中国:個人情報保護法(草案)の概要(1)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
弁護士 鈴 木 章 史
2020年10月、中国において個人情報保護法の草案(以下、「本法案」という)が公表された。本法案は、中国における最初の個人情報保護に関する包括的な法律である。既に施行済みのネットワーク安全法及び個人情報安全規範の規定の一部を受け継ぎつつ、域外適用、越境移転規制、代理人設置義務等を認める点においてはGDPRに代表される海外の個人情報保護法制も参考に新たな内容も盛り込まれている。また、違反に対する罰則が大幅に強化されており、重要性が高い法案として注目を集めている[1]。本稿では、中国の個人情報保護規制の現況を概観した上で、本法案の概要を紹介する。なお、本稿は2021年1月に執筆している。
第1 中国の個人情報保護規制の現況
現時点において、中国には、日本の個人情報保護法に相当する個人情報保護のみを対象とする包括的な法令はなく、民法典、刑法等の各種の法令に分散して個人情報保護に関する規定が置かれている。それらの法令のうち2017年6月に施行されたネットワーク安全法は、個人情報保護に関する実務的かつ詳細な規定が設けられた法令であり、ネットワークを利用する事業者に適用されるという適用対象の広さも相まって、中国で事業活動を行う企業にとって個人情報保護規制の基本法的な位置付けとなっている。ネットワーク安全法上定められている個人情報に関する主要な規制としては以下のものが挙げられる。
➢ 個人情報の収集・使用の際の目的、方法及び範囲の明示と同意の取得(同法41条)
➢ 保有個人情報の漏えい、毀損及び紛失の防止等のセキュリティ体制の構築義務(同法42条2項)
➢ 個人情報の主体からの削除・内容の修正に係る請求への対応義務(同法43条)
➢ 個人情報の国内保存義務及び越境規制(重要インフラ事業者[2]のみ[3])(同法37条)
また、個人情報保護に関するより詳細な取扱いについて定めたガイドライン(国家標準)として、個人情報安全規範があり、同規範では、個人情報の収集(同意の取得方法)、保存方法、その使用の際の措置や義務、委託処理や共有に関する義務、漏えいの際の対応方針及び安全管理体制等の詳細が定められている。個人情報安全規範は推奨基準であり法的拘束力はないものの、重要な基準、指針として実務上参照されている。
また、2021年1月1日から施行された民法典は、人格権編において個人情報保護に係る規定を設けており、個人情報処理時の目的等の明示と同意の取得(1035条)、個人情報の主体による訂正、削除等の申立権(1037条)、個人情報の処理者による漏えい等の防止義務(1038条)を定めている[4]。民法典の規定内容は先行して施行されたネットワーク安全法の核心的部分を踏襲しており、個人情報の取扱いに関する基本理念が広く私人間に適用されることを明確化したといえる。
第2 個人情報保護法(草案)の概要
1. 適用範囲と域外適用
本法案は、中国国内で自然人の個人情報を取り扱う活動に適用される(3条1項)。日本法人の中国子会社が中国で行う事業活動に対して本法案が適用される点に異論はないが、外国企業が中国において行う事業活動に対し本法案が適用されるかという点に関し、本法案は、事業者が国外にいる場合であっても、その個人情報を取り扱う活動が以下に該当する場合には適用対象となることを明確に規定している(3条2項)。
(a)国内の自然人に向けて商品又はサービスを提供することを目的としている場合
(b)国内の自然人の行為を分析し、評価するためのものである場合
(c)法律又は行政法規の規定するその他の状況の場合
したがって、例えば、日本国内の事業者が中国国内の個人消費者向けに電子商取引を行う場合は、(a)に該当し本法案の適用対象となりうる[5]。
中国国外の個人情報の取扱者は、個人情報保護に関する事務取扱責任者として中国国内に専門の機構を設けるか代表者を指定し、関連当局に報告しなければならない(52条)とされていることにも注意を要する。
(2)に続く
[1] 本法案は草案であり、今後内容が変更される可能性があることについては留意されたい。
[2] 重要インフラとは「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政等の重要な業界及び分野、並びにその他の機能が破壊され、喪失し、又はデータが漏えいすると国の安全、国の経済と人民の生活、公共の利益に重大な危害が及ぶおそれがある国の施設」(同法31条)のことをいい、重要インフラ事業者とはこれらの運営者を指す。
[3] 正式に公布はされず法的効力は発生していないが、2019年6月に公表された「個人情報の越境移転安全評価弁法(パブリックコメント募集稿)」では、広くネットワーク運営者(ネットワークの所有者、管理者及びネットワークサービスの提供者を指し、ネットワークを利用して事業を行う限りこれに該当すると解釈されている)に対し越境移転の際の安全評価義務が課されている。
[4] 個人情報保護に関連する他の法令として、消費者権益保護法29条1項(消費者の個人情報の収集・使用における目的、方式及び範囲の明示及び消費者からの同意の取得)や刑法253条の1(違法な個人情報の販売又は提供等の禁止)も挙げられる。
[5] (a)及び(b)の事業活動について域外適用を認める規制方法は、GDPRと類似した規制といえる。
この他のアジア法務情報はこちらから
(かわい・まさのり)
長島・大野・常松法律事務所上海オフィス一般代表。2011年中国上海に赴任し、2012年から2014年9月まで中倫律師事務所上海オフィスに勤務。上海赴任前は、主にM&A、株主総会等のコーポレート業務に従事。上海においては、分野を問わず日系企業に関連する法律業務を広く取り扱っている。クライアントが真に求めているアドバイスを提供することが信条。
(すずき・あきふみ)
2005年中央大学法学部卒業。2007年慶應義塾大学法科大学院修了。2008年弁護士登録(第一東京弁護士会)。同年都内法律事務所入所。2015年北京大学法学院民商法学専攻修士課程修了。同年長島・大野・常松法律事務所入所。主に、日系企業の対中投資、中国における企業再編・撤退、危機管理・不祥事対応、中国企業の対日投資案件、その他一般企業法務を扱っている。
長島・大野・常松法律事務所 http://www.noandt.com/
長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。
当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。
詳しくは、こちらをご覧ください。