世界のプライバシー保護規制対応を支援するサイト

中国 個人情報保護法が公布され、11月1日施行


個人情報保護法の公布

2021年8月20日、中国の個人情報保護法(中国名「中华人民共和国个人信息保护法」)が成立し、公布された。同年11月1日に施行となる。

個人情報保護法の内容

前回公表された個人情報保護法草案2次審議稿と細かな違いはあるが、内容にほぼ変わりはない。

中国国外の企業にも適用される場合があり、個人情報を中国国内から中国国外へ移転する場合に規制がかけられる。違反に対して「5000万元(約8億5千万円)以下または前年の売上高の5%以下」の過料が課せれる可能性もある。

適用範囲

原則として中国境内での個人情報の処理に適用されるが、以下のいずれかに該当する個人情報の処理にも適用される(第3条)。

  1. 中国境内の自然人に対して製品やサービスを提供する目的とする場合
  2. 中国境内の自然人の行動を分析し評価する場合
  3. 法律、行政法規等の規定に該当する場合

自然人が個人や家庭のために個人情報を処理する場合は適用外である(第72条第1文)

用語の定義

  • 個人情報
    匿名化処理後の情報を除き、識別または識別可能な自然人に関する電子的またはその他の方法で記録される様々な情報をいう(第4条)。
  • 機密性の高い個人情報(センシティブ個人情報)
    生体認証、宗教的信念、特定の身元、医療、金融口座、所在の軌跡、14歳未満の未成年者の個人情報など、自然人の尊厳や人または財産の安全を危険にさらすおそれのある個人情報をいう(第28条第1文)。
  • 個人情報処理
    個人情報の収集、保管、利用、加工、送信、提供、開示、削除等が含まれる(第4条)。

個人情報処理の原則1

  •  合法・公正・必要性と誠実の原則(欺罔的、強制的、その他の方法で処理の禁止)(第5条)
  •  明確かつ合理的な目的の元、人権侵害が最も少ない手段による(第6条)
  •  取扱目的の達成に最低限とし、過度に収集してはならない(第6条)
  •  公開・透明性の原則(処理目的、方法及び範囲を明示)(第7条)
  •  正確性・完全性の原則(第8条)

個人情報処理の原則2

以下に該当する場合、個人情報を処理できる(第13条)。

  1. 個人の同意を取得する場合
  2. 個人が当事者である契約の締結や履行に必要な場合、又は法律に従って制定された就業規則及び法律に従って署名された労働協約に基づく人事管理の実施に必要な場合
  3. 法が定める職務や義務に必要な場合
  4. 公衆衛生表の緊急事態に対応するため、又は自然人の生命・身体・財産を保護するために緊急を要する場合
  5. 公益のためにニュースの報道、世論の監督等の行為を実施する際に、合理的な範囲において個人情報を処理する場合
  6. 個人が自ら公開し、その他合法的に公開された個人情報を本法に従い合理的範囲内で処理する場合
  7. 法律や行政法規の規定に定める場合

上記 1. の個人の同意を取得する場合、十分な知識を有する個人が任意で明確に同意する必要があり、法律や行政法規で書面が必要とされる場合は書面による同意が必要となる(第14条前文)。

また、個人は同意を撤回する権利を有し、個人情報取扱者は、簡易に実施できる同意撤回手段を提供するものとする(第15条)。

情報提供

個人情報取扱者は、個人情報を処理する前に、以下の事項を誠実、正確、完全に、目立つ方法で明確かつ分かり易い言葉で個人に通知する必要がある(第17条)。

  1. 個人情報取扱者の名称または氏名、および連絡先情報
  2. 個人情報の処理の目的、処理方法、処理される個人情報の種類、および保存期間
  3. 個人がこの法律に基づいて権利を行使するための方法および手順
  4. 法律、行政法規で定めるその他の通知すべき事項

個人情報の処理を委託する場合

委託者と受託者の間で、委託の目的、期間、処理方法、委託する個人情報の種類、保護措置、両当事者の権利義務等について合意し、委託者は受託者の処理活動について監督をする必要がある。受託者は委託契約の内容を越えて個人情報を処理してはならず、委託契約が終了等した場合、委託を受けた個人情報を返却するか、削除し、保持してはならない。また、委託者の同意なく再委託することは禁じられる(第21条)。

第三者提供

個人情報取扱者が他の個人情報取扱者に個人情報を提供するためには、受領する個人情報取扱者の名称又は氏名、連絡先、処理目的、処理方法と個人情報の種類を個人に通知し、個人から単独の同意を取得する必要がある(第23条前文)。

機密性の高い個人情報の処理

個人情報取扱者は、特定の目的と十分な必要性がある場合で、厳格な保護措置を講じている場合にのみ、機密性の高い個人情報を処理できる(28条第2文)。また、機密性の高い個人情報を処理する場合には、原則として個人の単独の同意を取得し(14歳未満の未成年者の場合は親権者等の保護者の同意(第31条))、第17条の事項に加えて機密性の高い個人情報を処理する必要性と個人の権利に対する影響を個人に対して通知する必要がある(第29条、第30条)。

越境移転

個人情報取扱者は、業務上の必要性から、中国境外に個人情報提供を行う必要がある場合は、以下のいずれかの条件に該当する必要がある(第38条)。また、境外の受領者の名称又は氏名、連絡先、処理目的、処理方法、個人情報の種類、個人がこの法律に基づいて境外の受領者に対して権利を行使するための方法と手順等の事項を個人に通知し、個人から単独の同意を取得する必要がある(第39条)。

  1. 本法第40条に基づく国家サイバー部門が組織するセキュリティ評価に合格する
  2. 国家サイバー部門の行政規則に従い、専門機関による個人情報保護認証を実施する
  3. 国家サイバー部門が策定した標準契約に従い境外の受領者と契約を締結し、両当事者の権利と義務を規定する
  4. 法律、行政規則、または国家サイバー部門によって規定されたその他の条件

データローカライゼーション

重要情報インフラ事業者及び国家サイバー部門が規定する数の個人情報を処理する個人情報取扱者は、収集や生成された個人情報を中国境内に保存しなければならない(第40条前文)。

個人の権利

  • 個人情報の処理について知る権利、決定する権利、制限または拒否する権利(第44条)
  • 個人情報を閲覧し、複製する権利(第45条)
  • 訂正または補足権(第46条)
  • 以下の場合で、個人情報取扱者が個人情報を削除しない場合の削除権(第47条)
    (1) 処理目的の達成、達成不能、処理目的のために必要ではなくなった場合
    (2) 個人情報取扱者が商品やサービスの提供を停止した場合、または保存期間が終了した場合
    (3) 個人が同意を撤回した場合
    (4) 個人情報取扱者が法令、行政規則に違反する、または個人情報の処理契約に違反する場合
    (5) 法律、行政法規に規定するその他の場合
  • 個人情報処理規則の説明要求権(第48条)

個人情報取扱者の義務

  • セキュリティ保護措置(第51条)
    (1) 内部管理体制及び運用規程の整備
    (2) 個人情報の分類管理
    (3) 暗号化、匿名化、その他のセキュリティ技術対策
    (4) 個人情報取扱いに関する運用権限を合理的に決定し、実務者に対するセキュリティ教育・研修の定期実施
    (5) 個人情報のセキュリティインシデントに関する緊急時対応計画の策定と実施
    (6) 法令その他の行政規則に定める措置
  • 責任者の任命と報告(第52条)
  • 中国境外の個人情報取扱者に対する中国境内での専門機関又は代表者の設立と届出(第53条)
  • 定期監査(第54条)
  • 以下の場合の事前の個人情報保護影響評価(DPIA)(第55条)
    (1) 機密性の高い個人情報を処理する場合
    (2) 個人情報を利用して自動化された意思決定を行う場合
    (3) 個人情報の処理を委託したり、個人情報を第三者へ提供したり公開したりする場合
    (4) 個人情報を境外へ提供する場合
    (5) その他、個人の権利や利益に重大な影響を与える個人情報の処理を行う場合
  • インシデント発生時の是正措置と報告(第57条)
    ※通知に含める必要がある内容
    (1) 個人情報の漏えい、改ざん、紛失の可能性のある情報の種類、原因、および潜在的な損害
    (2) 個人情報取扱者が講じた是正措置及び個人が講じる危険の軽減策
    (3) 個人情報取扱者の連絡先
  • プラットフォーマーの義務(第58条)
  • 受託者の安全措置(第59条)

法的責任

本法に反した個人情報の処理を行ったり、本法に定められた義務を行わなかったりした場合、訂正命令、警告、違法所得の没収、サービス提供の停止や終了命令が出され、訂正命令に従わない場合に100万元以下の過料を課すことができる。責任者等へは1万元~10万元の過料を課すことができる。更に、深刻な結果が生じた場合、訂正命令、違法所得の没収、5,000万元または前年の売上高の5%以下の過料、また、関連事業の停止を命じたり、是正のために事業を停止したり、関連する管轄当局に関連する事業免許を取り消すか、事業免許を取り消すよう通知することもできる。責任者等へ10万元~100万元までの過料を課し、また、一定期間内に関連会社の取締役、監督者、上級管理職、個人情報保護責任者を務めることを禁止することもできる。(第66条)

 

※日本語訳はIIJによるものである。
※「個人情報取扱者(原文では「个人信息处理者(個人情報処理者」)とは、処理目的、処理方法、その他の個人情報取扱事項を独自に決定する組織または個人をいう」とあり、GDPRでいうところの管理者(Controller)に該当する概念である。混同を避けるため、本書中では、「個人情報取扱者」と記載している。

※中国境内とは、香港、マカオ、台湾を含まない概念となり、「中国国内」という用語と区別して使用している。
他方、中国境外とは、境内以外を指す概念として使用している。

 

【個人情報保護法】
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

関連するブログ

関連記事