中国個人情報保護法の目的は「個人情報」の権利利益の保護？

前回の記事で個人的な趣味として、中国の個人情報保護法草案全文を試訳したが、この法律の奇妙な点は、第一条、第二条にあるように、法律の目的が「個人情報」の権利利益の保護であって、「個人」の権利利益の保護ではないところだ。

たしかに条文に「個人の権益」が出てくる部分は三か所ある。

第六条の個人情報処理の目的の合理性、処理範囲の最小化の部分に「個人の権益に対する影響を最初化する方法」という文言が、第二回審議稿で追加されている。

第八条では「個人の権益に対する不利な影響」という文言が、第二回審議稿で追加されている。

第二十五条では個人情報の自動処理による決定に関連して「個人の権益に対する重大な影響のある決定」とあり、この部分は第一回審議稿でも「個人が自動化による決定がその権益に重大な影響を生じさせると認識する場合」と、個人の権益が言及されている。

ただ、日本の個人情報保護法が第一条で「個人の権利利益を保護することを目的とする」と明記し、GDPRも第一条に「This Regulation protects fundamental rights and freedoms of natural persons」とあるのと比較すると、法律のその他の部分ではすべて保護されるべきは「個人情報の権益」となっている。

サイバーセキュリティ法の個人情報保護規定はどうなってる？

個人情報に関する規定は、2017年6月1日施行の「網絡安全法（中国サイバーセキュリティ法）」、2021年1月1日施行の「中華人民共和国民法典」にも存在するが、これらの法律で個人の権利利益はどう書かれているか。

まず中国サイバーセキュリティ法 www.cac.gov.cn

こちらは第一条に「公民、法人とその他組織の合法的権益の保護」が登場するが、その目的はあくまで「ネットワークの安全を保障し、サイバー空間の主権と国家安全、社会公共の利益を維持するため」であり、個人の権利利益保護が第一の目的になっていない。（ところで「网络空间主权（サイバー空間の主権）」って何？）

他の部分も同じで、個人の合法的権益が保護されるのは、ネットワークの安全、普及、サービスレベルの改善が目的で、個人の権益の保護そのものが目的になっていない。（第十二条、第十四条）

民法典の個人情報保護規定はどうなってる？

次に中華人民共和国民法典 http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml

民法典はさすがに第五章民事権利の冒頭、第百九条に「自然人の人身の自由、人格の尊厳は法律の保護を受ける」とある。

そしてすぐ後の第百十一条には以下のように書かれている。

「自然人の個人情報は法律の保護を受ける。いかなる組織あるいは個人も他社の個人情報を取得する場合、法に基づいて取得し、かつ情報の安全を確保しなければならない。他者の個人情報の不法な収集、使用、加工、伝達をしてはならず、他者の個人情報の不法な売買、提供あるいは公開をしてはならない」

さらに第六章が「プライバシーと個人情報の保護」に割かれており、第一千三十四条以下に自然人の個人情報保護の規定がある。

参考までにその部分を試訳する。

第一千三十四条

自然人の個人情報は法律の保護を受ける。 個人情報は電子あるいはその他の方法で記録された、単独あるいはその他の情報との結合で特定の自然人を識別できる各種情報をいい、自然人の氏名、生年月日、身分証明書番号、生体識別情報、住所、電話番号、電子メールアドレス、医療情報、行動情報等を含む。 個人情報のうちプライバシー情報には、プライバシー権に関する規定が適用される；規定がない場合は、関連する個人情報保護の規定が適用される。

第一千三十五条

個人情報を処理する場合、合法、正当、必要の原則を遵守し、過度な処理をしてはならず、以下の条件に符合しなければならない： （一）当該自然人あるいはその保護監督者の同意を得ること、ただし法律、行政法規その他の規定がある場合を除く； （二）情報処理の規則を公開すること； （三）情報処理の目的、方法と範囲を明示すること； （四）法律、行政法規の定めと双方の事前の取り決めに違反しないこと； 個人情報の処理は個人情報の収集、保存、使用、加工、伝達、提供、公開等を含む。

第一千三十六条

個人情報の処理は、以下の状況のうち一つに当てはまる場合、行為者は民事責任を負わない： （一）当該自然人あるいはその保護監督者の同意の範囲内で合理的に実施される行為； （二）当該自然人が自ら公開あるいはその他すでに合法的に公開されている情報の合理的な処理、ただし当該自然人が明確に拒否あるいは当該処理がその重大な利益を侵害する場合を除く； （三）公共の利益あるいは当該自然人の合法的な権益を守るために、合理的に実施されるその他行為。

第一千三十七条

自然人は法に基づいて情報処理者からその個人情報を閲覧あるいは複製することができる；情報の誤りに気付いた場合、異議を提出するとともに速やかに訂正等の必要な措置を講じるよう求める権利を有する。

自然人が情報処理者が法律、行政法規の規定あるいは双方の事前の取り決めに違反してその個人情報を処理していることに気付いた場合、情報処理者に速やかに削除を求める権利を有する。

第一千三十八条

情報処理者はその収集し、保存した個人情報を漏えいあるいは改ざんしてはならない；自然人の同意を経ずに、他者に対して不法にその個人情報を提供してはならない、ただし特定個人を識別できず、かつ復元不能な加工を経ている場合を除く。

情報処理者は技術的措置とその他必要な措置を講じ、その収集、保存する個人情報の安全を確保し、情報の漏えい、改ざん、紛失を防止しなければならない；個人情報の漏えい、改ざん、紛失が発生あるいは発生する可能性のある場合、速やかに対応措置を講じ、規定に基づいて自然人に告知するとともに関連主管部門に報告しなければならない。

第一千三十九条

国家機関、行政職能を担当する法定機関およびその職員は職責の履行の過程で知り得た自然人のプライバシーと個人情報に対して、秘密を保護しなければならず、漏えいあるいは他者に不法に提供してはならない。

ここまでが中華人民共和国民法典の中にある個人情報についての規定。

民法典にはこのような原則レベルの規定があり、サイバーセキュリティ法には個人情報処理事業者の重要性別に、講じるべき安全措置や罰則について細かく定められているので、個人情報保護法をわざわざ定めなくても、ガイドラインだけで十分運用できるのでは、という気もする。

GDPRにならってアジア圏でもGDPR的な法律を制定する流れがあるので、国内向けのポーズとしても、乗り遅れないようにしたいのだろうか。

いずれにせよ中国の法律の「自然人の自由」は空文なので…

また、中国の個人情報保護法では、日本法の「個人情報取扱事業者」のように、字面で見るとGDPRのprocessorっぽく見える「個人情報処理者」が、じっさいにはcontrollerとして取得した個人情報の管理責任を持っている。

他方では、日本法には存在せず、GDPRには存在する「自動処理による決定」から個人の権利利益の保護する規定を取り入れてみたり、各国の個人情報保護法制のつまみ食いをしている感もある。

法律の専門家でもないのにこんないい加減なブログを書いていいのか、というツッコミが入りそうだが、個人的に所属組織の実務で致命的な間違いを犯さない程度に理解できればよいので、情報の整理のために書いている。

いずれにせよ今回の個人情報保護法も、じっさいの適用は省によって差が大きく、かなり恣意的に行われるに違いないので。

決してこのブログをもとに中国の個人情報保護法制を理解しようとせず、きちんと専門家にご相談ください。