項目

具体的な内容

里兆解説

適用範囲

■ 「草案」は中国領域内で自然人の個人情報を取り扱う行動に適用される。

■ 中国領域外で自然人の個人情報を取り扱う行動については、次に掲げるいずれか一つに該当する場合にも「草案」が適用される。

✓  域内における自然人向け製品又はサービスの提供を目的とするもの。

✓  域内における自然人の行為を分析し、評価するためのもの。

✓  法律、行政法規に定めるその他状況。

■ 取り扱うとは、個人情報の収集、保存、使用、加工、伝送、提供、公開等といった行動を指す。

■ 「草案」の適用範囲は相対的に広く、域内で効力があるほか、EU「一般データ保護規則」（GDPR）の経験を踏襲し、「草案」に域外での効力も与えている。例えば、香港の会社である天猫国際は、主に中国本土の領域内の個人ユーザ向けに商品/サービスを販売しており、域内における個人ユーザの消費習慣を分析し、評価することもあり得るが、現行の規定に基づくと、「草案」は天猫国際にも適用されることになる。

保護対象

■ 「草案」は個人情報を保護対象としている。

■ 個人情報とは、電子又はその他方式をもって記録される、識別済みの又は識別可能な自然人に関係する各種の情報を指すが、それには匿名化処理が施された情報は含まれない。

■ 「サイバーセキュリティ法」及び「民法典」では、個人情報の定義に対し、「識別」手段を採用しており、即ち、個人情報とは、電子又はその他方式をもって記録される、単独で又はその他情報と結びつけることにより、自然人個人の身元を識別できる各種の情報をいう、としている。

■ 「草案」では、「識別」手段のほか、「関連手法」も採用しており（例えば、仮に自然人である張君という人物がいるとするならば、張君に関連する移動の足取りも個人情報に該当するというものである）、個人情報の範囲を広げている。

項目

具体的な内容

里兆解説

個人情報を取り扱ううえでの適法性の前提

■ 個人情報を取り扱う者は、下記に掲げる状況のいずれか一つを満たすことで、はじめて個人情報を取り扱うことができる。

✓  個人の同意を取得したとき。

✓  個人が当事人である契約を締結、又は履行するために必要であるとき。

✓  法定の職責又は法定の義務を履行するために必要であるとき。

✓  突発的公共衛生事件に対処するため、又は緊急事態における自然人の生命、健康及び財産の安全を守るために必要であるとき。

✓  公共利益のため、ニュース報道や世論監督といった行為を実施することで、合理的な範囲内で個人情報を取り扱うとき。

✓  法律、行政法規規定のその他状況。

■ 「サイバーセキュリティ法」では、インターネット運営業者は個人情報を収集し、使用するにあたり、被収集者からの同意を得なければならないと定められており、長期にわたり、「同意」の原則が個人情報を取り扱うための法律上明文化された適法性の唯一の前提となっている。「個人情報安全規範」では同意が免除される状況[1]を定めているが、「個人情報安全規範」は推奨性国家基準に該当し、強制的な拘束力を有しないため、完全に「同意」の原則と対抗することができるわけではない。

■ 実践において、「同意」の原則は多くの企業を悩ませている。多くの場合には「同意」を取得することは非現実的であり、どこまでも「同意」の原則を順守しようとすると、かえって個人の権利を損なうことになる。例えば、従業員が深刻な病で意識不明の状態に陥ってしまった場合、当該従業員の健康情報を病院へ提供する前に、同従業員からの同意を得ることは現実的ではなく、かえって救急救命処置を施すタイミングを逃してしまうことになる。

■ 今回、「草案」は個人情報を取り扱うための適法性の前提を広げている。「同意」の原則のほか、5つの適法性の前提を新たに設けており、例えば、次の通りである。

✓  会社が従業員と労働契約を締結する際に、従業員に対し氏名、本人証明書番号の提供を求める場合、「個人を当事者の一方とした契約を締結、又は履行するために必要である」ことを引用すれば、従業員への同意取得義務が免除されることになる。

✓  従業員が急病で意識不明の状態に陥った場合、会社は従業員を救うため、その個人の健康情報を病院へ提供する際に、会社は「緊急事態における自然人の生命、健康及び財産の安全を守るために必要である」ことをもってして、従業員への同意取得義務を免除されることが可能となる。

同意の原則

■ 個人情報の取り扱いについての同意は、個人が事情を十分に知っている前提において、自由意思により明確な意思表示をなしたものでなければならない。法律、行政法規で、個人情報の取り扱いについて、個人から個別の同意又は書面による同意を取得しなければならないと定められている場合、その規定に従わなければならない。

■ 個別の同意を取得しなければならない状況には次のものがある。

✓  個人情報を第三者に提供する状況：個人情報を取り扱う者は、自己が取り扱う個人情報を第三者に提供する場合、個人に対し、第三者の身元、連絡方法、取り扱い目的、取り扱い方式及び個人情報の種類を告知しなければならず、且つ個人から個別の同意を取得しなければならない。

✓  個人の機微情報を取り扱う状況：個人の同意のもとで、機微な個人情報を取り扱う場合、個人情報を取り扱う者は個人から個別の同意を取得しなければならない。

✓  個人情報の越境移転を行う状況：個人情報を取り扱う者が域外へ個人情報を提供する場合、域外受け手の身元、連絡方法、取り扱い目的、取り扱い方式、個人情報の種類及び個人が域外受け手に対し「草案」に定める権利を行使する方式等の事項を個人に告知しなければならず、且つ、個人から個別の同意を取得しなければならない。

■ 「草案」では、「同意」の原則を具体的に定めており、「同意」は「事情を知っている」前提でなさなければならず、且つ個人情報を第三者に提供する際、個人の機微情報を取り扱う際、個人情報の越境移転を行う際には、個人から個別の同意を取得しなければならないことを明確にしている。例えば、個人が個別の同意書にサインしたり、オンライン上で「同意」をクリックする等である。

事情を知る原則

■ 個人情報を取り扱う者は、個人情報を取り扱う前に、目立つ方法をもって、明瞭かつ分かりやすい言葉で、次に掲げる事項を個人に告知しなければならない。

✓  個人情報を取り扱う者の身元及び連絡方法。

✓  個人情報の取り扱い目的、取り扱い方式、取り扱う個人情報の種類、保存期限。

✓  個人が「草案」に定められた権利を行使する方式と手順。

✓  法律、行政法規により告知すべきと定められているその他の事項。

■ 上述した事項に変更が発生した場合、変更のあった部分を個人に告知しなければならない。

■ 個人情報を取り扱う者が、個人情報取り扱い規則を制定することを通じて上述の所定の事項を告知する場合、その取扱い規則を公開し、且つ閲覧と保存がなされるよう便宜を図らなければならない。

■ 上記の通り、個人は「事情を知っている」との前提において「同意」する必要があり、そのため、「草案」では個人が「知っておくべき事情」の内容を列挙している。

■ 実務運用上、企業は通常、プライバシーポリシー（個人情報保護政策）を個別に制定して会社の公式サイト、APP、ミニプログラムの所定のページに掲載しており、その中で、個人が「知っておくべき事情」の内容を詳しく記載している。筆者が確認する限りでは、多くの会社のプライバシーポリシーは相対的に原則的内容となっており、告知義務が十分には履行されていない。このため、「草案」発効後は、「草案」の係る規定に照らしながら、必要に応じてプライバシーポリシーを改正していくのが望ましい。

項目

具体的な内容

里兆解説

機微な個人情報の定義

■ 機微な個人情報とは、ひとたび漏えいされ、又は不法に使用された場合、個人が不当な冷遇を受け、又は人身、財産上の安全に重大な危害が及ぶ個人情報をいい、それには、種族、民族、宗教の信仰、個人の生体特徴、医療健康、金融口座、個人の移動の足取り等の情報を含む。

■ 機微な個人情報の定義は、「個人情報安全規範」でも言及されている。「草案」の原則的な規定と比べ、「個人情報安全規範」付録B[2]では、機微な個人情報の例を具体的に列挙しており、企業はこれを参考にすることができる。

機微な個人情報についての特別な取り扱い要求

■ 特定の目的性及び必要十分性：個人情報を取り扱う者は特定の目的を有し、且つ必要十分な条件を満たしてからはじめて機微な個人情報を取り扱うことができる。

■ 個別の同意：個人の同意に基づき機微な個人情報を取り扱う場合、個人情報を取り扱う者は個人から個別の同意を得なければならない。

■ 特別な告知要求：機微な個人情報を取り扱う場合、機微な個人情報を取り扱う必要性及び個人への影響を特別に告知しなければならない。

■ 現在、多くの企業には機微な個人情報を過剰に収集するという状況が存在している。例えば、携帯電話のショートメッセージを通じて実名検証をすることができる場合に、ユーザの身元を検証するために、本人証明書番号を収集することなどがある。「草案」が公布されることで、企業による機微な個人情報の過剰な収集をある程度は制限することになる。今後、企業は、機微な個人情報を収集する目的及び必要性を特別に評価していかねばならず、同時に「個別の同意」及び「特別な告知要求」にも従わなければならない。

■ 機微な個人情報についての特別な取り扱い要求は、企業のコンプライアンス義務を大幅に重くすることになる。現在、多くの企業はプライバシーポリシーを通じて、ユーザの非機微な個人情報及び機微な個人情報の取り扱いに関する同意を一括して取得しているが、プライバシーポリシーにおける機微な個人情報と関連のある条項は通常、太字で表示され、それによりユーザに注意喚起している。しかし今後は、このような手法では「個別の同意」及び「特別な告知要求」を満たさなくなる恐れがあり、企業はAPP、単独で開かれるポップアップウィンドウ等の方式により、ユーザから機微な個人情報の取り扱いに関する個別の同意を取得していく必要がでてくると考えられる。

項目

具体的な内容

里兆解説

適法性の前提

■ 個人情報を取り扱う者が業務上の都合等により、どうしても域外へ個人情報を提供する必要がある場合、少なくとも次のいずれか一つの条件を満たさなければならない。

✓  専門機構の認証：国家インターネット情報部門の規定に従い、専門機構が行う個人情報保護認証を受けること。

✓  契約の締結：域外の受け手と契約を締結し、双方の権利義務を定め、且つ係る個人情報を取り扱う行動が「草案」に定める個人情報保護基準を満たすよう監督すること。

✓  インターネット情報部門による評価：重要情報インフラ運営者（「CIIO」という）及び取り扱う個人情報が国家インターネット情報部門の定める数量に達している個人情報を取り扱う者は、中国域内で収集、発生した個人情報を中国領域内に保存しなければならない。どうしても域外へ提供する必要がある場合、国家インターネット情報部門が組織する安全評価を受けなければならない。

✓  包括的条項：法律、行政法規又は国家インターネット情報部門規定のその他条件。

■ 「サイバーセキュリティ法」の規定によれば、CIIO[3]が中国域内での運営過程において収集、発生する個人情報及び重要データは中国領域内に保存しなければならないとされている。業務上の都合により、どうしても域外へ提供する必要がある場合、国家インターネット情報部門が国務院の関係部門と共同で制定した弁法に基づき安全評価を受けなければならない。「個人情報越境移転安全評価弁法（意見募集案）」によると、全てのインターネット運営者[4]は個人情報を域外へ持ち出す前に、インターネット情報部門に個人情報越境移転安全評価を申請しなければならず、評価過程において、域内の情報提供者と域外受け手との契約を提出しなければならないとされている。

■ 「草案」では、個人情報越境移転に対する監督管理は緩和され、CIIO及び取り扱う個人情報がインターネット情報部門規定の数量（なお、現時点では、具体的な数量基準は公布されていない）に達した個人情報を取り扱う者は、インターネット情報部門の安全評価を受けなければならないとだけ定められている。他の状況において、企業は、専門機構による認証、契約締結の方式を独自に選択し、個人情報の越境移転の前置き手続きを履行することができる。

告知の要求

■ 個人情報を取り扱う者は中国域外へ個人情報を提供する場合、個人に対し、域外受け手の身元、連絡方法、取り扱い目的、取り扱い方式、個人情報の種類及び個人が域外受け手に対し本法に定める権利を行使する方式等の事項を告知しなければならず、且つ個人から個別の同意を取得しなければならない。

■ 「草案」では、個人情報越境移転の告知事項について一定の要求を定めており、今後、企業は個人情報を域外へ持ち出す場面を逐一洗い出し、且つプライバシーポリシー等の関係文書の中で域外受け手の情報及び個人情報取り扱いの目的、方式等の情報を詳しく明記しておかなければならなくなるであろう。