「中国サイバーセキュリティ法」要点解説(3)

「中国サイバーセキュリティ法」要点解説(3)

中国弁護士(Not admitted in Japan)李 昱昊

 

「中国サイバーセキュリティ法」要点解説(1)へ

「中国サイバーセキュリティ法」要点解説(2)へ

 

 

■7.サイバーセキュリティ法における個人情報保護規制

1)個人情報保護規制の概要

サイバーセキュリティ法制定前に、中国で個人情報保護に関して、まとまった形で制定された基本法は存在しませんでした。個人情報保護の規制は、関連分野ごとに個別法または、行政法規や通達として散在していました。例えば、消費者の個人情報の保護を図る規定は「消費者保護法」(※1)に存在し、市民の身分証明書やパスポートに記載した個人情報の保護を図る規定は「身分証明書法」・「旅券法」に存在し、また、「民法通則」と「刑法」においても個人情報の保護に関する規定が存在します。しかし、これらの規定は、それぞれ一部の分野にしか適用されておらず、規定間の整合性にも齟齬が生じていました。
これに対して、サイバーセキュリティ法は、個人情報保護に関して、より全面的かつシステム的に規定をおいており、適用される者に対して、より厳格かつ具体的な義務を課しています。
以下においては、サイバーセキュリティ法及び関連規定における個人情報保護に関する重要なポイントをまとめて紹介します。個人情報及び重要データに関しては、重要情報インフラストラクチャー運営者による国内保存・国外移転義務等の規制については、前回の解説2をご参考ください。国内保存・国外移転規制以外の個人情報保護に関する規定を、本編でまとめてご紹介いたします。

 

 

2)個人情報の定義

サイバーセキュリティ法第76条の5の規定によれば、「個人情報」とは、「電子データその他の方式により記録され、単独又はその他の情報と組み合わせて自然人の個人身分を識別することができる各種情報を指す。また、これには、自然人の氏名、生年月日、身分証番号、個人の生物識別情報、住所、電話番号等を含むが、これらに限らない」とされています。
当該定義は、個人情報の判断基準(※2)として、①一定の情報から特定の個人を特定できるか否かという個人特定可能性、及び②当該個人の生存及び活動から発生した情報であるか否かという情報と個人の関連性、この2つの側面に主眼が置かれていると考えられています。
上記定義に基づき、個人情報保護規制の関連ガイダンスである「個人情報安全規範」(※3)では、「個人情報は、氏名、生年月日、身分証明書番号、個人生物識別情報(生体情報)、住所、通信連絡先、通信記録及び内容、口座番号及び暗証番号、財産情報、信用情報、行動位置情報、健康生理情報、取引情報を含むがこれらに限らない」と個人情報の例が非限定的に挙げられています。
また、サイバーセキュリティ法上定義された概念ではありませんが、「個人センシティブ情報」という概念が「個人情報安全規範」で定義されており、一般の「個人情報」より厳格な取扱い基準が設けられています。実務上、「個人センシティブ情報」の概念と範囲を把握した上で厳重な対応をとる必要があります。
「個人センシティブ情報」とは、個人情報のうち、「一旦漏えい、不法に提供又は濫用されると、人身や財産の安全を害するおそれがあり、個人の名誉・心身の健康が害され、差別的な待遇等をもたらすおそれがある個人情報」とされています(※4)(個人情報安全規範第3.2条)。なお「個人情報」と同様に、「個人センシティブ情報は、身分証明書番号、個人生物識別情報(生体情報)、銀行口座番号、通信記録及び内容、財産情報、信用情報、行動位置情報、宿泊情報、健康生理情報、取引情報、14歳以下の児童の個人情報を含むがこれらに限らない」と例示列挙されています。

 

 

3)個人情報保護に関する規制の内容

サイバーセキュリティ法は、個人情報保護に関して、主に以下の4つの側面で、ネットワーク運営者に義務を課し、個人情報の持ち主である個人情報主体に権利を与えています。

 

 ①個人情報の取得・利用に関する規制

サイバーセキュリティ法第41条では、「ネットワーク運営者は、個人情報を収集、使用するにあたり、適法、正当及び必要の原則を遵守しなければならなく、収集及び使用の規則を公開し、情報収集及び使用の目的、方法及び範囲を明示し、且つ提供者の同意を得なければならない。」と規定しています。
まず、個人情報の収集、使用に関して、ネットワーク運営者は「適法、正当及び必要」という大原則を遵守しなければならないとされていますが、当該原則の意義は必ずしも明確に説明されていません。しかし、個人情報保護に関する規定を概観する際に当該原則に基づいた規定が、様々な箇所で現れるため、規定の運用または解釈に大きな影響を与えています。
なお、個人情報収集の際に、収集・使用に関する規則の公開義務、収集・使用の目的・方式及び範囲の明示義務、及び個人情報主体からの同意の取得義務がネットワーク運営者に課されています。上記義務に違反して個人情報を取得した場合、違法取得となり、個人に対する損害賠償責任が生じ、行政罰が科される可能性があります。
さらに留意すべき点として、実務上、ネットワーク運営者があらゆる場面で個人の同意を得ることが現実でない、或いは業務に著しい支障を及ぼすことが考えられます。このような場面について、「個人情報安全規範」においては、国家安全・犯罪捜査等の目的での所得の場合、個人情報主体が自ら社会公衆に公開している場合、個人情報主体の要求に従った契約の締結及び履行に必要な場合等を例外事由とし、同意取得を不要としています。

 

 ②個人情報の管理・第三者提供に関する規制

サイバーセキュリティ法第42条では、「ネットワーク運営者は、自らが収集した個人情報を漏えい、改竄、毀損してはならない。提供者の同意を得ずに、他人に対し個人情報を提供してはならない。ただし、処理作業を経て、特定の個人を識別できず、かつ復元できない場合を除く。」と規定されています。
本条は、個人情報の第三者への提供に関する規定です。まず、ここでいう第三者の範囲は相当広範で、業務委託先、協業会社、グループ企業の子会社や兄弟会社なども第三者に属するため、このような会社に個人情報を提供する場合に、原則としてはすべて個人情報取得時に同意を得る必要があります。例外的に、「処理作業を経て、特定の個人を識別できず、かつ復元できない場合」と規定しており、個人を特定する必要性がない情報を提供する場合に、当該個人情報を特定不可かつ復元不可に処理して提供することが可能です。

 

 ③個人情報のセキュリティ管理義務

サイバーセキュリティ法第42条第2項では、「ネットワーク運営者は、技術的な措置その他の必要な措置を講じ、自らが収集した個人情報の安全を確実に保証し、情報の漏えい、毀損及び紛失を防止しなければならない。個人情報の漏えい、毀損又は紛失が発生するか、発生する恐れのある状況においては、直ちに救済措置を講じ、規定に従い遅滞なくユーザーに告知し、なお且つ関係所管機関に対し報告しなければならない。」と規定されています。
本項の規定は、ネットワーク運営者に対して、個人情報の安全を確保し、情報の漏洩、毀損、紛失を防止するように、技術的措置及びその他の必要な措置を講じなければならないという運営上のセキュリティ確保義務を課しているだけでなく、有事のときに、直ちに救済措置を講じ、ユーザーに告知し、かつ、関連主管部門に報告する義務を課しています。

 

 ④個人情報主体の権利

サイバーセキュリティ法第43条では、「個人は、ネットワーク運営者が法律、行政法規の規定又は双方の約定に違反して当該個人の個人情報を収集するか、使用したことを発見した場合には、ネットワーク運営者に当該個人の個人情報の削除を要求する権利を有する。個人はネットワーク運営者が収集するか、保存する当該個人の個人情報に誤りのあることを発見した場合には、ネットワーク運営者に更正を要求する権利を有する。ネットワーク運営者は、措置を講じて削除するか更正しなければならない。」と規定されています。
本条は、個人情報の主体である個人に対して、個人情報削除請求権と訂正請求権を認めています。

 

 

 

■8.小括

「中国サイバーセキュリティ法」要点解説を3回に分けて連載し、①サイバーセキュリティ法の立法背景、②サイバーセキュリティ法の適用範囲、③重要情報インフラストラクチャー運営者、④「三つの同時」の原則、⑤個人情報及び重要データの国内保存と国外移転規制、⑥サイバーセキュリティ法における個人情報保護規制を解説してまいりました。
「中国サイバーセキュリティ法」及びその関連規定の制定及び施行を受けて、ITビジネスを行う企業のみならず、中国とビジネス関係を持つ、または中国進出を考えているすべての企業の法務担当者が、本法を理解し、必要な対応に備えることが求められています。
本稿を通じて、読者にとって「中国サイバーセキュリティ法」の規定及び実務への理解を少しでも深めていただければ幸いです。

 

 

(※1)
「中華人民共和国消費者権益保護法」(中国語名称:中华人民共和国消费者权益保护法)1993年10月31日八届全国人民代表大会常務委員会で可決、1994年1月1日に施行。

(※2)
「個人情報安全規範」(中国名称:中华人民共和国国家标准信息安全技术个人信息安全规范)を参照。

(※3)
「個人情報安全規範」(中国名称:中华人民共和国国家标准信息安全技术个人信息安全规范)は2017年12月29日に公布され、2018年5月1日より施行されて、国家標準であるものの、国家推奨標準であるため、強制力を有せず、法的拘束力はありませんが、実務上に重要な参考基準となります。

(※4)
「個人情報安全規範」第3.2条を参照。

 

 

ECのサービス詳細はこちら

中国のサービス詳細はこちら

中国弁護士(Not admitted in Japan)