中国法ブログ

中国法務の基礎的な事項から最新の情報まで解説するブログ

個人情報保護法について(1)

中国 データ・セキュリティ 法務

これまで直近で2度にわたり、全人代常務委員会にて個人情報保護法草案が公表されましたが、今般2021年8月20日に中国個人情報保護法(个人信息保护法、以下「本法」といいます。)が正式に公布され、11月1日より施行されることとなりました。

chinalaw.hatenablog.com

chinalaw.hatenablog.com

中国においてこれまで十数年来、度々個人情報保護法の制定が試みられては暗礁に乗り上げてきた経緯もあり、ようやく成立したものといえますが、近時当局が大手配車プラットフォーム滴滴(DiDi)に対して、個人情報を違法に収集したことを理由としてアプリストアからAppの削除を求めたことも法律の制定が間近であったことが背景にあったのかもしれません。

第二次審議稿は附則含め全8章全73条によって構成されていましたが、本法は最終的に全8章全74条で構成される形となりました。第二次審議稿から変更されている個所も少なからずありますので、今回から3回に分け、第二次審議稿からの変更点にも着目しながら、本法を全体的に概観したいと思います。 

1 本法における核心的概念と基本原則等

1-1 核心的概念

まず、個人情報保護法における基本的な概念について、整理すると以下のとおりです。

概念

定義

個人情報(个人信息)

電子的又はその他の方式により記録される、既に識別され又は識別が可能な自然人に関連する各種情報であり、匿名化処理後の情報を含まない(本法第4条第1項)

個人情報の処理(处理个人信息)

個人情報の収集、保存、使用、加工、移転、提供、公開、削除等の活動を含む(本法第4条第2項)

センシティブ個人情報(敏感个人信息)

一旦漏えい又は違法に使用すると、容易に自然人の人格尊厳が侵害され、又は人身、財産の安全に危害が生じる個人情報をいい、生物識別、宗教・信仰、特定身分、医療健康、金融口座、行動軌跡等の情報及び14歳未満の未成年に係る個人情報をいう(本法第28条第1項)

個人情報処理者(个人信息处理者)

個人情報の処理活動において自ら処理の目的、処理方式を決定する組織、個人をいう(本法第73条第1号)

自動意思決定(自动化决策)

コンピュータープログラムにより、個人の行為・習慣、関心・嗜好又は経済、健康、信用の状況等について自動的な分析、評価をし、意思決定を行う活動をいう(本法第73条第2号)

非識別化(去标识化)

個人情報を処理することで、更なる情報がなければ特定の自然人を識別することができないようにするプロセスをいう(本法第73条第3号)

匿名化(匿名化)

個人情報を処理することにより、特定の自然人を識別できず、復元できなくするプロセスをいう(本法第73条第4号)
1-1-1 個人情報

個人情報の定義について、サイバーセキュリティ法、民法典、個人情報安全規範(个人信息安全规范)といった各法令においてそれぞれ以下のように定義されていました。

サイバーセキュリティ法

電子的又はその他の方法によって記録され、単独で又はその他の情報と結びついて、自然人個人の身分を識別することができる各種情報をいう(サイバーセキュリティ法第76条第5号)

民法

電子的又はその他の方法によって記録され、単独で又はその他の情報と組み合わせて、特定の自然人を識別することができる各種情報(民法典第1034条第1項)

個人情報安全規範

電子的又はその他の方法によって記録され、単独で又はその他の情報と結びついて特定の自然人の身分を識別することができる情報、又は特定の自然人の活動状況を反映する情報(個人情報安全規範3.1)

これに対して、本法では「電子的又はその他の方式により記録される、既に識別され又は識別が可能な自然人に関連する各種情報」と定義し、同時に匿名化処理をした情報については個人情報に含まれないことを明確にしました。

この個人情報の定義は、GDPR第4条第1号に定める「個人データ」の定義を意識したものになっていると思われ、サイバーセキュリティ法等において定められていた個人情報の定義に比べても、個人情報は広く理解できるものと考えられます。

1-1-2 個人情報の処理活動

本法の適用対象となる「個人情報の処理活動」の内容として、個人情報の削除が第二次審議稿から新たに追加されています。

1-1-3 センシティブ個人情報

中でもセンシティブ個人情報については第二次審議稿から若干定義が変更されています。具体的には、以下のとおりです。

第二次審議稿

一旦漏えい又は違法に使用すると、個人が差別を受けるか、人身、財産の安全に重大な危害を被る可能性のある個人情報をいい、種族、民族、宗教・信仰、個人の生体的特徴、医療健康、金融口座、個人の行動歴等の情報を含む。

本法

一旦漏えい又は違法に使用すると、容易に自然人の人格尊厳が侵害され、又は人身、財産の安全に危害が生じる個人情報をいい、生物識別、宗教・信仰、特定身分、医療健康、金融口座、行動軌跡等及び14歳未満の未成年に係る個人情報を含む。

なお、個人情報安全規範においては、センシティブ個人情報について「一旦漏えい、違法提供、又は濫用すると、容易に自然人の人格尊厳が侵害され、又は人身、財産の安全に損害又は差別的待遇等が生じる個人情報」と定義されており、本法の定義はこれに近いものではありますが、やはり若干異なっています。

また、第二次審議稿まではセンシティブ個人情報とは別枠で保護の対象となっていた14歳未満の未成年に係る個人情報もセンシティブ個人情報として扱われることとなり、厚い保護を受ける対象となっているのに対して、第二次審議稿までセンシティブ個人情報として掲げられていた「種族民族」はその対象から除外されている点も興味深いです。

1-2 本法の適用対象

本法の適用対象については、従前から特段大きな変更はなく、原則として中国国内で自然人の個人情報を処理する活動に対して適用されるとしつつ、以下の場合には、中国国内の自然人の個人情報を中国国外で処理する活動に対しても適用されます(本法第3条第1項、第2項)。

  1. 中国国内の自然人に商品又はサービスを提供することを目的とする場合
  2. 中国国内の自然人の行為を分析、評価する場合
  3. 法律、行政法規に定めるその他の場合

このように中国国外における個人情報処理活動に対しても本法の適用があり得ることは注意する必要があります。どのような判断要素をもって商品又はサービスを提供する目的があるといえるかについて本法は特段規定を置いていませんが、今後、その判断要素に関するガイドラインや指針が制定される可能性はあります。

なお、中国国外の個人情報処理者は、中国国内に専門機関又は指定代表を置き、個人情報保護に関する事務処理を行わせなければならないとされていますが(本法第53条)、これもGDPR第27条の規定を参照しているものと思われます。

1-3 個人情報の処理にあたっての基本原則等

個人情報の処理にあたって遵守すべき基本原則、遵守事項については、以下のとおり定められています。

信義誠実の原則 個人情報の処理にあたっては、適法性、正当性、必要性及び信義誠実の原則を遵守しなければならず、誤導、詐欺、脅迫等の方式によって個人情報を処理してはならない(本法第5条)
最小範囲の原則 個人情報の処理には明確で合理的な目的があり、且つ、処理の目的と直接の関連があり、個人の権益への影響を最小とする方式を採用しなければならない。
個人情報の収集は、処理の目的が実現できる最小範囲に限定しなければならず、過度な個人情報の収集をしてはならない(本法第6条)
公開透明の原則 個人情報を処理するにあたっては公開、透明性の原則を遵守し、個人情報の処理規則を公開し、処理の目的、方式及び範囲を明示しなければならない(本法第7条)
個人情報の正確性 個人情報を処理するにあたっては、個人情報の質を保証し、個人情報が不正確、不完全となることによって個人の権益に不利な影響を及ぼすことは避けなければならない(本法第8条)
セキュリティ保障 個人情報処理者は、その個人情報処理活動に責任を負い、必要な措置を講じて処理する個人情報の安全を保障しなければならない(本法第9条)

個人情報処理にあたっての各原則のうち、特に最小範囲の原則については、第二次審議稿から、「処理の目的に直接の関連性」がある方法を採用すべきことが要件として追加されています。

個人情報安全規範においては、「直接の関連性」があることについて、当該個人情報の参与がなければ、商品又はサービスの効能を実現することが不可能であること、と定義されていますが(個人情報安全規範5.2)、本法における「直接の関連性」について、同様に理解して良いかは明確ではありません。

2 個人情報の処理に係るルール

2-1 個人情報の処理が可能な場合

個人情報処理者が個人情報の処理をすることができるのは、以下のいずれかに該当する場合です(本法第13条)。

  1. 個人の同意を得た場合
  2. 個人を一方の当事者とする契約の締結又は履行に必要な場合、又は法に基づき制定された労働規則及び法により手結された集団契約に基づき、人力資源管理を実施するために必要な場合
  3. 法定の職責又は法定の義務の履行に必要な場合
  4. 突発的公衆衛生事件への対処又は緊急事態下における自然人の生命・健康や財産の安全の保護に必要な場合
  5. 公共の利益のための報道、世論監督等の行為をするために合理的な範囲内で個人情報を処理する場合
  6. 本法の規定に基づき合理的な範囲内で、個人が自ら公開し又はその他適法に公開された個人情報を処理する場合
  7. 法律、行政法規に定めるその他の場合

サイバーセキュリティ法では、個人情報の収集、使用をするにあたっては、同意を得ることを必要条件としていたところ(サイバーセキュリティ法第41条第1項)、民法典では、同意を得ることを原則としつつも、法律、行政法規が別途の定めを置く場合は除くことを定めており、一定の場合には同意が不要となり得ることを示唆していました(民法典第1035条第1項第1号)。

個人情報安全規範では、同意が不要な場合について定めていたものの(個人情報安全規範5.6)、本法は法律レベルにおいて個人の同意が不要な場合を明確にしたことになります。

特に第2項については、従前の草案にはなかった、会社の内部規定又は集団契約*1に基づいて人力資源管理を行う場合にも同意が不要という旨が新たに定められました。これは、会社の内部規定、集団契約に基づく人事管理上の個人情報の処理ということで、当該処理について同意に代わる適法性の根拠が存在するということが念頭に置かれているものと考えられます。これによって、使用者が従業員の個人情報の処理をするにあたっての同意取得の負担が軽減されることが期待されます。

但し、中国子会社から中国国外の本社に従業員の情報を越境提供するような場合には、別途個別の同意を取得することが必要であるという点には留意が必要です。

このほか、個人が自ら公開し、又はその他の既に適法に公開された個人情報を処理する場合にも同意が不要であることが本法において新たに追記されています。

2-2 個人からの同意の取得

個人の同意に基づき個人情報を処理するにあたっては、以下の要件の充足が必要です。

  1. 個人が十分に事情を知っている前提のもとで、自由意思且つ明確に行われること(本法第14条第1項)
  2. 個人情報の処理に対して同意をした個人にはその同意を撤回する権利があり、個人情報処理者は、同意を容易に撤回することができる手段を提供すること(本法第15条第1項)
  3. 個人情報の処理が製品又はサービスの提供に必須となる場合を除き、個人情報処理者は、個人がその個人情報の処理に同意していないこと、同意を撤回したことを理由に、製品又はサービスの提供を拒否してはならないこと(本法第16条)
  4. もしも取り扱う個人情報が14歳未満の未成年のものに係る場合には更に未成年者の父母又は監護者の同意も得ること(本法第31条第1項)
2-2‐1 個別の同意

個人情報の処理における同意に係る要件は上記のとおりですが、法律又は行政法規が、個人の個別同意又は書面による同意の取得義務を課している場合には、当該規定に従わなければならない旨が定められています(本法第14条第1項)。

本法においては以下の各場合について個別の同意が必要と定められています。

  • 個人情報処理者からその他の個人情報処理者への個人情報の提供(本法第23条)
  • 個人情報処理者による個人情報の公開(本法第25条)
  • 個人情報処理者が公共場所に設置される画像収集設備、又は個人身分識別設
    備を通じて収集されるものを公共安全以外の目的に使用する場合(本法第26条)
  • 個人情報処理者がセンシティブ個人情報を取り扱う場合(本法第29条)
  • 個人情報処理者による個人情報の越境移転(本法第39条)

個別の同意の取得方法について本法は明確に定めておらず、実際にどのような形式で個別の同意を取得するのかについては議論の余地があります。ただ、理解としては、個人に対して十分な注意喚起をしたうえでの同意を取得することが必要と考えられます。

なお、書面による同意に関して本法は更なる規定は置いておらず、個別の法令において書面の取得義務が課されている場合に、それに従うことになります。

2-2-2 同意の再取得

また、以下の各場合には、個人から再度の同意を取得することが必要です。

  • 個人情報処理の目的、処理方式及び処理する個人情報の種類に変更が生じた場合(本法第14条第2項)
  • 合併、分割、解散、破産宣告等の原因により個人情報の移転が必要な場合で、個人情報の受領者が当初の処理目的及び処理方法を変更する場合(本法第22条)
  • 個人情報処理者が、自ら取り扱った個人情報を他の個人情報処理者に提供する
    場合で、個人情報の受領者が当初の処理目的又は処理方法を変更する場合(本法第23条)

2-3 個人情報処理者による告知義務

個人情報処理者は、個人情報を処理する前に、目立つ方式により、明確で分かりやすい文言で、真実、正確、完全に以下の事項を個人に告知することが求められています(本法第17条第1項)。なお、真実、正確、完全な告知という要求は、草案段階ではなく、本法において追加された要件です。

  1. 個人情報処理者の名称又は氏名及び連絡先情報
  2. 個人情報処理の目的、処理方式、処理する個人情報の種類、保存期限
  3. 個人が本法に規定する権利を行使する方法及びプロセス
  4. 法律、行政法規にて告知すべきと定められたその他の事項

  5. (個人情報処理者の合併、分割等が生じた場合)個人情報の受領者の名称又は氏名、連絡方法(本法第22条)

  6. (他の個人情報処理者に提供する場合)受領者の名称又は氏名、連絡先情報、処理の目的、処理方式及び個人情報の種類(本法第23条)

  7. (センシティブ個人情報を処理する場合)センシティブ個人情報を取り扱う必要性及び個人権益への影響(本法第30条)

  8. (越境提供がある場合)中国国外の情報受領者の名称、連絡方法、処理目的、処理方法、個人情報の種類及び個人が国外の情報受領者に対して本法に定める権利を行使する方法とプロセス等の事項(本法第39条)

公開透明の原則と総合的に考えると、個人情報の処理規則、処理の目的、方式及び範囲と共に、上記の各事項を明確に個人に対して告知することが必要といえます。「真実、正確、完全」性が要求することも相まって、個人情報処理者がプライバシーポリシーや個人情報処理に関連する規則を作成するにあたっては、「~など」や「~その他一切の」といった不明確、不完全な文言を使用することは避けた方が良いということになりそうです。

なお、以下の場合には例外として告知が不要となります。

  1. 個人情報処理者が個人情報を処理するにあたり、秘密を保持すべきこと又は告知が不要であることが法律、行政法規で規定されている場合(本法第18条第1項)
  2. 緊急事態下において自然人の生命・健康及び財産の安全を保護するために速やかに個人に告知することができない場合、緊急事態が収まった後速やかに告知しなければならない(本法第18条第2項)

2-4 個人情報の保存期間

法律、行政法規に別段の規定がある場合を除き、個人情報の保存期間は、処理の目的を実現するために必要な最短期間とする必要があります(本法第19条)。

これを受け、個人情報処理者においては、個人情報の処理の目的が実現、実現不能、不要となった場合や、商品やサービスの提供を停止したような場合には、自主的に個人情報の削除を行わなければならないこととされています(本法第47条第1項第1号、第2号)。

2-5 個人情報の共同処理と委託処理

本法においては、個人情報処理者が、他の個人情報処理者と共同で個人情報の処理をする場合と、他の個人情報処理者に個人情報の処理を委託する場合とを分けて、以下のとおり個別に定めを置いています。

2-5-1 共同での個人情報処理

2 以上の個人情報処理者が共同で個人情報の処理の目的や処理方式を決定する場合、各自の権利及び義務について合意することが必要で、個人情報処理者が共同で個人情報を処理したことによって、個人情報の権益に損害をもたらした場合、当該個人との関係では連帯責任を負うこととなります(本法第20条)。

2-5-2 個人情報の委託処理

個人情報処理者が個人情報の処理を第三者に委託する場合には、以下の要件を満たすことが必要です。

  • 受託者と委託にかかる処理の目的、期限、処理方式、個人情報の種類、保護措置、双方の権利及び義務等について合意すること
  • 受託者の個人情報処理活動を監督すること

そして、受託者は合意された処理目的、処理方法等を超えて個人情報の処理をすることはできませんし(本法第21条第1項、第2項)、個人情報の処理を再委託する場合にも個人からの同意が必要です(本法第21条第3項)。

GDPRにおいては、個人情報の委託処理について、EUによる標準契約条項により合意することが定められていますが(GDPR第28条第6項)、本法においては、委託者と受託者間で上記各事項の合意をすべきことが要求されているにとどまり、標準契約の締結についてまでは言及されていません。

なお、個人情報の委託処理を行う場合には、個人情報処理者は事前に個人情報保護への影響評価の実施と、処理状況の記録をすることが必要とされているほか(本法第55条第3号)、受託者においては、法令の定めに基づいて必要な措置を講じて、個人情報のセキュリティを保障し、且つ、個人情報処理者が本法に定める義務を履行することに協力することが必要とされています(本法第59条)。

2-5-3 その他の個人情報処理者への提供

上記の各場合のほか、個人情報処理者が、その他の個人情報処理者にその処理する個人情報を提供する場合には以下の要件を満たすことが必要です(本法第23条)。

  • 個人に受領者の名称又は氏名、連絡先情報、処理の目的、処理方式及び個人情報の種類を告知すること
  • 個人から単独の同意を取得すること

この場合にも、個人情報処理者は事前の個人情報保護への影響評価及び処理状況の記録をすることが必要となっています(本法第55条第3号)。

2-6 自動意思決定

個人情報処理者が個人情報を利用して自動意思決定を行う場合、意思決定の透明性並びに処理結果の公平性及び公正性を確保し、個人の取引価格等の取引条件において差別的な待遇をしてはならないことが明確にされました(本法第24条第1項)。このような取引条件における差別的待遇の禁止は、第二次審議稿の時点では規定されていませんでしたが、本法においてこれが追記された形となります。

これは近時、ECサイトなどで古いユーザーの方が新規ユーザーよりも不当な取引条件を付けられるといった現象(中国語で「大数据杀熟」)が広く見られ、ユーザーの特性、属性に応じて、このような取引条件の変更がなされることが問題視されたことを受け、このような社会的な要請に応じたものといえます。

また、自動意思決定の方法を通じてビジネスマーケティング又はプッシュ型情報配信を行うときは、当該個人の特徴を対象としない旨の選択肢を同時に提供し、もしくは個人に対して簡便に拒絶の方法を提供することが必要です(本法第24条第2項)。

自動意思決定が個人の権益に重大な影響を及ぼす場合、個人は個人情報処理者に説明を要求することができ、かつ、個人情報処理者の自動意思決定の方法のみを通じた決定の実施を拒絶することができるとして、個人による説明要求と拒絶権限が定められています(本法第24条第3項)。

なお、個人情報を利用して自動意思決定を行う場合、個人情報処理者は事前の個人情報保護への影響評価及び処理状況の記録をすることが必要です(本法第55条第2号)。

2-7 個人情報の公開

個人情報処理者がその処理する個人情報を公開する場合には、個人から個別の同意を得る必要があります(本法第25条)。

前述のとおり、本法の規定に基づき合理的な範囲内で、個人が自ら公開し又はその他適法に公開された個人情報を処理する場合には個人からの同意を得る必要はありませんが(本法第13条第1項第6号、第27条)、処理する個人情報を公開する場合には別途同意を得ることが必要ということになります。また、個人が自ら公開等した個人情報を処理する場合であっても、これが個人の権益に対して重大な影響を与える場合には同意が必要となる点は留意が必要です(本法第27条)。

なお、個人情報を公開する場合も、事前の個人情報保護への影響評価及び処理状況の記録をすることが必要です(本法第55条第3号)。

2-8 センシティブ個人情報の保護と処理規則

センシティブ個人情報については、以下のとおり通常の個人情報処理に加えて、以下の特則が設けられています。

  • 個人情報の処理にあたっては、特定の目的と十分な必要性を有し、且つ厳格な保護措置を講じていること(本法第28条第2項)
  • 個人情報の処理にあたっては、原則として個別の同意を取得すること(本法第29条)
  • 個人情報の処理にかかる告知事項として、さらにセンシティブ個人情報を取り扱う必要性及び個人の権益への影響を追加すること(本法第30条)

また、センシティブ個人情報のうち14歳未満の未成年者の個人情報を取り扱う場合には、更に以下の要件を満たす必要があります(本法第31条)。

  • 未成年者の父母その他の監護者の同意を得ること
  • 個人情報の処理に関する特別な規定を設けること

なお、現時点では、センシティブ個人情報に属する各個人情報の処理について法令は特段定められていない状況です。ただ、2021年7月28日に公布された「表情識別技術を使用して個人情報を処理することに関する民事案件審理に適用する法律適用の若干問題に関する規定」(关于审理使用人脸识别技术处理个人信息相关民事案件使用法律若干问题的规定)においては、個人の表情情報は、民法典にいう個人識別情報に該当することが定められており(同規程第1条第3項)、表情情報の処理に起因する民事紛争、民事責任に関して一定の解釈基準を示しています。

*1:集団契約とは、会社と労働組合との間で締結される、従業員全体の労働条件について合意し、締結される契約をいいます。