ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

テンセントの専門家は中国個人情報保護法をどう評価しているか

テンセントの研究員は中国個人情報保護法をどう評価しているか。GoogleアラートでLinkedInの文章がひっかかったので要約してみる。

「中国個人情報保護法」~五つの時代を画する意義 mp.weixin.qq.com

筆者はテンセント研究院主席データ法律政策の専門家王融という人。タイトルにある五つの意義はこんなこと。

  • 20年かけてようやく完成したデータ社会の最後のピース
  • 半世紀かけて先進諸国に追いついたデータ法制
  • 「人のためのデータ社会」のマイルストーン
  • 国際的な法制度との十分なつながり
  • グローバルなデータガバナンスに貢献する中国のアイデア

まず一点目、20年かけてというのは、2003年に中国国務院情報化弁公室が正式に個人情報保護法の立法研究を始めたこと。以下、その後の流れ。

2005年 学者グループが「個人情報保護法」専門家答申を完成 2012年 全国人代の「サイバー情報保護強化にかんする決定」 2013年 「消費者権益保護法」改正 2015年 「刑法」修正案(九) 2016年 「サイバーセキュリティ法」 2017年 「電子商務法」 2017年 「民法総則」 2020年 「民法典」人格権編

これらの流れの上に中国個人情報保護法は2018/09からの草案策定作業を経て2021/08/20公布。2021/11/01施行となる。

中国データ社会の三つの核心的法律は「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」。

二点目、先進国の個人情報保護制度に半世紀かけてやっと追い付きました、という議論の部分は、1970年代以降の欧米個人情報保護法制の立法意義を「プライバシー権」に限定してしまっている。まあ中国なので仕方ない。

三点目、「人のため」の法制度という部分では、個人の信用と信任がないとデータ社会の「文明、民主」は実現できません、なので同意取得とデータ処理の透明性が必要と書かれている。

ここに出てくるのが古典的な疎外論。人間を道具のように扱いって「疎外(异化)」するような個人データの処理はダメですよという話で、欧米だとストレートに基本的人権の概念が入って来るところに「疎外」論が来るのがマルクス主義らしいといえばらしい。

四点目では、国際的な個人データの流通がはっきり意識されていて、そのぶん日本よりマシという気もする。中国個人情報保護法は国際的な法制度と「ほぼ」全面的に基準が合っているとのこと。

ここでは民間企業ではなく、政府による個人データ処理が取り上げられており、政府は法に定められた職責の範囲内で個人情報処理をするという点で、国際的な個人情報保護法制と軌を一にしている、と書かれている。当然ながら疑問符はつく。

ただ、海外の法制度と微妙な違いがあることはちゃんと認識されていて、それが五点目に書かれている。

五点目では、個人の権利利益保護とデータ利用の「バランス」を持ちだし、欧州のGDPRはデータ経済の発展を阻害しているのでは?とサラッとディスってから、万能な法制度は存在せず、国情によって違うんですよと当たり前のことを言っている。

では海外と中国の個人情報保護制度の違いは何かというと、以下のような点が書かれている。

  • 域外適用はするが、限度はある(ふたたびGDPRをディスっているが、本当にそうなら日本企業としてはありがたい)
  • 個人の権利は確立するが、議論の余地のある部分については態度を保留する(中国の人権概念が限定的であることを認めている)
  • 中国で大衆の関心が高い「大数据杀熟」などは特別に条項を作った
  • データの域外移転については「発展中の国家」としてデータのセキュリティを優先する(出ました「我が国発展途上国です」という言い訳)

最後の部分でふたたびバランス論が登場する。個人の人権保護について、個人データ活用による国家の発展とデータセキュリティの総合的なバランスをとっている点こそ、中国の法制度がグローバルなデータガバナンス制度に貢献できる部分だ、とのこと。

全体としてはテンセントの研究員が中国の個人情報保護法制を海外のそれと比べて経済発展重視、と明言している点がかなり重要かも。