中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催
2021/9/18午後、中国広報協会と中国外資企業協会が共同で「中華人民共和国個人情報保護法」プロモーション会議を開催したらしい。
中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)局長・華清氏、全国人代常務委員会法制工作委員会経済法室副主任・楊合慶の二名がメインで、同法の実施状況の紹介や解釈、現場企業との交流が目的。
外資企業、国内外のプロモーション企業、IT、インターネット関連企業約200名の代表者がオフライン、オンライン形式で参加したとのこと。
もう少し詳しい会議の内容はこちらのニュースにある。
華清氏:次の一歩として必要な作業はまだ多い。(一)各界の力を活かして効果的に法律を徹底する作業、(二)それぞれの役割を十分調整してプロジェクトを進め、さまざまな規定を改善していくこと、(三)監督管理の職責を実施し、違法行為の処罰を強化すること、(四)関係者の責任のひきしめを図り、業界の発展を長期的に安定したものにすること。
楊合慶氏:個人情報保護は国民のもっとも関心がある重要な問題なので、国内での個人情報保護の実践や、国際的な経験を十分活かして、順守すべき規則をさらに詳細化し、改善していく。個人情報処理活動の権利と義務の境界をはっきりさせ、厳格な法的責任を定め、同法の体系、権威、目的を強化する。制度面をさらに整備する。
両氏の意見交換では、ECサイトが新規ユーザーを獲得するために行う過度な新規登録優遇の問題や、センシティブ情報の濫用、個人情報保護とデジタル化経済の関係について意見が交わされた。
以上、個人情報の極端な不正利用については、すでに普通に刑事事件として処罰されているので、今後は行政罰として外資含めた企業に適用するために、細かい制度が整備されていく、ということでしょう。
中国の個人情報保護は民法典にすでに書かれていたという話
中国個人情報保護法は2021/11/1施行だが、2021/1/1施行されている民法典の第四編 人格権の「第六章 プライバシー権と個人情報保護」にすでに書かれていたという話。
中華人民共和国 民法典 http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml
草案段階の中国個人情報保護法の全文逐条解読で知りました(汗)
民法典第一千零三十四条からが個人情報保護に関する規定で、以下が試訳。例によって個人の趣味による試訳なので実務には決して使わないように。
第一千零三十四条
自然人の個人情報は法律による保護を受ける
個人情報とは電子またはその他の方法で記録され、単独あるいはその他の情報との結合で特定の自然人を識別することができる各種情報であり、自然人の姓名、生年月日、身分証明書番号、生体識別情報、住所、電話番号、電子メールアドレス、健康情報、行動情報等を含む。
第一千零三十五条
個人情報の処理は、合法、正当、必要の原則を順守し、過度な処理をしてはならず、以下の条件に符合しなければならない。
(一)当該自然人またはその監護人の同意を得ること。ただし法律、行政法規に別途規定のある場合を除く。
(二)情報処理の規則を公開すること
(三)情報処理の目的、方法と範囲を明示すること
(四)法律、行政法規の規定と双方の約束に違反しないこと。
個人情報の処理は個人情報の収集、保存、使用、加工、伝送、提供、公開等を含む。
第一千零三十六条
個人情報の処理は、次の状況のいずれかである場合、行為者は民事責任を問われない
(一)当該自然人または監護人の同意の範囲内で合理的に実施される行為である場合
(二)当該自然人が自ら公開、またはその他すでに合法的に公開された情報を合理的に処理する場合。ただし当該自然人が明確に拒否した場合、または当該情報の処理がその重大な利益を侵害する場合を除く。
(三)公共の利益または当該自然人の合法的な権益を維持するために、合理的に実施されるその他の行為の場合
第一千零三十七条
自然人は法に基づいて情報処理者からその個人情報の閲覧または複製することができる。情報に誤りがある場合は、異議を提出するとともに直ちに訂正等必要な措置を取るよう求めることができる。
第一千零三十八条
情報処理者はその収集し、保存する個人情報を漏えいまたは改ざんしてはならない。自然人の同意を経ずに、他者に対して不法にその個人情報を提供してはならない。ただし特定個人を識別できず、かつ復原できない加工を経ている場合を除く。
情報処理者は技術的措置とその他必要な措置を取り、その収集、保存する個人情報の安全性を確保し、情報の漏えい、改ざん、紛失を防止しなければならない。個人情報の漏えい、改ざん、紛失が発生または発生しうる場合は、直ちに防止措置を取り、規定に基づいて自然人に告知するとともに主管部門に報告しなければならない。
第一千零三十九条
国家機関、行政職能を担当する法定機構およびその職員は、職責の履行の過程で知り得た自然人のプライバシーと個人情報に対して、秘密の保護を行い、漏えいまたは他者に対して不法に提供してはならない。
中国個人情報保護法についてサイバースペース管理局(互联网信息办公室)自らによる解説
2021/08/20に第十三回全人代常務委員会第三十次会議で、中国の個人情報保護法が可決され、2021/11/01から施行されることになった。
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
中国サイバースペース管理局(国家互联网信息办公室)サイトに解説記事がいくつか掲載されているので、要約してみる。例によってこのブログは個人の趣味でやっており、ゆめゆめ実務にご利用にならぬようお願いします。
中国個人情報保護法の十大ポイント
8章74条,个人信息保护法来了!权威解读十大亮点-中共中央网络安全和信息化委员会办公室
1. 個人情報保護の原則を確立
2. 「告知ー同意」原則
つまり、個人情報処理の前に本人に十分な告知をし、同意を得ること。処理後に重要事項が変更された場合は再度告知、同意を得ること。
センシティブ情報、第三者提供、域外移転などの場合は、別途本人の同意を得ること。
個人情報を過度に収集しないこと。製品やサービスの提供拒否を盾に、個人情報の提供を強要しないこと。
個人は同意をいつでも撤回できる権利があること。
共同処理、委託処理については別途規定をもうけること。
3. 「大数据殺熟」を禁止するための規定
「大数据殺熟」とは既存ユーザーより新規ユーザーに有利な条件を提示して、新規ユーザーを獲得しようというマーケティング手法。
このようなことが起こらないように、個人情報の自動処理の透明性や、処理結果の公平さ、公正さを確保すること。
4. センシティブ情報の厳格な保護
生体識別情報、宗教信仰、犯罪歴、病歴、銀行口座、行動履歴など。また、14歳未満の未成年の個人情報の処理には、両親または後見人の同意が必要。
5. 国家機関の処理活動
国家機関の中にも一部、個人情報漏えい事故などが起こっており、管理強化が必要。
6. 本人に対する十分な権利の賦与
個人情報の処理ルール、処理項目の告知、同意とその撤回、照会、複製、訂正、削除など個人の権利を明確化する。
プラットフォームをまたぐ個人情報移転の需要の高まりにこたえ、情報処理者は個人に対しデータ移転の方法を提供しなければならない。
また、死者の個人情報について専用の規定を設ける。死者が生前に明確な意思表示をしている前提で、親族の正当な利益のために、死者の個人情報の閲覧、複製、変更、削除などの権利を認める。
7. 個人情報処理者の義務の強化
個人情報処理者を第一の個人情報保護責任者として、必要な安全保護措置を義務付ける。内部管理規定の策定、技術措置、指定した責任者による監督、定期的な監査など。
センシティブ情報の処理、個人情報の自動処理による決定、対外的な個人情報提供または公開など、リスクの高い処理活動には、事前のリスク評価を義務づける。個人情報漏えい時の通知や救済義務も課す。
8. 大型プラットフォーマーに対する特別な義務
重要なプラットフォームサービスや、大量のユーザー、複雑な個人情報処理をおこなう処理者は、個人情報に対する強いコントロールや支配力をもつため、より多くの法的義務を課す。
独立した組織による監査を行うこと、公開、公平、公正の原則によるプラットフォーム規則を遵守すること、重大な法律違反の場合はサービス停止とすること、定期的に社会的責任に関するレポートを公開し、社会の監督を受けることなど。
9. 個人情報の域外移転流動ルール
経済のグローバル化により個人情報の国境を越えた流動が増加しているが、地理的に通り国家の法制度、保護水準との間には差がある。そのため個人情報の域外移転リスクはコントロールが難しい。
(1) 国内自然人の個人情報を域外で処理することに対しても、本法を適用し、域外の個人情報処理者に、国内に専用の組織や代表者を指定し、責任者が個人情報保護関連の事務をおこなうことを求める。
(2) 域外に個人情報を提供する経路を明確にする。つまり、国家サイバースペース管理局によるセキュリティ評価、専門の機構による認証、標準契約の締結、我が国が締結または我が国が参加する国際条約への準拠など。
(3) 域外の処理活動にも本法の定める保護水準を要求する。
(4) 域外移転して提供される個人情報の「告知ー同意」にはさらに厳格さを要求し、個人の知る権利、決定権等を確実に保証する。
(5) 国家の主権、安全、利益の発展を維持する。つまり、域外提供に対するセキュリティ評価、域外の法執行機関に対する個人情報の提供、個人情報の域外提供に対する制限措置、外国による差別的な措置に対する対抗制度など。
10. 個人情報保護業務の健全化
幅広い個人情報処理に対して信頼できる完全な監督、法執行制度を実施する。
サイバースペース管理局や関連する国務院の各部門が職責の範囲内で、個人情報保護と監督管理の責任を負う。個人情報保護の宣伝教育、指導監督、苦情受付、アプリケーションプログラムの評価、違法な個人情報処理活動の調査など。
要約は以上。
サイバースペース管理局自らによる解説は他にもいくつかあるので、興味のある方はご参照を。
中国「サイバーセキュリティ審査規則」改訂パブコメ草案公開、重要な変更あり
2021/07/10、中国国家インターネット情報弁公室が「サイバーセキュリティ審査規則(网络安全审查办法)」の改訂草案を公開した。現行の同規則に対して重要な変更がされているようなので、WinMergeで比較してみた。
以下、筆者が個人的にまとめただけなので、実務上の対応は当然ながら専門家への相談が必須。
まず第一条で、背景となる法律に2021年9月1日施行の「データセキュリティ法」が追加されている。(このブログを書いている時点では公布されたが未施行の状態)
次に第二条で規則の対象に重要な変更がある。
今までは「重要なインフラ施設運営者がネットワーク製品やサービスを購入する場合」が対象だったが、加えて「データ処理者がデータ処理活動を行う場合」が追加された。
これによって本法の規則対象が、何らかのデータ処理を行うすべての事業者へ一気に拡大されている。
第四条の監督機関に、証券監督管理委員会が追加されており、最近の中国政府による国外株式市場への上場取締りと明らかに関係していることが分かる。
第六条はまったく新たな条文として追加されており、「100万ユーザを超える個人情報を保有する運営者が、国外で上場する場合、必ずサイバーセキュリティ審査弁公室に申告し、サイバーセキュリティ審査を受けなければならない」とある。
やはり最近の中国当局による国外株式市場への上場取締りと明らかに連動している。
この第六条が追加されたため、以下、条文の番号が一つずつずれている。
第七条のサイバーセキュリティ審査を受ける際の提出資料として、(三)に「提出予定のIPO資料」が追加。これも国外上場に関連する規制。
第十条のサイバーセキュリティ審査で、国家安全リスクに対するリスク評価で重点的に評価される点として「データ処理活動および国外上場」が追加。
同(一)から、重要データの窃取、漏えい、毀損リスクがリスク評価対象から削除されているが、その代わりに以下の項目が追加されている。
同(五)で、重要データや個人情報の窃取、漏えい、毀損、違法利用、国外に移転されるリスクが評価項目として追加。
同(六)で、国外上場後の重要な情報インフラ施設、重要データ、大量の個人情報が、外国政府の影響、コントロール、悪意の利用を受けるリスクが評価項目として追加された。
このあたりは「データセキュリティ法」や草案審議中の「個人情報保護法」に書かれている国外移転リスクが盛り込まれたと思われる。
同(七)では、リスク評価の対象となる損害の可能性として、「国家安全」の文言が「国家データの安全」に変更されている。これは「データセキュリティ法」が反映されたものだろう。
第十三条では、セキュリティ審査時に聴取する部門から、「重要情報インフラ施設の保守作業部門」が削除されている。これはあまり重要性はなさそう。
第十四条では、サイバーセキュリティ特別審査手続きの完了期限として、45営業日が3か月に緩和されている。
第十六条では、サイバーセキュリティ審査機関が審査を実施する場合として、これまでは国家の安全に影響あるいは影響する可能性のある事項に「ネットワーク製品とサービス」のみが書かれていたが、「データ処理活動および国外での上場行為」が追加された。
この点にも、国外上場規制と、データセキュリティ法が反映されている。
第二十条では依拠する法律としてデータセキュリティ法が追加。
第二十一条では、この法律の「ネットワーク製品とサービス」の定義として、今までは以下の項目があったがここに「重要な通信製品(重要通信产品)」が追加されている。
- 重要なネットワーク設備
- 高性能コンピュータとサーバー
- 大容量ストレージ設備
- ビッグデータとそのアプリケーション
- ネットワークセキュリティ設備
- クラウドコンピューティングサービス
- その他重要な情報インフラ施設のセキュリティに重大な影響をもつネットワーク製品とサービス
なぜわざわざ「重要な通信製品」が追加されたのかはよく分からない。
以上、全体としてデータの域外移転に対する規制と国外上場規制の考え方が反映された改訂と言えそう。
2021/06/10公布の中華人民共和国データ安全法のつまみ食い
2021/06/10に中華人民共和国データ安全法(数据安全法)が公布されたが、純然たる個人的な見解では、域外のデータ処理活動にかかわる条文だけ見ておけばいい気がする。
施行は2021/09/01から。
第二条
中華人民共和国国内のデータ処理活動および安全管理の展開について、本法を適用する。 中華人民共和国域外のデータ処理活動の展開について、中華人民共和国の国家安全、公共の利益あるいは公民、組織の合法的な権益が棄損される場合、法に基づいて責任を追及する。
第二十五条
国家は国家の安全と利益の維持、国際的な義務の履行に関係する管理事項に属するデータにつき、法に基づいた域外移転管理を実施する。
第二十六条
いかなる国家あるいは地区も、データとデータ開発利用技術等に関する投資、貿易等について、中華人民共和国に対する差別的な禁止、制限あるいはその他これに類する措置を採った場合、中華人民共和国は実際の状況に基づいて当該国家あるいは地区に対して対等な措置を採ることができる。
第三十一条
重要な情報基盤の運営者が、中華人民共和国国内での運営において収集し生産した重要なデータの域外移転安全管理について、『中華人民共和国サイバーセキュリティ法』の規程を適用する;その他データ処理者が中華人民共和国国内での運営において収集し生産した重要なデータの域外移転安全管理方法は、国家サイバースペース管理部門が国務院の関連部門とともに制定する。
第三十六条
中華人民共和国の主管機関は関連する法律と中華人民共和国が締結あるいは参加する国際条約、協定に基づき、あるいは平等互恵の原則に照らし、外国の司法あるいは法執行機関のデータ提供に関する請求を処理する。中華人民共和国の主管機関を経ずして、域外の組織、個人は外国の司法あるいは法執行機関に対して、中華人民共和国国内に保存されているデータを提供してはならない。
第四十六条
本法第三十一条の規定に違反し、域外に重要なデータを提供した場合、関連する主管部門は改善を命令し、警告を与え、ならびに十万元以上百万元以下の罰金を科すことができ、直接の責任を負う主管人員とその他直接の責任者に対して一万元以上十万元以下の罰金を科すことができる;状況が重大である場合は、百万元以上一千万元以下の罰金を科し、ならびに関連する業務の一時停止、業務停止と内部改善を命令し、関連業務の許可証取消しあるいは営業許可証の取消しを行うことができ、責任を負う主管人員とその他直接の責任者に対して十万元以上百万元以下の罰金を科す。
第四十八条
(中略) 本法第三十六条の規定に違反し、主管機関の許可を経ずして外国の司法あるいは法執行機関にデータを提供した場合、関連する主管部門は警告を与え、ならびに十万元以上百万元以下の罰金を科すことができ、直接の責任を負う主管人員とその他直接の責任者に対して一万元以上十万元以下の罰金を科すことができる;重大な結果を生じた場合、百万元以上五百万元以下の罰金を科し、ならびに関連する業務の一時停止、業務停止と内部改善を命令し、関連業務の許可証取消しあるいは営業許可証の取消しを行うことができ、責任を負う主管人員とその他直接の責任者に対して五万元以上五十万元以下の罰金を科す。