中国法ブログ

中国法務の基礎的な事項から最新の情報まで解説するブログ

中国個人情報保護法草案(意見募集稿)について

データ・セキュリティ 中国 法務

前回の記事で中国の個人情報保護法草案(以下「本草」といいます。)が制定された旨を紹介しました。
chinalaw.hatenablog.com

その後、10月21日に本草案の内容が公開され、2020年11月19日までの意見募集にかけられました。今回は前回の記事に続き、本草案の内容を紹介していきたいと思います。

1 概論

1-1 法律の構成

本草案は、前情報通り全8章、70か条の条文によって構成されています。章立てとしては以下のとおりです。

  • 第一章 総則
  • 第二章 個人情報処理規則
     第一節 一般規定
     第二節 センシティブ個人情報処理規則
     第三節 国家機関の個人情報処理に係る特別規定
  • 第三章 個人情報越境提供規則
  • 第四章 個人情報処理活動における個人の権利
  • 第五章 個人情報処理者の義務
  • 第六章 個人情報保護の職責を履行する部門
  • 第七章 法律責任
  • 第八章 附則

1-2 関連事項の定義

個人情報に関連する各種の概念について、本草案で定められている内容を整理すると以下のとおりです。

概念 定義
個人情報(个人信息) 電子又はその他の方式により記録される、識別され又は識別が可能な、自然人の各種情報であり、匿名化処理後の情報を含まない(本草案第4条第1項)
個人情報の処理(处理个人信息) 個人情報の収集、保存、使用、加工、移転、提供、公開等の活動を含む(本草案第4条第2項)
センシティブ個人情報(敏感个人信息) 一旦漏えい又は違法に使用すると、個人が差別を受けるか、人身、財産の安全に重大な危害を被る可能性のある個人情報をいい、種族、民族、宗教・信仰、個人の生体的特徴、医療健康、金融口座、個人の行動歴等の情報を含む(本草案第29条第2項)
個人情報処理者(个人信息处理者) 個人情報の処理事項(処理の目的、処理方式等)を自ら決定する組織、個人をいう(本草案第69条第1号)
自動意思決定(自动化决策) 個人情報を利用し、個人の行為・習慣、関心・嗜好又は経済、健康、信用の状況等について、コンピュータプログラムによって自動的な分析、評価を行ったうえで意思決定を行う活動をいう(本草案第69条第2号)
非識別化(去标识化) 個人情報を処理することで、更なる情報がなければ特定の自然人を識別することができないようにするプロセスをいう(本草案第69条第3号)
匿名化(匿名化) 個人情報を処理することにより、特定の自然人を識別できず、復元できなくするプロセスをいう(本草案第69条第4号)

2 適用対象

2-1 原則

個人情報保護法は、原則として中国国内で自然人の個人情報を処理する活動に対して適用されるとしつつ、以下の場合には、中国国内の自然人の個人情報を中国国外で処理する活動に対しても適用されます(本草案第3条)。

  1. 中国国内の自然人に商品又はサービスを提供することを目的とする場合
  2. 中国国内の自然人の行為を分析、評価する場合
  3. 法律、行政法規に定めるその他の場合

上記のうち第1項目については、例えば越境ECで中国の消費者向けに商品を販売するような場合が典型的な例として想定されます。近時日中間の越境ECが益々活発している状況下においては、越境ECに携わる日本国内の事業者としては中国の個人情報保護法に注意しなければならない状況が増えるかもしれません。

なお、この場合の中国国外における個人情報保護者は、中国国内に専門機関又は指定代表を置き、個人情報保護の関連事務の処理に責任を負わせるとともに、関係機関の名称又は代表の氏名、連絡先情報等を、個人情報保護の職責を履行する機関に提出することが必要です(本草案第52条)。

2-2 例外

但し、自然人が個人又は家庭の事務により個人情報を処理する場合には、個人情報保護法の適用外となることが、附則において規定されています(本草案第68条第1項)。

3 個人情報の処理

3-1 個人情報の処理にあたっての基本原則等

個人情報の処理にあたって遵守すべき基本原則、遵守事項として、以下のようなものが定められています。

信義誠実の原則 個人情報の処理にあたっては適法で正当な方法を採用し、信義誠実の原則を遵守しなければならず、詐欺、誤導等の方式を通じて個人情報を処理してはならない(本草案第5条)
最小範囲の原則 個人情報の処理には明確で合理的な目的がなければならず、且つ、処理の目的を実現できる最小範囲にとどめなければならず、処理の目的と関係のない個人情報を処理してはならない(本草案第6条)
公開透明の原則 個人情報を処理するにあたっては公開、透明の原則を遵守し、個人情報の処理規則を明示しなければならない(本草案第7条)
個人情報の正確性 処理の目的を実現するため、処理する個人情報は正確なものとし、遅滞なく更新されなければならない(本草案第8条)

個人情報安全規範(个人信息安全规范、以下「安全規範」といいます。)においては、最小範囲、公開透明の原則が定められていましたが(安全規範第4条)、本草案ではこれに加えて個人情報の処理にあたっての信義誠実の原則が加えられています。

3-2 個人情報の処理規則

個人情報処理者が個人情報の処理をすることができるのは、以下のいずれかに該当する場合とされています。

  1. 個人の同意を得た場合
  2. 個人を一方の当事者とする契約の締結又は履行に必要な場合
  3. 法定の職責又は法定の義務の履行に必要な場合
  4. 突発的公衆衛生事件への対処又は緊急事態下における自然人の生命・健康や財産の安全の保護に必要な場合
  5. 公共の利益のための報道、世論監督等の行為をするために合理的な範囲内で個人情報を処理する場合
  6. 法律、行政法規に定めるその他の場合

個人情報の処理をするには、個人の同意を得ることを基本としつつも、同意を得ずに個人情報を処理することができる場合について明確にしました。

民法典においては、

  1. 自然人又はその監護者が同意する範囲内で合理的に個人情報を処理する行為
  2. 自然人が自ら公開し又はその他既に適法に公開している個人情報について合理的に処理する行為(自然人が明確に拒絶し又は個人情報を処理するとその重大な利益を侵害する場合を除く)
  3. 公共の利益又は自然人の合法権益を維持するために合理的に実施するその他行為

について、個人情報処理者は民事上の責任を負わないと定められていますが(民法典第1036条)、個人情報保護法は個人情報を適法に処理できる場合について更に拡大し、個人情報を利用した事業、活動を比較的広めに保護したものともいえます。

4 個人情報の処理に対する個人の権利

個人情報の処理に対する個人の権利として、本草案では以下のような権利が定められています。

知情権、決定権 個人はその個人情報の処理について知る権利、決定権を有し、自身の個人情報に対する他人の処理を制限又は拒否する権利を有する(本草案第44条)
閲覧、複製権 個人は個人情報処理者からその個人情報を閲覧し、複写する権利を有し、個人がその個人情報の閲覧、複写を請求した場合、個人情報処理者は速やかに提供しなければならない(本草案第45条)
更生、補正権 個人はその個人情報が不正確又は不完全であることを発見した場合、個人情報処理者に訂正、補足を請求する権利を有し、個人がその個人情報の訂正、補足を請求した場合、個人情報処理者はその個人情報を確認し、速やかに訂正、補足しなければならない(本草案第46条)
削除権 以下にいずれか1つの事由ある場合、個人情報処理者は自主的に、又は個人の請求を受けて、個人情報を削除しなければならない(本草案第47条)
・合意した保存期間が満了したか、処理の目的が実現された場合
・個人情報処理者が商品又はサービスの提供を停止した場合
・個人が同意を撤回した場合
・個人情報処理者が法律、行政法規に違反したか、合意に違反して個人情報を処理した場合
・法律、行政法規に定めるその他の事由
説明権 個人は個人情報処理者に対し、その個人情報処理規則について説明を求める権利を有する(本草案第48条)

 また、個人情報の処理により、個人情報の権益が害された場合には、個人がこれによって被った損害又は個人情報処理者がこれによって得た利益に基づいて(個人情報処理者が)賠償責任を負うこと、個人の損害又は個人情報の利益を確定することが困難な場合には裁判所が実際の状況に基づいて賠償金額を確定できることが定められています(本草案第65条)。

この損害賠償責任については、個人情報処理者が自己の無過失を立証できる場合には責任の減免が認められることになっており、立証責任が個人情報処理者に転換されています。

5 画像採集と個人身分識別等

5-1 画像採集、個人身分識別装置

近時、特に中国においては公共の場所における画像採集や個人の身分を識別する設備が普遍的に設置されるようになっているものの、このような設備を設置することについては特段法令が定められていないのが現状です。

そのような中で2019年2月にAIによる個人身分識別を用いた安全・防犯企業による250万件の個人情報流出事故(流出の疑いのある件数は680万件)が生じたという背景もあり、このような設備に関する法律上の規定を設けることが要請されていました。

本草案においては、公共の場所に画像採集、個人の身分を識別する設備を取り付けるにあたっては、公共の安全を維持・保護するために必要であり、国の関連規定を遵守したうえ、目立つ位置に標識を設置すること、そして、収集した個人の画像、個人の身分特徴情報(个人身份特征信息)は公共の安全を維持・保護する目的のみにしか用いることができず、原則として公開し、又は他人に提供してはならないという規定が置かれました(本草案第27条)。

本草案では上記一か条のみが設けられるのみで、該当する設備について、国家基準の遵守や許認可等に関しては特段明確にはしておらず、また、これらの設備により収集した個人情報の保管、管理等について、特殊な要求があるのかといった点についても特段明確にはされていません。したがって、この点については更なる立法化が待たれるところです。

5-2 自動意思決定

また、近時はビッグデータを利用したターゲティング広告も広く見られるようになったことに伴い、本草案においては、自動意思決定(Automated decision-making)に関しても規定を置きました。

個人情報を利用して自動意思決定を行うにあたっては、意思決定の透明性及び処理結果の公平性、合理性を保証しなければならず、自動意思決定の方式により商業マーケティング、情報プッシュ配信を行うにあたっては、個人の特徴に合わせた情報以外の選択も提供しなければならないとされています(本草案第25条)。

また、個人が自動意思決定によりその権益に重大な影響を受けると認識する場合、個人情報処理者に対して説明を求めることができ、自動意思決定の方法のみによって意思決定を行うことを拒否することができるとして、個人が有する権利についても定めています。

6 個人情報の越境提供

6-1 個人情報の越境提供の要件

個人情報の越境移転、越境提供に関しては、2019年6月に公布された個人情報越境移転弁法(意見募集稿)(个人信息出境办法(征求意见稿)、以下「移転弁法」といいます。)において定められておりましたが、移転弁法が制定される前に、個人情報越境移転について個人情報保護法で新たに定めが置かれることになりそうです。

移転弁法においては、個人情報が越境移転する場合、ネットワーク運営者は、その所在地の省級インターネット情報部門に対して個人情報越境移転に係る安全評価を申請しなければならないとされていました(移転弁法第3条第1項)。

しかし、これに対して本草案は以下の場合に個人情報越境移転ができることを定めています(本草案第38条)。

個人情報処理者が業務等の必要により、確かに中国国外に個人情報を提供しなければならない場合で、以下の少なくとも1つを満たしている場合。

  1. 本法第40 条の規定に基づき、国家インターネット情報機関による安全評価に合格している場合
  2. 国家インターネット情報機関の規定に基づき、専門機関による個人情報保護認証を行っている場合
  3. 国外の受領者と契約を締結する場合、双方の権利及び義務を約定し、且つ、その個人情報処理活動が本法に規定する個人情報保護基準に達するよう監督している場合
  4. 法律、行政法規又は国家インターネット情報機関が定めるその他の条件

インターネット情報部門による安全評価に合格していることは、個人情報の越境提供が可能な場合の一つされていますが、逆に越境提供にあたっての必要条件ではなくなっています。特に上記第3項で個人情報受領者との契約が締結されており、その契約内容が個人情報保護法の満たす保護基準を満たせば個人越境提供ができるということになっていますので、移転弁法に比べると個人情報の越境提供にあたっての条件がかなり緩和されたともいえます。

但し、重要情報インフラ運営者及び処理する個人情報が国家インターネット情報機関の規定数量に達している個人情報処理者は、中国国内で収集し、生じた個人情報を国内で保存しなければならず、確かに国外に提供する必要がある場合は、原則として国家インターネット情報機関による安全評価に合格しなければならないとも定められており(本草案第40条)、この点は留意が必要といえます。

6-2 越境提供に対する同意

個人情報処理者が中国国外に個人情報を提供する場合、個人に対して、国外の受領者の身分、連絡先情報、処理の目的、処理方式、個人情報の種類及び個人が国外の受領者に対して本法規定の権利を行使する方式等の事項を告知したうえ、個人の単独の同意を得ることが必要です(本草案第39条)。

6-3 個人情報保護のための措置

本草案では、以下のとおり中国の個人情報保護を損なうような国外における行為に対し、一定の措置を講じることができることを明らかにしています。

措置を講じる相手 内容
国外の組織、個人 中国国民の個人情報の権益を損なうか、中華人民共和国の国家の安全、公共の利益を脅かすような個人情報処理活動に従事する場合、国家インターネット情報機関はそれを個人情報提供禁止リストに登録することができ、公告したうえ、そのような組織、個人への個人情報の提供を制限又は禁止する等の措置を取る(本草案第42条)
国家又は地域 個人情報の保護に関して中国に対し差別的な禁止、制限又はその他類似の措置を取った場合には、中国は実際の状況に応じて当該国家又は当該地域に対し相応の措置を取ることができる(本草案第43条)

7 個人情報処理者の遵守事項

7-1 個人からの同意取得に関する事項

個人情報処理者が個人情報の処理について同意を取得するにあたっては、以下の事項について遵守する必要があります。

7-1-1 同意の再取得

個人情報の処理の目的、処理方式及び処理する個人情報の種類に変更が生じた場合は、個人の同意を取得し直さなければならない(本草案第14条第2項)

7-1-2 商品等提供拒否の禁止

原則として個人がその個人情報の処理に同意していないか、その個人情報の処理に対する同意を撤回したことを理由に、商品又はサービスの提供を拒否してはならない(本草案第17条)

7-1-3 個人への告知

個人情報の処理をするにあたっては、原則として目立つ方法によって、明快で分かりやすい説明で、以下の事項を個人に告知しなければならない(本草案第18条第1項)

  • 個人情報処理者の身分及び連絡先情報
  • 個人情報の処理の目的、処理方式、処理する個人情報の種類、保存期限
  • 個人が本法に規定する権利を行使する方法及び手続き
  • 法律、行政法規に告知すべきであると定めるその他の事項
7-1-4 個人情報の第三者提供

個人情報処理者が第三者に対してその処理する個人情報を提供する場合、個人に第三者の身分、連絡先情報、処理の目的、処理方式及び個人情報の種類を告知したうえ、個人の単独の同意を取得しなければならず、第三者がもとの処理の目的、処理方式を変更する場合は、改めて個人への告知を行い、同意を取得し直さなければならない(本草案第24条)

7-1-5 公開された個人情報の処理

個人情報処理者がすでに公開されている個人情報を処理するにあたっては、当該個人情報が公開された当時の用途に合致していなければならず、当該用途に関する合理的な範囲を超えた場合、本法の規定により個人に告知したうえその同意を取得しなければならない(本草案第28条第1項)

なお、個人情報が公開された時点で用途不明であった場合、個人情報処理者は合理的かつ慎重に公開された個人情報を処理しなければならず、すでに公開された個人情報を利用して個人に重大な影響を及ぼす活動を行うにあたっては、個人情報保護法の規定により個人に告知したうえその同意を取得しなければならない(本草案第28条第2項)

7-2 その他の義務

7-2-1 共同での個人情報処理

複数の個人情報処理者が共同で個人情報の処理の目的や処理方式を決定する場合は、各自の権利及び義務を約定しなければならず、個人情報処理者が共同で個人情報を処理し、個人情報の権益を侵害した場合には連帯責任を負う(本草案第21条)

7-2-2 個人情報の処理の委託

個人情報処理者が個人情報の処理を委託する場合、受託者と委託にかかる処理の目的、処理方式、個人情報の種類、保護措置、双方の権利及び義務等について合意したうえ、
受託者の個人情報処理活動を監督しなければならない(本草案第22条第1項)

 7-2-3 セキュリティリスク防止措置

個人情報の処理者は、個人情報の処理の目的、処理方式、個人情報の種類及び個人に対する影響、存在しうるセキュリティリスク等に基づき、以下のような措置を講じることで、個人情報処理活動が法律、行政法規の規定に適合することを保証し、権限を付与されていないアクセス及び個人情報の漏えい又はそれが窃取、改ざん、削除されることを防止する(本草案第50条)

  • 内部管理制度やオペレーション規程の制定
  • 個人情報に対するレベル別分類管理の実行
  • 相応の暗号化、非識別化等のセキュリティ技術措置の採用
  • 個人情報の処理の操作権限を合理的に確定し、定期的に従業員に対し安全に関する教育及び研修を行う
  • 個人情報安全事件の緊急時マニュアルを制定し、実施させる
  • 法律、行政法規に定めるその他の措置
7-2-4 個人情報保護責任者の指定

個人情報の処理が国家インターネット情報機関の規定数量に達した個人情報処理者は、個人情報保護責任者を指定し、個人情報処理活動及び保護措置等の監督をさせなければならず、個人情報処理者は、個人情報保護責任者の氏名、連絡先情報等を公開したうえ、個人情報保護の職責を履行する機関に提出しなければならない(本草案第51条)

7-2-5 個人情報の処理活動に対する監査

個人情報処理者は、定期的にその個人情報処理活動、保護措置等について法令に適合するか否かの監査を行わなければならない(本草案第53条)

7-2-6 事前のリスク評価

個人情報処理者は、以下に掲げる個人情報処理活動を行う前に、リスク評価を行い、処理状況を記録しなければならず、これらは最低3年間保管しなければならない(本草案第54条第1項、第3項)

  • センシティブ個人情報の処理
  • 個人情報を利用した自動意思決定
  • 個人情報処理の委託、第三者への個人情報提供、個人情報の公開
  • 中国国外への個人情報提供
  • その他個人に対し重大な影響のある個人情報処理活動

また、上記のリスク評価には以下の内容が含まれなければならない(本草案第54条第2項)

  • 個人情報の処理の目的、処理方式等が適法、正当、必要か否か
  • 個人への影響及びリスクの程度
  • 最小したセキュリティ保護措置が適法、有効であるかどうか、リスクの程度に相応か否か
7-2-7 個人情報漏洩事故に対する対応

個人情報処理者が個人情報の漏えいを発見した場合、ただちに救済措置を取るとともに、原則として個人情報保護の職責を履行する機関及び個人に対して以下の内容を含む通知をしなければならない(本草案第55条第1項)

  • 個人情報が漏えいした原因
  • 漏えいした個人情報の種類及びこれにより生じる可能性のある危険
  • 既に講じた救済措置
  • 個人が講じることのできる危険の軽減措置
  • 個人情報処理者の連絡先情報