GBL研究所理事 浅井敏雄[1]
|
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) |
中国個人情報保護法の成立・施行
・中国では, 本年8月20日, 個人情報保護法[2](Personal Information Protection Law)(「PIPL」)が成立し, 本年11月1日から施行されることとなりました。PIPLの内容については, 既に, いくつかの和訳・英訳(脚注2参照)や参考情報が公開されています。 ・筆者も「中国データ・情報関連法」(本年9月18日出版)(「拙著」)で, サイバーセキュリティ法(CSL) [3]およびデータセキュリティ法(DSL)[4], 並びに, PIPLの全条文およびPIPLの内容を先取りしPIPLのガイドラインともいうべき「個人情報安全規範」[5](2020年3月6日改訂発効)(「規範」)の全内容を解説しています。 ・本稿では, 目前に迫ったPIPL施行に向け, (i)企業が対応すべき事項のリストと, 特に関心が高いと思われる, (ii)PIPL, CSL, DSL等に基づく個人情報/重要データその他データの中国国外への提供規制に関し, 拙著の内容を要約・再編集等して解説します(記載内容の理由その他詳細については拙著を参照してください)。 ・なお, 本稿において, (i)例えば, 「PIPL 38(1)」は「PIPL第38条第1項」を意味するなど, 数字は条文番号であり, (ii)法令等への言及中における[ ]内の内容は筆者による補足・追記です。個人情報保護法施行に向けた要対応事項リスト
(1)要対応事項リスト 以下に, 基本的に拙著第4章の項目およびPIPLの規定の順番に従い, 日本企業の中国関連会社(「日系企業」)およびその親会社等日本企業としての要対応事項のリストを示します。 ◎:時期的な第1優先項目/〇:時期的な第2優先| 拙著第4章 |
PIPLの規定内容 (詳細は条文の訳等を参照) |
具体的対応の例 |
|
| 条文 | |||
|
① 〇 |
3(3) |
PIPLの域外適用 - 中国内個人に向けた商品・サービス提供/中国内個人の行動分析・評価 |
日本親会社等への域外適用チェック ⇒適用なら②以下の対応:特に㉗の中国内代表者の設置とその報告義務 |
| 3(2) | |||
|
② |
4(1), 17 |
(a)個人情報の定義 (b)機微個人情報の定義:生体識別/宗教信仰/特定身分/医療健康/金融口座/行動追跡・位置/14歳未満 |
自社保有情報の調査(データマッピング) |
| 4(1), 28(1) | |||
|
③ |
5 |
処理の基本原則 - 適法性/目的明確化/最小限処理/最短保存期間等 |
基本原則への適合性調査 ⇒不適合処理は是正/または処理中止 |
| 5-8, 10,19 | |||
|
④ ◎ |
5 |
個人情報の処理ルールの公開(従業員情報については周知) |
社外向け個人情報保護ポリシー/従業員情報取扱い規程(以下「保護ポリシー」と総称)改訂(または作成)し公開・周知 |
| 7, 17(3) | |||
|
⑤ 〇 |
7(1) |
処理の法的根拠 - 同意または契約履行の必要性, 等 |
根拠の調査 ⇒無しの処理は本人同意取得か処理中止 |
| 13(1) | |||
|
⑥ 〇 |
7(1) |
本人同意の要件 - 十分な説明+自発性・明示性 |
要件具備調査 ⇒重要な処理で不具備・不明の処理は本人同意(再)取得か処理中止 |
| 14(1) | |||
|
⑦ ◎ |
7(4) |
簡便に同意を撤回する方法の提供 |
保護ポリシーに記載/サイト・アプリ設計変更 |
| 15(1) | |||
|
⑧ |
7(5) |
同意拒否・撤回を理由とした製品・サービス提供拒否の原則禁止 |
拒否の有無調査 ⇒有りなら拒否を中止し今後は提供 |
| 16 | |||
|
⑨ 〇 |
8 |
処理前通知義務 (態様)理解し易い表現等 (項目)処理目的・方法・個人情報の種類・保存期間・本人権利行使方法 |
処理前通知の調査 ⇒不適合なら改訂版保護ポリシーを引用して(再)通知/サイト・アプリでは改訂版保護ポリシーを表示して(再)通知 |
| 17(1), 17(3) | |||
|
⑩ |
9 |
共同処理の場合は共同処理者と約定 |
PIPLの要件を満たす共同処理契約(再)締結 |
| 20 | |||
|
⑪ |
10 |
処理委託の場合は委託先と約定 |
PIPLの要件を満たす処理委託契約(再)締結 |
| 21,59 | |||
|
⑫ |
11 |
合併等に伴う個人情報の提供の本人への事前通知等 |
通知書送付/メール・サイト・アプリ等で通知(「オンライン通知」) |
| 22 | |||
|
⑬ |
12 |
個人情報を他に提供する場合は本人に提供先名称等含め事前通知し個別同意取得要 |
同意書(再)取得/メール・サイト・アプリ等で同意(「オンライン同意」) (再)取得または提供中止 |
| 23 | |||
|
⑭ |
13 |
自動意思決定による(a)不合理差別禁止/(b)プッシュ型情報・広告配信等の条件/(c)本人の説明請求権・拒否権 |
(a)該当差別の有無調査⇒有りなら中止 (b),(c)自動意思決定を使う採用方法・アプリ等の方法・設計変更または自動意思決定廃止 |
| 24 | |||
|
⑮ |
14 |
個人情報の公開に本人の個別同意取得要 |
同意書・オンライン同意(再)取得/または公開中止 |
| 25 | |||
|
⑯ |
15 |
公共の場での画像収集等は公共安全維持目的でのみ可/注意喚起標識設置/他の目的での処理は本人個別同意取得要 |
該当の収集等の調査 ⇒条件具備しない収集・処理を是正または中止 |
| 26 | |||
|
⑰ |
16 |
公開済み情報の個人権益に重大影響を及ぼす処理は本人同意取得要 |
該当の処理調査 ⇒有りなら中止または同意(再)取得 |
| 27 | |||
|
⑱ ◎ |
17 |
(a)機微個人情報を処理する場合は厳格保護措置/所定の通知+個別同意取得要 (b)14歳未満情報は, 更に, 保護者同意取得要/特別ルール制定要 |
(a)措置見直し/改訂版保護ポリシーを引用・表示して(再)通知+同意書・オンライン同意(再)取得/または処理中止 (b)保護者の同意(再)取得/特別保護ポリシー制定/または処理中止 |
| 28-32 | |||
|
⑲ ◎ |
19(1), (2) |
個人情報の中国外への提供は個別同意+標準契約等所定条件具備要 |
現時点では所定要件具備不能なので提供中止(特に機微個人情報・量が多い提供等) |
| 38,39 | |||
|
⑳ |
19(3) |
重要情報インフラ運営者および大量個人情報処理者の国内保存義務・国外提供安全評価 |
左の者としての認定・確定がない限り対応不能または困難 |
| 40 | |||
|
㉑ |
19(4) |
個人情報の中国外の司法・法執行機関への提供は当局の許可要 |
中国外の裁判所・警察・検察等への提出は中止 |
| 41 | |||
|
㉒ |
20(4) |
処理目的達成後等は個人情報削除要 |
削除の調査 ⇒未削除分を削除 |
| 47 | |||
|
㉓ 〇 |
20(7) |
個人の権利(閲覧・複製/訂正/削除/処理ルール説明/故人の近親者の権利)の請求受付・対応体制構築要 |
権利行使対応責任者・組織任命・対応ルール策定。Webサイト上等で,本人自らアクセス・訂正・削除等ができる仕組み設定 |
| 50 | |||
|
㉔ |
21(1), (2) |
法令遵守・安全(セキュリティ)確保/定期監査義務 |
社内規程・体制確立・見直し/暗号化・非識別化/従業員教育訓練/緊急対応計画策定等 |
| 9,51 54 | |||
|
㉕ 〇 |
21(3) |
以下の処理の個人情報保護影響評価・記録保存義務 - 機微個人情報/自動意思決定/処理委託/第三者提供/公開/国外提供/その他 |
公表済み国家標準に基づき評価実施, 評価書等保存 |
| 55,56 | |||
|
㉖ |
21(4) |
大量個人情報処理者の個人情報保護責任者任命・公表・報告義務 |
左の処理者としての認定・確定がない限り対応不能または困難 |
| 52 | |||
|
㉗ |
21(5) |
域外適用者の国内代表者選任・報告義務 |
明らかに該当する場合は選任/報告先・手続等判明した時点で報告 |
| 53 | |||
|
㉘ |
21(6) |
漏えい等通知義務 |
漏えい等検知・社内報告・社外通知体制・ルール策定 |
| 57 | |||
|
㉙ |
21(7) |
重要インターネットプラットフォームサービス提供者の義務 |
左の者としての認定・確定がない限り対応不能または困難 |
| 58 |
PIPLに基づく個人情報の国外提供規制
最初に, 個人情報の国外提供に関する最も重要なPIPL 38(1)の規定内容について説明します。 (PIPL 38(1))個人情報処理者は, 業務等の必要性により, 中国国外(中华人民共和国境外)に個人情報を提供する必要性が真にある場合, 以下のいずれかの条件を満たさなければこれを行ってはならない。 (1)PIPL第40条の規定に基づく国家ネットワーク情報部門[CAC[8]]による安全評価に合格したこと。 (2)国家ネットワーク情報部門の定める規定に従い, 専門機関の個人情報保護認証を得たこと。 (3)国家ネットワーク情報部門の定める標準契約書に基づき中国国外の提供先(接收方)と契約を締結し, 両当事者の権利・義務を取決めたこと。 (4)法律, 行政法規または国家ネットワーク情報部門の定めるその他の条件 ・上記の「中国国外(中华人民共和国境外)」とは, 香港・マカオ・台湾を含まない中国本土外(「国外」)という意味です。 ・中国国外への個人情報の「提供」の意味ですが, これには, 中国の国外から国内の個人情報にアクセス・閲覧することを含み, 以下のいずれの場合の個人情報の提供も該当するでしょう。 (a)中国国外に持ち出し提供する場合。 (b)中国国外の本店または支店に提供する場合。(例)中国の支店から日本の本店に提供する場合。 (c)中国国外にある企業への個人情報の処理委託に伴いその中国国外にある企業に提供する場合。(例)中国子会社から日本親会社に個人情報の処理を委託する場合 (d)その他, 中国国外に提供する場合(共同処理または合併等に伴い提供する場合を含む)。(例)中国子会社の役員・従業員または中国の顧客の個人情報を日本親会社に提供する場合。 ・PIPL上の個人情報の国外提供の根拠は, 上記のPIPL 38(1)と, 後記のPIPL 38(2)(国際条約・協定に基づく国外提供)しかありません。従って, 企業が一般的に利用し得る国外提供の法的根拠はPIPL 38(1)(1)~(3)の安全評価, 個人情報保護認証, 標準契約書のみということになります。しかし, 安全評価, 個人情報保護認証, 標準契約書, いずれも, その内容等は本稿執筆時点で未確定・未公表です。 ・上記(1)の「PIPL第40条の規定に基づく国家ネットワーク情報部門による安全評価」とは, 後記の通り, 重要情報インフラ運営者および大量個人情報処理者(処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者)に対し同部門(CAC)が組織して行う安全評価です。従って, 他の一般の個人情報処理者がこの安全評価を受け, その合格を根拠として国外提供を行うことはできないように思われます。 ・上記(2)の専門機関の個人情報保護認証は, それがどのようなものか, それが既に存在する何らかの制度の流用なのか, それともPIPLにより新設される制度なのか, 規定だけからはその内容は不明です。 ・上記(3)の「標準契約」は, PIPLの規定はEUのGDPRを参考にしたと思われる規定が非常に多いので, GDPR上のStandard Contractual Clauses (SCC)(本年6月4日改訂版採択[9])を参考としたものになる可能性があります。しかし, もしそうだとしたら注意を要します。何故なら, SCCの内容は以下のようなものであり, 中国版標準契約も同様のものとなる可能性があるからです(もっとも, 提供先である日本企業も中国国民の個人情報を扱う以上, 中国企業と同様, 以下の(a)~(c)のようになるのは止むを得ないとの考えはあるかもしれません)。 (a)SCCは, 実質上GDPR[ここではPIPL]上の事業者の義務をほぼそのままデータ輸入者(提供先)にも課すものであること(義務違反時における前年売上高5%以下の罰金も含まれる可能性あり)。 (b)SCCでは, データ輸入者もEU加盟国の管轄監督機関[ここではCAC等]の管轄に服す義務が課されていること(SCC 13(b)) (c)SCCの準拠法はEU加盟国の法[ここでは中国法], 裁判管轄はEU加盟国の裁判所[ここでは中国人民法院]とされていること(SCC 17, 18)。 なお, このCACの定める標準契約書の最終確定版がPIPL施行日の本年11月1日前までに公表されかつ利用可能となるのか, 中国の法令では必要な下位法令等がいつまでも公布施行等されないこともあるので, 必ずしも確実ではありません。 ・上記(4)の法律, 行政法規またはCACの定めるその他の条件もどのようなものか不明であり, とにかく, 現在利用できる条件ではありません。 ・以上の通り, 日系企業にとり, 現時点において, 中国国外に個人情報を提供するために直ちに安心して利用できる現実的手段はないように思われます。 結果として, 日系企業等は, 現実的にかつ安心して利用可能な国外提供手段が見つかるまで(その保証はありませんが), 現在実施している個人情報の国外提供があればPIPL施行日である本年11月1日前までにこれを中止し, 以後の国外提供も断念せざるを得ないのではないかとも思われます(または匿名化した上国外提供)。 例えば, 日本の親会社が中国の子会社の役員・幹部・日本からの出向社員等の人事管理のため必要な個人情報等を中国の子会社が日本の親会社に提供すること, 中国の旅行会社が日本の旅行会社・ホテル事業者に中国人旅行者の個人情報を提供すること等を, 中国当局が現実に問題にする可能性は低いと思われますが, 少なくとも, 中国当局が問題にする可能性のある大量の個人情報, 国家安全に関係し得る個人情報, 機微個人情報等の国外提供は避けるべきであるように思われます。 PIPLには, 個人情報の国外提供に関し, 上記のPIPL 38(1)以外に以下の規定があります(解説は省略)。 (PIPL 38(2)) 中国が締結しまたは加盟している国際条約・協定において, [中国国内から]中国国外への個人情報の提供条件等が定められている場合には, 当該条件に従い実施[提供]することができる。 (PIPL 38(3)) 個人情報処理者は, 中国国外にある提供先による個人情報の処理が, 本法に定める個人情報の保護基準を満たすよう, 必要な措置を講じなければならない。 (PIPL 39) 個人情報処理者は, 個人情報を中国国外に提供する場合, 本人に対し, 国外の提供先の名称・氏名・連絡先/[提供先の]処理目的/[提供先の]処理方法/[提供する]個人情報の種類/および, 本人が本法に基づく権利を提供先に対し行使する方法・手続等を通知し, かつ, その個別(单独)の同意を得なければならない。 (PIPL 40) 重要情報インフラ運営者, および, 処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者は, 中国国内で収集・発生した個人情報を中国国内に保存しなければならない [これらの者は, 個人情報を]国外に提供することが真に必要な場合, 国家ネットワーク情報部門[CAC]が組織して行う安全評価に合格しなければ[国外に提供しては]ならない。但し, 法律, 行政法規または国家ネットワーク情報部門[CAC]の定める規定で, 安全評価の実施を要さないとされている場合はその規定に従う。個人情報・データ全般の国外提供規制
上記はPIPLだけに基づく個人情報の提供規制ですが, PIPLの他, 既にCSL, DSLに基づく個人情報/重要データその他データの中国国外への提供規制もあります。また, 本年10月1日からは「自動車データ安全管理若干規定(試行)」[10]も施行され同規定による国外提供規制もあります。そこで, これら法令に基づく個人情報・データ全般の国外提供規制を下表の通り整理してみました。| 個人情報 | 重要データ | 左記以外のデータ | |
| 重要情報インフラ運営者 |
原則中国国内で保存。国外提供は安全評価に合格要(CSL 37, DSL 31, PIPL 40) |
特別の制限はない (但し, 国家機密保護法, 輸出管理法等の他法による規制はあり得る) |
|
| 大量個人情報処理者 |
原則中国国内で保存。国外提供は安全評価合格要(PIPL 40)。 |
CACが国務院関連部門と別途共同制定する規則遵守要(DSL 31)。 |
|
| 上記および下記以外の者(「一般事業者」) |
国外提供は本人同意+以下のいずれかが必要。 - 個人情報保護認証取得/標準契約書締結/その他法令等で定める国外提供の条件(PIPL 38(1),39)。 |
||
| 自動車データ安全管理若干規定上の「自動車データ処理者」 |
以下のデータ・個人情報を「重要データ」として原則国内保存要。国外提供は安全評価合格要(規定11(1)前段): - 軍事管理区域等の地理的情報・交通・通行量/交通量・物流データ/充電ネットワーク運用データ/顔データ/ナンバープレートデータ/10万人超の個人(自動車の所有者, 運転者, 同乗者, 通行人等)の個人情報, 等。 |
国外提供の安全管理には, 法律・行政法規の関連規定適用(規定11(1)後段) |
|
以 上
【注】 [1] 【本稿の筆者】 一般社団法人GBL研究所理事/IAPP CIPP/E (Certified Information Privacy Professional/Europe)/UniLaw企業法務研究所代表 浅井敏雄(Facebook) [2] 【中国個人情報保護法(PIPL)】 (原文) 「中华人民共和国个人信息保护法」. (和訳) (1) 錦天城法律事務所「中華人民共和国個人情報保護法」2021-08-24 [但し現時点では第50条第2項の訳が抜けている]. (2) Miura & Partners - Norika Yuasa and Yuika Zhao 「個人情報保護法和訳」. (英訳) Stanford University, DigiChina "Translation: Personal Information Protection Law of the People's Republic of China (Effective Nov. 1, 2021)." (2) China Law Translate "Personal Information Protection Law" 2021/08/20. [3] 【中国サイバーセキュリティ法(CSL)】 (原文)「中华人民共和国网络安全法」。(和訳) (1) JEITA:一般社団法人電子情報技術産業協会/JLMC北京事務所が掲載している和訳:「中華人民共和国サイバーセキュリティ法」. (2)ジェトロ掲載の(北京市)大地法律事務所仮訳:「ネットワーク安全法」。(英訳) (1) New America(米国のシンクタンク)のWebサイトに掲載されている英訳 “Cybersecurity Law of the People’s Republic of China (Effective June 1, 2017)”. (2)China Law Translateに掲載されている英訳 “2016 Cybersecurity Law” [4] 【中国データセキュリティ法(DSL)】 (原文) 「中华人民共和国数据安全法」。(和訳) 曾我法律事務所「中華人民共和国データ安全法」。(英訳) Covington & Burling LLP. “Data Security Law of the People’s Republic of China" [5] 【個人情報安全規範(規範)】 (原文)「中华人民共和国国家标准 GB/T35273—2020信息安全技术个人信息安全规范 Information security technology —Personal information security specification」。(和訳) 曾我法律事務所「GB/T 35273—2020情報安全技術-個人情報安全規範」 [但し, 附属文書Cの表C.1全部の訳, および, 附属文書D(個人情報保護ポリシーひな型)の右欄(解説部分)の全部の訳がない。本書ではこれらの訳も掲載した]。(英訳) (中国)全国情報安全標準化技術委員会(全国信息安全标准化技术委员会)(TC260)(規範作成元) “GB/T 35273—2020 Information security technology— Personal information (PI) security specification” [6] 【「大量個人情報処理者」の基準】 2017年4月11日に公表された「個人情報・重要データ国外提供安全評価弁法(意見募集稿)」(个人信息和重要数据出境安全评估办法(征求意见稿))第9条では, 重要情報インフラ運営者に該当しないネットワーク運営者であっても, 単独または累計で50万人以上の個人情報または1,000 GBを超える重要データについて, 国内保存・国外提供安全評価義務が課されていたから, これと同様の基準になる可能性はあるであろう。 [7] 【個人情報の匿名化】 (PIPL 4(1))「個人情報」(个人信息)とは, 電子的またはその他の方法で記録される, 識別されたまたは識別可能な個人(自然人)に関する全ての種類の情報を意味し, 匿名化後の情報を含まない。(PIPL 73(4))「匿名化」とは, 個人情報を, 特定の個人を識別できずかつ復元できないよう処理するプロセスをいう。 [8] 【CAC】 中国サイバースペース管理局(国家互联网信息办公室)(CAC). 国家機関としてのCACは「国务院办事机构」(国務院のオフィス)とされている(Wikipedia 「中华人民共和国国务院」. Wikipedia “State Council of the People's Republic of China”)ので, 日本の内閣府の内部部局に相当するのではないかと思われる。CACは, (共産党)中央サイバーセキュリティ・情報化委員会の事務局(中央网络安全和信息化委员会办公室)でもある(百度百科「一个机构两块牌子」)。従って, CACは共産党および国家両方の最重要組織の一つで, 三法全てを取り仕切る。 [9] 【GDPR SCC 2021年6月4日改訂版】 (解説)浅井敏雄「GDPR新SCC最終版公表について(概要と全訳)」企業法務ナビ, 2021/06/11」. (原文併記和訳)浅井敏雄「GDPR 域外移転Standard Contractual Clauses(SCC)改定版(最終版)仮訳」 [10] 【「自動車データ安全管理若干規定(試行)」】 原文「汽车数据安全管理若干规定(试行)」. (参考) (1) King & Wood Mallesons - Mark Schaub, Atticus Zhao and Fu Guangrui (Mark) "China Issues New Rules on Data Security in Auto Industry" September 2 2021, Lexology. (2) Jenny Sheng, Chunbin Xu, Esther Tao "China Publishes Regulation on Management of Automobile Data Security" September 2, 2021, JD Supra. [11]【「重要情報インフラ安全保護条例」】 原文「关键信息基础设施安全保护条例」(国務院令第745号)(2021年9月1日施行)。(参考) Panpan Tang, Spring Zhu "PRC Promulgated Regulations on the Security Protection of Critical Information Infrastructure" 27.08.2021, CMS Legal