【20-022】中国でようやく個人情報保護法(草案)が公布
2020年12月04日
柳 陽(Liu Yang):
柳・チャイナロー外国法事務弁護士事務所代表
北京大学、慶應義塾大学法学修士。2006年より弁護士業務を行っており、日本企業の中国における新規投資、M&A、事業再編、不祥事対応、労務及び紛争処理等中国法業務全般を取り扱っている。
事務所ウェブサイトhttp://www.chinalaw-firm.jp
2020年10月21日に、中国の個人情報保護法(草案)(以下単に「草案」という場合がある。)が公表され、また、同年11月19日までパブリックコメントを募集していた。
中国の個人情報保護に関しては、従前より、「個人情報保護法」という名の法律や個人情報保護について統一的な規定を置く法律は存在していなかった。すなわち、個人情報保護に関する規定は、民法典、サイバーセキュリティ法等の各法令に個別に規定されるにとどまるが、個別対応の域を出ておらず、取り扱いの整合性や運用面から不十分であると指摘されてきた。今後、個人情報保護について統一的に取り扱う個人情報保護法が制定、施行されれば、保護が強化され、また、規制間の統一が取れることになることが期待される。また、中国に進出している日本企業や中国国内から個人情報を取得する日本企業も、今後、個人情報保護の体制の見直しを迫られる可能性もあるだろう。
本稿では、個人情報保護法(草案)の主な内容について紹介することとする。
1.個人情報保護法の域外適用
個人情報保護法は、中国国内における自然人の個人情報を取扱うすべての活動に適用される(草案第3条第1項)。加えて、中国国外において、中国国内の自然人の個人情報を取扱う活動が、以下に掲げる状況のいずれかに該当する場合、本法を適用すると規定されている(同条第2項)。
(1)国内の自然人に向けて商品又はサービスを提供することを目的とする場合
(2)国内の自然人の行為を分析、評価するためのものである場合
(3)法律、行政法規が規定するその他の状況
さらに、上記と関連して、中国国外の個人情報取扱者は、中国国内で専門機構を設立し又は代表者を指定し、当該代表者に対して個人情報保護に関連する事務の取扱について責任を負わせなければならず、かつ、当該機構の名称又は代表者の氏名、連絡方法等を個人情報保護主管部門に対し報告しなければならない(草案第52条)。
このように、個人情報保護法の域外適用が明文規定されている以上、例えば電子商取引等により、日本国内から中国のユーザーに商品を販売している日本企業は、中国での拠点の有無を問わず、個人情報保護法の規定を踏まえ、今後の対応を検討する必要があろう。
2.個人情報を取扱うことができる場合
個人情報については、以下に掲げる状況のいずれかに該当する場合にのみ、取り扱うことができると規定されている(草案第13条)。
(1)個人の同意を得た場合
(2)個人が当事者となる契約の締結又は履行に必要な場合
(3)法定の職責又は法定の義務の履行に必要な場合
(4)突発的な公衆衛生上の事件に対応し、又は緊急状況下において自然人の生命、健康及び財産の安全の保護のために必要な場合
(5)公共の利益のためにニュース報道、世論監督等の行為を実施して合理的範囲内で個人情報を取り扱う場合
(6)法律、行政法規が規定するその他の状況
3.個人の同意について
個人情報の取扱に対する個人の同意は、その個人が十分に情報を得た上で、自発的かつ明確に意思表示をしなければならない(草案第14条)。14歳未満の未成年者の個人情報を取り扱うことを知っている又は知るべきである場合、その保護者の同意を得なければならない(草案第15条)。
個人の同意に基づき個人情報を取扱っている場合、個人はその同意を撤回することができる(草案第16条)。個人情報取扱者は、原則として、個人がその個人情報の取扱に同意しない又は個人情報取扱に対する同意を撤回したことを理由として、商品又はサービスの提供を拒絶してはならない(草案第17条)。
また、第三者に個人情報を提供する場合、当該個人に対し第三者の身元、連絡方法、取扱目的、取扱方法及び個人情報の種類を告知し、個人の個別の同意を得なければならない。個人情報を受領する第三者は当該取扱目的、取扱方法及び個人情報の種類等の範囲内において個人情報を取扱わなければならない。第三者が本来の取扱目的又は取扱方法を変更する場合には、改めて個人に告知し、その同意を取得しなければならない(草案第24条第1項)。
4.個人の権利
個人情報保護法草案は、個人情報取扱活動における個人の権利を広く認めている(草案第44条乃至第49条)。即ち、個人情報の取扱を知る権利、決定・制限・拒否する権利、個人情報を閲覧・複製する権利、訂正する権利、削除を請求する権利、個人情報取扱ルールの説明を求める権利、権利行使申立の処理体制の構築を請求する権利が個人に保障されている。
5.個人情報の国内保存義務
個人情報保護法草案第40条は、「重要情報インフラ運営者及び取扱う個人情報が国家インターネット情報部門の定める数量に達した個人情報取扱者は、中国国内で收集し又は発生した個人情報を国内で保存しなければならない。また、国外に提供する必要がある場合には、国家インターネット情報部門による安全評価を通らなければならない。法律、行政法規及び国家インターネット情報部門が安全評価を行わなくて良いと規定する場合には、その規定に従う。」と規定し、個人情報の国内保存義務を規定している。
また、上記以外の個人情報取扱者については、業務等の必要により、中国国外に個人情報を提供する必要がある場合には、少なくとも以下のいずれかの条件を満たさなければならない(草案第38条)。
(1)国家インターネット情報部門による安全評価を通った場合
(2)国家インターネット情報部門の規定に基づく専門機構による個人情報保護の認証を得た場合
(3)国外の移転先と契約を締結し、双方の権利及び義務を約定し、かつその個人情報取扱活動が個人情報保護基準に達していることを監督する場合
(4)法律、行政法規又は国家インターネット情報部門が規定するその他の条件
また、個人情報取扱者が中国国外に個人情報を提供する場合には、個人に対し国外の移転先の身元、連絡方法、取扱目的、取扱方法、個人情報の種類及び個人が国外移転先に対し権利を行使する方法等の事項を告知し、かつ個人の個別の同意を取得しなければならない(草案第39条)。
6.罰則
個人情報保護法の規定に違反し、情状が重い場合、是正命令及び違法所得の没収に加え、5,000万元以下又は前年度の売上高の5%以下の過料を課すと規定されている。また、業務停止、営業許可の取消し等、直接責任者に対して10万元以上100万元以下の過料を科すことができる(草案第62条)。さらに、個人情報保護法の違反行為は、信用ファイルに記録し、公表することもできる(草案63条)。
また、前記の域外適用の規定に違反した場合として、「国外の組織、個人が中国公民の個人情報の権利利益を侵害する活動又は中国の国家安全、公共利益に危害を与える個人情報取扱活動に従事している場合には、 国家インターネット情報部門はそれを個人情報提供制限リスト又は禁止リストに載せて公告し、当該者に対して個人情報を提供することを制限し又は禁止する等措置を講じることができる。」と規定されている(草案第42条)。
以上のとおり、本稿では、個人情報保護法(草案)の主な内容を紹介した。中国に子会社等をもつ日本企業はもちろんのこと、中国に拠点を有さないものの、中国向けに電子商取引等を行う日本企業も、今後、個人情報保護法に沿った対応が求められる可能性もあり、留意が必要であろう。
以上