川合正倫 Masanori Kawai
パートナー
東京
NO&T Asia Legal Update アジア最新法律情報
中国個人情報保護法が2021年11月1日に施行されてから約半年経過した。同法については、中国に多くの現地法人を抱える日本企業においても関心が高いことから、制定直後から多くの立法内容に関する紹介記事が発信されたが、運用の実態を整理分析したものは多くない。本稿では、施行以降に公開された行政処罰事例を整理し、日本企業が留意すべき点について検討する。
中国の法律情報データベースで確認したところ、2022年4月末時点で、個人情報法保護法に関する8件の行政処罰が公表されている。それらの概要は、以下の表のとおりである。
| 処罰日 | 処罰を受けた企業 | 処罰を行った当局 | 処罰理由の概要 | 根拠条文 | 処罰内容 |
|---|---|---|---|---|---|
| 2022年2月19日 | 深圳市数字資本管理有限公司 | 深圳市公安局宝安分局 | 被処罰者が提供したアプリケーション(以下、「APP」という。)について、ユーザーの同意を取得せずに個人情報を収集及び利用したこと、サイバーセキュリティリスクが存在すること等 |
サイバーセキュリティ法60条、64条 個人情報保護法66条 |
警告 |
| 2022年2月25日 | 深圳志辰网絡科技有限公司 | 深圳市公安局羅湖分局 | 被処罰者が提供したAPPについて、ユーザーが登録後にプライバシーポリシーを参照できないこと、プライバシーポリシー内に個人情報収集の目的、方法、範囲を記載しなかったこと等 |
サイバーセキュリティ法22条、41条、64条 個人情報保護法7条、17条、66条 |
警告及び是正命令 |
| 2022年2月26日 | 深圳市潤謙科技有限公司 | 深圳市公安局福田分局 | 被処罰者が提供したAPPについて、ユーザーの同意を取得せずに個人情報を収集・利用したこと、サイバーセキュリティリスクが存在すること |
サイバーセキュリティ法22条、41条、64条 個人情報保護法7条、13条 |
警告 |
| 2022年3月2日 | 江蘇東風南方汽車販売サービス有限公司南京分公司 | 南京市公安局江寧分局 | 注意喚起の標識を設けずに、公共の場所に画像取得装置を設置したこと | 個人情報保護法66条 | 警告 |
| 2022年3月10日 | 深圳市新蘭徳証券投資コンサルティング有限公司 | 深圳市公安局福田分局 | 被処罰者が提供したAPPについて、プライバシーポリシー内に個人情報収集の目的、方法、範囲を記載しなかったこと、ユーザーによるプライバシーポリシーへの閲覧・同意なしに個人情報を収集したこと、サイバーセキュリティリスクが存在すること等 |
サイバーセキュリティ法22条3項、41条~43条、64条1項 個人情報保護法7条 |
警告及び是正命令 |
| 2022年4月7日 | 深圳市辰瑞文化伝播有限公司 | 深圳市公安局福田分局 | 被処罰者が提供したAPPについて、ユーザーによるプライバシーポリシーへの閲覧・同意なしに個人情報を収集したこと等 |
サイバーセキュリティ法22条、41条、64条 個人情報保護法13条、66条 |
警告 |
| 2022年4月21日 | 丰氏(個人) | 浙江省金華市公安局江南支局羅埠派出機構 | 被処罰者が違法に個人情報を取得し、第三者に提供したこと等 | 個人情報保護法66条 | 警告 |
| 2022年4月21日 | 深圳華秋電子有限公司 | 深圳市公安局福田分局 | 被処罰者が個人情報を違法に取得、販売及び第三者提供をしたこと |
サイバーセキュリティ法60条、64条 個人情報保護法66条 |
警告及び是正命令 |
また、上記の他に、2021年12月9日には、工業及び情報化部(以下「工信部」という。)情報通信管理局が「個人情報保護法」及び「サイバーセキュリティ法」等関連法令に従って、106のAPPについて、オンラインストアからの排除を命じたことが報道されている※1。個別のAPPの処罰理由としては、法令の範囲を超えた個人情報の収集、強制・頻繁かつ過度な権限の要求等があったことが公表されている。なお、報道によれば、これらのAPPはいずれも、同年11月の個人情報保護法施行直後に行われた工信部の検査により是正を命じられており、指定された期限までに是正を完了できなかったためにオンラインストアからの排除に発展したとのことである。
以上より、少なくとも現在のところ、個人情報保護法に基づく処罰は、企業が法令に適合したプライバシーポリシーを制定していないこと、プライバシーポリシーを制定してもユーザーによる同意を取得していないこと、情報収集の範囲が過大であること、情報収集の方法及び頻度が過度であることに向けられたものが多く、とりわけAPPが対象とされることが多いという傾向が見られる※2。もっとも、現時点で公表されている処罰事例のほとんどはIT企業が多く所在する深圳でのものであり、全国的な傾向を反映していない可能性もある。
また、インターネット上における個人情報保護法の違反が問題となる事案においては、全てサイバーセキュリティ法違反も適示されており、両法の処罰範囲及び適用が重複していることが明らかである。
処罰の主体となる当局は、通信管理部門から公安部門に移行していると思われる(この監督・処罰の当局に関する問題については下記2で後述する。)。
個人情報保護法の処罰規定は同法第66条第1項に定められており、違反があった場合、当局は違反事業者に対して是正、警告、違法所得の没収、違法な個人情報処理に係るAPPのサービス一時停止及び終了を命じることができ、是正が行われない場合は、個人情報処理者に対して100万元以下の過料、直接責任者となる個人に対する1万元以上10万元以下の過料を課すことができる※3。また同第2項は、違反の情状が深刻である場合は、当局は違反事業者に対して5千万元以下又は前年度の売上高の5%以下の過料を課すことができ、その他関連業務の一時停止及び中止、関連業務に係る許認可又は営業許可の取消しを命じることができると規定されている。
公表された処罰事例をみると、処罰内容としては同第66条第1項の構造を反映して、まず警告及び是正命令が発せられ、改善が認められない場合に(オンラインストアからの排除など)サービスの提供停止処分に発展する傾向が見られる。
上記(1)では、2021年11月の施行以降、個人情報保護法を処罰の根拠法令として明記した行政処罰を取り上げた。しかし、事業者が顧客情報を不当に収集・利用等した行為について、個人情報保護法以外の法令によって処罰された事例も公表されている。
2022年1月6日に、中国人民銀行が香港系銀行の東亜銀行の中国法人(東亜銀行(中国)有限公司。以下「東亜銀行中国」という。)に対して、顧客の信用情報の収集、提供、管理、照会等の関連法令に違反したとして、1,674万人民元(約3億2千万円)の過料を課し、是正を命じる行政処罰を公表している※4。
同処罰は過料金額が高額であったため中国国内で広く報じられた。公表された処罰決定書には「関連法令」に違反したとのみ記載されており、処罰の根拠法令は明記されていない。しかし、報道※5によれば、当該処罰は半年前に発生した東亜銀行中国が行った違法な信用情報の収集、提供、調査等を問題としたもので、処罰の根拠は2021年11月以降に施行された個人情報保護法ではなく※6、権限を逸脱した個人の信用データの照会及び目的外利用を禁じる個人信用情報基礎データ庫管理暫行弁法※7及び/又は顧客情報の違法な照会、提供、販売等を禁じる徴信業管理条例※8であると考えられる。
もっとも、個人信用情報基礎データ庫管理暫行弁法違反に基づく過料は3万元以下(第39条)、徴信業管理条例違反に基づく過料は50万元以下(第40条)とそれぞれ定められているにもかかわらず、東亜銀行中国には、上記のとおり1,674万元の過料が課されている。過料の計算及び内訳が公表されていないため、この点も報道に基づく推測に留まるが、情報の照会及び提供等について、違法行為の件数ごとに過料がカウントされた結果、多数の違反がある本件において過料金額が高額になった可能性がある。
また、個人情報保護法施行以降においても、事業者が違法に消費者の情報の取得・利用等を行った行為を消費者権益保護法違反として処罰した事例が複数、市場監督管理部門から公表されている。
消費者権益保護法では、事業者にについて、消費者の個人情報の収集・利用に関し、正当な目的・方法及び範囲を開示した上で、消費者の同意を取得する必要があること、収集・使用に関するプライバシーポリシーを開示すべきこと、収集した個人情報については秘密を厳守し、違法に第三者に提供しないこと等を規定しており(第29条)、これらの内容は個人情報保護法第7条及び第13条以降の「個人情報処理者」の義務内容と重なっている。また、同法は「消費者の法律上保護される個人情報に関する権利侵害」が行われた場合の処罰規定を設けており(第56条第9号)、処罰の内容は是正命令、警告、違法所得の没収、違法所得の1倍以上10倍以下の過料(違法所得がない場合は50万元以下の過料)、情状が深刻である場合は営業停止又は営業許可証の取消とされている(同条本文)。
公表された処罰事例をみると、多くの場合、事業者は警告、是正命令及び1万元から10万元程度の過料を課されており、違法行為のカウントの積み重ねにより高額な過料が課された事例は見当たらなかった。また処罰決定書によっては、違法に個人情報の収集を行った日時が記載されており、個人情報保護法施行日前に行われた行為を処罰対象とするものが多いが、施行日以降の違法行為を処罰対象とするものもあり※9、個人情報保護法の施行以降も、消費者権益保護法を根拠として処罰されうることが示されている。
上記個人情報保護法施行以降の処罰例を踏まえ、日本企業として留意すべき点を以下のとおりとりまとめた。
上記1で整理したように、例えば事業者による不適切な顧客情報の収集、利用の行為一つをとっても、サイバーセキュリティ法、個人情報保護法、消費者権益保護法及び金融機関の業法に同時に違反する可能性があり、それぞれの法令を管轄する当局から処罰される可能性がある。サイバーセキュリティ関係であれば電信部門又は公安部門、消費者関係であれば市場監督管理部門、金融関係であれば中国人民銀行がそれぞれ監督当局にあたり、一つの企業が複数の事業を行っていれば、当然複数の監督当局が併存しうる。
この点、個人情報保護法の立法過程においては、当初個人情報保護の法執行に関する統一的な政府部門の設置が予定されていたものの、最終的に同法では、「(政府の)関連部門が…各自の職責の範囲で個人情報保護及び監督管理を行う」と定められており(同法第60条)、統一的な監督部門は設置されないこととなった。したがって、中国で事業を展開する日本企業は、自身の事業がどの政府部門の監督を受けるのかを確認し、当該監督当局の法執行の動向及び傾向に留意して、個人情報保護を推進する必要がある※10。
もっとも、そのことは、同一の行為について、複数の処罰を重ねて受けることまでは意味するものではなく、行政処罰法第29条において、同一の違反行為について複数の過料を課す行政処罰を行うことは禁止されている。個人情報保護法第60条では、「国のネットワーク情報部門は、個人情報保護法及び関連する監督管理を統括・調整する」と定めていることから、同一の違法行為を複数の監督当局が同時に問題視する場合には、ネットワーク情報部門が管轄の調整を行うものと考えられる※11。
上記1(2)(a)の東亜銀行中国の事例で見られるように、法令上違反行為についての過料額が低く定められていても、結果的に過料額が高額となりうる。
もっとも、中国ではこれまで行政処罰に係る過料の上限を50万元と設定していた法令が多かったため、高額な過料を課すためには一定の「工夫」が必要であったが、個人情報保護法においては、上記のとおり第66条で原則としては警告等が前置され、過料の額も100万元以下とされているものの、「違反の情状が深刻である場合は、当局は違反事業者に対して5千万元以下又は前年度の売上高の5%以下の過料を課すことができ、その他関連業務の一時停止及び中止、関連業務に係る許認可又は営業許可の取消しを命じることができる」と規定されているため、違反の態様次第では、当初から高額な過料を課すこともできるようになっている。
この点、個人情報保護法の施行以降に公表された行政処罰の中には、違反行為が個人情報保護法の施行日より前に行われているために、同法を処罰根拠とできなかったものも存在するものと推察される。今後は個人情報保護法の施行日以降の違反行為が増えることとなるが、各監督当局が、処罰の根拠法令をこれまでの(監督当局が運用に慣れている)既存の法令と、個人情報保護法のいずれを適用するかは、引き続き注目する必要があるが、同一の違反行為が複数の法令に違反した場合は、制裁金額が高い法令が適用されると定める行政処罰法第29条の規定が参考となりうる。
※1
2021年12月9日付中国工信部情報通信管理局による処罰通知:
https://news.cctv.com/2021/12/09/ARTIC3r14jDLkNNh7InSda5z211209.shtml
※2
個人情報保護法第7条は、個人情報の処理にあたっては、プライバシーポリシー(個人情報処理規則)を公開し、処理の方法、目的及び範囲を開示すべきとしている。また、第13条から第37条まで個人情報の処理(収集を含む。)に関するルールが規定されており、第13条では、個人情報の処理に必要な要件(本人の同意の取得、本人を当事者とする契約の締結、法令上の義務の履行の必要等)が定められている。
※3
サイバーセキュリティ法第64条第1項はネットワーク運営者又はネットワーク製品若しくはサービスの提供者が個人情報を侵害した場合の処罰を規定しているが、処罰の内容は個人情報保護法第66条第1項と概ね同様である。
※4
2022年1月6日付中国人民銀行(中央銀行)上海支店による処罰情報開示表:
http://shanghai.pbc.gov.cn/fzhshanghai/113577/114832/114918/4442474/index.html
※5
2022年1月11日付財新網の記事:
https://finance.caixin.com/m/2022-01-11/101828667.html
※6
立法法第93条により、法令の遡及適用は原則として認められていない。
※7
中国語名:个人信用信息基础数据库管理暂行办法
※8
中国語名:征信业管理条例。なお、2022年1月1日からは、同条例の下位法令にあたる徴信業務管理弁法(中国語名:征信业务管理办法)も施行されている。
※9
例えば、诸市监处罚〔2022〕201号では、事業者は2022年2月初旬に第三者から顧客情報4033件を取得したことを消費者権益保護法違反行為と認定している。
※10
本文で紹介した処罰例で見られるように、監督当局によっては警告及び是正命令を前置する部門と、警告を前置せず高額な過料を課す部門があり、運用の違いが見られる。
※11
サイバーセキュリティ法第8条においても、ネットワーク情報部門がサイバーセキュリティ関連作業及び管理監督を統括・調整すると定められている。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
大久保涼、田中亮平、佐藤恭平(共著)
(2025年4月)
山本匡
田村優、生川大祐(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
大久保涼、田中亮平、佐藤恭平(共著)
(2025年4月)
山本匡
田村優、生川大祐(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
川合正倫、艾蘇(共著)
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
逵本麻佑子、内海裕也、木原慧人アンドリュー(共著)
(2025年5月)
小柏卓也、ガー・チャン(共著)
(2025年5月)
今野庸介
(2025年5月)
小柏卓也、ホアイ・トゥオン(共著)
(2025年5月)
洞口信一郎
(2025年5月)
小柏卓也、ガー・チャン(共著)
(2025年5月)
今野庸介
(2025年5月)
小柏卓也、ホアイ・トゥオン(共著)
(2025年5月)
洞口信一郎
(2025年4月)
若江悠
川合正倫、艾蘇(共著)
鹿はせる
(2025年1月)
大川友宏、髙野紘輝、万鈞剣(共著)
