個人データを、ビジネスを守る、IIJ

中国 個人情報保護法案が公表され、パブリックコメントを募集へ


個人情報保護法草案の公表とパブコメ募集

2020年10月21日、個人情報保護法草案(中国名「个人信息保护法草案」)(以下「本草案」)が公表され、パブリックコメントを同年11月19日まで募集するとのことである。
今回の公表された本草案は8つの章、70条で構成され、主な内容は次のとおりである。

個人情報保護草案の内容

  • 適用範囲
    原則として、中国境内で個人情報を処理する組織や個人に適用される。中国境外であっても①中国境内に製品・サービスを提供する目的の場合、②境内の自然人の行動を分析・評価する場合、③その他の法や行政規則が定める場合にも適用される(3条)。
  • 個人情報処理の原則
    個人情報の処理は合法かつ適切な方法で(5条)、明確かつ合理的な目的で、処理目的の最小範囲に限定して実行し(6条)、処理ルールを開示し(7条)、情報の正確性を確保し(8条)、セキュリティ保護措置を講じなければならない(9条)。また、個人情報を処理するには、個人の同意等の法的根拠を必要とする(13条)。同意の要件も規定されている(14条~19条)。さらに、個人情報の保有期間は目的との関係で最短でなければならない(20条)。
  • 個人情報の処理の方法
    個人情報の共同処理、委託処理、第三者への提供、開示、自動意思決定への利用、開示された個人情報の処理方法が規定されている(21条~28条)。また、機密性の高い個人情報の処理についてはより厳格な規定が設けられている(29条~32条)
  • 国の機関による個人情報の処理の特別規定(33条~37条)
  • 越境移転
    ビジネス目的で個人情報を中国境外へ移転するには38条に規定された要件(①40条により国家サイバー部門によって組織されたセキュリティ評価に合格する、②国家サイバー部門の規則に従い、専門機関による個人情報保護認証を実施する、③外国の受領者と契約を結び、両当事者の権利と義務を規定し、そして個人情報処理活動が本法の規定の個人情報保護基準を満たすよう担保する、④法律、行政規則、国家サイバー部門で規定されたその他の条件)のうちの1つを充足し、14条~19条の同意の要件に加重して39条に規定された事項について通知して個人の同意を取得する必要がある。
  • 個人情報処理における個人の権利
    知る権利、意思決定、照会、訂正、削除など個人の権利が規定されている(44条~49条)
  • 個人情報処理者(※)の義務
    内部管理システムと運用手順を策定し、対応するセキュリティ技術対策を講じ、従業員を教育し、インシデントが発生した場合の対応手順を策定する(50条)。個人情報の処理活動を行う責任者を指名する(51条)。中国境外の個人情報処理者は、中国境内に代表者を置き、届出を行う(52条)。定期的に監査を行い(53条)、54条に列挙された個人情報の処理を行う場合は事前のリスク評価と行う(54条)。個人情報が漏洩した場合、個人情報保護の監督部門と個人に対して通知を行う(第55条)。
  • 個人情報保護監督部門(56条~61条)
  • 法的責任
    この法律の違反に対する過料の他、民事責任や刑事責任も問いうるとしている(62条~67条)。過料の額は、「違法行為により深刻な状況が生じた場合、5000万元(約7億8千万円)未満または前年の売上高の5%未満」(62条)とされており、高額となっている。

※個人情報処理者…本法案においては、「個人情報処理者とは、処理目的、処理方法、その他の個人情報処理事項を独自に決定する組織または個人をいう」(69条)ので、GDPRでいうところの「管理者(Controller)」に該当する概念である。

【全国人民代表大会の公式サイト】
http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80808175265dd401754405c03f154c

関連情報

コンテンツ

中国CS法関連コンテンツ

【ホワイトペーパー】

【セミナー】

【論説・特集】

サービス

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします

関連記事