データ・ネットワーク主権から見た中国個人情報保護法

中国個人情報保護法が、本年の8月20日に成立して交付されています。施行は、11月1日です。

原文は、こちら。(中华人民共和国个人信息保护法 (2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)

解説は、「中国個人情報保護法の成立 (別添:中華人民共和国個人情報保護法全文仮訳) 」が一番ポピュラーなところでしょうか。

当社のブログですと中国関連は、

「域外適用と対抗措置、国家安全保障審査、提供禁止-成立した中国データセキュリティ法を読んでみる」(2021年6月12日)

「村田製作所事件の法的意義と中国のネットワークセキュリティ法と国家情報法における「ネットワーク空間の主権」」(2021年8月10日付け)

「中国の「重要情報インフラセキュリティ保護規則」-保護の体系と脆弱性検査の許可制」(2021年8月22日付け)

となります。

国家情報法、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法がひとつの体系をなしているようにおもいます。そして、その内容は、「ネットワーク主権」の体系化という観点からみることができるものと考えられます。

国家主権とは、国家主権とは、国家間における独立を意味するもので、地球上の一定の領域において行使して他国やその機能を排除する権能を意味するとされています(パルマス島事件 仲裁判決1928年)。この国家主権は、領域内における対内的な側面(対内主権(Internal Sovereignty))と対外的な側面(対外主権(External Sovereignty))にわけて論じられます。対内的な側面というのは、領域内においては、国際的な義務に違反しないかぎりにおいて、国家は、自由に活動をなしうるということを意味します。また、対外的な側面というのは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には拘束されないことをいいます。

そして、この点が、物を対象に構築された主権の論理を、データとネットワークについて、拡張して整理がなされているということができるだろうと考えます。

第1章 総則

1条 目的、2条 保護あたりは、とくに問題はないでしょう。

3条は適用範囲です。立法管轄権について、連結点が特定されています。

中華人民共和国の域内において自然人の個人情報を取扱う活動に対し、本法を適用する。
中華人民共和国の域外において、中華人民共和国域内の自然人の個人情報を取扱う活動が、以下に列挙する状況の 1 つを具備していれば、本法をも適用する。
(一)域内の自然人に向けて商品又はサービスを提供することを目的としている。
(二)域内の自然人の行為を分析し、評価する。
(三)法律又は行政法規の規定するその他の状況。

4条1項は、個人情報の定義です。

個人情報は、電子的又はその他の方法で記録された、既に識別され又は識別可能な自然人に関する各種情報をいうが、匿名化処理後の情報を含まない

5条は、取扱に関する原則(信息应当遵循合法、正当、必要和诚信原则)と禁止される取扱の方法(误导-誤導、欺诈-詐欺、胁迫-脅迫等)です。

6条は、取扱の目的、目的との直接関連性、本人への影響が最小になるようにという規定です。

7条は、取扱についての公開・透明の原則の遵守等です。

8条は、個人情報の質の保証、9条は、取扱者の責任と安全の保障のために必要な措置の規定です。

10条は、違法な個人情報の取扱の禁止ですが、それに加えて

国家安全又は公共の利益を害する個人情報の取扱活動を行なってはならない。

というのは、中国らしいところだと思われます。

11条は、健全な個人情報保護制度の確立、個人情報に関する権利利益を侵害する行為の予防及び処罰、個人情報保護宣伝教育を強化をうたっています。

12条は、積極的に個人情報保護の国際ルールの制定への関与がうたわれています。

第2章 個人情報の取扱に関するルール(个人信息处理规则)

第1節 一般規定

13条は、個人情報を取り扱うことができる場合の列挙。限定列挙であるところに特徴があります。

14条は、同意の要件です。

15条は、未成年の場合の取扱です。年齢の基準は、14歳です。

16条は、同意の撤回の権限です。

17条は、個人情報のいわば「抱合せ」禁止原則です。但し、

ただし、個人情報の取扱が商品又はサービスの提供に必要な場合にはこの限りではない。

ことが明言されています。

18条 インフォームド・コンセントにおいて、知らされるべき情報ということかと思います。

19条は、秘密保持が必要な場合の例外です。

20条は、取扱の期間の必要最小限度のルールです。

21条は、共同での取扱の場合の各自の権利・義務を定めておくべきというルールです。

22条は、委託の場合の定め、とくに監督義務が定められています。また、同意なしの再委託が禁止されています。

23条は、個人情報取扱者が合併及び分割等の理由で個人情報を移転する必要がある場合における個人に対し移転先の身元及び連絡方法を告知する義務です。

24条は、個人情報の第三者提供の場合の同意の要件です。第三者への告知義務/それにしたが手取扱が記載されています。また、再識別禁止もなされています。

25条は、自動的決定についての規定です。これは、興味深いです。

決定の透明度及び取扱結果の公平性・合理性を保障しなければならない。個人が、自動的な決定がその権利利益に対し重大な影響をもたらすと考える場合には、個人情報取扱者に対し説明を求める権利を有し、かつ、個人情報取扱者が自動的な決定の方法のみをもとに決定を行うことを拒絶する権利を有する。
自動的な決定の方法で商業的なマーケティング及び情報配信を行う場合には、その個人的特徴に基づかない選択項目をも同時に提供しなければならない。

とされています。1項は、GDPRとの同趣旨かと思います。2項は、具体的にどのような形になるのか、ウェブページで、どっちにしますか?とかでるのでしょうか。

26条は、特段の定めがないかぎりの個人情報の公開の禁止です。

27条は、日本でも話題になった公共の場におけるカメラ等の設置についての規定です。記事的には「他人事ではないJR東日本の監視カメラ問題、多様化する「顔認識技術」導入リスク」を張っておきます。

公共の場において、カメラや個人の身元を識別する設備を設置する場合には、公共安全の維持に必要な場合でなければならず、国家の関連規定を遵守し、かつ、明示的にこれを表示する標識を設置しなければならない。そこで収集した個人の映像及び個人身元特徴情報は、公共安全維持の目的のためにのみ用いることができ、公開し又は他人に提供してはならない。但し、個人の個別的同意を取得した場合又は法律若しくは行政法規が別途規定する場合はこの限りではない

ここで、個人情報保護法が、この顔識別についての規定をいれているというのは、興味深いと思います。具体的に、どのような規定がなされるのか、また、その運用は、ということで興味深いところです。

28条は、既に公開されている個人情報に関してのルールです。この場合には、公開された際の用途に適合しなければならないとされています。

第2節 センシティブ個人情報取扱規則(敏感个人信息的处理规则)

29条は、取扱がが可能になる場合とは、目的が特定されていて十分な必要性がある場合であるとされています。また、定義がなされていて、

センシティブ個人情報は一度漏洩し又は不法に使用されると、個人が偏見を受け、又は人身、財産安全に重大な危害を受ける可能性がある個人情報をいい、種族、民族、宗教信仰、個人の生物的特徴、医療健康、金融口座及び個人の所在等の情報を含む。

いうとされています。

30条は、個別的同意および書面による同意という場合については、それによるという規定です。

31条は、告知事項として、必要性および個人の影響の告知が追加されています。

32条は、法律又は行政法規がセンシティブ個人情報の取扱にあたり特定の定めをしているばあいには、それに従うという規定です。

第3節 国家機関による個人情報の取扱いに関する特別規定

33条は、国家機関による取扱についても適用がなされるという規定です。

34条は、国家機関の取扱については、法律及び行政法規の規定する権限及び手続きに従って行うこと、法定職責の履行に必要な範囲及び限度を
超えてはならないことを定めています。

35条は、国家機関の取扱いにあたり、個人に告知し、その同意を取得しなければならないこと、但し、秘密保持の規定がある場合などについては、例外であることを定めています。

36条は、国家機関による個人情報の公開、他人への提供の禁止です。

第37条は、国家による個人情報のローカル化の規定です。

国家機関が取扱う個人情報は中華人民共和国の域内で保存しなければならない。確かに域外に提供する必要がある場合には、リスク評価を行わなければならない。リスク評価は関連部門に支持及び協助を要求することができる。

我が国においてもLINE問題で議論されたように( 「政府機関等における 今後の LINE サービス等の利用の際の考え方(ガイドライン)」を読む参照)政府のデータは、域内保存されるべきではないのという問題提起がなされているのですが、それに対してのひとつの回答という気がします。

第3章 個人情報の域外提供に関するルール

では、民間企業が個人情報を域外に提供するのは、どうなるの、という問題については、第3章が定めています。

38条は、域外への提供の要件です。具体的な要件としては、

  1. 40条の規定に基づく国家インターネット情報部門による安全評価に合格した場合。
  2. 国家インターネット情報部門の規定に基づく専門機構による個人情報保護の認証を得ている場合。
  3. 域外の移転先と契約を締結し、双方の権利及び義務を約定し、かつその個人情報取扱活動が本法の規定する個人情報保護基準に達していることを監督する場合。
  4. 法律、行政法規又は国家インターネット情報部門の規定するその他の条件。

となっています。

39条は、域外への提供の場合の個人への告知事項および同意の取得です。告知事項としては、域外の移転先の身元、連絡方法、取扱目的、取扱方法、個人情報の種類及び個人が域
外移転先に対し本法の規定する権利を行使する方法等の事項になります。

40条の規定は、民間におけるローカル化義務の基準とでもいえるかとおもいます。 重要情報インフラ運営者/取扱う個人情報が国家インターネット情報部門の規定する数量に達した個人情報取扱者に対して、ローカル化の義務があるというたてつけです。

そして、域外に提供する必要がある場合には、国家インターネット情報部門による安全評価に合格しなければならない、とされています。

41条は、国際司法協助又は行政法執行協助のためには、法令に基づき関係する主管部門に申請し、その許可を得なければならない、とされています。刑事事件・民事事件あと、独占禁止法違反、証券取引法違反あたりになるのでしょう。

42条は、域外の組織、個人が中華人民共和国公民の個人情報の権利利益を侵害する活動/中華人民共和国の国家安全、公共利益に危害を与える個人情報取扱活動に従事している場合についての規定です。

43条は、条文自体が、対抗立法のような感じでしょうか。

個人情報保護の側面において中華人民共和国に対し偏見を持って禁止し、制限し又はその他類似の措置を講じていれば、中華人民共和国は、実際の状況に基づき、当該国家又は地区に対し相応の措置を講じることができる。

多分A国が、中国がオリジナルの個人情報に対して、傍受・分析をなしているという状況が発生した場合には、中国は、A国オリジナルの個人情報に対して、同様のことをしますよという規定になります。

第4章 個人情報取扱活動における個人の権利(个人在个人信息处理活动中的权利)

情報主体の権利ともいわれるものです。

知る権利・決定権・拒否権等(44 条)、閲覧・複製を請求する権利(45 条)、是正・補充を請求する権利(46 条)、削除を請求する権利(47 条)、取扱ルールの解釈・説明を求める権利(48 条)等を与えています。詳細については、条文のとおりということだろうとおもいます。

第5章 個人情報取扱者の義務(个人信息处理者的义务)

50条は、個人情報保護体制についての規定です。個人情報保護についての保護体制の整備(一)、データの洗い出し・クラス付け(二)、暗号化等の技術措置(三)、捜査権限の確定と安全教育・訓練(四)、緊急事態対応(五)などについてふれられています。

51条は、上の40条でもでていた、いわば、重要な個人データの取扱者の義務となります。

52条は、中国における代表者等の指定の規定になります。これについては、GDPRの27条の規定と同趣旨になるかとおもいます。これは、我が国の企業にたいしても注目すべき規定ということになるかとおもいます。

53条は、個人情報の取扱・保護措置についての監査義務等の規定です。

54条は、事前のリスク評価と取扱状況の記録の規定です。

55条は、個人情報が漏洩していることを発見した場合の対応の規定です。

第六章 個人情報保護職責履行部門(履行个人信息保护职责的部门)

56条は、個人情報保護職責履行部門を定義しています。具体的に責任を負うのは、国家インターネット情報部門(国家网信部门)です。中国のシステムは、不慣れなので、中国サイバースペース管理室(网信办)を意味するのでしょうか。詳しい方、教示ください。あと、国務院の関係部門は、各自の職責の範囲内での責任を負うとされています。

57条は、個人情報保護職責履行部門の責務が列挙されています。

58条は、国家インターネット情報部門と国務院関係部門の職責が記載されています。

59条は、個人情報保護職責履行部門の権限です。調査権限等の規定です。60条は、代表者もしくは主要責任者に対して面談・要求・改善等について定めています。

61条は、個人等の個人情報保護職責履行部門に対する苦情申立・通報についての規定です。

第7章 法的責任

62条は、是正命令が定められており、それに応じない場合については、過料の規定がさだめられています。2項では、とくに、

違法行為が存在し、情状が重い場合、個人情報保護職責履行部門が是正を命じ、違法所得を没収し、かつ五千万元以下又は前年度の売上高の百分の五以下の過料に処し
なければならず、かつ関連する業務を暫定的に停止し、業務を止めて整理し、関係主管部門に通報して関係する業務許可を取消し又は営業許可を取消すことできる

となっているので、かなりの重い処分となるものとおもわれます。

63条は、違法行為があれば、信用ファイルに記入し、公示するということが定められています。

64条は、国家機関の場合です。この場合に、是正命令がなされます。

65条は、個人情報に関する権利利益を侵害した場合場合の損害賠償の規定です。

66条は、個人情報取扱者に対する人民法院に対する訴訟の規定です。

67条は、治安管理に違反する場合については、治安管理処罰を行うとされています。このあたりは、不慣れな分野になりますのでご容赦を。


ネットワークにおける主権の個人情報の側面での現れという観点から注目することがてきて、その点からいくと、とくに、

  • 第37条(国家による個人情報のローカル化)
  • 38条(域外への提供の要件)
  • 43条(対抗立法的規定)

が注目されることになります。

関連記事

  1. 脅威情報共有のプラットフォーム(1)
  2. オランダの責任ある開示ガイドライン
  3. 経済安全保障の体系と経済安全保障一括法の内容(オムニバス)?
  4. 大規模な国際的サイバー攻撃に対する欧州の緊急対応プログラム
  5. 総務省 「IoTセキュリティ総合対策」の公表 (その1)
  6. サイバー影響工作のタイプとツール/技術-CSS CYBER DE…
  7. 第1回 接触確認アプリに関する有識者検討会合など
  8. フェースブック対アイルランドデータ保護コミッショナー(通知当事者…
PAGE TOP