中国個人情報保護法について
令和4年3月25日
中国個人情報保護法について
森・濱田松本法律事務所
(令和3年度受託法律事務所)
(令和3年度受託法律事務所)
中国[1]の個人情報保護法が2021年11月1日から施行されています。同法は中国における個人情報保護規制に関する初めての基本法として実務的に注目を集めており、中国国内の企業が同法に基づいた対応を行う必要があるだけでなく、中国国外の企業においても状況に応じて対応を検討する必要がある点に注意が必要です。
本資料では、個人情報保護法の概要及び実務上頻出する論点についてQ&A方式により説明します(本資料で引用する条文番号は別途記載されていない限り個人情報保護法の条文番号を意味します。なお、本資料は2022年2月末日時点の情報を前提にしています。)。
Q1 個人情報保護法と「個人情報安全規範」の関係
個人情報保護法が制定される以前から、推奨国家標準である「個人情報安全規範」(GB/T 35273-2020)が存在しますが、個人情報安全規範は個人情報保護法の施行後も引き続き有効でしょうか。
A1
2017年6月1日から施行されているネットワーク安全法においても、「ネットワーク情報の安全」という章の中で、個人情報保護に関する規定が設けられていました。しかし、ネットワーク安全法における個人情報保護に関する規定は概括的なもので数条程度しか規定されていません。「個人情報安全規範」は、このようなネットワーク安全法における個人情報保護に関する規定を補完する目的で制定された国家標準です。同規範は推奨国家標準であり、強制力はありませんが、実務上のガイドラインとして重要な意義を有しています。
今般、個人情報保護法が制定・施行されましたが、個人情報安全規範は引き続き有効であり、実務上のガイドラインとして参照すべきといえます。個人情報保護法と個人情報安全規範のいずれにも規定されている事項については、法令である前者の規定が優先しますが、個人情報安全規範には個人情報保護法よりも、個人情報の実務的な取扱について詳述している事項があります。例えば、個人情報安全規範の付録において、個人情報や機微な個人情報の具体例、プライバシーポリシーのサンプル文案等が掲載されており、実務的に参照価値があるといえます。
Q2 個人情報の定義
中国の個人情報保護法において個人情報はどのように定義されているでしょうか。
A2
中国の個人情報保護法において、個人情報は、電子的方式又はその他の方式により記録され、すでに識別され又は識別可能な、自然人と関連する各種の情報」(匿名化処理された情報は含まれない。)と定義されています(4条)。そのため、個人の「識別可能性」と個人との「関連性」のある情報が個人情報に該当するといえますが、具体的に個人情報に該当するか否かを検討する場合、個人情報安全規範の付録A(個人情報の例示)に列挙されている個人情報の具体例(下表)が参考となります。
個人情報の具体例
| 個人の基本データ | 個人の氏名、生年月日、性別、民族、国籍、家族関係、住所、個人の電話番号、電子メールアドレス等 |
| 個人の身分情報 | 身分証、士官証、パスポート、運転免許証、従業者証、出入許可証、社会保険カード、居住証等 |
| 個人の生体認証情報 | 個人の遺伝子、指紋、声紋、手相、耳介、虹彩、顔の識別に係る特徴等 |
| ネットワークIDの識別情報 | 個人情報主体のアカウント、IPアドレス、個人のデジタル証明書等 |
| 個人の健康及び生理的情報 | 個人の発病治療等により生じる関連記録。例えば、疾病、入院記録、医師指示票、検査報告、手術及び麻酔記録、看護記録、投薬記録、薬品食品アレルギー情報、出産情報、既往歴、治療状況、家族の病歴、現病歴、伝染病歴等、並びに、個人の身体的健康状況に関する情報(例えば、体重、身長、肺活量等) |
| 個人の教育及び勤務情報 | 個人の職業、職位、勤務先、学歴、学位、教育を受けた経歴、職歴、育成訓練記録、成績票等 |
| 個人の財産情報 | 銀行口座、識別情報(パスワード)、預金情報(資金額、金銭支払受取記録等を含む)、不動産情報、貸付記録、信用情報、取引及び消費記録、出納記録等、並びに仮想通貨、仮想取引、ゲーム類のリディームコード等の仮想財産情報 |
| 個人の通信情報 | 通信記録及び内容、ショートメッセージ、マルチメディアメッセージ、電子メール、並びに個人の通信を記述したデータ(通常は「メタデータ」という)等 |
| 連絡先の情報 | アドレス帳、友達リスト、グループリスト、電子メールアドレスリスト等 |
| 個人のネットワーク接続記録 | ログに記録された個人情報主体の操作記録をいう。ウェブサイト閲覧記録、ソフトウェア使用記録、クリック記録、お気に入りリスト等を含む。 |
| 個人の常用装置情報 | ハードウェアのシリアル番号、装置のMACアドレス、ソフトウェアリスト、一意の装置識別コード(例えば、IMEI/Android ID/IDFA/OpenUDID/GUID/SIMカードIMSI情報等)等を含めた、個人が常用する装置の基本的状況を記述した情報をいう。 |
| 個人の位置情報 | 行動の軌跡、正確な位置情報、宿泊情報、緯度経度等を含む。 |
| その他の情報 | 婚姻歴、宗教の信仰、性的指向、公開されていない違法犯罪記録等 |
また、取扱に関してより厳格な要件が必要となる「機微な個人情報」について、「一旦漏洩され、又は不法に使用されると、自然人の人格の尊厳が侵害を受け、又は人身、財産の安全が害されやすい個人情報」と定義されており、その具体例として、生体認証、宗教信仰、特定の身分、医療健康、金融口座、行動履歴等の情報、及び14歳未満の未成年者の個人情報が含まれると規定されています(28条)。機微な個人情報ついても、個人情報安全規範の付録B(機微な個人情報の判定)に列挙されている具体例(下表)が参考となります。
機微な個人情報の具体例
| 個人の財産情報 | 銀行口座、識別情報(パスワード)、預金情報(資金額、金銭支払受取記録等を含む)、不動産情報、貸付記録、信用情報、取引及び消費記録、出納記録等、並びに仮想通貨、仮想取引、ゲーム類のリディームコード等の仮想財産情報 |
| 個人の健康及び生理的情報 | 個人の発病治療等により生じる関連記録、例えば、疾病、入院記録、医師指示票、検査報告、手術及び麻酔記録、看護記録、投薬記録、薬品食品アレルギー情報、出産情報、既往歴、治療状況、家族の病歴、現病歴、伝染病歴等 |
| 個人の生体認証情報 | 個人の遺伝子、指紋、声紋、手相、耳介、虹彩、顔の識別に係る特徴等 |
| 個人の身分情報 | 身分証、士官証、パスポート、運転免許証、従業員証、社会保険カード、居住証等 |
| その他の情報 | 性的指向、婚姻歴、宗教の信仰、公開されていない違法犯罪記録、通信記録及び内容、アドレス帳、友達リスト、グループリスト、行動の軌跡、ウェブページ閲覧記録、宿泊情報、正確な位置情報等 |
Q3 個人情報保護法の域外適用
中国の個人情報保護法は、中国国外の企業に対しても適用される場合があると聞きましたが、どのような場合に適用されるのでしょうか。また、中国国外の企業にも適用される場合の留意点は何でしょうか。
A3
■域外適用の要件
中国の個人情報保護法は、中国国内における個人情報の取扱行為に対して適用されるだけでなく、中国国外においても適用される場合があります(いわゆる「域外適用」。3条)。
域外適用の要件は以下のとおり定められています。すなわち、中国国外における、中国国内の自然人の個人情報の取扱行為が、(1)中国国内の自然人に対する製品又は役務(サービス)の提供を目的とするとき、(2)中国国内の自然人の行動を分析し、評価するためであるとき、又は(3)法律、行政法規に規定するその他の事由のいずれかに該当するときは、中国の個人情報保護法が適用されます。上記(1)の典型例として、中国国内の個人に対して越境ECにより製品を販売する場合や旅行サービス等を提供する場合、上記(2)の典型例として、中国国内の個人の購買動向等を調査する場合等が考えられます。
■域外適用を受ける場合の留意点
中国の個人情報保護法の域外適用を受ける中国国外の個人情報取扱者[2]は、中国において専門機構又は代表者を設置し、かつその名称・氏名、連絡先等を個人情報保護職責履行部門に届け出ることが要求されます(53条)。但し、現時点では上記の専門機構又は代表の設置、及びその届出について具体的な実務は定まっていないようです。例えば、中国国内に子会社が存在する場合には、当該子会社を専門機構として当局に対して届け出ることが想定されますが、具体的な対応については今後の実務動向も踏まえながら検討する必要があると考えられます。
また、域外適用の場面においては、中国国外の個人情報取扱者において違法行為があったとしても、中国当局が処分等を行うことは事実上困難であることが想定されます。そこで、個人情報保護法は、中国国外の個人情報取扱者に対する法規制の実効性を確保するために、国のネットワーク情報部門は、国外の組織や個人が、中国の公民の個人情報の権益を侵害し、又は中国の国の安全や公共の利益を害する個人情報取扱行為に従事した場合、それらの者を個人情報提供制限リスト又は同禁止リストに記載し、これを公告し、かつそれらの者に対する個人情報の提供の制限又は禁止し、実質上中国市場へのアクセスを制限又は禁止する等の措置を講じることができると規定している点にも注意が必要です(42条)。
上記に加えて、中国の個人情報保護法の域外適用を受ける場合には、同法に定める一般的な要求事項を遵守する必要があるといえます。例えば、個人情報取扱者として、個人情報の安全確保のために講じるべき措置として以下の内容が定められており(51条)、こうした措置についても対応を検討する必要があるといえます。但し、実際には、日本の個人情報保護法や欧州一般データ保護規則(General Data Protection Regulation(GDPR))等に基づいてすでに行われている措置でカバーできる場合も多いと考えられます。
(1) 内部の管理制度及び操作規程を制定する。
(2) 個人情報に対して分類管理を実行する。
(3) 暗号化、非識別化等の然るべき安全技術措置を講じる。
(4) 個人情報取扱の操作権限を合理的に確定し、かつ定期的に従業員に対して安全教育及び研修を行う。
(5) 個人情報の安全に関わる事象に対する緊急対応策を制定し、かつ実施を手配する。
(6) 法律、行政法規に定めるその他の措置
Q4 個人情報の取扱の要件
個人情報はどのような場合に適法に取扱うことができるでしょうか。
A4
個人情報の取扱(収集、保存、使用、加工、伝送、提供、公開、削除等)を行うための正当な事由について、個人情報保護法は以下の事由を列挙しています(13条)。
- 個人の同意を取得しているとき
- 個人を当事者の一方とする契約の締結、履行のために必要であるとき、又は法に従い制定された労働規則制度及び法に従い締結された集団契約に従い人材資源管理を実施するために必要であるとき
- 法定の職責又は法定の義務の履行のために必要であるとき
- 突発的公衆衛生事象に対応するため、又は緊急の場合において自然人の生命健康及び財産の安全を保護するために必要であるとき
- 公共の利益のためニュース報道や世論による監督等の行為を実施するにあたり、合理的な範囲内で個人情報を取扱うとき
- 個人が自ら公開した個人情報又はその他のすでに合法的に公開されている個人情報を本法の規定に従い合理的な範囲内で取扱うとき
- 法律、行政法規に定めるその他の事由
個人情報の取扱の正当事由として、上記(1)(個人の同意)と、その他の事由(上記(2)以降)が並列で規定されていますが、その他の事由が適用される場面は相当限定的であるため、実務的には、個人の同意の取得をまず検討する必要があるといえます。上記(2)については適用がある場面は比較的広いと言えますが、「法に従い制定された労働規則制度及び法に従い締結された集団契約に従い人材資源管理を実施するために必要であるとき」という事由の具体的な解釈についてはまだ定まっていません。法令の手続きを遵守して定められた就業規則等に明示することで従業員の個人情報の取扱が可能となると考えられますが、実務的には同意取得も同時並行で検討をする方が安全といえます。
Q5 「個別の同意」が要求される場面
中国の個人情報保護法においては、通常の同意と異なり、「個別の同意」が要求される場面があると聞きましたがどのような場面でしょうか。また、「個別の同意」はどのように取得する必要があるでしょうか。
A5
■通常の同意の取得方法
「同意」は、当該個人が事前に十分に事情を知らされた状態で自らの意思により明確に意思表示されなければなりません(14条)。そして、個人情報取扱者は、個人情報を取扱う前に、明確な方法・明瞭簡易な表現で、当該個人に対し、(1)個人情報取扱者の名称又は氏名及び連絡先、(2)個人情報の取扱目的、取扱方法及び取扱う個人情報の種類、保存期間、(3)個人情報保護法に定める権利を個人が行使する場合の方法及び手続、(4)法律、行政法規に告知すべき旨が定められているその他の事項を正確・完全に告知しなければならないとされています(17条)。
多数の個人から同意を取得する場合には、いわゆるプライバシーポリシー等に上記の告知事項を記載して、当該プライバシーポリシー等に関して同意を得るという手法が一般的といえます。
■「個別の同意」が必要となる場面・その取得方法
個人情報を取扱う際の同意取得について、これまでの実務では、個人から包括的な同意を取得するケースが多かったといえます。しかし、個人情報保護法は、以下の場合には包括的な同意ではなく、「個別の同意」を取得しなければならないと要求しています。
- 個人情報取扱者が第三者にその取扱う個人情報を提供する場合(23条)
- 個人情報取扱者がその取扱う個人情報を公開する場合(25条)
- 公共の場所へ据え付けた画像収集設備、個人の身元識別設備により収集した個人の画像、身元識別情報を、公共の安全の維持保護の目的以外の目的に利用する場合(26条)
- 機微な個人情報を取扱う場合(29条)
- 個人情報取扱者が中国国外に個人情報を提供する場合(39条)
「個別の同意」の取得方法については、個人情報保護法では明確にされていません。参考として、個人情報安全規範では、「明示的な同意」(個人が、自発的に表明を行い、又は自主的に肯定的行動をとり、その個人情報に特定の取扱を行うことにつき明確な権限付与をする行為をいう[3])という概念が規定されており、この明示的な同意を取得する方法として、収集される特定の項目の個人情報ごとにチェックボックスを設けてチェックを入れてもらう方法等が例示されています[4]。個人情報保護法における「個別の同意」の取得方法については、今後の実務運用の中で明らかになっていくと考えられますが、上記の個人情報安全規範の規定などを参考して、「個別の同意」が必要な事項についてはチェックボックスを別に設けて同意を求めること等が考えられます。
Q6 個人情報の越境移転に関する規制
中国の個人情報保護法においては、中国国内から中国国外に個人情報を移転することについて規制がかかると聞きましたが、どのような規制でしょうか。
A6
個人情報を中国国内から中国国外に提供する場合(いわゆる「越境移転」)、上記の「個別の同意」を取得する必要があり、かつ以下のいずれかの要件を満たす必要があるとされています(38条)。
- 国のネットワーク情報部門が行う安全評価に合格すること
- 国のネットワーク情報部門の規定に従い専門機構が行う個人情報保護に係る認証を受けること
- 国のネットワーク情報部門が制定する標準契約に従い国外の受領者と契約を締結し、双方の権利及び義務を約定すること
- 法律、行政法規又は国のネットワーク情報部門が定めるその他の条件に該当すること
しかし、現時点では上記各要件の詳細はいずれも明らかではありません。特に、上記各要件のうち、実務的には標準契約に従った契約の締結が行われることが多いと考えられますが、現時点では標準契約は制定されていません。
なお、「重要情報インフラ」[5]の運営者及び取扱う個人情報が国家ネットワーク情報部門の定める数量に達している個人情報取扱者は、中国国内で収集した個人情報を国内で保存しなければならず、かつ国外に提供する場合は、国のネットワーク情報部門が行う安全評価に合格することを義務付けられています(40条)。現時点では「国家ネットワーク情報部門の定める数量」は正式に規定されていません。この点、意見募集稿ではありますが、「データ国外移転安全評価規則(意見募集稿)」及び「ネットワークデータ安全管理条例(意見募集稿)」においては、「国のネットワーク安全情報部門の定める数量」について100万人と規定されています。また、これらの意見募集稿では、個人情報を越境移転する際に安全評価が義務づけられる主体として、累計で10万人以上の個人情報又は1万人以上の機微な個人情報を越境移転する企業も挙げており、今後の立法動向に注視をする必要があります。
さらに、個人情報の越境移転を実施する前に個人情報保護影響評価[6]を行い、また取扱状況について記録を取ると共に、評価報告及び取扱状況の記録を3年間保存しなければならないとされています(55条、56条)。中国の個人情報保護法に基づく個人情報保護影響評価の実務はまだ定まっていないものの、GDPRにおけるデータ保護影響評価(DPIA)に類似するものと考えられ、その実務を参考にすることが考えられます。
Q7 違法行為に対する罰則
個人情報保護法に違反する行為があった場合、どのような罰則が科されるでしょうか。
A7
個人情報保護法に違反する場合の罰則一般として、個人情報保護職責履行部門による是正命令、警告、違法所得の没収、個人情報を違法に取扱うアプリケーションプログラムのサービス提供の一時停止又は終了が定めており、是正を拒否したときは、100万元以下の過料を併科できると定められています。また、企業のみならず、直接責任を負う主管者及びその他の直接責任者に対しても、1万元以上10万元以下の過料に処することができるとしています(66条1項)。
さらに、個人情報保護法に違反する行為があり、その情状が重いときには、省級以上の個人情報保護職責履行部門が是正を命じ、違法所得を没収し、併せて5,000万元以下又は前年度売上高の5%以下の過料に処するものとし、さらに関連業務の一時停止又は営業停止・整頓を命じ、関連主管部門に通報して、関連業務許可を取り消し、又は営業許可書を取り上げるよう要請することができ、直接責任を負う主管者及びその他の直接責任者に対しては10万元以上100万元以下の過料に処するものとし、さらにその者が一定期間において関連企業の董事、監事、高級管理職及び個人情報保護責任者に就任することを禁止する旨を決定することができるとされています(66条2項)。
どのような場合に情状が重いと判断されるかの基準は明確にされていないものの、売上高基準で過料を科せられることとなる場合には、その過料金額は企業規模によっては巨額となり得る点に留意が必要です。
Q8 個人情報保護法への対応
中国の個人情報保護法についてまだ対応できておりません。どのようなことから検討をすればよいでしょうか。
A8
まず、中国法人において扱っている個人情報や日本本社において扱っている中国国内の個人情報など、グループ会社内においてどのような個人情報を取得、保有、使用等をしているのかを把握する必要があります。そのためには、いわゆるデータマッピングの作業が有効です。
その上で、中国の個人情報保護法への対応についても優先度の高いものから実施していくことが効率的と考えられます。まず、中国の個人情報保護法においては、個人情報の取扱について個人から同意を取得することが重要であるといえます。そのため、データマッピングの結果として、個人の同意が取得できていない個人情報取得のルートがないか検証し、もし同意の取得漏れがある場合には、同意を取得できるように制度やシステムを変更する必要があります。また、個人から同意を取得する前提として、プライバシーポリシーや個人情報取扱規程等の整備が必要といえます。
そして、同意取得以外の個人情報保護法による要求事項について、遵守ができているか否かをチェックしていき、遵守できていない事項については、順次対応をしていくことが必要となります。なお、現時点では、下位規則等が定まっていないために実務的に対応できない事項もあります。そうした事項については、今後の立法動向や実務運用の動向をみながら対応方針を決定することになると考えられます。
Q9 下位規則等の状況
個人情報保護法やデータ安全法に関して、下位規則等の制定が進められているようですが、現状どのような規則等が制定されようとしているでしょうか。
A9
データ安全に関する基本法であるデータ安全法(2021年9月1日施行)及び個人情報保護法は施行されたものの、その規制の詳細及び実務運用について明らかではない点も多く、下位規則やガイドライン等の制定が待たれているところです。そうした状況の中、相当数の規則等の制定や意見募集稿の公表が行われてきています。
データ安全法・個人情報保護法の施行後に制定又は公表された主な規則や意見募集稿は以下のとおりです[7]。
データ安全・個人情報保護全般
| 施行済み | 公布日:2021年7月30日 施行日:2021年9月1日 |
重要情報インフラ安全保護条例 |
| 意見募集稿 | 公表日:2021年10月29日 | データ国外移転安全評価規則(意見募集稿) |
| 公表日:2021年11月14日 | ネットワークデータ安全管理条例(意見募集稿) |
ネットワーク安全審査
| 施行済み | 公布日:2021年12月28日 施行日:2022年2月15日 |
ネットワーク安全審査規則(2021) |
データ安全・分類関連
| 施行済み | 公布日:2021年12月10日 施行日:同日 |
工業分野データ安全管理試験運用業務の組織及び展開に関する通知 |
| 意見募集稿 | 公表日:2021年9月30日 | ネットワーク安全標準実践ガイドライン―データ種別級別手引き(意見募集稿) |
| 公表日:2021年12月22日 | 工業及び情報化分野のデータ安全リスク情報の提出及び共有の業務手引き(試行) | |
| 公表日:2022年1月13日 | 情報安全技術 重要データ識別ガイドライン(意見募集稿) | |
| 公表日:2022年2月10日 | 工業情報化分野データ安全管理規則(試行)(公開意見募集稿) |
ネットワーク・インターネット情報サービス関連
| 施行済み | 公布日:2021年12月31日 施行日:2022年3月1日 |
インターネット情報サービスにおけるアルゴリズムによる推奨に関する管理規定 |
| 意見募集稿 | 公表日:2021年9月13日 | ネットワーク製品安全脆弱性収集プラットフォーム届出管理規則(意見募集稿) |
| 公表日:2021年10月26日 | インターネット・ユーザーアカウント名称情報管理規定(意見募集稿) | |
| 公表日:2022年1月5日 | モバイルインターネット・アプリケーション・プログラム情報サービス管理規定(意見募集稿) | |
| 公表日:2022年1月28日 | インターネット情報サービス高度合成に関する管理規定(意見募集稿) |
自動車業界関連
| 施行済み | 公布日:2021年8月16日 施行日:2021年10月1日 |
自動車データ安全管理に関する若干規定(試行) |
| 公布日:2021年9月15日 施行日:同日 |
車に関するインターネット上のネットワーク安全及びデータ安全業務の強化に関する通知 | |
| 意見募集稿 | 公表日:2021年10月19日 | 情報安全技術 自動車データ収集の安全要求(意見募集稿) |
特殊な個人情報関連
| 施行済み | 公布日:2021年7月27日 施行日:2021年8月1日 |
顔認識技術を使用した個人情報の取扱に関連する民事事件の審理における法律適用の若干問題に関する規定 |
| 公布日:2021年9月27日 施行日:2022年1月1日 |
信用情報収集業務管理規則 |
本資料の利用についての注意・免責事項
本資料は、森・濱田松本法律事務所が2022年2月末日までに入手した中国の法令等の公開情報に基づき作成しており、その後の法令改正等を反映していません。また、本資料に掲載する情報について、一般的な情報・解釈がこれと同じであることを保証するものではありません。本資料は参考情報の提供を目的としており、法的助言を構成するものではありません。
日本政府、外務省、在中国日本国大使館、領事館及び森・濱田松本法律事務所は、本資料の記載内容に関して生じた直接的、間接的、派生的、特別の、付随的又は懲罰的損害等について、一切の責任を負いません。
以上
[1] 本資料において、中国とは中国大陸を含み、香港特別行政区、マカオ特別行政区及び台湾地区を含みません。
[2] 「個人情報取扱行為において、取扱目的、取扱方法を自ら決定する組織又は個人」(73条1号)
[3] 個人情報安全規範3.6条
[4] 個人情報安全規範付録C、表C.1
[5] 「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政、国防科学技術工業等の重要な業界及び分野、並びにその他ひとたび破壊され、機能を喪失し、又はデータが漏洩すると、国の安全、国の経済と人民の生活、公共の利益に重大な危害が及ぶおそれがある重要ネットワーク施設、情報システム等」(ネットワーク安全法31条、重要情報インフラ安全保護条例2条)
[6] 個人情報保護影響評価は、個人情報の越境移転以外にも以下の場合に行う必要があります。
(1)機微な個人情報の取扱
(2)個人情報を利用した自動化された意思決定
(3)個人情報の取扱の委託、その他の個人情報取扱者への個人情報の提供及び個人情報の公開
(4)その他個人の権益に重大な影響を与える個人情報取扱行為
(1)機微な個人情報の取扱
(2)個人情報を利用した自動化された意思決定
(3)個人情報の取扱の委託、その他の個人情報取扱者への個人情報の提供及び個人情報の公開
(4)その他個人の権益に重大な影響を与える個人情報取扱行為
[7] 上海市データ条例(2022年1月1日施行)等、各地方においてもデータ関連の条例が制定される動きがあります。