中国個人情報保護法の重要ポイント
弁護士 佐藤 碧
2021年8月20日、中国において初となる包括的な個人情報保護法(以下「本法」という。)が成立し、11月1日に施行されました。本法は、「サイバーセキュリティ法(2017年施行)」と「データ安全法(2021年9月施行)」とともに、中国のデータ保護基本法として位置づけられています。
規制内容は多岐にわたりますが、本稿では本法における個人情報処理の原則について説明したうえで、日本企業においても留意しなければならない①域外適用の可能性、及び②国外移転規制について、現時点(2021年11月末)で判明している情報をもとにその概要をご紹介します。
(1)個人情報処理の原則
本法は、中国国内で個人情報を処理[1]する活動に適用されます(本法3条1項)。本法でいう個人情報とは、「電子的又はその他の方式により記録され、自然人に関する識別された又は識別可能な各種情報」をいい[2]、匿名化された情報は除かれています(本法4条)。そして、個人情報の処理は、原則として、個人が十分に事情を知っている前提のもとで、自由意思により、明確に同意することにより適法化されます(本法13条)。この同意は当該個人が撤回することができます(本法15条)。この「明確」の要件については、黙示の同意では足りず、あらかじめ同意のチェックボックスに✓を入れておくような方法では適法な同意取得とはならないと考えられます。
また、個人情報処理者[3]は、個人情報を処理する前に、当該個人に本法に定める事項を明確かつ分かりやすい内容で通知しなければならないとされており、プライバシーポリシーによって通知する場合には、プライバシーポリシーを公開し、容易に検索又は保存できる措置を講じる必要があります(本法17条)。
さらに、以下の場合、同意は「単独の同意」である必要があります。すなわち、①個人情報の第三者への提供、②個人情報の公開、③公共安全の維持以外の目的における個人画像等の処理、④機微な個人情報の処理、⑤個人情報の国外移転(後述)の場合です。「単独の同意」の内容は明らかになっていませんが、少なくとも利用規約による包括的な同意等では足りないと考えられます。
(2)日本企業に対する本法の適用可能性(域外適用)について
中国国内に拠点を持たない外国企業であっても、中国国内の自然人の個人情報を国外で処理する活動であって、①中国国内の自然人への製品又はサービスの提供を目的とする場合、②中国国内の自然人の行動を分析・評価する場合、③法令に定めるその他の事情がある場合には、本法が適用されることになります(本法3条2項)。 そのため、日本企業であっても、BtoCビジネスを展開するEコマース事業者や、ホテルや旅行サービスの提供事業者、オンラインゲームやアプリ等の提供事業者等に対して本法が適用される可能性が高いといえます。①~③に該当する場合、中国国外の個人情報処理者は、国内に専門機関を設けるか、(資格等は明らかになっていませんが)代表者を指定し、個人情報保護職責履行機関に届け出を行う必要があるとされています(本法53条)。
上記①、②については欧州一般データ保護規則(GDPR)と同様の基準が採用されていますが、たとえばGDPRにおいては、事業者のウェブサイト、メールアドレス等に欧州域内からアクセスできるというだけで適用対象となることはありませんが、本法で同様の解釈がされるかどうかは明らかではありません。
(3)国外移転規制
個人情報処理者は、業務上の必要性があれば中国国外へ個人情報を提供することができますが、その場合、①個人に対して国外の受領者の名称及び連絡先等を通知したうえで、「単独の同意」を取得すること(本法39条)、②国外の受領者が本法の下で要求されるのと同じレベルの保護を提供できることを保証するため必要な措置を講じること(本法38条)、③事前に個人情報保護にかかる影響評価を実施し、処理状況を記録したうえで、その報告書等を3年間保存すること(本法55条、56条)が要求されています。
さらに、以下のいずれかの要件を満たす必要があります。
ア 本法40条に基づく国家インターネット情報機関による安全評価に合格すること
イ 別途定められる規定により、国家インターネット情報機関による個人情 報保護認証を取得すること
ウ 国家インターネット情報機関が別途定める標準契約に従い国外の受領者と契約を締結すること
エ 法令または国家インターネット情報機関が定めるその他の条件
個人の同意だけではなく上記の要件を満たす必要があるという点において、GDPRと比較しても海外移転についてはハードルが高いといえます。恒常的にデータを中国国外に移転することが必要な場合には、上記ウの標準契約を締結することが必要となりますが、この標準契約の公表スケジュールや内容については現時点では明らかになっていません。
なお、国外移転の定義については本法上明らかではありませんが、中国国外から個人情報にアクセスできる状況であれば国外移転と評価されると考えられています。
(4)さいごに
日本国内の事業者に影響しうる点を簡単にご説明しましたが、本法では、定義が明確になっていない点も多く、今後の下位規則やガイドラインの策定、その運用等の動きに注視する必要があります。事業者としては、当面、域外適用や国外移転規制との関係で、どのような個人情報を中国国内で処理し、国外に移転させているか、中国国内の個人情報に日本からアクセスできる可能性があるかの確認を行うこと、同意取得との関係では、プライバシーポリシーが十分に明確な内容になっているか等の確認を行うこと等の必要があると思われます。
[1] 個人情報の収集、保存、使用、加工、送信、提供、公表、削除等(本法4条2項)。
[2] IPアドレス、高精度位置情報やウェブサイト閲覧履歴も含まれるとされる。日本の個人情報保護法と異なり、容易照合性(他の情報と照合して容易に特定の個人を識別できるか)は必要とされていない。
[3] 個人情報処理の活動において処理の目的、処理方式を自ら決定する組織または個人とされ(本法73条1号)、事業者は広く含まれると考えられる。