◇SH3150◇中国:個人情報安全規範の改正(1) 鈴木章史(2020/05/19)

未分類
アジア法務情報(長島・大野・常松法律事務所)中国

中国:個人情報安全規範の改正(1)

長島・大野・常松法律事務所

弁護士 鈴 木 章 史

 

 2020年3月6日、国家市場監督管理総局に設置されている国家標準化管理委員会は、国家標準である「情報安全技術 個人情報安全規範」の改正版(以下、「改正版」という。)を公布し、本改正版は2020 年 10 月 1 日から施行されることとなった。「情報安全技術 個人情報安全規範 」(現時点で施行されているものを以下「現行版」という[1]。)は、ネットワーク安全法上等の個別法規における個人情報保護に関する規定をより具体化する規範であり、強制力はないものの個人情報保護に係る重要なガイドラインとして中国で事業を行う企業は実務上その遵守が推奨されている。本稿では、改正版における現行版からの変更部分のうち重要な部分を中心に概説する。

 

個人情報/個人センシティブ情報の定義に関する追記

 現行版において、個人情報とは、「電子的方式又はその他の方式により記録した、単独で又はその他の情報と結びついて特定の自然人個人の身分を識別し得る又は特定の自然人の活動状況を反映し得る各種情報」(現行版/改正版3.1条)とされており、具体的には、氏名、生年月日、身分証明書番号、生物識別情報、住所、通信連絡先、通信記録及び内容、口座番号、財産情報、信用情報、行動の軌跡、宿泊情報、健康生理情報、取引情報などが含まれる(現行版/改正版3.1条注1)[2]。改正版において当該定義に変更は加えられていないが、新たに「個人情報管理者が個人情報又は他の情報を加工して作成した情報、例えば、ユーザープロファイリング又はフューチャータグ、が単独で又はその他の情報と結びついて特定の自然人個人の身分を識別し得る又は特定の自然人の活動状況を反映できる場合は、個人情報に属する。」という注記が追加された(改正版3.1条注3)。かかる注記は、事業者の保有するデータを利用して特定の個人がどのような嗜好や関心、経済状況や健康状態を有しているのか予測・分析するプロファイリング等のデータ分析が頻繁に行われるようになった状況に鑑み、個々のデータのみでは個人情報とまではいえない場合でも、それぞれのデータが分析、結合されることによって生成される情報が個人情報に該当しうることを注意的に規定したものと考えられる。

 また、現行版において、個人情報のうち、一旦漏えい、不法に提供又は濫用されると、人身や財産の安全を害するおそれがあり、さらには個人の名誉・心身の健康が害されたり、偏った待遇等をもたらせたりするおそれがある個人情報は、個人センシティブ情報として、情報の取得時に後述する明示的同意が必要とされる等、その取扱いに厳しい規制が課せられている[3]。改正版において、個人センシティブ情報の定義に変更は加えられていないが、「個人情報管理者による個人情報又は他の情報の加工処理によって形成された情報で、一旦漏えい、不法に提供又は濫用されると、人身や財産の安全を害するおそれがあり、さらに個人の名誉・心身の健康が害されたり、偏った待遇等をもたらせたりするおそれがある場合、個人センシティブ情報に該当する。」という注記が加えられた(改正版3.2条注3)。かかる改正も、上述の個人情報の定義に関する注記の追加と同様、プロファイリング等のデータ処理を通じて生成される情報について、個人センシティブ情報に該当し得ることを注意的に規定したものといえる。

 

個人情報等を取得する際の同意の方法に係る改正

 個人情報を取得する際、個人情報の取得、使用の目的、方式、範囲等のルールを個人情報の主体に告知した上で、個人情報の主体の授権同意を得なければならず(現行版5.3条a/改正版5.4条a)、個人センシティブ情報を取得する際には、当該同意は明示的同意でなければならず、かつ当該明示的同意は、個人情報主体が関連事情を完全に理解した上で自発的に提供する具体的かつ明確的な意思表示でなければならない(現行版5.5条a/改正版5.4条b)とされている。この点について、現行版では明示的同意の定義規定はあるものの、授権同意についての定義規定は設けられていなかった。改正版では授権同意についても定義規定が設けられ、「個人情報の主体の個人情報に対する特定の処理を明確に授権する行為」(改正版3.7条)と定義するとともに、「積極的な行為による授権(即ち明示的に同意すること)又は消極的な不作為による授権(例えば、情報取得エリア内の個人情報の主体が、情報取得行為を告知された後、当該エリアを離れないこと)を含む。」という注記が加えられた(改正版3.7条注)。かかる定義規定の新設により、授権同意について一定の解釈の基準が示されるとともに、個人情報の主体による特定の作為が認められない場合においても、一定の状況下では不作為に基づき授権同意の存在が認定され得ることとなった。

 また、明示的同意の定義の一部文言にも修正が加えられ、明示的同意の手段として、従来の書面による表明に加えて、口頭による表明も認められることとなった(改正版3.6条)。もっとも、要保護性の高い個人センシティブ情報の取得に際しては、明示的同意の取得の有無が争点となるのを避けるべく書面による取得を原則とするのが相当と考えられ、特段の理由があるような場合は別として、口頭による取得を安易に採用することについては慎重であるべきであると考えられる。

(2)に続く


[1] 現行版は、2017年12月29日に公布され、2018年5月1日から施行されている。

[2] 個人情報に該当するより詳細な具体例が付録Aの表A.1に記載されている。

[3] 個人センシティブ情報の具体例は付録Bの表B.1に記載されている。

 

タイトルとURLをコピーしました