2021年10月15日発行 【ニューズレター Vol.87】より
「個人情報保護法」の正式公布

日頃は格別のご高配にあずかり厚く御礼申し上げます。

さて、青葉ビジネスコンサルティングが独自で作成しておりますニューズレターをお届けさせていただきます。

本記事は、主に中国へ進出されている、またはこれから中国進出を検討されている日系企業の皆様を対象に、中国国内での経営活動や今後の中国ビジネスに重大な影響を及ぼしうるような国家・地方レベルの最新の法律法規と関連政策の主な内容とその影響、日系企業をはじめとする外資系企業の取るべき主な対策などを紹介することを目的として作成しております。

もしよろしければ、ご一読いただけますと幸いです。

「個人情報保護法」の正式公布

 

【背景】

2021年8月20日開催された第13回全国人民代表大会常務委員会第30回会議では、「個人情報保護法」が可決され、2021年11月1日を以って施行されることとなった。これは中国初の個人情報保護分野における特別法律である。当該個人情報保護の特別法律は、社会から注目された数多くの話題に応じたものとなっている。例えば、「ビッグデータ殺熟1」[1]を明確に禁止し、機微な個人情報の保護を強化することなどである。中国での個人情報保護は新たな時代を迎えたと言える。

 

[1] 「ビッグデータ殺熟」とは、ビッグデータを活用し、同じような条件のユーザーに対して意図的に表示価格に差をつける行為を指す。

【影響】

「個人情報保護法」とは、個人情報保護分野における基礎法律として、個人情報の取り扱いにおける個人の権利を厳格に保護し、個人情報の取り扱う上で各当事者の責任義務を明確にしており、個人情報の合理的な利用を促進させ、関連産業の発展を保護、個人情報取扱者を全面的に規範化し、関連企業のコンプライアンス管理に対してより高い要求が出されている。

 

【主要内容】

「個人情報保護法」は、合計8章74条から構成され、関連法律を基にした上、同法は個人情報保護に遵守すべき原則と個人情報の取扱規則をさらに細分化・完全化し、個人情報取り扱い活動における権利と義務の区別を明確にし、個人情報保護活動の体制とメカニズムを健全化している。具体的な内容は以下の通りである。

個人情報の保護原則の確立

「個人情報保護法」は国際経験を踏まえ、中国の実際状況に合わせた上、個人情報の取り扱いに遵守すべき原則を確立し、個人情報の取り扱いは合法、正当、必要と誠実の原則に則るべきであることを強調している。こちらの原則について、具体的に説明すると、明確、合理的な目的を持ち、且つ取扱目的と直接関連すること、個人権益への影響を最低限にする方法を採用すること、取扱目的を実現するための最小範囲に限られること、及び取扱規則を公開し、情報品質を保証し、安全保護措置を講じること等である。

権益保護のための取り扱い行為の規範化

「個人情報保護法」は、個人情報取扱行為の規範化と個人情報権益の保護をめぐって、「告知・同意」を中心とした個人情報取扱規則が定められている。また、「個人情報保護法」では、個人情報取扱者は機微な個人情報の取り扱いや、他人に個人情報を提供もしくは公開し、また越境で個人情報を転送する際に個人の同意を得ないといけないことが要求されており、個人情報取扱者が過度に個人情報を収集してはならず、個人が同意しないことを理由とし製品やサービスの提供を拒否してはならないことを明確にしている。また、個人に同意を撤回する権利を与え、個人が同意を撤回した後、個人情報取扱者は個人情報の取り扱いを中止し、または直に該当の個人情報を削除しなければならない。「個人情報保護法」は、公共利益の維持と社会の正常生産・生活の保護の視点から、個人の同意を得る以外の個人情報を合法的に取り扱える特定の状況に規定を定めた。その他、個人情報保護法では、実践中よく発生している個人情報の共同取扱と委託取扱などの状況に対してもそれぞれ関連規定が定められた。

 

自動化された意思決定の規制化における「ビッグデータ殺熟」の禁止

現在、ビッグデータを利用し、消費者の個人消費特徴を分析することによって、ビジネスマーケティングに用いる企業が増えている。一部の企業は消費者の経済状況、消費習慣、価格感度などの情報を把握することによって、消費者に対して取引価格などの面で差をつけ、消費者を惑わし、詐欺的な行為を行っている。その中、最も典型的なのが世に言われる「ビッグデータ殺熟」である。これに対して、個人情報保護法は、個人情報取扱者が個人情報を利用し自動化された意思決定を行う際に、意思決定の透明性と結果の公平性・公正性を確保し、取引価格などの取引条件について個人に不合理な差別的な取り扱いをしてはならないと明確に定められた。

 

機微な個人情報の厳格な保護

「個人情報保護法」は生体情報、宗教・信条、特定の身分、医療健康、金融口座、移動履歴などの情報を機微な個人情報としている。個人情報保護法は、特定な目的及び十分な必要性があり、且つ厳格な保護措置が講じられている場合に限り、機微な個人情報を取り扱うことができるが、事前に発生し得る影響を評価し、個人に取り扱う必要性と個人権益への影響を伝える必要がある。1つ注目すべきなのは、未成年者の個人情報の権益と心身健康を守るために、個人情報保護法では、14歳未満の未成年者の個人情報は機微な個人情報として特別に取り扱われ、厳格に保護されるものとなっている。また、未成年者保護法の関連規定と連結し、14歳未満の未成年者の個人情報の取り扱いは未成年者の両親又は他の後見者の同意を得なければならず、且つこれに対し、特別な個人情報取扱規則を定めなければならないと要求された。

 

国家当局による情報取り扱い行為の規制  

国家安全の維持、犯罪者の処罰、経済・社会事務の管理などの役割を果たすために、国家当局は大量の個人情報を取り扱う必要がある。個人情報権益を保護することと個人情報安全を保護することは国家当局の義務と責任である。これに対して、「個人情報保護法」では、当局が個人情報を取り扱う行為に対して特別な規定が定められ、当局が個人情報を取り扱う行為において本法律を適用し、且つ個人情報を取り扱う際に、法律、行政法規により規定されている権限と手順に従い、法定職責の履行に必要となる範囲と限度を超えてはならないことが特別に強調された。

 

 

  個人への充分な権利の付与

「個人情報保護法」は、個人が個人情報取扱行為における各権利(個人情報の処理規則を知り、処理事項、同意と同意の撤回、および個人情報の照会、複製、訂正、削除など含む)を、総括的に知る権利、並び決定権に引き上げて、個人が個人情報の処理を制限する権利を有することを明確にしている。同時に、インターネットのアプリケーションやサービスが多様化している実情に適応して、日々増加するプラットフォームを越えて個人情報を移転する需要を満たすために、「個人情報保護法」は個人情報のデータポータビリティの権利を原則的に規定しており、国家ネット情報部門の規定条件に合致する場合、個人情報処理者は個人にその個人情報を移転するルートを提供しなければならないことを要求している。また、「個人情報保護法」は、故人の個人情報の保護についても特別な規定を設けており、故人の生前有していた意思を尊重する前提で、その近親者は自身の合法的、正当な利益のために、故人の個人情報に対して閲覧、複製、訂正、削除などの権利を行使することができることを明確にしている。 

 

個人情報処理者に対する義務の強化

個人情報処理者は個人情報保護の第一責任者である。これにより、「個人情報保護法」は、個人情報処理者が個人情報の処理活動に対して責任を負うとともに、必要な措置を講じて、処理される個人情報の安全を確保ことが強調する。その上で、個人情報保護法は、個人情報処理者のコンプライアンス管理や個人情報の安全保障などの義務を明確にするための特別定款を設けている。個人情報処理者に対して規定に従って内部管理制度と操作規程を制定する。適切な安全技術措置をとり、指定された責任者はその個人情報処理行為を監督し、定期的にその個人情報活動に対するコンプライアンス監査を行う。機微な個人情報の処理や、個人を利用して、自動化方策を行う。個人情報の対外的な提供または公開などの高いリスク処理活動に対して、事前影響評価を行うや、個人情報漏洩の通知と救済義務を履行する。

 

大型ネットプラットフォームへの特別義務の付与

個人情報の取り扱いにおいては、インターネットプラットフォームより、プラットフォーム内の経営者に個人情報を処理ための基礎技術サービスを提供し、基本的な処理ルールを設定することが、個人情報保護の重要な一環である。そのために、「個人情報保護法」は重要なインターネットプラットフォームサービスを提供し、利用者数が膨大で、業務類型の複雑な大型インターネットプラットフォームの個人情報処理者に対して、特別な個人情報保護義務を設けた。主に以下の内容が含まれている:

  • 国の規定に従って、適正な個人情報保護制度制度を確立・健全化し、第三者から構成される独立機構を成立し、個人情報の保護状況に関する監督を受ける。
  • 公開、公平、公正の原則に従い、プラットフォームのルールを制定する。
  • 個人情報取り扱いのコンプライアンスを厳重に違反したプラットフォーム内の製品またはサービスの提供者に対して、サービスの提供を停止する。
  • 個人情報保護に関する社会責任報告を定期的に発表し、社会の監督を受ける。

 

個人情報保護法の上記規定は、大型インターネットプラットフォームの経営業務の透明性を高め、プラットフォーム管理を充実させ、外部監督を強化し、全社会が共同で参加する個人情報保護機構を形成することを目指している。

 

個人情報のクロスボーダーの流れの規制

「個人情報保護法」は、まず国内の自然人に製品またはサービスを提供することを目的とする、または国内の自然人の行為を分析・評価するなどの、中国国外で国内の自然人の個人情報を処理する活動が本法を適用対象とすることを明確にし、そして上述の状況に合致する海外の個人情報処理者が中国国内に専門機関を設立する、または代表を任命することによって、個人情報保護に関連事務を担当するように要求している。

第二に、海外に個人情報を提供するルートを明確にした。ルートには、国家ネット情報部門による安全評価、専門機関による認証、標準契約の締結、又は中国が締結または参加した国際条約と協定における関連規定に従うことなどを含む。

第三に、個人情報処理者は、国外の情報受取者による情報処理作業が本法で規定された個人情報保護基準を満たすことを保証すべく必要な措置を取らなけれならない。

第四に、国境を越える個人情報の提供に対する合意定義(「告知・同意」)に対して、より厳格な要求を行い、個人の知る権利、決定権などの権利を確実に保障する。

第五に、国家主権、安全と発展の利益を守るために、国境を跨いだ個人情報提供に対する安全評価、国外司法または法律執行機関に対する個人情報提供、個人情報提供に対する制限措置、外国からの差別的な措置に対する対策などについて規定を設けた。

 

科学的に健全な民事責任制度及び民事公益訴訟の規定

「個人情報保護法」の規定に基づき、個人情報処理で個人情報権益を侵害し、当事者に損害を与え、個人情報処理者は自分に過ちがないと証明できない場合、損害賠償などの権利侵害の責任を負わなければならない。個人情報の権益を侵害し、損害を与えた場合の損害賠償責任は、個人がそれによって受けた損失または個人情報処理者がそれによって得た利益によって確定する。個人が受ける損失と個人情報処理者の利益は確定しにくい場合、実際の状況に応じて賠償額を確定する。個人情報処理者が個人情報保護法の規定に違反して個人情報を処理し、多くの当事者の権益を侵害した場合、人民検察院、法律で規定された消費者組織または国家ネット情報部門が確定した組織は、法により人民裁判所に訴訟を提起することができる。

 

【法規リンク】

 

 

《个人情報保護法》

 

 

.

.

 

 

免責事項:

  1. 本資料はあくまでも参考用として作成されたものであり、法律や財務、税務などに関する詳細な説明事項や提案ではありません。
  2. 青葉コンサルティンググループ及びその傘下の関連会社は、本報告書における法律、法規及び関連政策の変化について追跡報告の義務を有するものではありません。
  3. 法律法規の解釈や特定政策の実務応用及びその影響は、それぞれのケースやその置かれている状況により大きく異なるため、お客様各社の状況に応じたアドバイスは、各種の有償業務にて承っております。

※当サイトの内容、テキスト、画像等の無断転載・無断使用を固く禁じます。

Comments are closed.