最新ニュース

最大限度のあなたの合法的権益を保護する

個人情報越境提供制度の解読について

2020-12-07/ 弁護士コラム/ 韓尚武

2020年10月21日に、全国人民代表大会常務委員会の法制工作委員会は、「中華人民共和国個人情報保護法(草案)」(以下「草案」という。)を公布し、かつ、外部に対して公に意見を募集した。これは中国において初の特別に立法の形式を用いた個人情報に対する全面的な保護の実施であり、中国における個人情報保護制度の更なる強化を表している。「草案」においては、専門の章節が設けられており、企業、特に外資企業が強い関心を寄せている個人情報の越境提供の問題に対する規定が行われている。本稿においては、その主な内容について、以下のとおり分析させていただく。

一、個人情報越境提供の前提条件

「草案」の規定によると、個人情報取扱者は中国国外への個人情報提供時において、以下の条件のうちの一つを満たす必要がある:

(一)国家ネットワーク情報部門が組織する安全評価の通過

(二)専門機構を経た個人情報保護認証の実施

(三)中国国外の受領者との契約の締結、双方の当事者の権利·義務の取決め、および当該受領者の個人情報取扱行為の「草案」の規定する個人情報保護標準達成の監督

(四)法律、行政法規または国家ネットワーク情報部門の定めるその他の条件

これと同時に、「草案」においてはさらに、重要情報インフラ運営者、および個人情報の取扱いが規定数量に達した個人情報取扱者は、中国国内で収集·発生した個人情報を中国国内に保存すべきと規定されている。確かに中国国外に提供する必要のある場合には、国家ネットワーク情報部門が組織する安全評価を通過すべきとされている。

上述の規定を踏まえて見ると明らかなとおり、一般的な個人情報の越境については、安全評価、情報保護認証、または中国国外の受領者との契約の締結という三種類の方法の中から任意の一種類を選択することができる。しかし、重要情報インフラ運営者、および個人情報の取扱いが規定数量に達した個人情報取扱者については、仮に個人情報を越境させる場合には、必ず安全評価を行わなければならない。

二、情報越境安全評価の適用範囲

重要情報インフラ運営者の個人情報越境評価については、「サイバーセキュリティ法」の中に既に規定があり、「草案」はただのその内容に対する再述である。しかし、「個人情報の取扱いが規定数量に達した個人情報取扱者」の情報越境時における安全評価の実施については、今回の「草案」で新たに増加された内容に属している。

実際のところ、国家インターネット情報弁公室が2017年4月と2019年6月にそれぞれ公布した「個人情報及び重要データ越境安全評価弁法(意見募集稿)」(以下「旧意見募集稿」という。)と「個人情報越境安全評価弁法(意見募集稿)」(以下「新意見募集稿」という。)においては、ネットワーク運営者の中国国外への個人情報の提供が既に規定されており、安全評価を行うべきとされている。一方、「草案」の定める「個人情報取扱者」の範囲は、疑いもなく「ネットワーク運営者」に比べて更に広範であり、これはなぜかと言うと、「草案」によれば、おしなべて個人情報の収集、保存、使用、加工、伝送、提供、公開等の行為の目的と方法を自主的に決定することのできるすべての組織または個人は、いずれも「個人情報取扱者」に属しているからである。

しかし、注意を要するのは、すべての「個人情報取扱者」が個人情報の越境時に必ず安全評価を行う必要があるのではなく、ただ取り扱う個人情報が一定の数量に達した際においてのみ、その義務の履行が要求されるという点である。「草案」が仮に実施することのできた場合には、この数量の要求は、一般的な企業の中国国外への個人情報提供時における安全評価実施の要否に対する一つの重要な判断要素になる。

前述の旧意見募集稿の中のように、越境安全評価を行う必要のある越境個人情報の数量を50万人以上に限定し、またはデータ量を1000GB以上とした場合には、この数量基準は非常に高いものであり、仮に「草案」の実施後にこの標準を援用することのできる場合には、実際のところは大多数の企業の情報越境時における安全評価義務を免除することになる。しかし、旧意見募集稿が既に新意見募集稿に代替されており、新意見募集稿においては既に上述の標準が削除されている点にかんがみると、「草案」の実施後に新たな更に低い数量基準が設けられる可能性は、拭い去ることができず、これに対しては、引き続き関心を払う必要がある。

三、中国国外の受領者との契約締結の要求

前述のとおり、「草案」によると、重要情報インフラ運営者、および個人情報の取扱いが規定数量に達した個人情報取扱者を除き、その他の主体は、中国国外に個人情報を提供する際には、原則として安全評価を行わないことができ、ただ要求に従って中国国外の受領者と契約を締結すればよいとされている。このほかにも、新意見募集稿によると、ネットワーク運営者は安全評価の実施時において同様に中国国外の受領者と締結した契約を提出する必要がある。このため、中国国外への個人情報提供の法令遵守性の有無の判断時においては、中国国外の受領者と締結した契約が、一つの重要な判断要素となるものと考えることができ、これに対して企業は今後強く重視すべきである。

当該契約の内容と要求について、「草案」においてはただ漠然と、双方の当事者の権利·義務を取り決め、かつ、情報の受領者に対する監督の実施を個人情報取扱者に要求し、これによりその個人情報取扱行為の「草案」の規定する個人情報保護標準の達成を確保する必要があるものと規定されているだけである。具体的な内容についてはさらに、「草案」の実施後に関連法規を通じて明確化が行われる必要がある。

このほかにも、新意見募集稿の中では、契約の双方の当事者の権利と義務に対する比較的に詳細かつ具体的な規定が行われており、現段階においては、企業はこれを参考にすることができる。

(一)受領者は、契約の締結と履行の義務が、受領者の所属する国家の法的要求に違背していない旨の確認を確保しなければならない。

(二)受領者は、契約に取り決めた目的に従って個人情報を使用しなければならず、個人情報の中国国外における保存期間は、契約に取り決めた期限を超過してはならない。

(三)受領者は、個人情報主体のために、その個人情報にアクセスするルートを提供しなければならず、個人情報主体がその個人情報の更正または削除を要求したときは、合理的な代価と期限の範囲内において、対応、更正または削除しなければならない。

(四)特定の状況を除き、受領者は、受領した個人情報を第三者に伝送してはならない。

(五)不当な使用等の原因により個人情報主体の権利の侵害が引き起こされ、かつ、中国国外の受領者から賠償を取得することができないときは、情報提供者は、先行して賠償しなければならない。

四、個人に対する告知、および単独の同意

安全評価、情報保護認証または契約締結の前提条件を満たすほかにも、個人情報取扱者は中国国外に個人情報を提供する際にはさらに、個人情報の権利主体(以下「個人」という。)への告知義務を履行し、かつ、その同意を取得すべきとされている。

具体的に述べると、中国国外への個人情報の提供前においては、個人情報取扱者は個人に以下の事項を告知すべきとされている:

(一)中国国外の受領者の身分および連絡方法

(二)個人情報の取扱目的および取扱方法

(三)個人情報の種類

(四)個人が「草案」の規定する権利を中国国外の受領者に行使する方法

(五)その他の事項

このほかにも、「草案」においてはさらに、個人情報取扱者は個人情報の中国国外への提供について、個人の単独の同意の取得義務が要求されている。すなわち、上述の詳細な告知義務の履行を基礎とし、個人情報取扱者は個人の個人情報越境に対する明確な同意を一対一で取得する必要があり、これは疑いもなく企業の義務を加重し、かつ、個人情報の越境を更に難化させる恐れがある。

携帯電話でQRコードをスキャンして、
ニュースを共有します。