中国サイバーセキュリティ法動向(個人情報の国外移転について)
「個人情報国外移転安全評価弁法 (意見募集案) 」解説

中国サイバーセキュリティ法動向(個人情報の国外移転について) 「個人情報国外移転安全評価弁法 (意見募集案) 」解説

中国弁護士(Not admitted in Japan)李 昱昊

 

 

2019年6月13日、国家インターネット情報弁公室は「個人情報国外移転安全評価弁法 (意見募集案)」(※1) (以下、「本弁法案」といいます。) を公表し、パブリックコメントが募集されました。本弁法案は、中国サイバーセキュリティ法に基づいて制定された細則的な性質を有しており、これから本弁法案が正式に施行される場合、中国に関連する個人情報を取り扱うグローバル事業を展開する企業にとって、多大な影響を及ぼすと考えられます。そのため、「中国サイバーセキュリティ法」関連シリーズとして、本稿において、本弁法案の主な特徴や条文を紹介し、最新の動向についてご説明いたします。

 

 

一、本弁法案の特徴

 

1、ネットワーク運営者全般における安全評価義務

 中国サイバーセキュリティ法第37条では、「重要情報インフラストラクチャー運営者」が中国国内で収集、又は発生した個人情報及び重要データを中国国内に保存することを義務付けられ、国外に移転する場合には、安全評価を行わなければならないとしています。このような安全評価を行う義務がある者については、「重要情報インフラストラクチャー運営者」に限定されています。
 安全評価の義務者について、国家インターネット情報弁公室が2017年に公表した「個人情報及び重要データ国外移転安全評価弁法(意見募集案)」(※2)によって、「重要情報インフラストラクチャ-運営者」に限らず、「ネットワーク運営者」も安全評価を行うものとされました。本弁法案においても、2017年の意見募集案と同様に国外移転に関する安全評価の義務者について「ネットワーク運営者」も含まれることが規定されています。今後の正式版においてもこの方針は変わらないものと思われます。(※3)
 また、安全評価義務については、「個人情報及び重要データ国外移転弁法(意見募集案)」の自己評価及び所管当局による評価に関する規制と比べて、本弁法案においては、ネットワーク運営者が個人情報を国外に移転する場合に、その所在地の省レベルのネットワーク情報管理当局に個人情報国外移転安全評価を申し出なければならないよう、規制を更に厳格化しました(第3条)。実務上、ネットワーク運営者にかかる負担は一層重くなるように思われます。

 

2、ネットワーク運営者と個人情報受領者との契約に関する規制を導入

 これまでの個人情報の国外移転に関する保護の規制と比べて「本弁法案」の顕著な変化の一つは、個人情報が国外移転する前に、ネットワーク運営者が国外の個人情報受領者との間に契約を締結することを要求している点であります。また、「本弁法案」は、当該契約の内容についても規定を設けています。具体的な内容については、下記「本弁法案」の条文紹介をご参照ください。
 契約に関する規定の導入理由としては、国外に移転された個人情報に関して、国内の個人情報保護規制が及ばず、国外においても中国国内の個人情報保護の規定と同等以上のレベルで保護されなければならないということが説明されています。
 「本弁法案」によれば、個人情報が国外の受領者に移転された場合、当該受領者は個人情報に対して十分なレベルの保護を継続的に保証することが要求されます。また、ネットワーク運営者は、移転にあたって、個人情報の国外移転安全評価を申請する際、個人情報国外移転安全リスク及び安全措置分析報告書の提出が要求されます。その報告書における重要な分析内容の1つが個人情報受領者の個人情報セキュリティ保護能力であるとされています。

 

3、個人情報本人の権利を多方面から保障する規定の明確化

 「本弁法案」は、個人情報が国外移転される場面の特徴に応じて、個人情報本人(以下「本人」といいます。)に対して、知る権利、アクセス・訂正の権利、損害賠償請求の権利など、多方面から明確に保証しています。
 具体的には、知る権利に関する保証としては、ネットワーク運営者に、本人に対し、ネットワーク運営者及び個人情報受領者の基本情報を通知する義務を課しており、また、本人には、ネットワーク運営者に対して、ネットワーク運営者と受領者との個人情報国外移転にかかる契約のコピーの提供を要求できる権利を保証しています。この知る権利に関する保証は、その他の権利の保証の基礎となるものと位置づけとされています。
 アクセス・訂正の権利に関する保証としては、ネットワーク運営者に対して以下の義務を課しています。①ネットワーク運営者と個人情報受領者との契約において、本人にその個人情報にアクセスする方法を提供できるように規定する義務、②本人がその個人情報の訂正又は削除を要求した場合、適切な費用及び期間でそれに応じる義務、および、③本人が個人情報の訂正又は削除を要求する権利を有効に保証する義務。
 損害賠償請求の権利に関する保障としては、「本弁法案」はネットワーク運営者と個人情報受領者との契約において、本人を本人の利益に関する条項の受益者にすることを要求し、また、本人が自らまたは代理人に委任してネットワーク運営者及び個人情報受領者両方に対して損害賠償請求できることを明確に定めました。さらに、本人が個人情報受領者から十分な賠償を得ることができない場合には、ネットワーク運営者が代わりに賠償しなければならないといった規定を設け、本人の損害賠償請求権の行使を最大限に確保できるようネットワーク運営者及び個人情報受領者に義務を課しています。

 

 

二、以下、「本弁法案」の条文を和訳し、ご紹介いたします(※4)。

条文ごとに関する細かい論点に関しては、紙面の制約で割愛いたします。なお、以下の条文和訳は、オリジナルに作成したものであり、無断転載をお断りいたします。

 

第一条

データの国外移転における個人情報の安全を保障するため、「中華人民共和国サイバーセキュリティ法」及びその他関連法令に基づき、本弁法を制定する。

 

第二条

ネットワーク運営者は、中華人民共和国国内の運営において収集した個人情報を国外に移転する場合(以下、「個人情報国外移転」という。)、本弁法に従って安全評価を行わなければならない。 国家の安全に影響を及ぼし、公的な利益を損ない、又は個人情報の安全を有効に保障することが困難と評価される場合、個人情報は国外に移転してはならない。 国が個人情報国外移転について他に規定を設けたものがある場合、その規定による。

 

第三条

個人情報を国外に移転する前に、ネットワーク運営者は、所在地の省レベルのネットワーク情報管理当局に個人情報国外移転安全評価を申し出なければならない。 複数の受領者に個人情報を移転する場合、受領者ごとに安全評価を申し出なければならず、同一の受領者に個人情報を複数回又は連続的に移転する場合、複数回の安全評価の申し出は必要としない。 2年ごとに、又は、個人情報国外移転の目的、種類、又は保存期間が変更されるたびに、再評価の申し出をしなければならない。

 

第四条

ネットワーク運営者が個人情報国外移転について安全評価を申し出るには、以下の資料を提供し、資料の真正性、正確性について保証しなければならない:

(1)申出書; (2)ネットワーク運営者と受領者が締結した契約; (3)個人情報国外移転の安全におけるリスク及び安全保障措置に関する分析・報告書; (4)その他国家ネットワーク情報管理当局が要求する資料。

 

第五条

省レベルのネットワーク情報管理当局は、個人情報国外移転に関する安全評価の申出書類を受け取り、不備がないことを確認した後、専門家や技術者を組織して安全評価を行う。 安全評価は、15業務日以内に完了しなければならないが、状況が複雑な場合、その期間は適宜延長される。

 

第六条

個人情報国外移転に関する安全評価においては、次の事項を重点的に評価する。

(1)国家の関連法令及び政策規定に合致するか否か; (2)契約の条項が、本人の権利利益を十分に保障できるか否か; (3)契約が有効に実行されるか否か; (4)ネットワーク運営者又は受領者に本人の権利利益を損なう行為をした履歴があるか否か、又は大規模ネットワーク安全事故が発生したことがあるか否か; (5)ネットワーク運営者が、個人情報を適法かつ正当に取得したか否か; (6)評価すべきその他の事項。

 

第七条

省レベルのネットワーク情報管理当局は、個人情報国外移転に関する安全評価の結果をネットワーク運営者に通知するとともに、個人情報国外移転に関する安全評価の情報を国家ネットワーク情報当局に報告する。 ネットワーク運営者は、省レベルのネットワーク情報管理当局による個人情報国外移転に関する安全評価の結論に異議がある場合、国家ネットワーク情報管理当局に申立てることができる。

 

第八条

ネットワーク運営者は、個人情報国外移転に関して以下の内容を含む記録を作成し、5年以上保存しなければならない。

(1)国外に個人情報を移転した日時; (2)受領者の身分情報(受領者の名前、住所、連絡先等を含むが、これらに限定されない); (3)国外に移転される個人情報の種類、数量及びセンシティブ度; (4)その他国家ネットワーク情報管理当局が定める内容。

 

第九条

ネットワーク運営者は、毎年12月31日までに、当年度の個人情報国外移転に関する状況、契約の履行に関する状況等を、所在地の省レベルのネットワーク情報管理当局に報告しなければならない。 大規模のデータ安全事故が発生した場合、遅滞なく所在地の省レベルのネットワーク情報管理当局に報告しなければならない。

 

第十条

省レベルのネットワーク情報管理当局は、ネットワーク運営者における個人情報国外移転の記録等個人情報国外移転に関する状況を定期的に検査し、契約に規定された義務の履行状況、国内の規定に違反するか否か、及び本人の権利利益を損なう行為があるか否か等の事項を重点的に検査する。 本人の権利利益侵害又はデータ漏洩等の安全事故を発見した場合、遅滞なくネットワーク運営者に改善を要求し、ネットワーク運営者を通じて受領者に改善を促す。

 

第十一条

以下のいずれかの場合、ネットワーク情報管理当局は、ネットワーク運営者に、国外への個人情報の移転を一時停止又は終了するように要求することができる。

(1)ネットワーク運営者又は受領者に大規模データ漏洩、データ濫用等の事故が発生した場合; (2)本人が、その権利利益を保護することができないか又は困難である場合; (3)ネットワーク運営者又は受領者が、個人情報の安全性を保障することができない場合。

 

第十二条

いかなる個人又は組織も、本弁法の規定に違反して国外に個人情報を移転する行為について、省レベル以上のネットワーク情報管理当局又は関係当局に通報することができる。

 

第十三条

ネットワーク運営者が個人情報受領者と締結する契約又はその他の法的効力のある文書(契約と総称する。)は、以下の内容を明確に定めなけれればならない。

(1)個人情報国外移転の目的、種類、保存期間; (2)本人の権利利益に関する条項の受益者が本人であること; (3)本人が、その権利利益が損なわれた場合、自ら又は代理人を委託して、ネットワーク運営者若しくは受領者又は双方に賠償請求することができ、ネットワーク運営者又は受取者は、自己に責任がないことが証明できない限り、賠償しなければならないこと; (4)受領者の所在国の法環境が変化し、契約の履行が困難になった場合、契約を終了するか又は安全評価を再び行わなければならないこと; (5) 受領者が受領した個人情報を廃棄し又は匿名化しない限り、契約の終了をもって、本人の権利利益に関連する条項によって規定されるネットワーク運営者及び受領者の責任及び義務を免れることができないこと; (6) その他双方が合意した内容。

 

第十四条

契約では、ネットワーク運営者が以下の責任及び義務を負うことを明確に定めなければならない。

(1)電子メール、インスタントメッセージ、手紙又はファクシミリ等の方法で、本人にネットワーク運営者及び受領者の基本状況並びに個人情報国外移転の目的、種類及び保存期間を通知する義務; (2)本人の請求に応じて契約の写しを提供する義務; (3)本人の請求に応じて、賠償請求を含めた本人の請求を受領者に伝える義務及び本人が受領者から賠償を得ることができない場合、先行して賠償する義務。

 

第十五条

契約では、受領者が以下の責任と義務を負うことを明確に定めなければならない。

(1)本人に個人情報にアクセスする方法を提供し、本人が個人情報の訂正又は削除を要求した場合、適切な費用及び期間でそれに応答し、個人情報の訂正又は削除する義務; (2)契約の目的にしたがって個人情報を使用し、契約に定めた期間を超えて個人情報を保存しない義務; (3)契約の締結及び契約義務の履行が受領者の所在国の法律に違反しないことを確認し、受領者の所在国の法律の変化が契約の実行に影響を及ぼす可能性がある場合、遅滞なくネットワーク運営者に通知し、ネットワーク運営者を通じてその所在する省レベルのネットワーク情報管理当局に報告する義務。

 

第十六条

契約では、以下の条件が満たされない限り、受領者が受領した個人情報を第三者に提供してはならないことを明確に定めなければならない。

(1)ネットワーク運営者が、電子メール、インスタントメッセージ、手紙又はファクシミリ等により、個人情報の第三者提供の目的、第三者の身分情報及び所在国、提供する個人情報の種類、第三者における保存期間等を本人に通知したこと; (2)受領者が、本人が第三者への提供を停止するように要求したとき、提供を停止し、すでに提供を受けた個人情報を廃棄することを第三者に要求することについて承諾したこと; (3)センシティブ個人情報に関連する場合、主体の同意を得たこと; (4)個人情報の第三者提供によって本人の権利利益に損害を与えた場合、ネットワーク運営者が先行して賠償責任を負うことに同意したこと。

 

第十七条

個人情報国外移転における安全リスク及び安全保障措置に関する分析・報告書は、少なくとも以下の内容を含まなければならない。

(1)ネットワーク運営者及び受領者のバックグラウンド、規模、業務、財務、評判、ネットワーク安全に関する能力等; (2)個人情報国外移転計画(移転持続期間、関連する本人の人数、国外移転する個人情報の規模、国外移転後に第三者に転送するか否か等を含む。); (3)個人情報国外移転リスクの分析並びに個人情報の安全及び本人の権利利益を保障する措置。

 

第十八条

ネットワーク運営者が本弁法の規定に違反して国外に個人情報を移転した場合、関連する法令に従って処罰する。

 

第十九条

我が国が参加した又は他の国、地域若しくは国際機関と締結した条約又は協定等において、個人情報国外移転について明確な規定がある場合、その規定を適用するものとする。ただし、我が国が留保した条項は、この限りではない。

 

第二十条

国外の組織は、その事業活動において、インターネット等を通じて国内のユーザーの個人情報を収集した場合、国内における法定代表者又は組織を通じて、本弁法におけるネットワーク運営者の責任及び義務を履行しなければならない。

 

第二十一条

本弁法において、以下の用語は、以下それぞれを意味するものとする。

(1)ネットワーク運営者とは、ネットワークの所有者、管理者及びネットワークサービスの提供者を指す。 (2)個人情報とは、単独で又は他の情報と照合して自然人の身分を識別できる、電子的方法又は他の方法で記録した情報を指し、自然人の氏名、生年月日、身分証明書番号、個人生体識別情報、住所、電話番号等を含むが、これらに限られない。 (3)センシティブ個人情報とは、一度、漏洩、盗難、改ざん又は不正に使用された場合、本人の生命若しくは財産の安全を損ない、又は本人の名誉若しくは心身の健康等を損なう可能性がある個人情報を指す。

 

第二十二条

本弁法は、年 月 日から施行される。

 

 

 

(※1)
中国語の正式名称は、《个人信息出境安全评估办法(征求意见稿)》となります。

(※2)
中国語の正式名称は《个人信息和重要数据出境办法》となります。

(※3)
「中国サイバーセキュリティ法」要点解説(2)を参照。

(※4)
本項の条文和訳は、オリジナルに作成したものであり、無断転載をお断りいたします。

 

中国のサービス詳細はこちら

中国弁護士(Not admitted in Japan)