中国法ブログ

中国法務の基礎的な事項から最新の情報まで解説するブログ

個人情報保護法(第二次審議稿)について

中国 データ・セキュリティ

以前の記事で、2020年11月に公開された中国個人情報保護法(个人信息保护法)の草案について概略をご紹介しました。 

chinalaw.hatenablog.com

今般、全人代常務委員会で個人情報保護法の第二次審議稿の審議がされ、改めてパブリックコメントの募集がなされ、審議稿の内容も公表されました(パブリックコメントの募集期限は2021年5月28日まで)。草案は全8章、70か条で構成されていたのに対し、第二次審議稿は全8章、73か条で構成され、若干条文数が増えると共に、条文についても草案段階から若干のアップデートがなされています。

今回は、昨年公表された草案から比較的重要な変更のされた箇所を中心とし、新旧条文対比の形式で第二次審議稿を紹介したいと思います。なお、用語の定義については草案から特に変更されていませんので、用語の定義については上記の草案に関する記事を参照してください。

1 総則

草案 第二次審議稿
第6条
個人情報の処理には、明確で合理的な目的がなければならず、且つ、処理目的の実現に必要最小範囲にとどめ、処理目的と関係のない個人情報を処理してはならない。		 第6条
個人情報の処理には、明確で合理的な目的がなければならず、且つ、処理目的の実現に必要最小範囲にとどめ、個人権益への影響を最小限とする方法を採用し、処理目的と関係のない個人情報を処理してはならない。
第7条
個人情報の処理にあたっては、公開、透明の原則を遵守し、個人情報処理規則を明示するものとする。		 第7条
個人情報の処理にあたっては、公開、透明の原則を遵守し、個人情報処理規則を公開し、処理目的、方法及び範囲を明示するものとする。
第8条
処理の目的を実現するため、処理する個人情報は正確なものとし、遅滞なく更新されなければならない。		 第8条
個人情報の処理にあたっては、個人情報の品質を保証するものとし、個人情報の不正確さ、不完全さにより個人権益に不利な影響が生じることを避けるものとする。

 個人情報処理にあたっての最小範囲の原則、公開透明の原則、個人情報の正確性に関する規定がそれぞれ修正され、特に第8条は全面的に修正されています。

2 個人情報処理規則

2-1 一般規定

草案 第二次審議稿
第13条
以下のいずれかの事由がある場合、個人情報処理者は個人情報の処理をすることができる。
  1. 個人の同意を得た場合
  2. 個人を一方の当事者とする契約の締結又は履行に必要な場合
  3. 法定の職責又は法定の義務の履行に必要な場合
  4. 突発的公衆衛生事件への対処又は緊急事態下における自然人の生命・健康や財産の安全の保護に必要な場合
  5. 公共の利益のための報道、世論監督等の行為をするために合理的な範囲内で個人情報を処理する場合
  6. 法律、行政法規に定めるその他の場合

第13条

以下のいずれかの事由がある場合、個人情報処理者は個人情報の処理をすることができる。

  1. 個人の同意を得た場合
  2. 個人を一方の当事者とする契約の締結又は履行に必要な場合
  3. 法定の職責又は法定の義務の履行に必要な場合
  4. 突発的公衆衛生事件への対処又は緊急事態下における自然人の生命・健康や財産の安全の保護に必要な場合
  5. 本法の規定に基づき合理的な範囲内で既に公開されている個人情報を処理する場合
  6. 公共の利益のための報道、世論監督等の行為をするために合理的な範囲内で個人情報を処理する場合
  7. 法律、行政法規に定めるその他の場合

本法のその他の関連規定において個人情報の処理にあたって個人の同意を取得するものとされているものの、前項2号ないし第7号の事由に該当する場合には、個人の同意を取得する必要がない。
第15条
個人情報処理者が処理する個人情報が14歳未満の未成年に係るものであることを知り又は知り得た場合、その未成年者の監護者の同意を得るものとする。		 第15条
個人情報処理者が処理する個人情報が14歳未満の未成年に係るものである場合、その未成年者の父母又は監護者の同意を得るものとする。
第16条
個人の同意に基づく個人情報処理活動について、個人はその同意を撤回することができる。		 第16条

個人の同意に基づく個人情報処理活動について、個人はその同意を撤回することができる。個人情報処理者は、容易な同意撤回方法を提供するものとする。

個人が同意を撤回したことは、同意の撤回前に同意に基づいてなされた個人情報処理活動の効力に影響を与えないものとする。

第22条
個人情報処理者が個人情報の処理を委託した場合、受託者との間で処理目的、処理方法、個人情報の種類、保護措置及び双方の権利義務等を合意し、且つ受託者による個人情報処理活動を監督する。

受託者は合意に基づき個人情報の処理を行い、合意された処理目的、処理方法等を超えて個人情報の処理をしてはならず、且つ、契約の履行完了又は委託関係の解除後には個人情報を個人情報処理者に返還し又は削除しなければならない。

受託者は、個人情報処理者の同意を経ずに、個人情報の処理を他人に再委託してはならない。

 第22条

個人情報処理者が個人情報の処理を委託した場合、受託者との間で処理目的、期限、処理方法、個人情報の種類、保護措置及び双方の権利義務等を合意し、且つ受託者による個人情報処理活動を監督する。

受託者は合意に基づき個人情報の処理を行い、合意された処理目的、処理方法等を超えて個人情報の処理をしてはならない。委託契約が発効しなかった場合、無効となった場合、撤回又は終了された場合、受託者は、個人情報を個人情報処理者に返還し又は削除し、留保してはならない。

受託者は、個人情報処理者の同意を経ずに、個人情報の処理を他人に再委託してはならない。

第24条
個人情報取扱者は、自らが処理した個人情報を第三者に提供するときは、当該第三者の身分、連絡先、処理目的、処理方法及び個人情報の種類を当該個人に告知し、かつ、当該個人の単独の同意を取得しなければならない。個人情報を受領する第三者は、上述の処理目的、処理方法、個人情報の種類などの範囲において個人情報を処理しなければならない。第三者は、当初の処理目的又は処理方法を変更する場合、本法の定に従い、改めて個人に告知を行い、かつ、当該個人の同意を取得しなければならない。

個人情報取扱者が匿名化した情報を第三者に提供する場合、当該第三者は、技術等の手段を用いて個人の身分を改めて認識する行為に及んではならない。

 第24条
個人情報取扱者は、自らが処理した個人情報を他人に提供するときは、受領者の身分、連絡先、処理目的、処理方法及び個人情報の種類を当該個人に告知し、かつ、当該個人の単独の同意を取得しなければならない。受領者は、上述の処理目的、処理方法、個人情報の種類などの範囲において個人情報を処理しなければならない。受領者は、当初の処理目的又は処理方法を変更する場合、本法の定に従い、改めて当該個人の同意を取得しなければならない。

第25条
個人情報を利用して自動意思決定を行うときは、意思決定の透明性並びに取扱結果の公平性及び合理性を確保しなければならない。個人は、自動意思決定が自らの権益に重大な影響を及ぼすものと考えたときは、個人情報取扱者に説明を要求することができ、かつ、個人情報取扱者の自動意思決定の方法のみを通じた決定の実施を拒絶することができる。

自動意思決定の方法を通じてビジネスマーケティング又はプッシュ型情報配信を行うときは、当該個人の特徴を対象としない旨の選択肢を同時に提供しなければならない。

 第25条

個人情報を利用して自動意思決定を行うときは、意思決定の透明性並びに取扱結果の公平性及び合理性を確保しなければならない。自動意思決定の方法を通じてビジネスマーケティング又はプッシュ型情報配信を行うときは、当該個人の特徴を対象としない旨の選択肢を同時に提供し、もしくは個人に対して拒絶の方法を提供するものとする。

自動意思決定が個人の権益に重大な影響を及ぼす場合、個人は個人情報取扱者に説明を要求することができ、かつ、個人情報取扱者の自動意思決定の方法のみを通じた決定の実施を拒絶することができる。
第26条
個人情報取扱者は、自らが処理する個人情報を公開してはならない。ただし、個人の単独の同意を取得し、又は法律若しくは行政法規に別段の規定がある場合は除く。		 第26条
個人情報取扱者は、自らが処理する個人情報を公開してはならない。ただし、個人の単独の同意を取得した場合は除く。
第27条
公共の場所に画像収集又は個人身分認識設備を設置するときは、公共の安全確保のために必須でなければならず、国の関連規定を遵守し、かつ、顕著な箇所に注意喚起の標識を設置しなければならない。収集した個人の画像又は身分の特徴の情報は、公共の安全確保の目的にのみ使用し、これを開示し、又は他者に提供してはならない。ただし、個人の単独の同意を取得し、又は法律若しくは行政法規に別段の定めのある場合は除く。		 第27条
公共の場所に画像収集又は個人身分認識設備を設置するときは、公共の安全確保のために必須でなければならず、国の関連規定を遵守し、かつ、顕著な箇所に注意喚起の標識を設置しなければならない。収集した個人の画像又は身分の特徴の情報は、公共の安全確保の目的にのみ使用し、これを開示し、又は他者に提供してはならない。ただし、個人の単独の同意を取得した場合は除く。

第28条
個人情報取扱者の既に公開されている個人情報処理は、当該個人情報の公開時の用途と一致していなければならず、当該用途に係る合理的な範囲を超える場合、本法の規定に従って個人に告知し、かつ、当該個人の同意を取得しなければならない。

個人情報の公開時の用途が不明確なときは、個人情報取扱者は、合理的かつ慎重に既に公開されている個人情報を取り扱わなければならない。既に公開されている個人情報を利用し、個人に重大な影響を及ぼす行為に従事するときは、本法の規定に従って個人に告知し、かつ、当該個人の同意を取得しなければならない。

第28条
個人情報取扱者が既に公開されている個人情報を処理する場合、当該個人情報の公開時の用途と一致していなければならず、当該用途に係る合理的な範囲を超える場合、本法の規定に従って当該個人の同意を取得しなければならない。

個人情報の公開時の用途が不明確なときは、個人情報取扱者は、合理的かつ慎重に既に公開されている個人情報を取り扱わなければならない。既に公開されている個人情報を利用し、個人に重大な影響を及ぼす行為に従事するときは、本法の規定に従って当該個人の同意を取得しなければならない。

第13条の規定に若干の文言が追加され、個人の同意なく個人情報処理ができる場合を拡大すると共に、該当する事由のある場合には同意が不要である旨がより明確にされています。14歳未満の未成年者の個人情報を処理する場合には、個人情報処理者の主観にかかわらず、監護権者の同意又は父母の同意を得ることが必要とされました。

なお、未成年者の父母は法律上当然に監護権者とされています(民法典第27条第1項)。そのため、父母の同意と監護権者の同意を分けたのは、父母がいる場合には父母の同意を取得し、それ以外の場合には父母以外の監護権者の同意を取得することでも足りるという趣旨と思われます。

2‐2 センシティブ個人情報の処理規則

草案 第二次審議稿
32条
法律又は行政法規にセンシティブ個人情報の取扱時における関連の行政許可の取得義務が規定されており、又は更に厳格な制限が規定されているときは、当該規定に準ずる。		 32条
法律又は行政法規にセンシティブ個人情報の取扱時における関連の行政許可の取得義務が規定されており、又はその他の制限が規定されているときは、当該規定に準ずる。
第36条
国家機関は、自らが取り扱う個人情報を公開し、又は他者に提供してはならない。ただし、法律又は行政法規に別段の規定があり、又は当該個人の同意を取得しているときは、この限りでない。		 削除
  第37条(新設)
法律、法規の授権により公共事務の管理権限を有する組織が、法定の職責を履行するために個人情報を処理する場合、本法の国家期間による個人情報処理に関する規定を適用する。

3 個人情報の越境提供規則

草案 第二次審議稿
第38条
個人情報取扱者は、業務等の必要性により、中国国外に向けて個人情報を提供する必要性が確かにあるときは、少なくとも次の各号に掲げるいずれかの条件を満たさなければならない。
  1. 本法第40条の規定に従って国家インターネット情報部門が手配するセキュリティ評価を通過したこと
  2. 国家インターネット情報部門の規定に従い、専門的な機構を経て個人情報保護認証を取得したこと
  3. 中国国外の受領者と契約を締結し、双方の当事者の権利・義務を取り決め、かつ、その個人情報取扱行為の本法の定める個人情報保護基準への適合を監督したこと
  4. 法律、行政法規又は国家インターネット情報部門の定めるその他の条件
 第38条
個人情報取扱者は、業務等の必要性により、中国国外に向けて個人情報を提供する必要性が確かにあるときは、少なくとも次の各号に掲げるいずれかの条件を満たさなければならない。
  1. 本法第40条の規定に従って国家インターネット情報部門が手配するセキュリティ評価を通過したこと
  2. 国家インターネット情報部門の規定に従い、専門的な機構を経て個人情報保護認証を取得したこと
  3. 国家インターネット情報部門の定める標準契約に基づいて中国国外の受領者と契約を締結し、双方の当事者の権利・義務を取り決め、かつ、その個人情報取扱行為の本法の定める個人情報保護基準への適合を監督したこと
  4. 法律、行政法規又は国家インターネット情報部門の定めるその他の条件
第41条
国際司法上の協力又は行政法執行上の協力に起因して中国国外に個人情報を提供する必要のある場合、法により関連の主管部門の認可を申請しなければならない。中国の締結又は参加する国際的な条約・協定が中国国外への個人情報の提供を規定している場合、当該規定に準ずる。		 第41条
中国国外の司法又は執行機関が中国国内で保存されている個人情報の提供を要求する場合、中国主管部門の認可を経ずに提供してはならない。中国の締結又は参加する国際的な条約・協定に規定がある場合、当該規定によることができる。

個人情報の越境提供ができるための条件の一つとして草案では中国国外の受領者と契約を締結したことが定められていましたが、第二次審議稿では当該契約が国家インターネット情報部門の定める標準契約に準拠したものであることを要求しました。契約に基づいて越境提供をするにあたっても、当該契約内容に一定の規制、統率がなされたといえ、妥当な修正と思われます。

4 個人情報処理活動における個人の権利

草案 第二次審議稿
第47条
以下のいずれかの事由がある場合、個人情報処理者は自発的に又は個人の請求に基づき、個人情報を削除しなければならない。
  1. 約定した保存期間が既に満了しており、又は取扱目的が既に実現した場合
  2. 個人情報処理者が商品又はサービスの提供を停止した場合
  3. 個人が同意を撤回した場合
  4. 個人情報処理者が法律、行政法規に違反し又は約定に違反して個人情報を取り扱った場合
  5. 法律又は行政法規の規定するその他の場合
法律、行政法規が規定する保存期間が満了していない場合又は個人情報の削除が技術上実現困難な場合、個人情報処理者は個人情報の処理を停止しなければならない。		 第47条
以下のいずれかの事由がある場合、個人情報処理者は自発的に個人情報を削除しなければならない。個人情報処理者が削除していない場合、個人は削除を請求することができる。
  1. 処理目的が既に実現し、又は目的の実現に不要となった場合
  2. 個人情報処理者が商品又はサービスの提供を停止した場合、もしくは保存期間が満了した場合
  3. 個人が同意を撤回した場合
  4. 個人情報処理者が法律、行政法規に違反し又は約定に違反して個人情報を取り扱った場合
  5. 法律又は行政法規の規定するその他の場合
法律、行政法規が規定する保存期間が満了していない場合又は個人情報の削除が技術上実現困難な場合、個人情報処理者は保存及び必要な安全保護措置以外の個人情報の処理を停止しなければならない。
  第49条(新設)
自然人が死亡した場合、本章の定める、個人情報処理活動における個人の権利は、その親族が行使する。

個人が死亡した場合にも、個人情報処理に対する各種権利については、親族が行使することができる旨の規定が新たに追加されました。

5 個人情報処理者の義務

草案 第二次審議稿
第53条
個人情報処理者は、定期的にその個人情報処理活動及び講じる保護措置等が法律、行政法規の規定に適合するかを監査するものとする。個人情報保護職責履行部門は個人情報処理者に対し専門機構に委託して監査をするよう指示する権限を有する。		 第54条
個人情報処理者は、定期的にその個人情報処理活動及び講じる保護措置等が法律、行政法規の規定に適合するかを監査するものとする。
  第57条(新設)
基本的インターネットプラットフォームサービス、巨大なユーザー数、業務類型が複雑な個人情報処理者は、以下の義務を履行するものとする。
  1. 主に部外者により構成される独立機関を設立し、個人情報処理活動に対して監督を行うこと
  2. 法律、行政法規に重大な違反をして個人情報の処理をするプラットフォーム内の商品、サービス提供者に対して、サービスの提供を停止すること
  3. 個人情報保護社会責任レポートを定期的に発布し、社会の監督を受けること
  第58条(新設)
個人情報処理の委託を受けた受託者は、本章の規定の定める義務を履行し、必要な措置を講じて、処理する一切の個人情報のセキュリティを保障するものとする。

インターネットプラットフォームサービス提供者等、一定の個人情報処理者について独立機関を設けるなどして個人情報処理活動に対する監査、監督を実施することが義務付けられています。もっとも、その対象となる個人情報処理者の要件については文言上は曖昧であり、下位法令等によってその範囲が特定されることが予想されます。また、個人情報処理の受託者に対しても、個人情報セキュリティの保障義務が追加されています。

6 個人情報保護職責を履行する部門

草案 第二次審議稿
第58条
国家インターネット情報部門及び国務院関係部門は、職責権限に基づき、個人情報保護に関するルール、基準の制定を組織し、個人情報保護社会化サービス体系の構築を推進し、関連機関が個人情報保護評価、認証サービスを展開することを支持する。		 第61条
国家インターネット情報部門は、関連部門が以下の個人情報保護業務を推進することを統率する。
  1. 個人情報保護の具体的な規則、基準の制定
  2. センシティブ個人情報及び顔認証、AI等の新技術、アプリケーションに対する、専門的な個人情報保護規則、基準の制定
  3. 安全、便利な電子身分認証技術の研究開発の支持
  4. 個人情報保護社会化サービス体系の構築を推進し、関連機関が個人情報保護評価、認証サービスを展開することを支持する
第59条
個人情報保護職責履行部門は個人情報保護職責を履行するにあたり以下の措置を講じることができる。
  1. 関係当事者に対し質問し、個人情報処理活動に関する状況を調査すること
  2. 当事者及び個人情報処理活動に関する契約、記録、帳簿及びその他の関係資料を閲覧、複製すること
  3. 現場検査を実施し、違法な個人情報処理活動が疑われる場合について調査を行うこと
  4. 個人情報処理活動と関係する設備、物品を調査すること。違法な個人情報処理活動の設備、物品であると証明する証拠があるものにつき、封鎖又は差押えをすることができる
個人情報保護職責履行部門が法に基づき職責を履行する場合、当事者は協力し、従わなければならず、拒絶又は妨害してはならない。		 第62条
個人情報保護職責履行部門は個人情報保護職責を履行するにあたり以下の措置を講じることができる。
  1. 関係当事者に対し質問し、個人情報処理活動に関する状況を調査すること
  2. 当事者及び個人情報処理活動に関する契約、記録、帳簿及びその他の関係資料を閲覧、複製すること
  3. 現場検査を実施し、違法な個人情報処理活動が疑われる場合について調査を行うこと
  4. 個人情報処理活動と関係する設備、物品を調査すること。違法な個人情報処理活動の設備、物品であると証明する証拠があるものにつき、本部門の主要責任者に対して書面で報告し、且つ認可を経て、封鎖又は差し押さえをすることができる
個人情報保護職責履行部門が法に基づき職責を履行する場合、当事者は協力し、従わなければならず、拒絶又は妨害してはならない。
第60条
個人情報保護職責履行部門が職責を履行する中で、個人情報取扱活動に比較的大きなリスクが存在すること又は個人情報セキュリティインシデントが発生したことを発見した場合、規定に基づく権限及び手続に従い当該個人情報処理者の法定代表者又は主要責任者に対し、面談を行うことができる。個人情報取扱者は、要求に基づき措置を講じ、改善を行い、問題を除去しなければならない。		 第63条
個人情報保護職責履行部門が職責を履行する中で、個人情報取扱活動に比較的大きなリスクが存在すること又は個人情報セキュリティインシデントが発生したことを発見した場合、規定に基づく権限及び手続に従い当該個人情報処理者の法定代表者又は主要責任者に対し、面談を行い、又は個人情報処理者に、個人情報処理活動のコンプライアンスに係る監査を専門業者に委託することを要求することができる。個人情報取扱者は、要求に基づき措置を講じ、改善を行い、問題を除去しなければならない。

関連部門による個人情報保護関連業務の内容が草案に比べてより詳細に規定されました。その内容からも、今後更に詳細なガイドラインや国家基準が制定されていくことが想定されます。

7 法律責任

草案 第二次審議稿
第65条
個人情報処理活動により個人情報に関する権益を侵害した場合、個人がそのため受けた損失又は個人情報処理扱者がそのため得た利益に基づき賠償責任を負う。個人がそのために受けた損失及び個人情報処理者がそのため得た利益を確定することが困難であれば、人民法院が実際の状況に基づき賠償額を確定する。個人情報処理者が自らに過失がないと証明できる場合、責任を減軽又は免除することができる。		 第68条
個人情報に関する権益が個人情報処理活動により侵害された場合、個人情報処理者が自らの過失がないことを証明できない場合、損害賠償等の権利侵害責任を負う。
前項に定める損害賠償責任は、個人がそのため受けた損失又は個人情報処理扱者がそのため得た利益に基づき確定する。個人がそのために受けた損失及び個人情報処理者がそのため得た利益を確定することが困難であれば、人民法院が実際の状況に基づき賠償額を確定する。

個人情報処理者の個人に対する損害賠償責任の証明責任が明文で個人情報処理者に転嫁されています。また、無過失による責任の減免規定も削除され、これにより個人情報処理者の責任が草案に比べて加重されているといえます。