11月1日より施行 中国個人情報保護法

第1 個人情報保護法の概要

1． 適用範囲と域外適用

　本法は、中国国内で自然人の個人情報を取り扱う活動に適用される（3条1項）。したがって、日本法人の中国子会社が中国で個人情報を取り扱う際には同子会社に本法が適用される。

　加えて、本法は、国外の事業者であっても、個人情報を取り扱う活動が以下に該当する場合には適用されるとしている（3条2項）。

• (a) 中国国内の自然人に向けて商品又はサービスを提供することを目的としている場合
• (b) 中国国内の自然人の行為を分析し、評価するためのものである場合
• (c) 法律又は行政法規の規定するその他の状況の場合

　したがって、例えば、日本国内の事業者が中国国内の個人消費者向けに電子商取引を行う場合には(a)に該当し、本法の適用対象となりうる。この他に、中国消費者の消費データを分析する場合には(b)に該当するものと考えられる。他方で、日本本社がグローバル内部通報の窓口となる場合等に域外適用の対象となるのかといった点については必ずしも明確ではない。

　域外適用を受ける中国国外の個人情報の取扱者は、個人情報保護に関する事務取扱責任者として中国国内に専門の機構を設けるか代表者を指定し、当該機構の名称又は代表者の氏名、連絡方法等を関連当局に報告しなければならない（52条）。

2． 個人情報と個人センシティブ情報

　個人情報とは、電子的又はその他の方法で記録された、既に識別され又は識別可能な自然人に関する各種情報をいう（4条1項）。匿名化処理※1後の情報は含まれない。

　また、個人情報のうち、一度漏えいし又は不法に使用されると、自然人の人格尊厳に対する侵害又は人身、財産安全に危害が生じる可能性がある個人情報（28条1項）を個人センシティブ情報と定義する※2。個人センシティブ情報には、生体認証、宗教信仰、特別な身分、医療健康、金融口座、移動経路追跡等の情報及び14歳未満の未成年の個人情報を含み、当該情報の取扱いに際しては、個人情報の主体から、個別同意を取得すること（29条）及び、個人センシティブ情報を取り扱う必要性及び個人への影響を告知する（30条）ことが求められている。

3． 個人情報の取扱いに関する規定

　本法は規制対象となる行為を「個人情報の取扱い」と規定しており、これには個人情報の収集、保存、使用、加工、伝達、提供、公開、削除等の活動が含まれる（4条2項）。個人情報の収集を含む個人情報の取扱いにあたっては、原則として個人情報の主体から同意を取得することが必要とされる（13条1号）。14歳未満の未成年者の個人情報を取り扱う場合には、父母又はその他監督人の同意を取得しなければならない（31条1項）。

　例外として以下の事由に該当する場合には、同意を取得していない場合でも、個人情報を取り扱うことができるが、各号が具体的にいかなる状況を指しているかという点については明確ではなく実務の蓄積が待たれる。また、同意取得の例外にあたる場合であっても、第三者に提供する場合や越境移転が行われる場合には個別同意の取得が求められるケースも想定される。

• (a) 個人が一方の当事者である契約の締結・履行に必要、又は法に従い制定された労働規則制度や法に従い締結された集団契約に基づき実施される人事管理に必要な場合（13条2号）
• (b) 法定の職責又は法定の義務を履行するために必要な場合（13条3号）
• (c) 突発的な公衆衛生上の事件への対応又は緊急な状況下で個人の生命、健康及び財産の安全の保護のために必要な場合（13条4号）
• (d) 公共の利益のためにメディア報道、世論監督等の行為を実施し合理的範囲内で個人情報を取り扱う場合（13条5号）
• (e) 本法の規定に基づき、合理的な範囲内において、個人が自ら公開した又はその他すでに適法に公開された個人情報を取り扱う場合（13条6号）
• (f) 法律、行政法規が規定するその他の状況の場合（13条7号）

4． 同意の取得方法に関する規定

(1) 同意の取得方法

　個人情報の取扱者による同意の取得方法については、個人が十分に理解していることを前提に、自発的で、明確に行われたものであることが必要とされている（14条1項）。また、同意を取得した場合でも、その後に個人情報の取扱目的、取扱方法又は個人情報の種類に変更が生じた場合、個人情報の取扱者は、再度同意を取得しなければならない（14条2項）。他方、一度同意した場合でも、個人情報の主体はその同意を撤回することができる※3（15条1項）。

　また、製品又はサービスの提供に必要な場合を除き、不同意又は同意の撤回を理由に製品又はサービスの提供を拒否してはならない（16条）。

(2) 個別同意と書面同意

　本法ではネットワーク安全法及び個人情報安全規範にはない個別同意という概念が採用され、以下の場合に個別同意の取得が必要とされている。本法では個別同意の内容は定義されていないが、利用規約に同意を求める際に一般的に用いられる包括的な同意では足りず、同意を求める事項を明示した上で項目別に取得する個別の同意を指しているものと考えられる。

• (a) 個人情報を第三者に提供する場合（23条）
• (b) 個人情報を公開する場合（25条）
• (c) 公共の場において収集した個人の画像及び身元識別情報を公開又は第三者に提供する場合（26条）
• (d) 個人センシティブ情報を取り扱う場合（29条）
• (e) 中国域外に個人情報を移転する場合（39条）

　また、本法は、法律、行政法規の規定が、個人情報又は個人センシティブ情報の取扱いについて書面による同意を要求している場合には、その内容に従うことを定めている（14条1項、29条）。

5． 委託処理に係る規制

　個人情報の取扱者が、個人情報の取扱いを第三者に委託する場合、当該受託者との間で、取扱目的、期限、取扱方法、個人情報の種類、保護措置及び双方の権利と義務等を合意しなければならず、かつ受託者の個人情報取扱活動を監督しなければならない（21条1項）。受託者は、個人情報取扱者の同意なく、個人情報の取扱いを他人に再委託してはならず（21条3項）、契約履行の完了後又は委託関係の解除後は、個人情報を個人情報の取扱者に返還又は削除しなければならない（21条2項）。個人情報の委託処理にあたって規制を強化する旨が規定されている点が、日本法と異なる。

6． 個人情報の取扱者の一般的義務

　本法は個人情報の取扱者の一般的義務として以下の義務を規定している。

• (a) コンプライアンス体制の構築（51条）
  コンプライアンス体制として、(i)内部管理体制及び規程の整備、(ii)個人情報の分類管理、(iii)暗号化、非識別化等の安全技術措置、(iv)個人情報の取扱権限の確定及び従業員に対する教育及び訓練、(v)個人情報に係る事件への対応案の制定、(vi)法律、行政法規に規定するその他の措置の構築が求められている。
• (b) 個人情報保護責任者の指定（52条1項）
• (c) 個人情報の取扱状況に対する定期的な監査の実施（54条）
• (d) 個人情報保護影響評価の実施とその記録（55条）
  個人情報保護影響評価が必要な場合として、(i)個人センシティブ情報を取り扱う場合、(ii)個人情報を用いた自動的な決定（下記８の記載を参照）を行う場合、(iii)個人情報の委託処理、第三者への提供、公開を行う場合、(iv)個人情報の越境移転を行う場合、(v)その他個人の権益に重大な影響をもたらす個人情報の取扱活動を行う場合が規定され、これらの場合には取扱状況の記録も求められる。
• (e) 個人情報の漏えい、改ざん、紛失又はその恐れがあることを発見した場合の個人情報保護職責履行部門及び情報の主体に対する通知義務（57条1項）

7． 個人情報の主体の権利

　個人情報の主体は自らの個人情報に関し以下の権利を有している。

• (a) 知る権利、決定権・拒否権（44条）
• (b) 閲覧・複製の請求権（45条）
• (c) 是正・補充の請求権（46条）
• (d) 削除請求権（47条）
• (e) 取扱ルールの解釈・説明の請求権（48条）

　個人情報の取扱者たる事業者としては、個人による上記の権利行使に対応する体制を整えておく必要がある。

8． 自動的な決定に関する規定

　本法は、AIによる個人情報の分析や決定が頻繁に行われている情勢を踏まえ、いわゆる自動的な決定※4に関する規定も設けている。個人情報を利用した自動的な決定を行う場合には、決定の透明性及び取扱結果の公平性・合理性を保障しなければならず、取引価格等の取引条件について不合理又は差別的な待遇を行ってはならない（24条1項）。個人情報の主体が、自動的な決定がその権利利益に対し重大な影響をもたらすと考える場合には、個人情報の取扱者に対し説明を求めることができ、かつ、個人情報の取扱者が自動的な方法のみをもとに決定を行うことを拒絶することができる（24条3項）。また、自動的な決定を用いてプッシュ型情報配信や商業的なマーケティングを行う場合には、個人的特徴に基づかない選択項目も提供するか、個人に対して利便性のある拒否方法を提供しなければならない（24条２項）。

9． 越境移転規制及び国内保存義務

(1) 中国国外への越境移転規制

　中国国内の個人情報の国外への越境移転が認められるためには、個人情報の取扱者に業務等による確実な必要性がある場合で、かつ以下の条件のうち少なくとも1つの条件を具備する必要がある（38条）。

• (a) 国家ネットワーク情報部門による安全評価に合格した場合
• (b) 国家ネットワーク情報部門の規定に基づく専門機関による個人情報保護の認証を取得している場合
• (c) 国家ネットワーク情報部門の定める標準契約に従って、国外の受取先と契約を締結し、双方の権利及び義務を合意した場合
• (d) 法律、行政法規又は国家ネットワーク情報部門の規定するその他の条件を満たす場合

　上記(c)にあるとおり、標準契約による契約の締結により個人情報の越境移転が認められることになり、具体的な対応方法については今後の実務動向や関連法令を確認する必要があるが、この方法が国外移転を行う際の一般的な方法となることが予想される※5。

(2) 国内保存義務及び越境移転に関する特別な規制

　上記(1)の規制とは別に、(i)重要情報インフラ運営者又は(ii)取り扱う個人情報が、国家ネットワーク情報部門が別途定める数量に達した個人情報の取扱者に該当する場合には、個人情報を中国国内で保存しなければならず、中国国外への移転については、当該移転の必要があり、かつ、国家ネットワーク情報部門による安全評価に合格した場合にのみ許容される（40条）。上記(ii)の点に関し、2021年10月29日にデータ越境移転安全評価弁法のパブリックコメント版が公表された。同弁法によると、100万人を超える個人情報を取り扱う者に該当する場合や累計10万人以上の個人情報若しくは1万人以上の個人センシティブ情報を域外に提供する場合に政府当局の安全評価が求められる。同弁法の詳細については本ニュースレターNo.11を参照されたい。

(3) 越境移転に係る個別同意

　上記の規制に加え、中国国外に個人情報を移転する場合、情報主体に対し移転先の身元、連絡方法、取扱目的、取扱方法、個人情報の種類及び個人が移転先に対して権利行使する方法等の事項を告知した上で、個別同意を取得しなければならない（39条）。

10． 違反行為に対する行政処分

　個人情報の取扱者が本法の規定に違反した場合、是正命令、違法所得の没収の対象となる。是正しない場合には、取扱者が100万元以下の過料の対象となるだけではなく、その責任者も1万元以上10万元以下の過料の対象となる（66条1項）。

　さらに、情状が重い場合には、是正命令、違法所得の没収に加え、5,000万元以下又は前年度売上高の5%以下の過料、業務停止、許認可又は営業許可の取消しの対象とされている（66条2項）。この場合の責任者に対する過料は10万元以上100万元以下とされる。上記のとおり、情状が重い場合には、巨額の過料及び業務停止等の重大処分の対象となりうる点でネットワーク安全法と比べて処分内容が加重されている。

　なお、国外の組織・個人が中国の個人情報の権利利益を侵害した場合又は中国の国家の安全、公共の利益に危害を与えた場合、国家ネットワーク情報部門の個人情報提供制限リスト又は禁止リストに掲載・公告され、個人情報を提供することの制限又は禁止等の措置が講じられることがある（42条）。

第2 まとめ

　本法の施行により、中国における情報規制の基幹三法が施行されたことになる。今後は、関連分野の下位規範の制定が続くことが想定される。これらの法令の適用対象となる企業は、各法令の対応を行うにあたり、下位規範の制定状況及び取締りに関する法執行動向について引き続き注意を払いつつ、自社の運営体制に問題点がないか常に確認する必要がある。