執筆者:弁護士 森 進吾
中国の個人情報保護法(以下「本法」という。)は、2021年8月20日に成立し、11 月1日に施行される[1]。本法は、「サイバーセキュリティ法[2]」と「データ安全法[3]」とともに、中国のデータ保護の基本法として位置付けられている。
本法に関する論点は多岐に渡るが、特に注目を集めている点は、(1) 中国の国内企業だけではなく、中国ビジネスを営む日本企業にも適用される可能性があるという点と、(2) 中国国内で収集した個人情報を国外へ移転する場合に厳しい規制を受けるという点ではないかと思われる。そこで、以下では、中国ビジネスを営む日本企業及び日系中国企業が留意すべきポイントという観点から、特に重要度が高いと思われる規制の概要について速報的な説明を行う。
[1] http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
[2] 网络安全法: http://www.cac.gov.cn/2016-11/07/c_1119867116.htm
なお、同法名称の日本語訳としては、「サイバーセキュリティ法」のほか、「ネットワーク安全法」又は「インターネット安全法」と翻訳される場合がある。
[3] 数据安全法: http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
第1 日本企業に対する本法の適用可能性(域外適用)について
本法は、中国国内で個人情報を処理[4]する活動に適用される(第3条1項)。本法でいう個人情報とは、「電子的又はその他の方式により記録され、自然人に関する識別された又は識別可能な各種情報」をいい[5]、匿名化された情報は除かれている(第4条)。
ただし、中国国内に拠点を持たない外国企業であっても、①中国国内の自然人への製品又はサービスの提供を目的とする場合、②中国国内の自然人の行動を分析・評価するものである場合、③法令に定めるその他の事情がある場合のいずれかの場合において、中国国内の自然人にかかる個人情報を処理するときには、当該活動に対しても本法が適用される(第3条2項)[6]。 そのため、例えば、いわゆる越境EC制度を利用して中国の消費者に向け商品を輸出する日本企業や、中国国内の個人に向け中国語(簡体字)のウェブサイトを通じて日本のホテル・旅行サービスを提供する日本企業等に対して本法が適用される可能性が高い。
[4] 個人情報の処理には、個人情報の収集、保存、使用、加工、送信、提供、公表、削除等が含まれる(第4条2項)。
[5] 本法でいう個人情報の中には、氏名、住所などの単独で特定の個人を識別し得る情報だけでなく、位置データ、オンライン識別子のような識別子やCookie(クッキー)等も含まれると解釈される可能性が高い。なお、日本の個人情報保護法では、他の情報と照合して特定の個人を識別できる情報が「個人情報」に該当するためには、「容易照合性」(同法2条1項1号)が必要となるが、本法では「容易照合性」は求められていない。
[6] 本法の制定過程において、欧州一般データ保護規則(GDPR)が参考にされたといわれており、第3条2項の①及び②は、GDPRと同様の基準が採用されている(GDPR第3条2項)。ただし、GDPRでは、「Web サイト、電子メールアドレス又はその他の連絡先にアクセスできるということ」だけでは不十分とされているところ(GDPR前文(23))、本法で同様の解釈がなされるかについて現時点で明らかではない。
第2 個人情報の処理に関する主な規制
個人情報の処理に関する規制については、例えば以下のような規制を受ける。なお、本稿の性質上、簡略的な説明に止める。
1 個人情報の処理にかかる同意取得とその例外
本法は、個人情報を処理するためには個人の同意が必要であることを原則としつつ、法令に基づく人事管理を実施するために必要な場合又は本人が自ら開示した個人情報を合理的な範囲内で処理する場合等においては、同意は不要としている(第13条、第25条、第27条等)。
なお、一旦同意を取得したとしても、個人は同意を撤回する権利を有しているし(第47条1項3号)、個人情報の処理者は撤回の簡便な方法を提供する義務を負っている点(第15条1項)にも留意が必要である。
2 プライバシーポリシー等による情報提供義務
個人情報の処理者は、個人情報を処理する前に、当該個人に本法に定める事項を明確かつ分かりやすい内容で通知しなければならない。この通知事項は、①個人情報の処理者の名称と連絡先、②個人情報の処理の目的・方法、処理する個人情報の種類、保存期間、③個人が本法に定める権利を行使するための方法・手順等である(第17条1項)。また、プライバシーポリシーの策定を通じて通知する場合には、プライバシーポリシーを公開し、容易に検索又は保存できる措置を講じなければならない(第17条3項)。
更に、個人情報の処理者が第三者に対して個人情報を提供する場合には、当該個人情報の本人に対し、受取人の名称・連絡先・処理目的・処理方法・個人情報の種類を通知したうえで、個別の同意を取得する必要がある(第23条)。他方で、個人情報の処理者が当初に同意を得た処理目的・処理方法等の範囲内であれば、本人の同意なしに、個人情報の処理を第三者に委託することができる(第21条)[7]。
【本法の適用を受ける日本企業との関係】
いわゆる越境ECプラットフォーム[8]を利用してEC店舗を出店している日本企業は、ECプラットフォーム上で用意されたプライバシーポリシーに基づき中国消費者の個人情報を取得したうえで処理していると思われる。そのため、ECプラットフォーム上のプライバシーポリシーが定める個人情報の処理の目的・方法、処理する個人情報の種類、保存期間等に留意して個人情報を処理する必要がある。 他方で、自社のウェブサイトを通じて、中国国内の個人に向けて日本向のホテル・旅行サービスを提供する日本企業等は、中国語(簡体字)によるプライバシーポリシーを自社で策定してウェブサイトで公表する等の対策が必要になる。 |
3 安全管理措置及び個人情報保護責任者の設置・届出義務
個人情報の処理者は、個人情報の処理目的・方法、セキュリティリスク等を踏まえて、各種の安全措置を講じなければならない。例えば、①内部管理システムと運用手順の策定、②個人情報の分類管理、③暗号化・仮名化のセキュリティ措置、④個人情報の担当者に対する定期的な研修等の実施、⑤緊急事態時の対応策の策定等の措置が挙げられている(第51条)[9]。
また、国家ネットワーク情報部門の定める数量に達する個人情報の処理者は、個人情報保護の責任者の連絡先情報を開示したうえで、監督機関に提出する必要がある(第52条)。ただし、この「国家ネットワーク情報部門の定める数量」に関する定めは公開されていない。
【本法の適用を受ける日本企業との関係】
本法の適用を受ける日本企業は、中国の監督機関へ向けた説明用として、中国語で内部管理システムとその運用手順等を策定する必要があるのかという点や、個人情報の担当者の連絡先情報は下記に述べる中国代理機構のみで足りるのか又は日本人担当者の連絡先情報まで伝える必要があるのかという点等については、本法の規定上は明確ではなく、今後の下位規程の制定及び法令運用状況等を注視する必要がある。 |
4 特殊な個人情報に関する追加的な規制
上記に記載した規制のほか、処理する個人情報がセンシティブ情報[10]や未成年の個人情報[11]の場合には、更なる配慮が必要になる。
[7] ただし、個人情報の処理を第三者に委託する場合には、委託の目的、期限、処理方法等及び受託者に対する監督について、受託者との間で合意しなければならないし(第21条1項)、受託業務が終了した場合等において受託者は個人情報を削除等して自ら保持してはならない(第21条2項)。また、受託者は、個人の同意なしに、個人情報の処理を再委託してはならない(第21条3項)。
[8] 天猫国際(Tmall Global)や京東国際(JD worldwide)等
[9] ネットワークを通じて個人情報を処理する中国企業の場合には、安全管理措置に関し、中国の安全等級別保護制度に基づき、データの漏えい又は窃取等に対する防止措置を採らなければならない(サイバーセキュリティ法第21条、34条等)。
[10] 第28条~第30条、第32条。センシティブ情報の処理には、個別の同意が必要になるほか、一般の個人情報の場合と比較してより厳格な保護措置を講じる義務を負う。
[11] 第31条。14歳未満の個人情報を処理する場合には、保護者の同意が必要となる。
第3 中国国内に拠点を持たない日本企業に対する中国代理機構の選定義務
第2で説明した規制に加え、本法の適用を受ける外国企業は、中国国内における専門機構又は指定代理人を設置したうえで、当該指定代理人等の氏名、連絡先情報等を中国の監督機関に対して報告する義務を負う(第53条)。
この専門機構又は指定代理人になることができる者の条件又は資格等に関して現時点で明確な基準等は示されていないものの、本法の適用を受ける日本企業(現地法人を持たないが越境EC制度を利用して中国の消費者に向け商品を輸出する日本企業等)にとっては、本法に対する最低限の措置として、指定代理人等の設置が必要になると見込まれる。
第4 日本へ個人情報を移転する場合の規制の概要
個人情報の処理者が、業務の必要などにより、中国国外へ個人情報を提供する場合には、個人に対して海外受領者の名称及び連絡先等を通知したうえで個別の同意を取得する義務に加えて(第39条)[12]、以下のいずれかの条件を満たすことが必要となる(第38条)。
(1)国家ネットワーク情報部門が策定したセキュリティ評価に合格した場合
(2)専門機関による個人情報保護認証を実施した場合
(3)国家ネットワーク情報部門が策定した標準契約に従い、両当事者の権利及び義務を規定した海外の受領者との契約を締結した場合
(4)法令又は国家ネットワーク情報部門が策定したその他の基準を満たす場合
この点に関し、2022年7月7日に国家ネットワーク情報弁公室が公表した「データ越境安全評価弁法 [13] 」が、100万以上の個人情報の処理者が個人情報を越境移転する場合や、前年の1月1日以降の累計で10万を超える個人情報又は1万以上のセンシティブ個人情報を国外へ移転する場合等では、越境移転を行う前に省級のネットワーク通信部門へ安全評価を申告しなければならないと定めている(同弁法第4条)。そうすると、同弁法第4条が定める場合には、上記(4)に該当するとして、同弁法に定める手続を履行することが必要になる可能性が高い。
現時点の予測として、同弁法第4条以外のケースでは、上記(2)が一般的に利用されることになると思われるが、国家ネットワーク情報部門が策定した標準契約はその案が公表されて意見募集手続(2022年6月30日~2022年7月29日)が行われている段階である [14] 。
更に、中国国外へ個人情報を提供する場合、国外移転に関して事前に個人情報保護にかかる影響評価を実施し、処理状況を記録したうえで(第55条)、その影響評価報告書及び処理記録を3年間保存する義務を負う(第56条)。
いずれにせよ、個人の同意のみでは適法に個人情報を日本へ移転することができない点には留意が必要である。
以上の規制からすれば、例えば、中国の日系企業が日本の親会社へ取引先や従業員に関する個人情報を提供する場合、少なくとも、①個人からの個別の同意、②上記(1)~(4)のいずれかの条件を満たすこと、③保護影響評価及び処理記録に関する義務の履行という条件を満たす必要がある[15]。
[12] 本法上、個人情報の越境移転に関する「個別の同意」(第39条、中国語:単独同意)と、一般的な個人情報の処理に関する同意(第13条1項1号)は文言上区別されている。個別の同意の取得方法は現時点で明確ではないものの、「個人情報の越境移転に関する明確な同意がある」という状況を確保する必要があると考えられる。
[13] 数据出境安全评估办法:http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
[14] http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm
[15] 前述のとおり、法令に基づく人事管理を実施するために必要な場合には、個人情報の処理について同意は不要とされているが(第13条1項2号)、個人情報の越境移転の場合には同条項の適用範囲外と解釈される可能性が高いと思われる。
第5 大量の個人情報を処理する事業者についての中国国内保存義務
大量の個人情報を処理する者(国家ネットワーク情報部門の定める数量に達する個人情報処理者)は、中国国内で収集した個人情報を中国国内で保存する義務を負う(第40条)。そのため、中国国内にサーバーを設置するという追加的なコスト負担が生じる可能性がある。
ただし、どの程度の数量の個人情報を処理する者が上記の追加的な規制を受けるかについて現時点で明確な基準は公表されていない。この点に関し、サイバーセキュリティ法の下位規範である「サイバーセキュリティ審査弁法[16]」が、「100万を超えるユーザーの個人情報を把握している情報処理者が国外で上場する場合には、サイバーセキュリティ審査を受けなければならない」(同弁法第7条)と定めていること等からすれば、「100万」が一つの基準になる可能性がある。
したがって、多数の中国消費者情報を取り扱う中国の日系企業は、当該個人情報を保存するサーバーの設置場所に留意する必要がある(第40条、第38条1項1号)。
なお、大量の個人情報を処理する者が個人情報を中国国外へ移転する場合には、必ず上記第4(1)に定めるセキュリティ評価に合格する必要がある。
[16] 网络安全审查办法: http://www.cac.gov.cn/2022-01/04/c_1642894602182845.htm
第6 まとめ(暫定的な整理)
本法の施行日は2021年11月1日であるため(第74条)、厳密にいえば、本年11月以降に中国の日系企業が日本の親会社に対して中国国内の取引先や従業員に関する個人情報を提供する場合、本人から国外移転にかかる個別の同意を取得することに加え、国家ネットワーク情報部門が策定した標準契約の締結や、保護影響評価及び処理記録に関する措置の実施が必要になる。
また、中国国内に拠点を持たないものの、中国国内の個人向けのサービスを提供する日本企業は、本法に合わせたプライバシーポリシーの策定や中国国内に指定代理人等を選定したうえで、本法に定める各種の義務を遵守する必要がある。
ただし、上記の「国家ネットワーク情報部門が策定した標準契約」の具体的な内容や、中国国内の指定代理人の条件・資格等が現時点で明確ではないため、今後の関連法令の制定状況に留意しながら、対応可能な措置から速やかに実施していく必要がある。
- 東京、福岡、上海、香港、シンガポール、ホーチミン、ハノイ、ダナンの世界8拠点から、各分野の専門の弁護士や弁理士が、企業法務や投資に役立つ情報をお届けしています。
- 本原稿は、過去に執筆した時点での法律や判例に基づいておりますので、その後法令や判例が変更されたものがあります。記事内容の現時点での法的正確性は保証されておりませんのでご注意ください。