中国個人情報保護法Q&A(第2回)
中国個人情報保護法Q&A(第2回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021 年11月16日
One Asia Lawyers中国大湾区プラクティスチーム
中国個人情報保護法Q&A(第2回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q:個人情報保護法に関連する問題を担当する当局はどこになりますでしょうか。その組織はどのように構成されているでしょうか。
「個人情報保護法」60条と「サイバーセキュリティ法」8条によれば,中国の個人情報保護および関連する監督管理の問題は,国家インターネット情報部門が統括調整を担当し,国務院の電信主管部門,公安部門およびその他の関連部門が法に従いそれぞれの職責範囲内にて個人情報保護と監督管理業務を担う。
現行の行政機関体系に具体的にあてはめると,個人情報保護の統括調整を担う国家インターネット通信部門は国家インターネット情報弁公室(以下「網信弁」という。)で,個人情報保護の監督管理に実際に携わる国務院の部門は工信部,公安部および市場監督管理総局(以下「市監総局」という。)である。上記4つの部門(以下「四部門」と総称する。)はいずれも国務院の構成部門もしくは配下機構である。
上記の行政機関は個人情報保護に関して次のように担当する。
部門 |
具体的に執行を担う配下機構 |
個人情報保護に関する担当内容 |
網信弁 |
/ |
個人情報保護業務の統括調整を担う |
工信部 |
信息通信管理局 |
ユーザーの権利・利益および個人情報保護の監督管理を担い,業界サイバーデータセキュリティ標準構築指南,データ等級分類等の業界標準の推進,経営者の規則違反行為に対する処罰等[1]を含む |
公安部 |
/ |
公民個人情報侵害の違法犯罪行為の取締り |
市監総局 |
インターネット取引監督管理司 |
インターネット商品取引および関連サービスの監督管理,消費者の個人情報保護の法執行を担う |
個人情報保護に関する特定課題について,四部門による法執行の共同展開を基礎として,業界協会またはその他の組織にも協力を求めている。例えば,スマートフォンアプリによる個人情報の違法収集行為に対し,四部門は2019年1月25日付で,「アプリによる個人情報の違法違反収集使用の専門取締に関する公告」を共同で発布し,全国情報安全標凖化技術委員会,中国消費者協会,中国インターネット協会,中国サイバースペース安全協会に委託し,アプリによる個人情報の違法違反収集使用の専門取締業務班(以下「アプリ取締業務班」という。)を結成した。実際のアプリ取締業務[2]において,アプリ取締業務班は四部門と協力し,技術規範の制定,通報の受理,専門機構の検査評価,問題の是正督促および処置等をとり行う。
Q:個人情報保護法でいう個人情報とは,具体的にはどのような情報を指すのでしょうか。また,個人情報のほかの情報(日本法でいう「要配慮個人情報」,「匿名加工情報」など)の定義はありますでしょうか。また,ウェブサイト上のCookieの取扱いはどのようになっていますでしょうか。
- 1.個人情報の定義
従前の法律においては,「民法典」1034条2項および「サイバーセキュリティ法」76条第1項5号において,個人情報は「電子又はその他の方式で記録され,単独でもしくはその他の情報と合わせて特定な自然人を識別できる各種な情報,自然人の氏名,生年月日,身分証明番号,生物識別情報,住所,電話番号,健康情報,行動追跡情報を含む。」と定義されていた。
一方,「個人情報保護法」においては,上記の各法律とは異なる定義を置いている。すなわち,「個人情報保護法」4条1項においては,個人情報を「電子又はその他の方式で記録され,識別された自然人又は識別可能な自然人に関する各種な情報であって,匿名化処理後の情報を含まない」と定義している。これは,GDPRと基本的に歩調を合わせた定義となっていると言える。
- 2.敏感個人情報[3]
第1回記事で紹介したとおり,中国法上では,「要配慮個人情報」ではなく,「敏感個人情報」(または「個人敏感情報」)という概念を使用している。
2017年に発布され,2020年に改正された「情報安全技術 個人情報安全規範」(GB/T 35273-2020)(以下「個人情報安全規範」という)において,「個人敏感情報」は「一度漏洩,違法提供または濫用された場合,個人の人身・財産の安全が危害を及ぼし,個人の名誉・心身健康に損もしくは差別的な待遇をもたらす個人情報。身分証明番号,個人生物識別情報,銀行口座,通信記録と内容,財産情報,信用調査情報,行動追跡情報,宿泊情報,健康生理情報,取引情報,14歳以下の児童の個人情報等を含む」と定義されていた。
一方,「個人情報保護法」28条では,「敏感個人情報」を「一度漏洩され,又は違法使用された場合,自然人の人格尊厳が侵害され易くなり,または人身・財産の安全に危害を及ぼす個人情報。生物識別,宗教的信仰,特定身分,医療健康,金融口座,行動追跡等,および14歳未満の未成年者の個人情報を含む」と定義されており,これは個人情報安全規範上の定義から実質的な変更がないと言える。
- 3.非特定化処理と匿名化処理
「匿名加工情報」に関し,中国法では個人情報に対する「非特定化処理」(中国語では「去標識化」)と「匿名化処理」(中国語では「匿名化」)の二種類の処理方法が存在している。これらの処理方法は,個人情報安全規範において既に定義づけられ,「個人情報保護法」にもほぼそのまま踏襲されている。
このうち「非特定化処理」とは,個人情報が,処理を経た後,他の追加情報に頼らなければ特定の個人が識別できない程度まで行う処理である(「個人情報保護法」73条第1項3号)。
一方,「匿名化処理」とは,個人情報が,処理を経た後,特定の個人が識別できず,かつ,復元できない程度まで行う処理のことを言う(「個人情報保護法」73条第1項4号)。
この点,「個人情報保護法」および「個人情報安全規範」は,匿名化処理を経た個人情報が個人情報に該当しないことを明記した。他方,非特定化処理は,個人情報を保護するためにとりうる技術措置の1つであり,非特定化処理を経たのみの個人情報は,なお個人情報に該当する。
なお,非特定化処理については,「情報安全技術 個人情報非特定化ガイドライン」(GB/T 37964-2019)という国家推薦標準が存在しており,具体的な取扱い方法は当該国家標準を参考にすることができる。
- 4.Cookie
中国においては,「個人情報保護法」その他関連法律・法規において,Cookieに対する特別規定は存在していない。Cookieの取扱いが個人情報の収集に関わる場合には,他の個人情報と同様,実際に収集する個人情報の種類に基づいて,関連規定を適用することになる。
Q:個人情報保護法が適用される対象の個人・法人は何でしょうか。また,個人情報保護法は海外の企業にも適用されるのでしょうか。
第1回記事で述べたとおり,「個人情報保護法」3条が個人情報保護法の適用範囲を規定している。同条は,「個人情報保護法」を適用する行為を明確に規定し,以下に掲げる行為に従事する主体は,自然人であるかにかかわらず,その組織形式にかかわらず(法人,非法人組織,国家機関を含むがこれらに限らない),その国籍にかかわらず,いずれも「個人情報保護法」の規定を遵守しなければならない。
「個人情報保護法」が適用される行為は,簡単に以下のように分類できる。
- 1.属地適用。すなわち,中国国内において自然人の個人情報を取扱う活動(「個人情報保護法」3条1号)。
- 2.保護適用。すなわち,中国国外において,中国国内の自然人の個人情報を取り扱う以下の活動(「個人情報保護法」3条2号)。
- (1)国内の自然人に製品又はサービスを提供することを目的とするもの
- (2)国内の自然人を分析・評価する行為
- (3)法律,行政法規の規定するその他の状況
「個人情報保護法」4条2項に基づき,個人情報の取扱いには個人情報の収集,保存,使用,加工,伝送,提供,公開,削除等が含まれ,通常の理解における収集,使用,公開又は加工のみに限らない点には留意が必要である。
また,国外企業が上記2.(2)に規定する行為に従事するときも,「個人情報保護法」が適用される。
[1] 例えば,アプリによりユーザー個人情報等ユーザーの権利・利益を侵害する行為について,工信部は8カ所の通信管理局に対し抜取検査を行い, 2021年7月16日までに,6回の集中抜取検査を実施し,76万個のアプリを検査し,748個の違法アプリを摘発し,是正を拒否するアプリ245個をダウンロード不可とした。「国新弁の上半期工業情報化発展状況発表会 図文実録」http://www.scio.gov.cn/xwfbh/xwbfbh/wqfbh/44687/46299/wz46301/Document/1708802/1708802.htm
[2] 2020年9月20日の国家サイバーセキュリティ宣伝週間の個人情報保護テーマ「アプリによる個人情報保護」テーマ発布活動において,四部門とアプリ取締業務班が担当業務について紹介した。参考:http://www.cesi.cn/202009/6836.html
[3] いわゆる機微(センシティブ)な個人情報に相当するものである。
以上
本記事やご相談に関するご照会は以下までお願い致します。