性がある場合に限り、センシティブ個人情報を処理することができ、尚且つ、個人からは単独での同意又は書面での同意を得なければならないということです。ちなみに、「センシティブ個人情報」は、一旦漏洩、違法提供又は乱用されると人身、財産の安全が害され、容易に個人の名誉、心身健康上の損害、又は差別的待遇等が引き起こされる個人情報をいうとされています（個人情報安全規範3.2）。

2-3　国家機関による個人情報処理

なお、本草案においては、国家機関が個人情報処理に関するルールを定め、国家機関が職責を履行していることを保障することと同時に、国家機関が個人情報処理をするにあたっては法律、行政法規の定める権限、プロセスを経ることを要求しているということです。

国家が個人情報を大いに活用する中国において、国家機関が遵守すべき個人情報処理に係るルールがどのようなものになるのか、注目に値する部分かと思われます。

3　個人情報の越境提供

本草案においては、重要情報インフラ運営者及び個人情報の処理数量が国家ネットワーク情報部門の規定する数量に到達する者が、中国国外に個人情報を提供する確かな必要がある場合、国家ネットワーク情報部門による安全評価を受けなければならず、また、越境提供される当該個人情報に対して専門機関による認証等を経なければならないことが定められているとのことです。

個人情報の越境移転にあたっての安全評価については、個人情報越境移転弁法（个人信息出境办法）の意見募集稿においても規定がありますが、個人情報保護法においては関連内容がより具体化、あるいは補充されるのではないかと思われます。

また、個人情報の越境移転にあたっての告知と同意については、更に厳格な要求をしているほか、国際司法上の協力又は行政の法執行上の協力に基づき、個人情報を中国国外に提供する必要がある場合には、関連主管部門の認可を得る必要があること、といったことも定められているようです。

加えて、中国国民の個人情報権益等を害する活動を行う中国国外の組織、個人、及び個人情報保護の場面において中国に対して不合理な措置をとる国家及び地区に対しては、必要な措置を講じることができる、といった内容も定められているとのことです。類似する規定は、データセキュリティ法の草案でも見られ、中国に敵対的な国家による個人情報侵害行為に対して国家の主権を行使することができるというスタンスを明確にしていると理解されます。

4　権利義務の明確化

民法典において、個人情報に対する知情権、決定権、調査権、更生権、削除権などといった権利が定められていますが（民法典第1037条）、個人情報保護法でも同様の権限が認められており、個人情報処理者に対しては、個人が権利行使をするための申請受理と処理に係る仕組みを構築することを要求しているとのことです。

また、個人情報処理者に対しては、内部管理制度、操作制度の構築、安全技術措置の採用をすることや、個人情報処理活動に対する監督を行う責任者の指定をすることが義務付けられるほか、個人情報活動に対する定期的なコンプライアンス監査、センシティブ個人情報の処理、中国国外への個人情報提供といった高リスク処理活動に対する事前のリスク評価の履行、個人情報の漏洩に関する通知や補償義務等の規定が盛り込まれているようです。

5　ネットワーク情報部門による統括

個人情報保護関連の行政上の統括は、国家ネットワーク情報部門が統括を行い、当該部門と国務院の関連部門がそれぞれその職責の範囲内で個人情報保護と監督管理業務を行うこと、といった行政上の権限分掌について定めが置かれているようです。

6　終わりに

以上、現時点で最も確実な情報源である全人代のウェブサイト上の情報を翻訳しつつ整理してみました。恐らく、法律の草案も近々公開され、意見募集がなされるかと予想されますので、草案が出てきた時には改めてご紹介したいと思います。