icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

11月1日より施行 中国個人情報保護法

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 中国の個人情報保護法が2021年11月1日より施行された。同法は、中国で個人情報保護を対象とする最初の包括的な法令であり、ネットワーク安全法、データ安全法と合わせて、個人情報、データ、ネットワークに対する規制を構成する重要な法令である。個人情報保護法の適用対象となる主体は、中国国内の主体に限られないことから、現地中国で事業を行っているか否かを問わず、中国の個人情報を取り扱う可能性のある企業はその規制内容を把握しておく必要がある。本稿では、個人情報保護法の内容のうち、特に日本企業にとって重要と思われる事項について概説する。

第1 個人情報保護法の概要

1. 適用範囲と域外適用

 本法は、中国国内で自然人の個人情報を取り扱う活動に適用される(3条1項)。したがって、日本法人の中国子会社が中国で個人情報を取り扱う際には同子会社に本法が適用される。

 加えて、本法は、国外の事業者であっても、個人情報を取り扱う活動が以下に該当する場合には適用されるとしている(3条2項)。

  • (a) 中国国内の自然人に向けて商品又はサービスを提供することを目的としている場合
  • (b) 中国国内の自然人の行為を分析し、評価するためのものである場合
  • (c) 法律又は行政法規の規定するその他の状況の場合

 したがって、例えば、日本国内の事業者が中国国内の個人消費者向けに電子商取引を行う場合には(a)に該当し、本法の適用対象となりうる。この他に、中国消費者の消費データを分析する場合には(b)に該当するものと考えられる。他方で、日本本社がグローバル内部通報の窓口となる場合等に域外適用の対象となるのかといった点については必ずしも明確ではない。

 域外適用を受ける中国国外の個人情報の取扱者は、個人情報保護に関する事務取扱責任者として中国国内に専門の機構を設けるか代表者を指定し、当該機構の名称又は代表者の氏名、連絡方法等を関連当局に報告しなければならない(52条)。

2. 個人情報と個人センシティブ情報

 個人情報とは、電子的又はその他の方法で記録された、既に識別され又は識別可能な自然人に関する各種情報をいう(4条1項)。匿名化処理※1後の情報は含まれない。

 また、個人情報のうち、一度漏えいし又は不法に使用されると、自然人の人格尊厳に対する侵害又は人身、財産安全に危害が生じる可能性がある個人情報(28条1項)を個人センシティブ情報と定義する※2。個人センシティブ情報には、生体認証、宗教信仰、特別な身分、医療健康、金融口座、移動経路追跡等の情報及び14歳未満の未成年の個人情報を含み、当該情報の取扱いに際しては、個人情報の主体から、個別同意を取得すること(29条)及び、個人センシティブ情報を取り扱う必要性及び個人への影響を告知する(30条)ことが求められている。

3. 個人情報の取扱いに関する規定

 本法は規制対象となる行為を「個人情報の取扱い」と規定しており、これには個人情報の収集、保存、使用、加工、伝達、提供、公開、削除等の活動が含まれる(4条2項)。個人情報の収集を含む個人情報の取扱いにあたっては、原則として個人情報の主体から同意を取得することが必要とされる(13条1号)。14歳未満の未成年者の個人情報を取り扱う場合には、父母又はその他監督人の同意を取得しなければならない(31条1項)。

 例外として以下の事由に該当する場合には、同意を取得していない場合でも、個人情報を取り扱うことができるが、各号が具体的にいかなる状況を指しているかという点については明確ではなく実務の蓄積が待たれる。また、同意取得の例外にあたる場合であっても、第三者に提供する場合や越境移転が行われる場合には個別同意の取得が求められるケースも想定される。

  • (a) 個人が一方の当事者である契約の締結・履行に必要、又は法に従い制定された労働規則制度や法に従い締結された集団契約に基づき実施される人事管理に必要な場合(13条2号)
  • (b) 法定の職責又は法定の義務を履行するために必要な場合(13条3号)
  • (c) 突発的な公衆衛生上の事件への対応又は緊急な状況下で個人の生命、健康及び財産の安全の保護のために必要な場合(13条4号)
  • (d) 公共の利益のためにメディア報道、世論監督等の行為を実施し合理的範囲内で個人情報を取り扱う場合(13条5号)
  • (e) 本法の規定に基づき、合理的な範囲内において、個人が自ら公開した又はその他すでに適法に公開された個人情報を取り扱う場合(13条6号)
  • (f) 法律、行政法規が規定するその他の状況の場合(13条7号)

4. 同意の取得方法に関する規定

(1) 同意の取得方法

 個人情報の取扱者による同意の取得方法については、個人が十分に理解していることを前提に、自発的で、明確に行われたものであることが必要とされている(14条1項)。また、同意を取得した場合でも、その後に個人情報の取扱目的、取扱方法又は個人情報の種類に変更が生じた場合、個人情報の取扱者は、再度同意を取得しなければならない(14条2項)。他方、一度同意した場合でも、個人情報の主体はその同意を撤回することができる※3(15条1項)。

 また、製品又はサービスの提供に必要な場合を除き、不同意又は同意の撤回を理由に製品又はサービスの提供を拒否してはならない(16条)。

(2) 個別同意と書面同意

 本法ではネットワーク安全法及び個人情報安全規範にはない個別同意という概念が採用され、以下の場合に個別同意の取得が必要とされている。本法では個別同意の内容は定義されていないが、利用規約に同意を求める際に一般的に用いられる包括的な同意では足りず、同意を求める事項を明示した上で項目別に取得する個別の同意を指しているものと考えられる。

  • (a) 個人情報を第三者に提供する場合(23条)
  • (b) 個人情報を公開する場合(25条)
  • (c) 公共の場において収集した個人の画像及び身元識別情報を公開又は第三者に提供する場合(26条)
  • (d) 個人センシティブ情報を取り扱う場合(29条)
  • (e) 中国域外に個人情報を移転する場合(39条)

 また、本法は、法律、行政法規の規定が、個人情報又は個人センシティブ情報の取扱いについて書面による同意を要求している場合には、その内容に従うことを定めている(14条1項、29条)。

5. 委託処理に係る規制

 個人情報の取扱者が、個人情報の取扱いを第三者に委託する場合、当該受託者との間で、取扱目的、期限、取扱方法、個人情報の種類、保護措置及び双方の権利と義務等を合意しなければならず、かつ受託者の個人情報取扱活動を監督しなければならない(21条1項)。受託者は、個人情報取扱者の同意なく、個人情報の取扱いを他人に再委託してはならず(21条3項)、契約履行の完了後又は委託関係の解除後は、個人情報を個人情報の取扱者に返還又は削除しなければならない(21条2項)。個人情報の委託処理にあたって規制を強化する旨が規定されている点が、日本法と異なる。

6. 個人情報の取扱者の一般的義務

 本法は個人情報の取扱者の一般的義務として以下の義務を規定している。

  • (a) コンプライアンス体制の構築(51条)
    コンプライアンス体制として、(i)内部管理体制及び規程の整備、(ii)個人情報の分類管理、(iii)暗号化、非識別化等の安全技術措置、(iv)個人情報の取扱権限の確定及び従業員に対する教育及び訓練、(v)個人情報に係る事件への対応案の制定、(vi)法律、行政法規に規定するその他の措置の構築が求められている。
  • (b) 個人情報保護責任者の指定(52条1項)
  • (c) 個人情報の取扱状況に対する定期的な監査の実施(54条)
  • (d) 個人情報保護影響評価の実施とその記録(55条)
    個人情報保護影響評価が必要な場合として、(i)個人センシティブ情報を取り扱う場合、(ii)個人情報を用いた自動的な決定(下記8の記載を参照)を行う場合、(iii)個人情報の委託処理、第三者への提供、公開を行う場合、(iv)個人情報の越境移転を行う場合、(v)その他個人の権益に重大な影響をもたらす個人情報の取扱活動を行う場合が規定され、これらの場合には取扱状況の記録も求められる。
  • (e) 個人情報の漏えい、改ざん、紛失又はその恐れがあることを発見した場合の個人情報保護職責履行部門及び情報の主体に対する通知義務(57条1項)

7. 個人情報の主体の権利

 個人情報の主体は自らの個人情報に関し以下の権利を有している。

  • (a) 知る権利、決定権・拒否権(44条)
  • (b) 閲覧・複製の請求権(45条)
  • (c) 是正・補充の請求権(46条)
  • (d) 削除請求権(47条)
  • (e) 取扱ルールの解釈・説明の請求権(48条)

 個人情報の取扱者たる事業者としては、個人による上記の権利行使に対応する体制を整えておく必要がある。

8. 自動的な決定に関する規定

 本法は、AIによる個人情報の分析や決定が頻繁に行われている情勢を踏まえ、いわゆる自動的な決定※4に関する規定も設けている。個人情報を利用した自動的な決定を行う場合には、決定の透明性及び取扱結果の公平性・合理性を保障しなければならず、取引価格等の取引条件について不合理又は差別的な待遇を行ってはならない(24条1項)。個人情報の主体が、自動的な決定がその権利利益に対し重大な影響をもたらすと考える場合には、個人情報の取扱者に対し説明を求めることができ、かつ、個人情報の取扱者が自動的な方法のみをもとに決定を行うことを拒絶することができる(24条3項)。また、自動的な決定を用いてプッシュ型情報配信や商業的なマーケティングを行う場合には、個人的特徴に基づかない選択項目も提供するか、個人に対して利便性のある拒否方法を提供しなければならない(24条2項)。

9. 越境移転規制及び国内保存義務

(1) 中国国外への越境移転規制

 中国国内の個人情報の国外への越境移転が認められるためには、個人情報の取扱者に業務等による確実な必要性がある場合で、かつ以下の条件のうち少なくとも1つの条件を具備する必要がある(38条)。

  • (a) 国家ネットワーク情報部門による安全評価に合格した場合
  • (b) 国家ネットワーク情報部門の規定に基づく専門機関による個人情報保護の認証を取得している場合
  • (c) 国家ネットワーク情報部門の定める標準契約に従って、国外の受取先と契約を締結し、双方の権利及び義務を合意した場合
  • (d) 法律、行政法規又は国家ネットワーク情報部門の規定するその他の条件を満たす場合

 上記(c)にあるとおり、標準契約による契約の締結により個人情報の越境移転が認められることになり、具体的な対応方法については今後の実務動向や関連法令を確認する必要があるが、この方法が国外移転を行う際の一般的な方法となることが予想される※5

(2) 国内保存義務及び越境移転に関する特別な規制

 上記(1)の規制とは別に、(i)重要情報インフラ運営者又は(ii)取り扱う個人情報が、国家ネットワーク情報部門が別途定める数量に達した個人情報の取扱者に該当する場合には、個人情報を中国国内で保存しなければならず、中国国外への移転については、当該移転の必要があり、かつ、国家ネットワーク情報部門による安全評価に合格した場合にのみ許容される(40条)。上記(ii)の点に関し、2021年10月29日にデータ越境移転安全評価弁法のパブリックコメント版が公表された。同弁法によると、100万人を超える個人情報を取り扱う者に該当する場合や累計10万人以上の個人情報若しくは1万人以上の個人センシティブ情報を域外に提供する場合に政府当局の安全評価が求められる。同弁法の詳細については本ニュースレターNo.11を参照されたい。

(3) 越境移転に係る個別同意

 上記の規制に加え、中国国外に個人情報を移転する場合、情報主体に対し移転先の身元、連絡方法、取扱目的、取扱方法、個人情報の種類及び個人が移転先に対して権利行使する方法等の事項を告知した上で、個別同意を取得しなければならない(39条)。

10. 違反行為に対する行政処分

 個人情報の取扱者が本法の規定に違反した場合、是正命令、違法所得の没収の対象となる。是正しない場合には、取扱者が100万元以下の過料の対象となるだけではなく、その責任者も1万元以上10万元以下の過料の対象となる(66条1項)。

 さらに、情状が重い場合には、是正命令、違法所得の没収に加え、5,000万元以下又は前年度売上高の5%以下の過料、業務停止、許認可又は営業許可の取消しの対象とされている(66条2項)。この場合の責任者に対する過料は10万元以上100万元以下とされる。上記のとおり、情状が重い場合には、巨額の過料及び業務停止等の重大処分の対象となりうる点でネットワーク安全法と比べて処分内容が加重されている。

 なお、国外の組織・個人が中国の個人情報の権利利益を侵害した場合又は中国の国家の安全、公共の利益に危害を与えた場合、国家ネットワーク情報部門の個人情報提供制限リスト又は禁止リストに掲載・公告され、個人情報を提供することの制限又は禁止等の措置が講じられることがある(42条)。

第2 まとめ

 本法の施行により、中国における情報規制の基幹三法が施行されたことになる。今後は、関連分野の下位規範の制定が続くことが想定される。これらの法令の適用対象となる企業は、各法令の対応を行うにあたり、下位規範の制定状況及び取締りに関する法執行動向について引き続き注意を払いつつ、自社の運営体制に問題点がないか常に確認する必要がある。

※1
個人情報安全規範によると、匿名化とは、技術的処理を通じて、個人情報の主体が識別又は関連づけられることを不可能とし、かつ、処理後の情報を復元不能にする過程をいう。

※2
なお、個人センシティブ情報の概念については、個人情報安全規範において具体例が列挙されており、個人センシティブ情報の該当性を判断するにあたって参考となる。

※3
ただし、当該同意の撤回は、撤回前に行われた個人情報の取扱いの効力に影響しない(15条2項)。

※4
本法に「自動的な決定」の定義又は具体的な内容を規定した条文はない。GDPRは、完全自動意思決定の禁止を、「プロファイリングを含む自動的処理のみに依拠した決定に服しない権利」と規定しており(22条1項)、当該規定は一定程度参考になると考えられる。なお、GDPRでは、「プロファイリング」とは、「自然人の特定の個人的側面を評価するための、特に、当該自然人の職務遂行能力、経済的状況、健康、個人的選好、興味関心、信頼性、振舞い、所在及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の個人データの自動的処理をいう」(2条4項)とされている。

※5
2019年6月に公表された「個人情報の越境移転安全評価弁法(パブリックコメント募集稿)」(未施行)では、広くネットワーク運営者(ネットワークの所有者、管理者及びネットワークサービスの提供者を指し、ネットワークを利用して事業を行う限りこれに該当する。)に対して個人情報の越境移転の際に政府の安全評価を受ける義務が課されていた。当該パブリックコメント募集稿と比べると、事業者に一定の義務を課しつつも、その越境移転の必要性及び便宜に応える合理的な内容となっていると評価できる。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

弁護士等

テクノロジーに関連する著書/論文

サイバーセキュリティに関連する著書/論文

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

アジア・オセアニアに関連する著書/論文

中国に関連する著書/論文

× 閉じる
業務分野を選択
× 閉じる