德地屋圭治 Keiji Tokujiya
パートナー/オフィス一般代表
上海
NO&T Asia Legal Update アジア最新法律情報
本ニュースレターの概要をPodcastで配信しています。
The NO&T Podcast – JP
「個人情報保護規制の最新動向 Part1(中国)」
「個人情報保護規制の最新動向 Part2(中国)」
中国では、過去数年間のうちにインターネット安全法、データセキュリティ法及び個人情報保護法(いわゆるデータ三法)及びその下の多くの規則等が制定され、データプロテクションの規制強化が急ピッチで進んでいるが、2022年においては、6月30日に個人情報保護法の下位規則である個人情報国外移転標準契約規定のパブリックコメントが公表され、9月12日にはインターネット安全法改正のパブリックコメントが公表された※1。本稿では、これらの最新の動きに関連し、中国に進出する日系企業にとって留意が必要と思われる主要な点について、紹介することとする。
個人情報保護法上、個人情報を中国外に移転させるには、(個人情報主体の同意を得るほか)中国の個人情報処理事業者※2は、①個人情報保護法第40条により国家ネットワーク情報部門の安全評価に合格した場合、②国家ネットワーク情報部門の規定に基づき専門機構の個人情報保護認証を受けた場合、③国家ネットワーク情報部門が制定する標準契約に基づき、国外受取事業者と契約を締結し、双方の権利義務を約定した場合、又は④法律、行政法規又は国家ネットワーク情報部門の規定する他の条件に適合する場合に該当する必要があるが、個人情報国外移転標準契約規定パブコメは、③の標準契約に関するものである。
個人情報国外移転標準契約規定パブコメによれば、③を満たすためには、以下の通り、一定の条件及び手続を充足し又はこれを履行し、標準契約を締結する必要があるとされている。
個人情報国外移転標準契約規定パブコメによれば、標準契約の締結により個人情報を国外移転させるには、個人情報処理事業者は、(i)基幹情報インフラ運営者でないこと、(ii)処理する個人情報が100万人未満であること、(iii)前年1月1日から国外に提供した個人情報が10万人に達しないこと、(iv) 前年1月1日から国外に提供したセンシティブ個人情報※3が1万人に達しないことという条件を満たすとともに、個人情報の国外移転前に自ら個人情報保護影響評価を行い、標準契約の効力発生日から10営業日以内に、その所在地である地方のインターネット情報部門に対し、標準契約及び個人情報保護影響評価を届け出る必要があるとされる。
標準契約の締結により個人情報を国外移転させる場合、上記条件を満たす必要があり、上記影響評価及び届出を行う必要があるので、遺漏しないよう留意が必要である。
個人情報国外移転標準契約規定パブコメによれば、個人情報処理事業者と国外受取事業者との間の標準契約においては、(i) 個人情報処理事業者及び国外受取事業者の基本情報、(ii) 個人情報国外移転の目的、範囲、種類、機密性、数量、方法、保管期間、保管場所等、(iii) 個人情報処理事業者及び国外受取事業者の個人情報保護に関する責任及び義務並びに個人情報の国外移転に伴い発生しうる安全上のリスクを防止するために講じる技術的及び管理的措置等、(iv) 国外受取事業者の所在する国又は地域の個人情報保護に関する政策や規制が、この契約条件の遵守に与える影響、(v) 個人情報主体の権利、個人情報主体の権利を保護する方法及び手段、(vi) 救済措置、契約の解除、契約違反の責任、紛争解決等を定めることとされ、個人情報国外移転標準契約規定パブコメにおいて、雛形も公表されている。この雛形については、中国に進出する日系企業にとって、以下の点に留意が必要であると思われる。
標準契約は、個人情報処理事業者及び国外受取事業者と個人情報主体との関係について、GDPRのStandard Contractual Clauses(SCC)におけるThird-Party Beneficiary条項(日本でいう第三者のための契約)に基づき個人情報主体に個人情報処理事業者及び国外受取事業者に対する権利を直接与える構成と類似の構成を採用しており※4、これに基づき、個人情報主体は、個人情報処理事業者及び国外受取事業者に対し標準契約に基づいて一定の権利を直接行使でき、個人情報処理事業者及び国外受取事業者は、一方が標準契約に違反し個人情報主体に与えた損害について連帯責任を負うとされている。そのため、いずれか一方に個人情報の漏洩などが発生し個人情報保護主体に損害が生じた場合は、個人情報処理事業者及び国外受取事業者は、個人情報主体から中国で賠償請求を受け、訴訟提起されうることになる(ちなみに、標準契約においては、国外受取事業者は、個人情報主体に関する紛争の解決について中国法を適用することに同意し、管轄は中国民事訴訟法により確定するとされている。)。
標準契約においては、国外受取事業者は、関連法規の要求に従い、個人情報保護処理記録(3年間保存)を中国の監督当局に提供するとともに、中国の監督当局からの質問に答え、検査に協力し、その措置に従い、必要な行為を行ったという書面証明を提供するなどの中国の監督当局からの監督管理を受けるとされ、しかも、個人情報主体による中国の監督当局への苦情に関する請求を受けうるとされている。このため、国外受取事業者は、中国外に所在するとしても、標準契約の履行として、中国の監督当局からの一定の要求や措置に協力する義務を負い、これに協力しないと標準契約の違反として個人情報主体から責任を追及されうることになる。
個人情報国外移転標準契約規定パブコメの要点
標準契約の締結により個人情報の国外移転をするための条件・手続、標準契約の内容
2022年9月12日に公表されたインターネット安全法改正のパブリックコメントにおいては、主として、同法違反の行為に対する処罰が強化されている。改正にかかる規定は多岐に渡るが、中国に進出する日系企業において注意が必要と思われる主要な点は以下の通りである。なお、インターネット安全法上、各規定の適用主体は、主として、インターネット運営者※5、基幹情報インフラ運営者※6、その他に分けることができるが、以下では、多くの日系の中国子会社が該当しうると思われるインターネット運営者に関する内容を中心として紹介する※7。
インターネット安全法改正パブコメでは、インターネット運営者による以下の①②の義務違反について、以下の処罰を行うとされている。
インターネット安全法第21条(サイバーセキュリティ等級保護制度に基づき保護義務を履行すること)など※8に規定するインターネット運営安全保護義務に違反し又はインターネット運営安全への危害等の結果を生じさせた場合
インターネット安全法第47条(ユーザーによる法律等の禁止する情報の公表等を発見した場合その消去等の措置をとること)など※9に規定するインターネット情報安全保護義務に違反し又は関連部門の要求に応じて法律等が禁止する情報について消去等の措置などをとらない場合
インターネット安全法改正パブコメにおける①、②共通の処罰規定
主体 | 通常の場合 | 命じられても是正しない場合又は情状が深刻な場合 | 情状が特に深刻な場合 |
---|---|---|---|
会社 | – | 100万元以下の過料 | 100万元以上5000万元以下又は前年度営業額の5%以下の過料 |
是正命令、警告、批評通報 (②の場合は違法所得没収も規定) |
関連業務の一時停止、事業停止、サイト閉鎖、関連業務許可の取消、営業許可の取消 | 左記に同じ(②の場合は違法所得没収も規定) | |
直接責任を負う主管人員及びその他直接責任者 | – | 1万元以上10万元以下の過料 | 10万元以上100万元以下の過料 |
– | – | 一定期間、関連の企業の董事、監事、高級管理者になり又はインターネット安全管理及びインターネット運営の重要業務に従事することの禁止 |
インターネット安全法改正のパブコメ版では改正前と比べて、処罰が大幅に強化されている。例えば、①のインターネット安全法第21条(サイバーセキュリティ等級保護制度に基づき保護義務を履行すること)を例とすると、改正前は、当該義務違反の処罰は是正命令等のほか、会社への過料額は10万元以下とされていたが、インターネット安全法改正のパブコメ版では、過料額上限は、5000万元以下又は前年度営業額の5%以下(情状が特に深刻な場合)に引き上げられるとともに、従来規定のなかった批評通報※10、営業許可取消等の処分も規定が設けられている。
このように、インターネット安全法違反については、批評通報(公表)によるレピュテーションへの影響が生じたり、多額の過料に処されたり、営業許可が取り消され事業が継続できなくなるなどリスクが高まる可能性があるので、留意が必要である。
本項で紹介した個人情報国外移転標準契約規定パブコメ及びインターネット安全法改正のパブコメ版については、内容が確定しているものでもなく、施行時期も不明であるが、施行された後は少なくない影響がありうるところであるので、引き続き注視しておくことが必要であると思われる。
※1
その他、2022年7月7日にはデータ三法の下位規則であるデータ国外移転安全評価弁法が公布され9月1日から施行された。
※2
個人情報処理事業者とは、個人情報保護法においては、個人情報処理活動において、処理目的、処理方式を自ら決定する組織、個人をいうとされる。
※3
個人情報保護法上、センシティブ個人情報とは、生体識別情報、宗教信仰、特定身分、医療健康、金融口座、行動軌跡などの情報や、14歳未満の未成年者の個人情報など、漏えいや不正利用により、容易に自然人の人格的尊厳を侵害し、又は人身・財産の安全を脅かす個人情報を指すとされている。
※4
なお、中国の民法典第522条第2項によれば、第三者が債務者に対して直接債務の履行を請求できることを当事者が合意し、第三者が相当期間内に明示的に拒否しない場合において、債務者が第三者に対する債務の履行をせず、又は債務の履行が契約に適合しないときは、第三者は債務者に対して契約違反の責任の負担を直接請求できるとされており、これに沿った規定となっている。
※5
インターネット運営者とは、インターネット安全法においては、インターネットの所有者、管理者及びインターネットサービスの提供者をいうとされる。
※6
基幹情報インフラ運営者とは、インターネット安全法においては、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府などの重要産業・分野、及び一旦損傷、機能喪失、データ漏洩が生じた場合、国家の安全、国民生活、公共利益を著しく損なう恐れがある重要情報インフラの運営者をいうとされる。
※7
なお、インターネット安全法改正パブコメでは、本文記載のインターネット運営者への処罰強化のほか、基幹情報インフラ運営者への処罰も強化され、また、個人情報保護に関連する義務違反については、他の法律との調整のための整理がされている。
※8
第21条以外にも、第22条第1項及び第2項(サイバー製品、サービスを国家標準の強制要求に合致させ、安全維持保護措置を継続して提供すること)、第23条(サイバー基幹設備、サイバー安全専用製品を国家標準の強制要求に合致させ、資格のある機構で安全認証に合格すること)、第24条第1項(ユーザーのインターネット接続、ドメインネームサービスなどの手続を行い又はユーザーのため情報を公表するため契約を締結する際に本人確認をすること)、第25条(サイバーセキュリティ事故緊急対応案を制定し、事故が生じたときは、主管機関に報告すること)、第26条(サイバー安全認証、検査、リスク評価などの活動をし、社会に、システムの故障、コンピュータウィルス、サイバー攻撃などセキュリティ情報を公表すること)、第28条(公安機関などに技術上の協力をすること)が対象とされている。
※9
第47条以外にも、第48条(送信する電子情報等に法律等が禁止する情報を入れてはならないこと)、第49条(苦情申し立て等の制度を構築し、苦情申し立て方法等の公表などをすること)も対象とされる。
※10
批評通報とは、違反や警告の事実の公表等をするものである。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和
若江悠
福原あゆみ
(2024年12月)
前川陽一
(2024年12月)
前川陽一
若江悠
(2024年12月)
前川陽一
(2024年12月)
前川陽一
(2024年11月)
福井信雄
若江悠
(2024年9月)
鹿はせる
德地屋圭治、鄧瓊(共著)
(2024年8月)
川合正倫、万鈞剣(共著)