本記事では、2020年10月に草案が公表されたばかりである、中国の個人情報保護法についてまとめています。

はじめに

2010年にGDP(国内総生産)ランキングで日本を抜かし、アメリカに次ぐ世界2位の座を獲得するなど、中国は世界で有数の経済大国となっています。

そんな中国では、2020年6月時点のある調査において、インターネットユーザ人口が9億人に及び、webサイトは400万以上存在しているという結果が得られています。こうしたサービスを通じ、様々な場面でユーザの個人情報を利活用するようなビジネスも立ち上がってきています。

しかし、その中国にはこれまで「個人情報保護法」という名前の法律が存在していませんでした。そんな中、2020年10月になり、GDPRと多く類似点を持つ、「個人情報保護法」の草案が公表されました。

本記事では、この草案が公表された背景と、その内容を解説します。

なお、GDPRに関する詳細は以下の記事にて紹介しています。
https://acompany.tech/privacytechlab/what-is-gdpr/

個人情報保護法はなぜ生まれたのか？

これまでの中国における個人情報に関わる法律

先ほども説明したように、2021年3月現在、中国には「個人情報保護法」という名前の法律は存在していません。その代わり、様々な法律の中に、部分的に個人情報に関する記載があり、それに従う形で個人情報が保護されていました。

しかし、「個人情報保護法」に関する取り組みが全くなかったわけではありません。2003年に起草され、2005年に完成した、個人情報保護法の専門家提案稿というものが存在しています。これは、国務院に提出されましたが、様々な要因から作業が停滞していました。

アメリカへの対抗

後ほど詳しく説明しますが、今回公表された個人情報保護法の中には、個人情報の国外持ち出しを厳しく制限する項目が存在します。これは、2020年にアメリカで起こった、TikTok(ティックトック)などに対する規制への対抗と捉えることもできます。海外企業による、中国国内の個人情報の利活用に一定の制限をかけるためにも、この草案が発表されたと考えることができます。

本草案内での「個人情報」の定義

本草案内において、個人情報は以下のように定義されています。

電子的または他の方式により記録され、すでに識別されたまたは識別可能な、自然人と関連する各種の情報であり、匿名化処理された情報は含まない。

つまり、個人情報とは、収集された情報の中で、生存している人に関連する情報のことです。この中に、匿名化処理された情報は含みません。

個人情報保護法の内容

個人情報取扱者

本草案において、「個人情報の取り扱い」は以下の行為を指すと定められています。

個人情報を、収集、保存、加工、伝送、提供、公開等すること

また、上記行為を実施し、個人情報を取り扱う主体のことを個人情報取扱者と言います。この個人情報取扱者が守るべき事項として以下が定められています。

個人情報に関して、内部管理制度および操作規程を制定し、関連安全技術措置を講じなければならない
取り扱う個人情報が、国家ネットワーク情報部門の定める数量に達している場合は、個人情報保護責任者を指定し、関連取り扱い行為及び保護措置等に対して監督させなければいけない
本草案の適応範囲内の中国国外の個人情報取扱者は、中国において専門機構又は、代表者を設置し、当該機構又は代表者の関連情報を管理部門に届け出なければならない
定期的に自身の個人情報取り扱い行為、保護措置等が法令に合致しているかについて監査しなければならない
機敏な個人情報の取り扱い、個人情報を利用することによってなされる自動化された意思決定、個人情報の取り扱い、第三者への個人情報の提供、個人情報の公開についての委託、及び個人情報の越境提供等の個人情報取り扱い行為に対して、事前にリスク評価をしなければならない
個人情報を漏洩した際には救済措置を講じ、個人情報保護の職責を履行する部門及び被害にあった個人に通知しなければならない

簡単に言い換えると、個人情報取扱者には、以下が求められています。

個人情報を安全に取り扱うための対策を行うこと
個人情報のデータ総量が一定数以上の場合には、責任者を指定して取り扱いを監督させること
中国国外の個人情報取扱者は、中国における専門機構や代表者を設け、その関連情報を管理部門に届け出ること
自身の個人情報取扱行為を監査すること
個人情報の取り扱いに関わることについて、事前にリスク評価すること
個人情報を漏洩した際には、措置を講じ、個人等に通知すること

中国国外で本草案が適応される場合

基本的に、今回発表された個人情報保護法草案の規則が適応されるのは、中国国内で個人情報の取り扱いを行う場合です。しかし、中国国内に存在する個人の個人情報など、中国国内の個人情報を取り扱う場合には、中国国外での利活用であっても、本草案の規則が適応されます。例えば、中国国外にあるものの、eコマースなどを実施しており、中国国内の個人情報を取り扱う可能性のある企業は、本草案が適応される可能性があります。中国国外であっても、本草案が適応されるケースは以下です。

中国国内の自然人に向けて商品またはサービスを提供することを目的とするケース
中国国内の自然人の行為を分析し、評価するために個人情報を取り扱うケース
法律や行政規則によって規定されている、その他のケース

個人情報の第三者提供

個人情報の第三者提供に関する規則は以下です。

個人情報取扱者が第三者にその取り扱う個人情報を提供する場合、個人に対し第三者の身元、連絡方法、取扱目的、取扱方法及び個人情報の種類を告知し、個人情報を受領する第三者は上述の取扱目的、取扱方法及び個人情報の種類等の範囲内において個人情報を取り扱わなければならない。第三者が元々の取扱目的または取扱方法を変更する場合には、本法の規定に基づき改めて個人に告知し、その同意を取得しなければならない。

つまり、個人情報を第三者提供する際には、個人情報の主体となる個人に、第三者による個人情報の利用目的などを明確に伝える必要があります。

個人情報の中国国外転送と中国国内での保存

本草案において、個人情報取扱者の種類によって、中国国内での個人情報データ保存義務と、中国国外にデータを持ち出す際に求められる条件が異なります。まず、以下の場合、個人情報データを国内で保存する義務と、情報の域外移転における安全性テストの合格が求められます。

重要情報インフラ運用者である場合
取り扱う個人情報が国家インターネット情報部門の規定する数量に達した個人情報取扱者

このように、データを中国国内に保存することを求めている点は、中国らしい特徴です。また、上記以外、つまり、一般的な個人情報取扱者の場合、中国国外に個人情報を転送に必要な条件として、以下が存在しており、この中から少なくとも一つを満たす必要があります。

セキュリティ評価に合格すること
個人情報の保護に関して、国家サイバースペース管理局の規定に従って、専門家による認定を受けていること
国内、国外のデータ取扱者の権利と義務を明記した契約を締結し、国外でのデータ取扱者の処理が中国の個人情報の保護基準を確実に満たすよう、その個人情報の処理を監督すること
法律や、行政による、他の規定条件を満たすこと

こうした、個人情報を中国国外に転送する際に様々な規定が求められていることは、中国企業が作成したアプリケーションであるTikTokが、アメリカにおいて規制を受けたことへの対抗であると考えられます。

同意の取得

本草案において、個人情報を扱う場合には、その処理目的ごとに、明示的かつ、個別の同意を得ることが求められています。つまり、ユーザに一つのチェックボックスの回答を求めることによって同意を得るだけでは不十分であるということです。そのため、ユーザから明示的な同意を得るために、個人情報を処理する目的ごとにリストを作成し、それぞれにユーザから同意を得る必要があります。また、個人情報を取り扱うことのできる条件の中にも個人の同意を取得することが含まれています。個人情報を取り扱うことができる条件は以下です。

個人の同意を取得している場合
個人が当事者の一方となる契約の締結、または、履行に必要な場合
法定の職責、または法定の義務の履行に必要な場合
突発的な公衆衛生上の事件に対応し、自然人の生命や健康、財産の保護のために必要な場合
公共の利益のためメディア報道などの行為を実施して合理的範囲内で個人情報を取り扱う場合
法律や行政規則に則ったその他の状況

さらに、14歳未満の未成年者の個人情報を取り扱うことを知っている、または、知るべきである場合、その保護者の同意を得なければならないことになっています。

個人の権利の尊重

本草案においては、個人の権利の尊重が重視されています。個人情報の提供者は、個人情報の提供に対する同意の撤回ができます。加えて、その同意を撤回したことによって、個人情報取扱者は、サービスの提供を拒絶してはいけません。

その他特徴

本草案のその他の特徴として、以下があります。

命令違反をした事業者は公開されるだけでなく、個人情報の提供が制限される、または、禁止されるなどの措置が取られる
必要最小限の保存期間のみ、個人情報を保持することが求められている

罰則

本草案に従わなかった場合、以下の罰則が適応されます。

是正命令
違法な利益の没収
事業の停止
営業許可の取り消し
最大5,000万人民元(日本円で約8億円)　または、昨年の売上高の5%の罰金
個人情報保護を担当する個人に対しても、最大100万人民元(日本円で約1.6億円)の罰金

まとめ

中国で2020年10月に公表された、個人情報保護法の草案に関して、公表の背景とその内容を解説しました。今後詳細なガイドラインが公表され、より具体的なユースケースが明らかになることが予想されます。

これまで、中国には「個人情報保護法」という名前の法律が存在していなかった
本草案内で個人情報は、「収集された情報の中で生存している個人に関連する情報」と定められている
個人情報を収集、保存、収集、保存、加工、伝送、提供、公開等することが、個人情報の取り扱いにあたる
中国国内の個人に関する個人情報を取り扱う場合、中国外での利活用にも本草案は適応される
個人情報を第三者提供する際には、個人情報の主体となる個人に、第三者による個人情報の利活用目的などを明確に伝える必要がある
一部個人情報取扱者は、個人情報データを中国国内で保存する必要がある
個人情報を取り扱うことができる条件の一つとして、個人からの同意を得ることが含まれている
個人の同意が撤回されても、個人情報取扱者は、サービスの提供を拒絶してはいけない
本草案に従わなかった場合、最大で5,000万人民元(日本円で約8億円)、または、昨年の売上高の5%が罰金として課せられる

参考