こんにちわ、ゲストさん
ログイン2020年3月9日
背景:「サイバーセキュリティ法」の第37条において、重要情報インフラ運営者[1]が中国領域内での運営過程で収集し発生した個人情報及び重要データは領域内で保存しなければならず、業務上の都合からどうしても国外へ提供する必要がある場合、安全評価を実施しなければならないと明確に規定している。安全評価の具体的な要求及び手順を明確にするために、国家インターネット情報弁公室は2017年4月11日に「個人情報及び重要データ域外持出安全評価弁法(意見募集案)」(以下「旧意見募集案」という)を公表したが、この「旧意見募集案」は最終的には施行されなかった。2年後、「新意見募集案」が公表され、「旧意見募集案」を覆すような変更が行われ、個人情報を域外に持ち出すことについてより厳しい要求を行っている。
一、個人情報域外持出安全評価
「旧意見募集案」では、個人情報の域外持出に対する評価を自己評価と政府部門による評価という2つに分けており、多くの場合、インターネット運営者は自ら安全評価を行えばよく、ごく一部のケースに限り(「サイバーセキュリティ法」第37条に定める状況のほか、50万人以上又は累計して50万人以上の個人情報を域外へ持ち出すといった状況を新たに追加し、「サイバーセキュリティ法」第37条に定める安全評価の範囲を超越するものであった)、政府部門に報告し、安全評価を行わなければならないとされており、即ち、自己評価を原則とし、政府部門による評価を例外としていた。
今回の「新意見募集案」は上記の原則を完全に書き換えた。「新意見募集案」第3条の規定によると、個人情報を域外へ持ち出す前に、インターネット運営者は所在地の省級インターネット情報部門へ個人情報域外持出安全評価を申告しなければならないとされている。即ち、インターネット運営者の所属する業界、域外に持出す個人情報の数と種類に係わらず、全てのインターネット運営者が行う個人情報の域外持出について、まず政府部門に報告し、安全評価を実施してから、政府部門が域外への持ち出しの可否を決めるとしている。下記の「インターネット運営者」、「個人情報」等の分析を踏まえ、「新意見募集案」での「個人情報域外持出安全評価」は、「サイバーセキュリティ法」第37条に定める安全評価を完全に超越し、新たな制度が構築されることになった。
●「インターネット運営者」とは誰をいうのか
「新意見募集案」第21条の規定によると、インターネット運営者とは、インターネットの所有者、管理者及びインターネットサービスの提供者を指すとされている。この定義は、「旧意見募集案」の係る定義と一致している。この定義は「インターネット」の定義を踏まえながら理解する必要がある。「サイバーセキュリティ法」では、インターネットとは、コンピュータ又はその他情報端末及び関係する設備により構成され、一定のルール及びプロトコルに基づき、情報の収集、保存、伝送、交換、処理を行うシステムを指すとしている。インターネットの定義は非常に広範であることから、企業がオフィスシステム、メールシステム、工業コントロールシステム等の電子システム又はLANを保有してさえいれば、インターネット運営者に該当すると認定される可能性が極めて高く、それにより本稿にいう個人情報域外持出安全評価に係る義務を負うことになると思われる。
また、「新意見募集案」では、域外機構が事業活動を行う中で、インターネット等を通じて域内のユーザーの個人情報を収集する場合、域内にある法定代表者に委任し、又は域内機構を通じて、本稿にいう個人情報域外持出安全評価に係る義務を履行しなければならないことを明確にしている。
●「個人情報」とは何をいうのか
「新意見募集案」第21条の規定によると、個人情報とは、電磁的又はその他方式により記録される、単独で又はその他の情報と結びつけることにより、自然人の身元を識別できる各種の情報を指すと定めている。これには自然人の氏名、生年月日、本人証明書番号、個人生体認証情報、住所、電話番号などが含まれるが、これらに限らない。当該定義は、「旧意見募集案」での係る定義と一致している。個人情報の具体的な例示は、2018年5月1日に正式に施行された「個人情報安全規範(GB/T 35273-2017)」付録Aを参照することができる。
●「個人情報の域外持出」とは何を指すのか
「新意見募集案」第2条の規定によると、個人情報の域外持出とは、インターネット運営者が中国領域外に対し、中国領域内における運営過程で収集した個人情報を提供する行為をいうとされている。当該定義は「旧意見募集案」にいう「データの域外持出」の定義とほぼ一致している。
●安全評価のポイントは何か
概要 |
具体的な内容 |
政府部門評価の担当機関 |
インターネット運営者の所在地の省級インターネット情報部門(専門家又は技術者を集める) |
評価期限 |
通常、15業務日以内に完成させる(結果を発表する)。状況が複雑な場合は、評価期限を適度に延長することができる。 |
評価の回数及び頻度 |
・ 異なる受取人に個人情報を提供するには、都度それぞれ安全評価を申請しなければならない。 ・ 同一の受取人に対して、複数回にわたり又は継続的に個人情報を提供する場合、評価を複数回行う必要がないが、2年ごとに1回は必ず行うようにしなければならない。 ・ 個人情報を域外に持出す目的、情報の種類及び域外での保存期間に変更が生じた場合、改めて評価を行わなければならない。 |
重点的に評価すべき内容 |
・ 関係する国の法律法規及び政策の規定に適合しているかどうか。 ・ 契約(インターネット運営者と個人情報の受取人とが締結した契約を指す。以下同様)条項が個人情報主体の適法な権益を十分に保障できるかどうか。 ・ 契約が有効に履行されているかどうか。 ・ インターネット運営者又は受取人が個人情報主体の適法な権益を損害したことがあるかどうか、深刻なサイバーセキュリティ事件が発生したことがあるかどうか。 ・ インターネット運営者の取得する個人情報が適法、正当なものであるかどうか。 |
政府評価の申請のための提出資料 |
・ 申告書 ・ インターネット運営者と受取人とが締結した契約書 ・ 個人情報域外持出安全リスク及び安全保障措置分析報告書[2] ・ 国家インターネット情報部門が提出を求めるその他資料 |
救済措置 |
省級のインターネット情報部門による個人情報域外持出安全評価結果に異議がある場合、インターネット運営者は国家インターネット情報部門に不服を申し立てることができる。 |
二、インターネット運営者のその他義務
政府部門に安全評価を申請する以外に、「新意見募集案」では、インターネット運営者に対して、個人情報域外持出記録の作成、保管、報告、及び受取人との契約締結などの義務を設けており、また、個人情報の再伝送について制限条件を設けている。なお、これら義務はこれまでの「旧意見募集案」では定められておらず、今回の「新意見募集案」で新たに追加された内容である。
インターネット情報部門による事後の監督管理をさらに強化するために、「新意見募集案」第8条では、インターネット運営は個人情報域外持出記録を作成し保管しなければならないと定めている。記録の内容には①域外への個人情報の提供日及び時間、②受取人の身元(受取人の名称、住所、連絡先情報などが含まれるが、これらに限らない)、③域外へ提供する個人情報の種類及び数量、機微性の度合い等が含まれなければならない。これらの域外持出記録は、少なくとも5年間は保管しなければならず、且つインターネット運営者は毎年12月31日までに本年度の個人情報域外持出状況をインターネット運営者所在地の省級インターネット情報部門に報告しなければならない。
国ごとの法体系によって、個人情報の保護基準が異なるため、「新意見募集案」第4条、第13条等では、個人情報主体の権益が確実に保護されるよう、インターネット運営者は受取人と契約を締結し、個人情報を域外に持出す目的、情報の種類、保存期間を明記するほか、以下の内容も明確にしなければならないとしている。
概要 |
契約書に明記されるべき内容 |
解説 |
契約条項の受益者 |
■ 個人情報主体は、契約において個人情報主体の権益条項で言及される受益者とする。 |
■ 通常の法原理に基づくならば、インターネット運営者と受取人とが締結する契約は相対性を有し、契約の双方当事者を拘束することしかできず、個人情報主体を拘束することはできない。但し、「新意見募集案」では、「個人情報主体は契約において個人情報主体の権益条項に言及される受益者とする」ことを明確にしたことで、個人情報主体に、契約の相対性を超越させ、契約に基づく個人情報主体としての権利をもたせている(例えば、賠償請求権、知る権利など)。 |
賠償請求及び責任負担 |
■ 個人情報主体の適法な権益が損なわれた場合、自ら又は代理人に委託して、インターネット運営者もしくは受取人もしくは双方に賠償請求を行うことができ、インターネット運営者又は受取人は、それが自己の責に帰すべきではないことを証明できなければ賠償しなければならない。 ■ インターネット運営者は、個人情報主体からの請求に応じて、受取人に対し個人情報主体の主張(受取人への賠償請求を含む)を伝えることに責を負う。個人情報主体が受取人から賠償金を受け取ることができない場合、インターネット運営者が先行して賠償金を支払うこととなる。 |
■ 「新意見募集案」では、インターネット運営者及び受取人に対し、「過失の推定」という帰責方法を設けている。個人情報主体の権益が損なわれた場合、過失がないことを証明できない限り、インターネット運営者及び/又は受取人に過失があると推定され、賠償責任を負わなければならない。 ■ また、「新意見募集案」は個人情報主体に選択する権利を与えており、インターネット運営者又は受取人のどちらか一方に賠償請求することも、双方に対して同時に賠償請求をすることもできる。利便性の視点からみれば、個人情報主体から中国領域内のインターネット運営者に対し直接に賠償請求した方が一層経済的であるのは明らかであり、このことも、インターネット運営者の責任を重くしている。 ■ 受取人が域外に位置していることから、個人情報主体にとっては、言語、高額な求償コスト等、求償面での諸々の障害がある。これらの障害を解消するため、「新意見募集案」では個人情報主体のために、請求の伝達及び賠償金の先払いという2つの利便化措置を設けている。 ・ 請求の伝達。個人情報主体は受取人に対する求償を直接インターネット運営者に送付し、インターネット運営者から受取人へ伝達することができる。 ・ 賠償金の先払い。個人情報主体が受取人から賠償金を受け取ることができない場合(例えば、受取人が破産したり、受取人が不合理的な抗弁をし賠償を拒絶した場合など)、インターネット運営者が賠償金を先払いし、その後で改めて受取人に求償しなければならない。 |
個人情報主体の知る権利 |
■ インターネット運営者は、電子メール、インスタントメッセージ、書簡、ファクシミリ等の方式により個人情報主体に対し、インターネット運営者及び受取人の基本情況、並びに個人情報を域外に持ち出すする目的、情報の種類及び保存期間を告知しなければならない。 ■ インターネット運営者は、責任をもって個人情報主体の請求に応じて、契約書の副本を提供しなければならない。 ■ 受取人は個人情報主体に対し、その個人情報にアクセスするルートを提供しなければならず、個人情報主体がその個人情報の修正又は削除を要求した場合、合理的な代価の範囲内及び期日内に対応し、修正又は削除しなければならない。 |
■ 現在、インターネット運営者は通常、プライバシーポリシーという方式を通じて告知義務を履行し、個人情報主体の知る権利を保護しているが、プライバシーポリシー告知の内容はやや漠然としており、具体的な受取人、保存期間等の情報があまり記載されていないのが一般的である。将来、インターネット運営者は、メール、インスタントメッセージ等の方式により告知義務を履行し、要告知の内容をさらに詳しくするように求められる可能性があり、これによりインターネット運営者のコンプライアンス作業量は増すことになる。 ■ 受取人の立場から見た場合、受取人は個人情報主体に対し個人情報へのアクセス、修正、削除の方法を提供し、且つ個人情報主体からの係る請求に応えるようにしなければならない。 |
個人情報の再伝送とは、受取人がインターネット運営者から越境して伝送された個人情報を受け取った後、当該受け取った個人情報を再びその他の第三者へ伝送することをいう。「新意見募集案」第16条によると、インターネット運営者と受取人の契約において、下記のような特定条件を満たさない限り、受取人は受け取った個人情報を第三者に伝送してはならないことを明記しておかなければならない、とされている。
要するに、インターネット運営者は、再伝送行為について個人情報主体に告知義務を履行し、且つ賠償金を先行して支払うという責任を負う必要がある。
機微な個人情報に該当しない個人情報を再伝送する場合には、個人情報主体の同意を得る必要はない。なお、再伝送される機微な個人情報[3]は、個人情報主体の同意を得なければならず、また、個人情報主体は再伝送に反対する意見を表明する権利があり、個人情報主体が反対の意見を表明している場合、受取人は伝送を停止し、すでに届いている個人情報を廃棄するよう第三者に要求しなければならない。
終わりに:これらをまとめると、「新意見募集案」は個人情報の域外への持出について厳しく要求しており、インターネット運営者が政府部門に安全評価の報告・申請義務、及び受取人との契約締結、政府部門への定期的な報告等の義務が設けられていることがわかる。「新意見募集案」はまだ意見を募集しており、最終的なものではないが、「新意見募集案」がいつ実施され、最終的な内容がさらに変わるのかなどについては、やや大きな不確定性が伴う。今後、係る立法の進捗状況についても引き続き注目していきたい。ただ、「旧意見募集案」から「新意見募集案」までの立法の経緯を見ていくと、中国政府が個人情報の保護及び個人情報の域外持出等の問題をますます重視し、監督管理を強化していることがはっきりと感じられる。
[1] 「サイバーセキュリティ法」第31条の規定に基づくと、重要情報インフラ運営者は公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府など国の安全、国の経済と人々の暮らし、公共利益に重大な危害を与え得る重要な業界と分野に集中し、大多数の工業製造企業は重要情報インフラの運営者に該当しない。
[2] 「新意見募集案」の規定によると、個人情報域外持出に関するセキュリティリスク及び安全保障措置分析報告書には以下のものが含まれなければならない。①インターネット運営者及び受取人の背景、規模、業務、財務、信用、サイバーセキュリティ能力等、②個人情報の域外持出計画(それには、継続期間、係る個人情報主体の数量、域外へ提供する個人情報の規模、個人情報を域外に持ち出した後また第三者に伝送するかどうかなどが含まれる)、③個人情報域外持出に伴うリスク分析、並びに個人情報安全及び個人情報主体の適法な権益を保障するための措置。
[3] 「新意見募集案」では、機微な個人情報とは、一旦漏えい、窃盗、改ざん、不法に利用された場合、個人情報主体の人身、財産の安全が脅かされ、又は個人情報主体の名誉、身心の健康に損害等を被るおそれのある個人情報を指すとしている。「個人情報安全規範」付録Bでは、機微な個人情報について例を挙げている。よくある機微な個人情報には、本人証明書番号、社会保険カード番号、パスワード、信用情報、指紋情報、銀行での預金情報などが含まれる。
有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。
2024年6月18日
2024年5月14日
2024年3月12日
2023年8月9日
2023年4月11日