中国個人情報保護法Q&A(第4回)
中国個人情報保護法Q&A(第4回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2022 年5月5日
One Asia Lawyers中国大湾区プラクティスチーム
中国個人情報保護法Q&A(第4回)
2022年初夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q:個人情報を取得するに際して,通知または同意取得の義務はありますでしょうか。通知または同意取得の義務があった場合,どのような形式で通知または同意取得をしなければならないでしょうか。また,未成年者からの個人データの取得に関する規制があれば教えてください。
1.法定の例外事由を除き,原則として「通知・同意」の義務がある。
GDPR及び他の国際的なルールと同じく,中国の個人情報の取扱いも「通知・同意」によることを原則としている。
すなわち,「個人情報保護法」17条は,個人情報処理者は個人情報を取り扱う前に通知する義務があると明確に規定した。一方で,「個人情報保護法」はいくつかの例外事由を規定し,通知義務を履行しなくても良い場合を定めている。具体的には次の通りである。
(1)法律,行政法規により秘密保持又は通知不要と定められている場合(18条1項)
(2)通知すると国家機関の法定職責の履行を妨げるとき(35条)
(3)緊急事態において自然人の生命・健康と財産の安全を保護するため,速やかに個人に通知することができないとき。但しこの場合,事前に通知しなくてよいが,緊急事態が解消されてから速やかに通知しなければならない。(18条2項)
また,「個人情報保護法」13条は,「個人の同意を取得」することを,個人情報取扱いの合法性の基礎の一つとしており,個人情報処理者は,所定の例外事由(次回以降記事を参照)がある場合を除き,個人の同意を取得しなければならない。なお,個人の同意を取得する必要のない個人情報の取扱いの際に事前通知を必要とするか否かについては,「個人情報保護法」は言及しておらず,今後,立法による明確化が待たれる。
原則として,前述の法定事由を除き,個人情報処理者は個人情報を取得又は個人情報を取扱う前に,法により個人に通知し,個人の同意を取得しなければならない。
2.「通知・同意」の形式
第1回記事のとおり,中国において「サイバーセキュリティ法」「データセキュリティ法」と「個人情報保護法」は個人情報保護領域における最も重要な三つの法律である。但し,これらの法律は主に枠組みとしての役割を果たすものにすぎず,個人情報保護全体に関する法令スキームにはその他の法規,部門規章及び標凖が数多く存在する。なお,目下のところ,政府の監督管理部門は法執行の際の実務において,通常は国家推薦標凖である「個人情報安全規範」を参考にしている[1]。
(1)通知の内容
「個人情報保護法」17条によれば,個人情報処理者は,個人情報を取扱う前に,目立つ方法,明瞭かつ分かりやすい言葉で,真実に基づき,正確,完全に,以下の事項を個人に通知しなければならない。関連事項に変更が発生したときは,変更後の内容を通知しなければならない。
①個人情報処理者の身分と連絡先
②個人情報を取り扱う目的,取扱い方法,取り扱う個人情報の種類,保管期間
③個人が「個人情報保護法」所定の権利を行使する方法と手続き
④法律,行政法規が定める通知すべきその他の事項
なお,「敏感個人情報」(定義は第2回記事を参照)については,「個人情報保護法」30条に基づき,前記の事項のほか,個人に敏感個人情報を取扱う必要性及び個人権益に対する影響を通知しなければならない。
(2)通知の方法
「個人情報保護法」17条に基づき,前記の通知内容は目立つ方法にて,明瞭かつ分かりやすい言葉で,真実に基づき,正確,完全に通知しなければならないとされている。「個人情報安全規範」5.4条を参照すると,通知方法は主に以下の二種類がある。
①個人情報保護ポリシー(すなわち「個人情報保護法」17条2項の取扱規則)による方法
「個人情報安全規範」5.4条a)の注1は,製品又はサービスが個人情報を収集・使用する機能を一つのみ提供するとき,個人情報処理者[2]は個人情報保護ポリシーの形式を通じて,個人情報主体への通知を実現することができる。
②特定の個人情報の収集を実際に開始するとき,単独で通知する方法
ポップアップウィンドウ等による通知は,よく見られる単独の通知(及び同意取得)の方法である。「個人情報安全規範」5.4条a)注1によると,製品又はサービスが個人情報を収集・使用する複数の機能を提供するとき,個人情報保護ポリシーのほか,個人情報処理者は,実際に特定の個人情報の収集を実際に開始する時点で,個人情報主体に個人情報を収集,使用する目的,方法および範囲を通知し,個人情報主体が具体的な授権・同意をする前に,その具体的な影響を十分に考慮できるようにしなければならない。
このほか,一部の法律,行政法規又は標凖により,単独での通知を要求される個人情報については,単独で通知しなければならない。例えば,「個人情報安全規範」5.4条c)は,「個人生体識別情報[3]を収集する前に,個人情報主体に単独で,個人生体識別情報を収集,使用する目的,方法と範囲,保存期間等の規則を通知し,個人情報主体の明示的な同意を得なければならない。」と規定する。
(3)同意の要求
①原則的要求
「個人情報保護法」14条によれば,個人の同意に基づき個人情報を取り扱うとき,かかる同意は個人が十分に内容を知ったうえで,自発的かつ明確に同意したものでなければならない(1項)。また,個人情報の取扱目的・取扱方法・取扱う個人情報の種類に変更が生じたときは,個人の同意を改めて取得しなければならない(2項)。
②特別な要求
「個人情報保護法」14条1項は,法律,行政法規において,個人情報を取扱うにあたり個人の単独の同意又は書面による同意を取得しなければならないと規定されるとき,その規定に従うと定める。本条に列記される単独の同意と書面による同意という二つの特別な同意形式のほか,実務上は,明示的な同意が要求される場合がある。これらは,主に以下の状況において適用される。
・敏感個人情報を取扱うとき
「個人情報保護法」29条及び「個人情報安全規範」5.4条b)[4]を総合的に考えると,敏感個人情報については,「単独の同意+明示的な同意」を取得し,かつ,法律,行政法規に特段の要求があるときは,書面の同意も取得しなければならない。
このうち,「明示的な同意」とは,「個人情報安全規範」において提起された概念であり,同規範3.6条の定義によれば,明示的な同意(explicit consent)とは,個人が書面,口頭等の方法を通じて主体的に紙面又は電子形式にて声明を発し,又は自主的に肯定的な動作をし,その個人情報に対して特定の取扱いをすることを明確に授権する行為を指す。肯定的な動作には,個人情報主体が主体的に,「同意」,「登録」,「送信」,「電話をかける」等をチェック,クリックする,主体的に記入又は提供すること等を含む。「個人情報保護法」は,「明示的な同意」という要求を明確には提起していないが,個人が「自発的かつ明確」に同意することを要求しており,今後の法律,行政法規等に明確に規定される場合を除き,なお「明示的な同意」の要求が適用される。
・個人情報を特定の用途に使用するとき
「個人情報保護法」には,以下の方法により個人情報を取り扱う場合には,個人の単独の同意を取得しなければならないと規定されている。
a)取り扱う個人情報を公開する必要があるとき(25条)
b)公共の場所に画像を採集し,個人の身分を識別する設備を設置し,かつ,その収集した個人の画像,身分の識別情報を公共の安全を維持する目的以外の目的に使用するとき(26条)
c) 取り扱っていた個人情報を,その他の個人情報処理者に提供する必要があるとき(23条)
d)国外に向けて個人情報を提供する必要があるとき(39条)
3.未成年者の個人情報取得に関する特別規定
中国の未成年者に対する一般法「未成年者保護法」においては,「未成年者」は「18歳未満の公民」と定義されている。但し,個人情報保護の問題にかかるときは,法律上「14歳未満」のみを特殊な保護を受ける未成年者として規定している。
(1)適用法律の枠組み
未成年者の個人情報保護特別規定は,主に以下の法律又は部門規章により規定されている。
①「未成年者保護法」
「未成年者保護法」の最新の改正(2021年6月1日発効)においては,「ネットワーク保護」の章が設けられ,その72条は,ネットワークを通じて未成年者の個人情報を取り扱う行為を規制し,後見人の知悉及び同意を取得すべき未成年者の年齢基準を14歳に設定し,かつ,未成年者及びその父母,その他の後見人が個人情報処理者に個人情報を是正,削除を要求する権利を有することを明確にした。
②「個人情報保護法」
「個人情報保護法」28条は,「14歳未満の未成年者の個人情報」は敏感個人情報に属すると規定し,31条において,未成年者の父母又はその他の後見人の同意を取得し,専門の個人情報取扱規則を制定する要求を規定した。
③「児童個人情報ネットワーク保護規定」
①②の法律は主に原則的な規定であるが,具体的な要求としては「児童個人情報ネットワーク保護規定」(2019年8月22日発布,2019年10月1日発効)により規制される。本規定は中国初の児童個人情報のネットワーク保護に対する専門の法規である。同規定にいう「児童」とは14歳未満の未成年を指す。
曖昧さを避けるため,本書において「児童」とは,特殊な保護を受ける14歳未満の未成年を指すものとする。
(2)児童個人情報の「通知・同意」
児童の特殊性により,児童本人ではなく,その後見人に対し「通知・-同意」を実施する。
「児童個人情報ネットワーク保護規定」8条から10条は,児童の特殊性により,ネットワーク運営者(個人情報処理者)は,専用の児童個人情報保護規則及びユーザー合意書を設置しなければならず,明瞭かつ目立つ方法で,その個人情報の取扱いを児童の後見人に通知し,児童の後見人の同意を取得しなければならない。児童の後見人の同意を求めるとき,同時に拒否する選択を与え,以下の事項を明確に通知しなければならない。
①児童の個人情報を収集,保存,使用,移転,開示する目的,方法及び範囲
②児童の個人情報の保存場所,期間,期間満了後の取扱方法
③児童の個人情報のセキュリティ保護措置
④拒絶することによる結果
⑤クレーム,通報のルートと方法
⑥児童の個人情報を是正,削除する経路と方法
⑦その他の通知すべき事項
これと同時に,「個人情報保護法」が,児童の個人情報は敏感個人情報に属すると明確に規定したことに鑑み,個人情報処理者は,上記の規定と同時に,敏感個人情報の「通知・同意」の要求も遵守しなければならない。
このほか,「児童個人情報ネットワーク保護規定」2条は,同規定が,中国国内においてネットワーク媒体を通じて児童の個人情報を収集,保存,使用,移転,開示する活動に従事する場合のみに適用される旨を明確に規定した。但し,「個人情報保護法」は国外における効力を明確にしたため,国外での行為が本規定の明確な適用範囲内に属さないとしても,国外における行為の関連規定が発布されるまでは,中国の児童を対象として個人情報を取扱う国外企業も,当該規定を参照した上でコンプライアンスに関する対処を行うほうが無難であると思われる。
4.「通知・同意」以外の制限
敏感個人情報について,「個人情報保護法」は個人の「通知・同意」の取得のほか,その他の要求も規定している。
すなわち,「個人情報保護法」28条2項は,「特定の目的と十分な必要性があり,かつ,厳格な保護措置を講じた場合にのみ,個人情報処理者は敏感個人情報を取扱うことができる。」と規定している。つまり,個人情報処理者が不必要な敏感個人情報を収集した場合には,当該敏感個人情報の取扱いにおいて法により「通知・同意」の義務を履行したとしても,「個人情報保護法」に違反する恐れがあるため特に注意が必要である。
また,児童の個人情報について,「児童個人情報ネットワーク保護規定」11条も,個人情報処理者は,「提供するサービスに関係のない児童の個人情報を収集してはならない」と規定しており,「個人情報保護法」の必要性の原則と同様の定めとなっている。
[1]「個人情報安全規範」の最新版は2020年の制定であり,かつその中の要求と「個人情報保護法」は(矛盾がないが)完全には一致しないことに鑑み,今後更に改正「個人情報安全規範」又は具体的な実施細則が発布される可能性がある。
[2]「個人情報安全規範」における原文は,「個人情報支配者」(controller)であり,定義はGDPRにおける「管理者」(controller)及び「個人情報保護法」における「個人情報処理者」と同じである。用語統一のため,ここでは「個人情報保護法」における表現に改める。
[3]「個人情報安全規範」5.4条c)注3の規定によれば,個人生体識別情報には,個人の遺伝子,指紋,声紋,掌紋,耳殻,網膜,顔識別特徴等が含まれる。
[4] そのうち,「個人情報保護法」29条は,「敏感個人情報を処理するにあたり個人の単独の同意を取得しなければならない。法律,行政法規において,個人情報を処理するにあたり個人の単独の同意又は書面による同意を取得しなければならないと規定されるとき,その規定に従う。」と規定し,「単独の同意」と特別要求時の「書面による同意」を要求する。「個人情報息安全規範」5.4条b)は,明示的な同意を要求することを提起したのみである。c)は,個人生体識別情報について「単独の通知+明示的な同意」の要求を提起し,実際の操作を結びつけると「単独+明示的」な同意を要求すると理解すべきである。
以上
本記事やご相談に関するご照会は以下までお願い致します。