中国個人情報保護法Q&A(第1回)
中国個人情報保護法Q&A(第1回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021 年10月29日
One Asia Lawyers中国大湾区プラクティスチーム
中国個人情報保護法Q&A(第1回)
背景
近年、アジアにおいては、2019年におけるタイ個人情報保護法採択、2021年におけるシンガポール個人情報保護法の改正等、各国において個人情報保護に関する法制度の整備、アップデートが相次いでいます。中国においては、従前は民法(典)・刑法等の一般法律、及びインターネット上の個人情報保護に関する部門規則などを中心とした個別規定により規律されていたのが、2017年にはインターネット安全法(サイバーセキュリティ法)が採択され、政府や関連事業者による個人情報の取扱いに関する意識が高まっていました。
このような背景のもと、今般、中国においても個人情報保護に関する一般的・包括的な法律と言える「個人情報保護法」が採択され、2021年11月より施行予定となっています。そこで、本稿では、この中国個人情報保護法に関する主要なポイントについて、Q&Aによる連載方式で、簡潔に情報提供させていただくことと致しました。本稿が、中国その他アジア地域に関わるビジネスを行う各位のご参考に、少しでも資するところがありましたら幸甚です。
Q:中国における個人情報保護に関連する法律・ガイドラインはどのようなものがあるでしょうか。また,それらの法律・ガイドラインの成立・改正の概要,国際標準的な個人情報保護法(EU一般データ保護規則(GDPR:General Data Protection Regulation))などとの違い・特徴について教えてもらえますでしょうか。
1.個人情報保護に関する法令スキーム
中国の個人情報保護について,法律レベルで最も重要なのは「サイバーセキュリティ法」(漢字は「網絡安全法」,2016年11月7日頒布,2017年6月1日発効),「データセキュリティ法」(漢字は「数拠安全法」,2021年6月1日頒布,2021年9月1日発効)及び「個人情報保護法」(漢字は「個人信息保護法」,2021年8月20日頒布, 2021年11月1日発効)の3つの法律である。
3つの法律の中,「サイバーセキュリティ法」はインターネット安全を全面的に規制する法律であり,個人情報保護に関しては,原則的な内容のみを置いているが,最も早期に頒布された関連法律であるため,目下,ほとんどの下位法令の立法根拠に該当する。「データセキュリティ法」は,データ取扱いの全プロセスと安全保護を規制していて,データ化された個人情報の保護の根拠となる。そして「個人情報保護法」は,個人情報保護に対する特別法であって,個人情報の取扱い及び保護に対する規定を明確にし,中国個人情報保護の基本法になる法律である。
この3つの法律の他,個人情報保護に関する規定が他の法律・行政法規・部門規章・地方法規・標準など,様々な法規範中に見えており,より詳細な規定が置かれている。
図で中国の個人情報保護スキームを表現すれば,次のとおりとなる[1]。
※図はPDF版をご覧ください。
- 2.中国における個人情報保護法制についての変遷
中国の個人情報保護についての変遷は,1つの法律の改正のみに留まらず,複数の法規定の立法に関わる。時間軸に沿って整理すれば,次の通りとなる。
- (1)2009年2月28日,「刑法修正案(七)」に253条の1が追加され,個人情報を販売・違法提供する罪名が設定された。これにより,個人情報が初めて中国法における保護対象となった。
- (2)2009年12月26日,「権利侵害責任法」が頒布され,プライバシーが自然人の民事上の権利であることが明確化された。その後,民事法の領域において,主にプライバシーとして個人情報が保護されている。
- (3)2012年12月28日,全国人民代表大会常務委員会が「全国人民代表大会常務委員会によるインターネット情報保護の強化に関する決定」を頒布した。これは,個人情報の一般的な種類・範囲,保護方法等に関する原則的規定を置き,後続の立法に対する指導的な意義を有する。上記決定が頒布された後,個人情報に関する法令が徐々に作成されている。2013年7月16日に工業情報化部(以下「工信部」という。)により頒布された「電信及びインターネットユーザー個人情報保護規定」2013年9月1日発効)はその典型例である。
- (4)2016年11月7日,「サイバーセキュリティ法」が頒布された(2017年6月1日発効)。このうち同法40条から45条までは個人情報保護に関する専門規定であり,その後の個人情報関連法令の立法根拠である。
- (5)2020年5月28日,「民法典」が頒布された(2021年1月1日発効)。民法典は第四編「人格権編」に第六章「プライバシーと個人情報保護」を追加し,個人情報をプライバシーと異なる人格権として保護することとなった。
- (6)2021年6月10日,「データセキュリティ法」が頒布された2021年9月1日発効)。同法53条2項によれば,個人情報にかかるデータの取扱いに関する活動は,同法と同時に,個人情報に関する他の法令にも従う必要がある。
- (7)「個人情報保護法」の立法化に関しては,2020年10月21日に「個人情報保護法(草案)」,2021年4月29日に「個人情報保護法(草案二次審議稿)」がそれぞれ公開され,最終的に,全国人民代表大会常務委員会により2021年8月20日に採択された(同年11月1日施行)。
- 3.GDPRとの相違点
「個人情報保護法」は,今後の中国における個人情報保護に関する基本法となる。本稿においては,GDPR[2]と「個人情報保護法」との相違点[3]を簡単に紹介する。
(1)適用範囲
最も大きな相違点は,属地主義の適用基準である。
- ①属地主義
中国「個人情報保護法」においては,「国内において自然人の個人情報を取扱う活動」(「個人情報保護法」3条1項)が同法の適用対象となる。
これに対して,GDPRにおいては,個人情報の取扱い場所を問わず,「EU域内の管理者又は処理者の拠点の活動の過程における個人情報の取扱い」(GDPR3条1項)が適用対象となる。EDPBのガイドライン[4]によれば,EU域内に安定的な仕組みを通じて行われる実効的かつ現実の活動を実施する拠点(支店・子会社などの法的形式の有無を問わない。)さえあれば,当該拠点の経営のために行われる個人情報の取扱いは,GDPRの適用対象となる。
- ②保護主義
いわば,国内(域内)の個人を保護するため,国内(域内)の個人に対する行為を管轄できる域外管轄効力である。
個人に商品・サービスを提供する行為が規制対象になることは同じだが,国内個人の行為に対して,GDPRは「監視する行為」(GDPR3条第2項b号),「個人情報保護法」は「分析・評価する行為」(「個人情報保護法」3条第2項2号)を規制する。
なお,「個人情報保護法」には「法律・行政法規により規定するその他の場合」というキャッチオール規定もある。
(2)個人情報「処理者」の定義
GDPRには,「管理者」(controller)と「処理者」(processor)という2つの概念がある。前者は「個人情報の取扱いの目的及び方法を決定する」者(GDPR4条第1項7号)であり,後者は「管理者の代わりに個人情報を取扱う」者(GDPR4条第1項8号)である。
これに対して,「個人情報保護法」には,「個人情報処理者」という概念のみが存在する。その定義は「個人情報取扱活動において,取扱目的,取扱方法を自主的に決定する」者(「個人情報保護法」73条第1項1号)であり,これは,GDPRの「管理者」と基本的に同一である。
一方,「個人情報保護法」には,第三者に個人情報の取扱いを委託する場合の受託者に関する条文(「個人情報保護法」21条)があるが,GDPRにおける「処理者」には同様の定義がない。
(3)個人情報の取扱いの適法性
個人情報を事業者が適法に取り扱うことができる場合として,GDPR6条1項においては,6つの状況が規定されている[5]。これに対して,「個人情報保護法」13条1項においては,7つの状況が規定されている[6]。GDPRのa,b,c,d,e号は「個人情報保護法」の1,2,3,4,5にそれぞれ対応している。完全一致ではないものの,相当程度類似した内容となっていると言える。
相違点としては,まず,GDPRのf号「管理者又は第三者によって求められる正当な利益の目的のために取扱いが必要となる場面」(但書省略)は「個人情報保護法」には存在しない。
次に,「個人情報保護法」の6号においては「本法に規定した合理な範囲内にて個人が自ら公開またはその他すでに合法的に公開された個人情報を取り扱うこと」という規定があるところ,個人情報の公開は特別な種類の個人データから除外される条件の1つ(GDPR9条第2項e号)ではあるが,GDPR6条1項所定の状況ではない。つまり,GDPRではすでに公開したことを根拠に勝手に個人情報を処理できないが,「個人情報保護法」では合理な範囲であれば合法的に公開された個人情報を処理することが可能となる。
最後に,「個人情報保護法」の7号に「法律・行政法規により規定するその他の場合」というキャッチオール条項があり,今後,適法となる状況がさらに追加される可能性もある。
(4)要配慮個人情報の定義と取扱いについて
- ①定義
GDPRの「特別な種類の個人情報」(special categories of personal data)とは「人種的若しくは民族的な出自,政治的な意見,宗教上若しくは思想上の信条,又は,労働組合への加入を明らかにする個人情報の取扱い,並びに,遺伝子情報,自然人を一意に識別することを目的とする生体情報,健康に関する情報,又は,自然人の性生活若しくは性的指向に関する情報」を指す(GDPR9条1項)。
これに対して,中国法上では「敏感個人情報」という概念を使用している。「個人情報保護法」における「敏感個人情報」とは,「一旦,漏洩又は違法使用が生じた場合には,容易に自然人の人格尊厳の侵害を引き起こし,又は人身・財産の安全に対する危害を及ぼす個人情報であり,生物識別,宗教的信仰,特定身分,医療健康,金融口座,行動追跡等,及び14歳未満の未成年者の個人情報を含む。」とされている(「個人情報保護法」28条)。
上記定義から見れば,GDPRは明示的に列挙されている政治・宗教と生物の観点からの個人情報を特別な要配慮情報として扱うが,「個人情報保護法」における敏感個人情報の範囲は広く,定義に当てはまれば敏感個人情報として扱えることになり,更には財産関連の情報も含むことも明確にした。
- ②取扱い
その取扱いについて,GDPRは原則的に禁止とされているが,同条では,個人が「明確な同意を与えた」こと(GDPR9条第2項a号)のほか,複雑な例外状況が列挙されている。
これに対して,「個人情報保護法」においては,32条において法律・行政法規により敏感個人情報の取扱いに対する別途の制限が可能というキャッチオール条項があるが,通常,「個人の単独同意,法律・行政法規に別途規定ある場合は書面による合意」(「個人情報保護法」29条)及び「個人に対する敏感個人情報の取扱いの必要性と個人権益に対する影響の説明義務(但し本法に個人に告知しなくてよいと規定される場合は例外とされる)」(「個人情報保護法」30条)という2つの条件を同時に満たせば取扱い可能になる。
(5)国外移転ルール
GDPRと「個人情報保護法」における個人情報の国外移転について,GDPR5章及び「個人情報保護法」3章において詳細な規定が置かれている。大きな相違点としては,主に以下の通りである。
- ①個人に対する告知と同意の必要性
GDPR及び「個人情報保護法」は,それぞれの環境に基づいて,個人情報の国外移転の安全性を認定する手続き・条件(例えば各自の標準契約(standard contract clauses),GDPR上の十分性認定(adequacy decision)と拘束的企業準則(binding corporate rules),「個人情報保護法」上の当局の安全評価及び専門機構の個人情報保護認証等)を設定した。しかし,「個人情報保護法」によれば,上記手続き・条件と共に,個人情報の国外移転を個人に告知して「独立した同意」を取得する必要があり,上記告知及び「独立した同意」の双方が国外移転の前提条件となる。一方,GDPRにおいては,告知と個人による明確な同意の存在は並列的な要件であり,告知と明確な同意の双方がなくても,GDPRに規定される他の条件を満たせば,個人情報の国外移転が可能となりうる。
- ②保存場所
GDPRにおいては個人情報の保存場所に対する要求は存在しないが,国家機関,中国の重要情報インフラ運営者[7],及び,取り扱う個人情報が国家ネットワーク情報部門が規定する一定の数量に達する個人情報処理者は,原則的に中国国内に収集・発生する個人情報を国内に保存する義務を負う。その個人情報を国外に提供する場合には,別途法律・法令がある場合を除き,国家ネットワーク情報部門の安全評価を通じなければならない。
- ③国外の司法機関・法執行機関による個人情報提供要求
GDPR48条において,第三国の裁判所又は行政機関による個人情報の移転と公開が国際条約に基づいて行われうる旨を規定している。
一方,「個人情報保護法」41条によれば,中国の主管機関の審査承認がない限り,中国の個人情報処理者は国外の司法機関・執行機関に中国国内で保存している個人情報を提供してはならない。なお,上記手続きは「提供」に対する要求であり,「公開」は含まれていない。
(6)死後の近親族の権利行使
GDPRにおいては,個人が死亡した場合の個人情報の取扱い関する規定がないが,「個人情報保護法」には存在している。「個人情報保護法」49条によれば,個人が死亡した場合,死者が生前に別途手配がない限り,その近親族[8]である個人が自らの合法・正当な利益のため,死者の関連個人情報に対して閲覧・複製・改正・削除等の権利を行使することができる。
(7)大手オンライン・プラットフォーム企業の特別義務
「個人情報保護法」58条では,「重要なオンライン・プラットフォーム・サービスを提供し,巨大な数のユーザーを持ち,且つ,業務類型が複雑な個人情報処理者」に特別な義務を設定した。その義務には,個人情報処理を監督する外部な独立機構の設立,定期的に個人情報保護の社会責任報告を公開する等を含む。一方,GDPRには,同様の規定は見当たらない。
[1] 中国の「立法法」によれば,全国人民代表大会及びその常務委員会が頒布するのが一番位階の高い法律,次の位階にあるのは国務院が頒布する法規である。国務院の下位部門が頒布する部門規章,各地の人民代表大会及びその常務委員会が頒布する地方法規は同じ位階にあり,更にその下位に各地の政府が頒布する地方規章が位置付けられる(個人情報に関連するものもあるが,上記の図では省略する。)。法源になるものは以上の法令である。
司法解釈は厳密的に言えば法源ではないが,裁判所(法院)・検察庁(検察院)による法律に対する解釈であるため,行政法規より強い効力を有すると言っても過言ではない。一方,標準も同じく法源ではなく,特に,個人情報に関する標準は主に強制力がない推薦性標準である。しかし,実際に法を執行する際には,当局は当該標準に従って是正することを命じるため,事実上(実務上)の影響力が高い。
[2] GDPRおよびガイドラインの和文仮訳(https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/)を参照した。
[3]例えば未成年者の年齢,罰金の計算方法等の細かい相違点は省略する。
[4] 欧州データ保護委員会(European Data Protection Board)「GDPRの地理的適用範囲(3条)に関するガイドライン3/2018-バージョン2.1(Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)- Version 2.1)」https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en
[5] 具体的には次の通りである。
(a) データ主体が,一つ又は複数の特定の目的のための自己の個人データの取扱いに関し,同意を与えた 場合
(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合,又は,契約締結 の前に,データ主体の要求に際して手段を講ずるために取扱いが必要となる場合
(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合
(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合
(e) 公共の利益において,又は,管理者に与えられた公的な権限の行使において行われる職務の遂行のた めに取扱いが必要となる場合
(f) 管理者によって,又は,第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし,その利益よりも,個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由 のほうが優先する場合,特に,そのデータ主体が子どもである場合を除く。
第1 項(f)は,公的機関によってその職務の遂行のために行われる取扱いには適用されない。
(1) 個人の同意を取得した場合
(2)個人を当事者の一方とする契約に必要な場合,又は法により制定された労働規則制度及び法により締結された集団契約に基づき人事管理を実施するために必要な場合
(3)法定の職責又は法定の義務を履行するために必要な場合
(4)突発的な公共衛生事件に対応するため,又は緊急事態において自然人の生命・健康、財産の安全を保護するために必要な場合
(5)公共の利益のためニュース報道、世論による監督等の行為を実施し、合理的な範囲内にて個人情報を処理するとき。
(6)本法の規定する合理的な範囲内において個人が自ら公開又はその他のすでに合法的に公開された個人情報を処理するとき。
(7) 法律、行政法規の規定するその他の状況
[7]「サイバーセキュリティ法」31条によれば,重要情報インフラ運営者とは「公共通信及び情報サービス,エネルギー,交通,水利,金融,公共サービス,電子行政サービス等の重要業界及び分野や,一旦機能の破壊若しくは喪失又はデータ漏えいに遭遇すると,国の安全,国民の経済・生活及び公共の利益に重大な危害を及ぼす恐れおそれのある」ものをいう。
[8] 配偶者・父母・子・兄弟姉妹・祖父母・孫,すなわち2親等以内の親族。
以上
本記事やご相談に関するご照会は以下までお願い致します。