中国個人情報保護法についてサイバースペース管理局(互联网信息办公室)自らによる解説
2021/08/20に第十三回全人代常務委員会第三十次会議で、中国の個人情報保護法が可決され、2021/11/01から施行されることになった。
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
中国サイバースペース管理局(国家互联网信息办公室)サイトに解説記事がいくつか掲載されているので、要約してみる。例によってこのブログは個人の趣味でやっており、ゆめゆめ実務にご利用にならぬようお願いします。
中国個人情報保護法の十大ポイント
8章74条,个人信息保护法来了!权威解读十大亮点-中共中央网络安全和信息化委员会办公室
1. 個人情報保護の原則を確立
2. 「告知ー同意」原則
つまり、個人情報処理の前に本人に十分な告知をし、同意を得ること。処理後に重要事項が変更された場合は再度告知、同意を得ること。
センシティブ情報、第三者提供、域外移転などの場合は、別途本人の同意を得ること。
個人情報を過度に収集しないこと。製品やサービスの提供拒否を盾に、個人情報の提供を強要しないこと。
個人は同意をいつでも撤回できる権利があること。
共同処理、委託処理については別途規定をもうけること。
3. 「大数据殺熟」を禁止するための規定
「大数据殺熟」とは既存ユーザーより新規ユーザーに有利な条件を提示して、新規ユーザーを獲得しようというマーケティング手法。
このようなことが起こらないように、個人情報の自動処理の透明性や、処理結果の公平さ、公正さを確保すること。
4. センシティブ情報の厳格な保護
生体識別情報、宗教信仰、犯罪歴、病歴、銀行口座、行動履歴など。また、14歳未満の未成年の個人情報の処理には、両親または後見人の同意が必要。
5. 国家機関の処理活動
国家機関の中にも一部、個人情報漏えい事故などが起こっており、管理強化が必要。
6. 本人に対する十分な権利の賦与
個人情報の処理ルール、処理項目の告知、同意とその撤回、照会、複製、訂正、削除など個人の権利を明確化する。
プラットフォームをまたぐ個人情報移転の需要の高まりにこたえ、情報処理者は個人に対しデータ移転の方法を提供しなければならない。
また、死者の個人情報について専用の規定を設ける。死者が生前に明確な意思表示をしている前提で、親族の正当な利益のために、死者の個人情報の閲覧、複製、変更、削除などの権利を認める。
7. 個人情報処理者の義務の強化
個人情報処理者を第一の個人情報保護責任者として、必要な安全保護措置を義務付ける。内部管理規定の策定、技術措置、指定した責任者による監督、定期的な監査など。
センシティブ情報の処理、個人情報の自動処理による決定、対外的な個人情報提供または公開など、リスクの高い処理活動には、事前のリスク評価を義務づける。個人情報漏えい時の通知や救済義務も課す。
8. 大型プラットフォーマーに対する特別な義務
重要なプラットフォームサービスや、大量のユーザー、複雑な個人情報処理をおこなう処理者は、個人情報に対する強いコントロールや支配力をもつため、より多くの法的義務を課す。
独立した組織による監査を行うこと、公開、公平、公正の原則によるプラットフォーム規則を遵守すること、重大な法律違反の場合はサービス停止とすること、定期的に社会的責任に関するレポートを公開し、社会の監督を受けることなど。
9. 個人情報の域外移転流動ルール
経済のグローバル化により個人情報の国境を越えた流動が増加しているが、地理的に通り国家の法制度、保護水準との間には差がある。そのため個人情報の域外移転リスクはコントロールが難しい。
(1) 国内自然人の個人情報を域外で処理することに対しても、本法を適用し、域外の個人情報処理者に、国内に専用の組織や代表者を指定し、責任者が個人情報保護関連の事務をおこなうことを求める。
(2) 域外に個人情報を提供する経路を明確にする。つまり、国家サイバースペース管理局によるセキュリティ評価、専門の機構による認証、標準契約の締結、我が国が締結または我が国が参加する国際条約への準拠など。
(3) 域外の処理活動にも本法の定める保護水準を要求する。
(4) 域外移転して提供される個人情報の「告知ー同意」にはさらに厳格さを要求し、個人の知る権利、決定権等を確実に保証する。
(5) 国家の主権、安全、利益の発展を維持する。つまり、域外提供に対するセキュリティ評価、域外の法執行機関に対する個人情報の提供、個人情報の域外提供に対する制限措置、外国による差別的な措置に対する対抗制度など。
10. 個人情報保護業務の健全化
幅広い個人情報処理に対して信頼できる完全な監督、法執行制度を実施する。
サイバースペース管理局や関連する国務院の各部門が職責の範囲内で、個人情報保護と監督管理の責任を負う。個人情報保護の宣伝教育、指導監督、苦情受付、アプリケーションプログラムの評価、違法な個人情報処理活動の調査など。
要約は以上。
サイバースペース管理局自らによる解説は他にもいくつかあるので、興味のある方はご参照を。
