1.はじめに
個人情報の保護の専門的な法律として「中華人民共和国個人情報保護法」(以下、「個保法」という)が2021年8月20日に可決・公布され、同年11月1日にその施行日を迎える。これは、同法が2018年に中国全国人民代表大会常務委員会の立法計画に組み込まれた後、3年にわたる立法作業の成果であり、その第1条は、その立法根拠として憲法を追加し、「中華人民共和国公民の人格的尊厳の不可侵」や「中華人民共和国公民の通信の自由及び秘密に対する法律的保護」など、憲法の規定を具体化・確実化するものとして重大な意義を有している。本誌2021年6月号では、2021年4月に公布された個保法の第二次審議稿(以下、「第二次審議稿」という)について紹介したが、本稿では、第二次審議稿との比較を含む個保法の要点などに関し論ずるものとしたい。
2.個保法の要点及び第二次審議稿との比較
(1)「単独同意」を要する個人情報の取扱
「個人情報主体への告知とその同意の取得」が個人情報取扱の基本的な要件であるが、個人情報の種類、性質によっては、通常の包括的な同意の取得ではその保護に不足が生ずる機微個人情報も存在する。これを受け、個保法は、①他の個人情報取扱者への個人情報の提供、②個人情報の公開、③公共の場所における顔識別により収集した情報の公共安全保護以外の目的への利用、④機微個人情報の取扱、⑤個人情報の越境移転については、その個人から「単独同意」を得なければならないものとした(23条、25条、26条、29条、39条)。
(2)アプリ関連の個人情報保護の義務・責任の明確化
現に頻発しているアプリによる個人情報の過剰な収集を規制するため、個保法は、個人情報の収集を「取扱の目的を実現する最小の範囲」に限定し、個人情報の過剰な収集を禁止した(6条)。これは、個人情報の過度な取扱を禁止する民法典と軌を一にする規定である。
そのほかにも、個保法は、監督管理の遂行に関して、アプリなどの個人情報保護の状況に対する評価の手配、評価結果の公表を個人情報保護職責履行部門の職責とすること(61条)、法的責任に関して、「個人情報を違法に取扱したアプリに対し、サービス提供の停止又は終了を命じる」こと(66条)を定めている。
(3)ビッグデータによる差別的待遇の禁止
個保法は、自動的意思決定に関する第二次審議稿の規定を基礎に、「個人に対し、取引価格等の取引条件において不合理な差別的待遇を行ってはならない」ことをさらに明確化した(24条)。
「ビッグデータによる差別的待遇」とは、インターネットプラットフォームなどがビッグデータとアルゴリズムを利用してユーザーに関する「画像」分析を行い、異なる価格を設定するなどの行為をいう。近年、このような問題にも多大な関心が寄せられており、別の観点からこれを規制する代表的な法令として、「ビッグデータによる差別的待遇」につき「市場支配的地位の濫用」成立の可能性を定めた「プラットフォーム経済分野に関する国務院独占禁止委員会の独占禁止ガイドライン」が挙げられる。
(4)未成年者に対する個人情報保護の強化
個保法は、「十四歳に満たない未成年者の個人情報」を機微個人情報の範囲に追加し(28条)、個人情報取扱者に対してこれに特化した個人情報取扱規則の制定を要求しており(31条)、当該情報の取扱について未成年者の父母又はその他の後見人の同意を得ることのみを要求していた第二次審議稿よりも強力な規制を行うものとした。
未成年者も容易にインターネットにアクセスできる時代において、その個人情報に関する権利・利益の侵害が多発している中、推薦的国家基準たる「情報安全技術 個人情報安全規範」において、十四歳以下(含む)の者の個人情報が機微個人情報とされているほか、「未成年者保護法」や「児童個人情報ネットワーク保護規定」などの法令も、未成年者の個人情報取扱に関する特別な規定を設けている。
(5)個人情報の適法な取扱の根拠としての「人的資源の管理」
個人情報の適法な取扱の根拠とは、個人の同意なく個人情報の取扱が可能となる例外的状況をいう。通常は、個人情報主体の同意が必要となるところ、第二次審議稿は、個人情報の適法な取扱の根拠として契約締結上の必要性などを定めていたが、個保法はさらに、「法に基づいて制定された労働規則及び法に基づいて締結された集団契約に従って人的資源管理を行う必要があること」も追加し(13条)、企業が労働者の管理に際しその個人情報を収集することについて一定の便宜を提供している。
(6)個人情報の越境移転に関する規則の整備
個人情報の越境移転について、個保法は4つの要件を定めるとともに(38条1項)、その例外として、「中華人民共和国が締結し又は参加する国際条約、協定に、中華人民共和国国外に個人情報を提供する条件等に関する規定があるときは、その規定に基づいて執行することができる」との規定も設けている(同条2項)。ここにいう「締結し又は参加する国際条約、協定」としては、基本的に、司法共助に関する条約・協定が想定されている。
また、個人情報の越境移転を行う個人情報取扱者に対し、個保法は、「必要な措置を講じて、国外の受取人による個人情報取扱の活動が本法に定める個人情報保護の基準を満たすことを保障しなければならない」と定め(38条3項)、個人情報の越境移転に際しての行動指針を示している。企業においては、契約の締結や調査・監査などを通じて、国外の受取人による個人情報取扱活動を規制することが考えられる。
(7)個人情報主体の権利の健全化
これに関しては、「個人が個人情報をその指定する個人情報取扱者に移転することを要求し、国のネットワーク情報部門が定める条件に適合するときは、個人情報取扱者は、移転の手段を提供しなければならない」と定める個保法45条の規定が注目される、これは、いわゆる「データポータビリティ」に関する定めであり、EU一般データ保護規則(GDPR)など他の国・地域の立法例に照らしたものと言われている。
また、死者の個人情報については、死者の近親者による自己の合法、正当な利益のための特定の権利行使が原則的に認められ(49条)、死者の個人情報の保護とその近親者の利益の保護とのバランスが図られたほか、個人から権利行使の請求を受けた個人情報取扱者がそれを拒絶した場合については、その個人において法に基づき人民法院への訴訟提起を行いうることが明確に定められた(50条)。
(8)公開された個人情報の取扱
個人の同意なくその個人情報の取扱ができる例外的状況として、個保法13条は、「本法の規定に従い合理的な範囲において、個人が自ら公開し又はその他既に合法的に公開された個人情報を取扱うこと」という内容も追加した。
なお、このような公開された個人情報の取扱規則についても、第二次審議稿と比べ重大な変更がある。27条において、これらの公開された情報の取扱は合理的な範囲で行いうるという原則を規定しつつも(同条前段本文)、個人が明確に拒絶したときはその限りでなく(同条前段但書)、さらに、個人の権利・利益に重大な影響があるときは、同法の規定に従って個人の同意を得なければならないとも定めている(同条後段)。いずれにせよ、この「重大な影響」の具体的な意義に関する更なる明確化が待たれる。
3.おわりに
今回公布された個保法には、第二次審議稿よりもさらに整備された多くの規定が設けられているが、国内における保存や越境移転時のセキュリティ評価の義務が生ずる数量的基準、当該セキュリティ評価の詳細な手続など、明確化を要する内容も依然として多々残されている。中国で事業を展開する日系外商投資企業においては、今後の細則の制定や法執行の動向を注視し、必要に応じて専門家に協力を要請しつつ、自社の個人情報に関する不備・リスクを調査・評価のうえ、個人情報取扱いの方針・措置を調整し、コンプライアンス体制を整えていくことが望まれる。