中国個人情報保護法Q&A(第5回)
中国個人情報保護法Q&A(第5回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2022 年5月26日
One Asia Lawyers中国大湾区プラクティスチーム
中国個人情報保護法Q&A(第5回)
2022年夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q:個人情報を本人からではなく,第三者等から間接的に取得することはできるのでしょうか。できる場合はどのような義務を負うのでしょうか。
個人情報を第三者等から間接的に取得することは可能であるが,個人情報の受領者としては,以下1ないし3の義務を負わなければならない。
1.情報源の合法性の確認
個人情報の受領者として,間接的に個人情報を受領したときは,「個人情報安全規範」5.4条e)の要求に基づき,次のような取扱いをしなければならない。
(1) 個人情報提供者に個人情報の情報源の説明を求め,個人情報の情報源の合法性について確認を行わなければならない。 ここにいう確認を必要とする情報源の説明とは,個人の「通知・同意」を経たか否か,または公開情報に対する合理的な範囲内の取扱い等の個人の同意を取得する必要のない行為に属するか否か等,個人情報が適法に取得できる状況において取得されたか否かに関する説明であると考えるべきである。 (2) 個人情報の提供者は,取得した個人情報の取扱いの授権・同意の範囲を確認しなければならず,これには使用目的,個人が第三者へ提供する方法と範囲を授権・同意したか等を含む。 第三者に個人情報を提供する必要のある個別の状況において,具体的に取得すべき同意の内容は,次回以降記事に述べる個人情報処理者が第三者に個人情報を開示する際の義務を参考にすることができる。 (3) 業務を展開するために必要な個人情報の取扱い活動が授権・同意の範囲を超えるとき,個人情報を取得してから合理的な期限内,又は個人情報を取り扱う前に,個人の明確な同意を取得するか,又は個人情報の提供者を通じて個人の明確な同意を取得しなければならない。 |
2.個人が授権に同意する範囲と提供者が約定する範囲内に限り,個人情報を取り扱うこと。
「個人情報保護法」の規定によれば、具体的に以下を含む。
(1) 個人情報処理者の委託を受けて,個人情報の取扱いを受託する受託者(受領者)は,双方の約定に基づき個人情報を取り扱わなければならず,約定された取扱目的,取扱方法等を超えて個人情報を取扱ってはならない。(21条) (2) 個人情報処理者の合併・分割・解散・破産宣告等により個人情報を移転するときは,受領者は元の個人情報処理者が負う義務を引続き履行しなければならない。(22条) (3) 個人情報処理者がその他の個人情報処理者に,取り扱った個人情報を提供するときは,受領者は個人が単独で授権・同意した範囲内(取扱目的,取扱方法,個人情報の種類等)においてのみ,個人情報を取り扱うものとする。(23条) |
3.法に従い個人情報を保護する措置を講じること。
「個人情報保護法」51条は,個人情報処理者が指定された措置を講じて個人情報の取扱活動が法律・行政法規の規定に合致するよう確保し,授権を得ずに個人情報にアクセスし,又は個人情報が漏洩・改竄・逸失することを防止するよう定めている。
個人情報取扱いの受託について,個人情報の取扱活動に関して自主的に取扱目的,方法を決定しない受託者に対し[1],「個人情報保護法」59条は,必要な措置を講じて取扱う個人情報の安全を保障するとともに,個人情報処理者の法定義務の履行に協力する義務を定めた。よって,間接的に個人情報を取得した受領者はいずれも,個人情報を保護する措置を講じる義務を負う。措置の詳細は第3回記事を参照されたい。
Q:個人の同意なく個人情報を取得できる場合はありますか。
「個人情報保護法」13条第1項2号から7号[2]においては,個人の同意を取得することなく[3],個人情報を直ちに取り扱うことが可能な状況を規定している。
1.個人を当事者の一方とする契約に必要であり,又は法により制定された労働規則制度及び法により締結された集団契約に基づき人事管理を実施するために必要な場合(2号)
2.法定の職責又は法定の義務を履行するために必要な場合(3号)
3.突発的な公共衛生事件に対応するため,又は緊急事態において自然人の生命・健康,財産の安全を保護するために必要な場合(4号)
なお,後者については,同意は必要ないものの,「個人情報保護法」18条2項によれば,「緊急事態のもと,自然人の生命・健康及び財産の安全を保護するため,速やかに個人に通知することができないときは,個人情報の処理者は緊急事態が解消された後,速やかに通知しなければならない。」
4.公共利益のためニュース報道,世論監督等の行為を実施し,合理的な範囲内において個人情報を取り扱う場合(5号)
この点,中国「民法典」999条も,「公共利益のためニュース報道,世論監督等の行為を行うとき,民事主体の氏名,名称,肖像,個人情報等を合理的に使用することができる。不合理な使用により民事主体の人格権を侵害したとき,法により民事責任を負わなければならない。」と規定している。
5.本法の規定する合理的な範囲内において個人が自ら公開し,又はその他の既に合法的に公開された個人情報を取扱う場合(6号)
「個人情報保護法」27条[4]は,同意を取得せずに「公開」の個人情報を取り扱うことができる二つの例外状況として,個人がその個人情報の取扱いを明確に拒絶した場合,及び当該公開された個人情報を取扱うことが個人の権益に重大な影響を与える場合,を規定している。これらの場合,なお法により個人の同意を取得しなければならない。
6.法律,行政法規の規定するその他の状況(7号)
Q:個人情報を,処理・加工するに際して,どのような義務があるでしょうか。
「個人情報保護法」においては,「加工」[5]は個人情報の取扱い行為の一つとして明確に列記されているが,「加工」自体について詳細に定めた規定は存在しない。
この点に関し,中国における学術上の見解によれば,データに対する加工処理行為には,データ集積処理とデータ分析処理が含まれるとするものがある[6]。データ集積処理とは,特定の目的に基づきデータを収集,整理,分類し,生のデータを加工して使用価値を有するデータセット(datasets)にすることである。一方,データ分析処理とは,データに対し深い加工処理を施し,分析対象の規律を発見又は将来的な趨勢を予想し,データから新たな知識,新たな発見をし,予測判断又は解決案を導き出すことである。自動化された意思決定は,典型的なデータ分析処理行為である。
「個人情報保護法」24条は,個人情報処理者が個人情報を利用して自動化された意思決定を行う際の義務も規定している。具体的には以下の義務を含む。
1.意思決定が明確であり,結果が公平,公正で,個人の取引価格等,取引条件に対し不合理な差別待遇をしてはならない。
2.個人に対し情報のプッシュ送信,商業マーケティング活動を行うとき,その個人的特徴に基づかない選択項目を同時に提供し,又は個人が簡便に拒絶しうる手段を提供しなければならない。
3.自動化された意思決定[7]の方法を通じて個人の権益に重大な影響を与える決定をするとき,個人は個人情報処理者に説明を要求する権利を有し,個人情報処理者が自動化された意思決定の方法のみを通じて決定を下すことを拒絶するための方法が提供されるべきである。
なお,当然ながら,個人情報処理者が加工行為に従事するときは,個人情報にかかるセキュリティ保護義務等を遵守し,個人情報処理者としての日常管理義務を貫かなければならない。詳細は第3回記事を参照されたい。
[1] なお,「個人情報保護法」73条によれば,個人情報処理者とは,個人情報を取り扱う活動において処理目的,取扱方法を自主的に決定する組織,個人を指す。よって,個人情報処理者の委託を受けて,その要求に基づき個人情報を取扱うのみの受託者は,本法の定義する個人情報処理者には該当しないと理解すべきである。
[2] 「個人情報安全規範」5.6条も,個人の同意を取得する必要なく直ちに個人情報を取り扱うことができる状況を規定しており,「個人情報保護法」第13条と矛盾しない。但し,分類にはいくらかの相違がある。例えば,b)~d)にて,「国家安全,国防安全」「公共安全,公共衛生,重大な公共の利益」「刑事捜査,起訴,裁判及び判決執行等」と直接関係する状況としているが,「個人情報保護法」では第3号と第4号によりこれらの内容が網羅されている。
[3] 「個人情報保護法」4条2項によれば,個人情報の取扱には,個人情報の収集,保存,使用,加工,伝送,提供,公開,削除等が含まれる。
[4]「個人情報保護法」27条によれば,「個人情報処理者は,合理的な範囲内において個人が自ら公開した,又はその他のすでに合法的に公開された個人情報を取扱うことができるが,個人が明確に拒絶する場合はこの限りでない。個人情報処理者が公開された個人情報を取扱うことで,個人の権益に重大な影響を与える場合,本法規定に基づき個人の同意を取得しなければならない。」
[5]「個人情報保護法」の中の“処理(漢字)”は,本Q&Aにおける“取扱い”に相当し,その概念は“加工”より広く,本Q&Aにおける“処理”は狭義の“加工”の理解に近い。
[6] 高富平「データ生産理論——データリソース権利配置の基礎理論」,「交大法学」2019年第4期,第12~14頁。
[7] 自動化された意思決定とは,コンピュータプログラムにより個人の行動習慣,趣味・趣向又は経済,健康,信用状況等の評価を行い,自動的に意思決定がなされる活動を指す。ビッグデータの分析により関連行為について意思決定することであり,例えば,ビッグデータの分析に基づき個人に向けて商業情報、販促情報等をプッシュ送信すること等である。実務において多くみられる「ビッグデータを活用した価格差別」は,典型的な自動化された意思決定の方法である。
以上
本記事やご相談に関するご照会は以下までお願い致します。