個人情報をめぐる中国国内での関心の状況と、
個人情報保護法『草案』の意見募集
(11月19日締切)について
執筆者:弁護士法人キャスト
日本国弁護士・中小企業診断士 金藤 力
PDFダウンロードはこちらから
現在、中国法令・事例情報ワークショップについて、サービスのご紹介を兼ねたアンケートを実施しています。このアンケートを通じて、個人情報保護に関する話題について強い関心が寄せられていることが分かりましたので、これにつき少しご紹介します。
なお、アンケートはまだ回答受付中ですので、お時間があれば是非、ご協力のほどお願い申し上げます。
https://castglobal-china.biz/news/661
1.中国国内でも、個人情報保護についての関心は高い
中国法令・事例情報ワークショップでは、毎週、中国の新聞等のメディアに掲載されて注目を集めている記事から、中国ビジネス法務に役立つと思われるものをピックアップしてご紹介しています。例えば10月第4週には、以下のような記事を取り上げていました。
中国法令・事例情報ワークショップ資料(10月第4週分)より:
この記事はCCTV(中央電視台)Webサイトの経済欄に10月27日に掲載されていたものです【1】。「あるネット取引サイト上では、たった2元で千枚の顔写真を買えることが分かった。5000枚以上の顔写真でも10元に満たない値段だった。」という状況が紹介されており、そのような多くの写真を集めて加工することで、顔認証システムを欺くことができるとされています。(もっとも、専門家のコメントによれば、現在最も簡単な部類の顔認証は6~8点の特徴のみ対照するもので、より複雑な顔認証であれば安全性は高くなるそうです。) この記事でも、《ネットワーク安全法》や《民法典》、さらに後述の個人情報保護法『草案』が紹介されています。
このほか、10月には他に以下のような記事もご紹介していました。
10月第3週:「顔識別は濫用の傾向? 3割の回答者が既に顔情報漏洩に遭う」 中国新聞網(中新網)に10月19日に掲載された記事です【2】。 「小蛮腰科技大会」という国际数据(亚洲)集团(IDG Asia)主催のイベントにおいて報告された「顔識別アプリの公衆調査研究報告(2020)」という報告書の内容を紹介しています。これによると、10種のシーン別の顔認証につき匿名のアンケート回答2万件を集計したところ、対象者の3割が、顔情報の漏洩又は濫用によりプライバシー侵害又は財産損失に遭ったとされています。 |
10月第2週:「データは収集され、プライバシーは漏洩され…… 初めて公表された個人情報保護法草案は、私たちの情報安全をどう守る?」 新華社の10月13日の記事であり、全人代Webサイトに転載されています【3】。 ユーザーのネット記録はプラットフォームに収集されて商業マーケティングに用いられ、市民の登記機関で登記した個人情報は流出して流通しているなどの状況に対する挑戦として、個人情報保護法草案の要点を紹介しています。①法律適用範囲の明確化、②ビッグデータ収集にユーザーの事前同意を要求、③機微情報の収集・利用の厳格化・国家機関の保護義務の明確化、といった項目が紹介されています。 |
このように、中国の各種報道では、毎週さまざまな個人情報保護に関する話題が取り上げられています。スマートフォンのアプリによる個人情報の不正収集については今年の「3・15晩会」でも取り上げられていました【4】。
とりわけ、新型コロナウイルス対策において感染者及び濃厚接触者を早期に発見するためにスマートフォンから位置情報など大量の個人情報が収集されたこともあり、中国国内でも個人情報の漏洩・流出には一般市民も非常に敏感になっており、事業活動においても最も留意すべきテーマの一つになっていると言っても良いかもしれません。
2.《個人情報保護法》草案では、国外への情報提供なども規制対象に
《個人情報保護法》の草案については、10月13日から17日まで開催されていた第13期全国人民代表大会常務委員会第22回会議において草案が討論された後、現在は公開意見募集が行われているところです【5】。意見募集の締切は11月19日までです。
《個人情報保護法》草案(以下、単に『草案』といいます。)では、中国国内から国外への個人情報の提供・共有について、厳しい規制が設けられる方向となっています。
中国法令・事例情報ワークショップ資料(10月第4週分)より:
個人情報を国外に提供・共有することについては、2017年7月から施行されている《ネットワーク安全法》(いわゆるサイバー・セキュリティ法)【6】などの関連法令により、一部の企業には既に法的規制が及んでいます。日系企業各社においては日本と中国の間での情報共有が頻繁に行われることから、従来から比較的高い関心が寄せられているところですが、現在のところ、広く全ての企業に対して網羅的に規制がかけられるまでには至っていません。
しかし、今回の『草案』を見てみると、第3章(『草案』第38条~第43条)で個人情報のクロスボーダー提供にかかる規則を定め、そのうちには、個人に対して「国外の情報受領者の連絡先」や「提供する個人情報の種類」などを告知したうえで「単独の同意」を得なければならない(『草案』第39条)といった、かなり厳しい規制も予定されているようです【7】。また、国外の情報処理者が中国国内に機構を設置又は代表を指定しなければならない(『草案』第52条)など、新たな登録管理のルールも導入が考えられています。また、「基幹情報インフラストラクチャーの運営者」に加えて「個人情報の処理が国のネットワーク・情報化部門所定の数量に達する個人情報処理者」に対しても、個人情報の国外への提供に先立って安全評価を義務付けることが考えられているようです(『草案』第40条)。
日本でも、2018年に、年金受給者のデータ入力業務を受託していた会社が無断で中国の事業者に再委託していた問題が大きく報道されたことはまだ記憶に新しいところです。中国でも、《個人情報保護法》はまだ『草案』段階であり正式発布にはまだ至っていないものの、同じような問題が報道等で取り上げられる可能性はあると思われますので、実務における対応は少し前もって考えておく方がよさそうに思われます。
もちろん、今回の『草案』では、中国国内における個人情報の取扱いについても、本人の同意の撤回権及びその場合の情報削除義務を明文化していること(『草案』第16条及び第47条第1項第3号)、《民法典》第1035条【8】にも定められたように本人の同意以外にも情報処理規則の公開や利用目的・範囲の明示などを求めていること(『草案』第18条)など、事業活動に影響しそうな部分が多々あります。
さらに、注目すべきは、国家機関に対しても、法令所定の権限・手続の範囲でのみ個人情報の取得・保存・利用等を認めること(『草案』第34条)、また、国家機関の法定職責の履行を妨げない限り、個人情報の取得・保存・利用等について本人の同意を得るべきこと(『草案』第35条)などの制限を設けていることです。このように国家機関であっても個人情報につき自由に収集・利用できるわけではなく、個別に法令上の根拠が設定されなければならないことが明確に示されれば、中国に赴いて活動する日系企業の方々においても、より安心して中国国内での活動に従事していただくことができるものと思われます。
その他、『草案』の詳細については、日本語訳をキャスト中国ビジネスの法令対訳データベースに掲載済みですので、是非そちらをご覧ください。
(https://castglobal-china.biz/laws/7816)
以上
【中国法令・事例情報ワークショップからのお知らせ】 このワークショップでは、幅広い方々からの声をお聞きしてサービス改善に役立てるべく、気になる話題を選んでチェックをつけていただく形式の簡単なアンケートを実施中です。(11月30日まで。) ご回答いただいた方々には、ご希望に応じてバックナンバー資料も無償提供しておりますので、ご協力のほど、よろしくお願い申し上げます。 (詳細は下記URLから) https://castglobal-china.biz/news/661 |
【1】 https://jingji.cctv.com/2020/10/27/ARTI3ZJ26H3dKUesran1FdEZ201027.shtml(CCTV中視網Webサイト・経済欄)
【2】 http://www.chinanews.com/sh/2020/10-19/9316207.shtml
【3】 http://www.npc.gov.cn/npc/c30834/202010/fb61f6dd2c8340fdbbb5aeda76c90086.shtml
【4】 http://news.cctv.com/2020/07/16/ARTIjS1u4ChJ3LjdSwtrYqZe200716.shtml?spm=C94212.PSxrVk3DPcLQ.S91583.9(CCTV中視網Webサイト・新聞欄)
【5】 http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80808175265dd401754405c03f154c(全人代Webサイト:法律草案意見募集)
【6】 《ネットワーク安全法》
第37条 基幹情報インフラストラクチャーの運営者が中華人民共和国の境内での運営において収集し、及び発生させた個人情報及び重要データは、境内において保存しなければならない。業務の必要により、確かに境外に対し提供する必要のある場合には、国家ネットワーク安全及び情報化部門が国務院の関係部門と共同して制定する弁法に従い安全評価をしなければならない。法律及び行政法規に別段の定めのある場合には、当該定めによる。 |
【7】 中国国内における個人情報の移転については「単独の同意」までは求められていないこと(第22条、第23条)と比較すれば、国外への提供については一段厳しい規制が考えられているものと理解できます。但し、国内であっても処理後の第三者提供については「単独の同意」が求められており(第24条)、海外への提供だけが厳しい規制に服するというわけでもありません。
【8】 《民法典》
第1035条 個人情報を処理する場合には、適法であり、正当であり、かつ、必要であるという原則に従わなければならず、過度に処理してはならず、かつ、次に掲げる条件に適合しなければならない。 (一)当該自然人又はその監護人の同意を取得すること。ただし、法律及び行政法規に別段の定めがある場合を除く。 (二)情報処理の規則を公開すること。 (三)情報処理の目的、方式及び範囲を明示すること。 (四)法律及び行政法規の規定並びに双方の約定に違反しないこと。 個人情報の処理には、個人情報の収集、保存、使用、加工、伝送、提供、公開等を含む。 |