一、 はじめに
2021年4月26日、第13期全国人民代表大会常務委員会第28回会議において、個人情報保護法草案の第2回審議が行われ、4月29日から5月28日まで個人情報保護法草案(第2回審議稿)に関する社会への意見募集が行われた。第2回審議稿に対する意見募集は、個人情報保護法に関する立法手続が最終段階に到達し、個人情報保護法の正式な公布が近づいていることを示している。
個人情報保護法をもって、中国個人情報保護に関する法規制の枠組みが徐々に明確になってきた。この個人情報保護法の制定に際し、本シリーズにおいては中国個人情報保護に関する法制度の全体像を以下の各部分に分けて紹介したい。
① 個人情報に対する法規制の概観
② 個人情報の定義と判定
③ 個人情報に関する同意の取得
④ 個人情報の収集、共有、移転及び委託処理
⑤ 個人情報の越境移転
紙幅に限りがあるため、本稿においてはまず①及び②を中心に検討を進める。
二、 個人情報に対する法規制の概観
個人情報保護法のほか、中国における個人情報保護に関する規定は、法律、行政部門規定、司法解釈などに散見され、サイバーセキュリティ、民事、刑事などの各分野に分かれた規制となっている。主要な法令は下表のとおりである。
法律等 |
Ø ネット情報保護の強化に関する全国人民代表大会常務委員会の決定 (中国語:「全国人民代表大会常务委员会关于加强网络信息保护的决定」。全国人民代表大会常務委員会、2012年12月28日公布)
Ø 個人情報保護法(草案) (全国人民代表大会常務委員会、草案段階、未施行)
Ø サイバーセキュリティ法(中国語:「网络安全法」) (全国人民代表大会常務委員会、2017年6月1日施行)
Ø 民法典 (全国人民代表大会、2021年1月1日施行)
Ø 刑法 (全国人民代表大会、2021年3月1日改正)
Ø 消費者権益保護法 (全国人民代表大会常務委員会、2014年3月15日改正) |
行政部門規定 |
Ø 電信及びインターネットユーザー個人情報保護規定 (中国語:「电信和互联网用户个人信息保护规定」。工業及び情報化部、2013年9月1日施行。)
Ø インターネット個人情報安全保護指針 (中国語:「互联网个人信息安全保护指南」。公安部及び北京市ネット業協会、2019年4月10日施行)
Ø 児童個人情報ネットワーク保護規定 (国家インターネット情報弁公室、2019年10月1日施行) |
司法解釈 |
Ø 情報ネットワークを利用する人身権益侵害紛争事件の審理における法律適用に係る若干の問題に関する最高人民法院の規定 (中国語:「最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定」。最高人民法院、2021年1日1日改正)
Ø 公民個人情報侵害刑事事件の処理における法律適用に係る若干の問題に関する最高人民法院及び最高人民検察院の解釈 (中国語:「最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释」。最高人民法院及び最高人民検察院、2017年6月1日施行) |
なお、上記各規定のほか、生物情報、金融などの分野や業界においても、個人情報に関する法令規定や細則が多数定められ、その他、推薦性国家基準も多く見受けられる。例えば、「人類遺伝資源管理条例」、「信用調査業管理条例」、「情報安全技術 個人情報安全規範」(GB/T 35273-2020、以下「個人情報安全規範」という)、「情報安全技術 個人情報安全影響評価指針」(GB/T 39335-2020)などが挙げられる。
個人情報保護法草案が正式な公布に迎えていないが、現状、中国の個人情報に関する法規定は体系化されておらず、雑然としていると言っても過言ではない。この状況の下、個人情報保護法により個人情報の定義とその取扱いの一般原則、個人要注意情報の取扱い、個人情報の越境移転、個人情報主体の権利及び法的責任などが一定程度において実行可能となるまで規定され、個人情報保護の法規定のより一層の規範化・明確化が期待される。
三、 個人情報の定義と判定
(一)個人情報保護法上の定義と立法沿革
既述のとおり、現行法のもとで、個人情報保護に関する法令が整備されておらず、個人情報の定義について各法令規定の間に相違が存在すると言わざるを得ない。例えば、電信及びインターネットユーザー個人情報保護規定4条は、「本規定において、個人情報とは、電信業務経営者及びインターネット情報サービスの提供者がそのサービス提供において収集するユーザーの氏名、生年月日、身分証明書番号、住所、電話番号、アカウント、パスワードなど単独で又は他の情報と組み合わせてユーザーの情報を識別することができる情報及びユーザーによるサービスの使用の時間、場所などの情報をいう」と定義している。電信及びインターネットユーザー個人情報保護規定は2013年の早期段階で公布された規定であり、その個人情報の定義は主に列挙的なものである。
一方で、サイバーセキュリティ法76条5号は、「個人情報とは、電子データその他の方式により記録され、単独で又は他の情報と組み合わせて自然人個人の身分を識別することができる各種情報をいう。これには、自然人の氏名、生年月日、身分証番号、個人の生体識別情報、住所、電話番号等を含むが、これらに限らない」と定めている。サイバーセキュリティ法における上記定義は、自然人個人の身分に対する識別という判定方法から自然人個人の身分が識別できる情報が個人情報に該当すると規定した上、それに合わせて個人情報に該当する一般的なものを列挙している。
サイバーセキュリティ法の施行後、関連法令(例えば民法典1034条)は、サイバーセキュリティ法と同一の個人情報の定義を用いることが多い。しかし、今回の個人情報保護法草案はサイバーセキュリティ法上の定義と異なる方法で、その第4条において個人情報を以下のとおり定義している。
「個人情報とは、電子データその他の方式により記録され、識別された自然人又は識別可能な自然人に関する各種の情報をいい、匿名化処理が行われた情報を含まない。」
この定義からみると、個人情報保護法草案上の個人情報は次の2類型に分けられる。
① 識別された自然人に関する情報
② 識別可能な自然人に関する情報
サイバーセキュリティ法は、個人情報の定義について、自然人個人の身分に対する識別を中心に、個人の身分を識別可能な情報のみが個人情報に該当すると定めているため、それによる個人情報の判定方法について、後述(二)における「識別」の判定方法で個人情報への該当性を判別するが、「関連」の判定方法が言及されていない。この定義は、日本の個人情報の保護に関する法律(平成十五年法律第五十七号)における個人情報に対する定義方法に類似すると言える。
これに対し、個人情報保護法上の定義について、上記①から見ると、情報主体である個人がすでに特定された場合、かかる情報により個人の身分を識別できるか否かを問わず、その個人に関する情報がすべて個人情報に該当すると定められ、サイバーセキュリティ法上の定義より個人情報の外延が広くなっている。当該個人情報保護法上の定義は、「EU一般データ保護規則」(General Data Protection Regulation、「GDPR」と略称する)における「個人データ」の定義、いわば「識別された自然人又は識別可能な自然人(データ主体)に関する情報」と同様である。
(二)個人情報の判定方法
中国の個人情報保護法は正式に施行されておらず、個人情報の判定に関する細則も公布されていない。それゆえ、個人情報の判定方法は、法令上まだ明らかになっていない。一方、個人情報に関する主要な国家基準たる個人情報安全規範の3.1条は、サイバーセキュリティ法に定める自然人個人の身分を識別しうる各種情報のほか、特定の自然人の活動状況を反映しうる各種の情報も個人情報に該当すると規定しているため、そこに定められた次の個人情報該当性判断の方法は、個人情報保護法上の個人情報の判定に対しても参考的価値を有する。
個人情報安全規範3.1条の備考1及び備考2において、個人情報の例は次のように定められ、個人情報の判定方法と類別は同規範の付属文書Aによるものとされている。
「個人情報は、氏名、生年月日、身分証明書番号、個人生物識別情報、住所、通信連絡方法、通信記録及び内容、アカウント及びパスワード、財産情報、信用情報、行動軌跡、宿泊情報、健康生理情報、取引情報などを含む。」
さらに、同附属文書Aによると、個人情報該当性判断の方法には、次の2つがある。
①識別(情報から個人、すなわち情報自体の特殊性によって特定の自然人を識別すること。この場合、個人情報は特定の個人の識別にとって有益であるべき。)
②関連(個人から情報、例えばすでに特定の自然人を知った場合、当該特定の自然人の活動から生み出された情報(例えば個人位置情報、個人通話記録、個人閲覧記録等)が個人情報に該当する)
これらの①又は②のいずれかに適合する情報が個人情報であるものと判断されるべきだとされている。
また、これらのほか、同規範3.1条の備考3において個人情報管理者が個人情報その他の情報を加工処理して形成した情報のうち、単独で又は他の情報と組み合わせて自然人個人の身分を識別することができるもの又は特定の自然人の活動状況を反映しうるものは個人情報に該当すると説明されている。
