中国:個人情報保護法(草案)の概要(3)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
弁護士 鈴 木 章 史
5. 委託処理に係る規制
個人情報の取扱者が、個人情報の取扱いを第三者に委託する場合、当該受託者との間で、取扱目的、取扱方法、個人情報の種類、保護措置及び双方の権利と義務等を合意しなければならず、かつ受託者の個人情報取扱活動を監督しなければならない(22条1項)。受託者は、個人情報取扱者の同意なく、個人情報の取扱いを他人に再委託してはならず(22条3項)、契約履行の完了後又は委託関係の解除後は、個人情報を個人情報の取扱者に返還又は削除しなければならない(22条2項)。
6. 個人情報の取扱者の一般的義務
本法案は個人情報の取扱者の一般的義務として以下の義務を規定している。
- ➢ コンプライアンス体制の構築[1](50条)
- 具体的には、(i)内部管理体制及び規程の整備、(ii)個人情報のレベル別分類管理、(iii)暗号化、非識別化等の安全技術措置、(iv)個人情報の取扱い権限の確定及び従業員に対する教育及び訓練、(v)個人情報に係る事件への対応案の制定が含まれる。
- ➢ 個人情報保護責任者の指定と責任者による個人情報の処理活動の監督[2](51条)
- ➢ 個人情報の取扱い及び保護措置に対する監査の実施(53条)
- ➢ 個人情報の取扱いに対するリスク評価(54条)
- リスク評価の対象には、(i)個人センシティブ情報の取扱い、(ii)個人情報を用いた自動化決定(下記8の記載を参照)、(iii)個人情報の委託処理、第三者への提供、公開、(iv)個人情報の越境移転、が含まれる。
- ➢ 個人情報の漏えいを発見した場合の個人情報保護職責履行部門及び情報主体に対する通知義務(55条)
7. 個人情報の主体の権利
個人情報の主体は自らの個人情報に関し以下の権利を有している。
- ➢ 知る権利、決定権・拒否権(44条)
- ➢ 閲覧・複製の請求権(45条)
- ➢ 是正・補充の請求権(46条)
- ➢ 一定の状況下における削除請求権(47条)
- ➢ 取扱いルールの解釈・説明の請求権(48条)
具体的な権利の行使方法については今後制定される関連法令を待つ必要があると考えられるが、個人情報の取扱者は、上記の権利行使に対応する必要が生じることになり、その体制を整える必要がある。
8. 自動的な決定に関する規定
本法案は、AIによる情報の選択や決定が頻繁に行われている情勢を踏まえ、いわゆる自動的な決定[3]に関する規定も設けている。まず、原則として、個人情報を利用した自動的な決定を行う場合には、決定の透明性及び取扱結果の公平性・合理性を保障しなければならないとしている(25条1項)。その上で、具体的には、個人情報の主体が自動的な決定がその権利利益に対し重大な影響をもたらすと考える場合には、個人情報の取扱者に対し説明を求めることができ、かつ、個人情報の取扱者が自動的な方法のみをもとに決定を行うことを拒絶できる(25条1項)。また、自動的な決定を用いて商業的なマーケティング及び情報配信を行う場合には、その個人的特徴に基づかない選択項目も同時に提供しなければならない(25条2項)。
GDPRの規定をベースとして個人情報安全規範7.5条で規定されている規制[4]が法的拘束力のある法令レベルでも採用されたものと考えられる。
(4・完)に続く
[1] 50条柱書に、個人情報の取扱者は、個人情報の取扱目的、取扱方法、個人情報の種類及び個人に対する影響、存在する可能性がある安全リスク等に基づき、必要な措置を講じ、個人情報の取扱活動が法律、行政法規の規定に適合することを確保し、かつ、不正アクセス及び個人情報の漏えい、窃取、改竄又は削除されることを防止しなければならない、と規定されており、その上で、(i)乃至(v)の具体的義務が明記されている。
[2] 当該義務を負う対象は、取り扱う個人情報が国家インターネット情報部門が別途定める数量に達した個人情報の取扱者に限定されている。
[3] 本法案に「自動的な決定」の定義又は具体的な内容を規定した条文はなく、個人情報安全規範にも係る趣旨の条文はない。GDPRは、完全自動意思決定の禁止を、「プロファイリングを含む自動的処理のみに依拠した決定に服しない権利」と規定しており(22条1項)、当該規定は一定程度参考になると考えられる。なお、GDPRでは、「プロファイリング」とは、「自然人の特定の個人的側面を評価するための、特に、当該自然人の職務遂行能力、経済的状況、健康、個人的選好、興味関心、信頼性、振舞い、所在及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の個人データの自動的処理をいう」(4条4項)とされている。
[4] 個人情報安全規範において、個人情報の管理者は、特定のサービスにおいて(自動的な決定の一類型である)個人の特性に基づく提示機能を使用する場合、当該個人情報の主体の特徴に焦点を当てない選択肢も提供しなければならず(7.5条b)、個人の特性に基づく提示機能を終了できるオプションも提供しなければならない(7.5条c-1)とされている。本法案25条の規定は、個人情報安全規範のこれらの規定を一般化したものと評価できる。
この他のアジア法務情報はこちらから
(かわい・まさのり)
長島・大野・常松法律事務所上海オフィス一般代表。2011年中国上海に赴任し、2012年から2014年9月まで中倫律師事務所上海オフィスに勤務。上海赴任前は、主にM&A、株主総会等のコーポレート業務に従事。上海においては、分野を問わず日系企業に関連する法律業務を広く取り扱っている。クライアントが真に求めているアドバイスを提供することが信条。
(すずき・あきふみ)
2005年中央大学法学部卒業。2007年慶應義塾大学法科大学院修了。2008年弁護士登録(第一東京弁護士会)。同年都内法律事務所入所。2015年北京大学法学院民商法学専攻修士課程修了。同年長島・大野・常松法律事務所入所。主に、日系企業の対中投資、中国における企業再編・撤退、危機管理・不祥事対応、中国企業の対日投資案件、その他一般企業法務を扱っている。
長島・大野・常松法律事務所 http://www.noandt.com/
長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。
当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。
詳しくは、こちらをご覧ください。