環球中国法速報(NO.68)
AI智能总结
環球 中国法速報(No.68) 2022年12月16日発行 個人情報保護に係る重要規定の実施状況の振り返り ~「個人情報保護法」施行から1年余りを経過して~(前編) 2022年11月重要法令解説 編集・発行:環球法律事務所(GLOBALLAWOFFICE)日本業務チーム GLO-JP-Newsletter@glo.com.cn www.glo.com.cn 法令ニュース 北京 上海 深セン 成都 〒100025 〒200031 〒518052 〒610041 北京市朝陽区建国路81号 上海市淮海中路999号 深セン市南山区深南大道9668号 成都市高新区天府大道北段966号 華貿中心1号写字楼15階 環貿広場弁公楼一期35階&36階 華潤置地大廈B座27階 天府国際金融中心11号楼37階 &20階 Tel:(8621)23108288 Tel:(86755)83885988 Tel:(8628)86059898 Tel:(8610)65846688 Fax:(8621)23108299 Fax:(86755)83885987 Fax:(8628)83135533 Fax:(8610)65846666 個人情報保護に係る重要規定の実施状況の振り返り ~「個人情報保護法」施行から1年余りを経過して~(前編) 2021年11月1日、個人情報の取扱に係る指針を定めた「中華人民共和国個人情報保護法」(以下、 「個人情報保護法」という)が施行された。同法施行から1年余りが過ぎたが、規制はどのように進んでいるのだろうか。また、個人情報取扱者である各事業者に課せられた義務はどのように履行され、どのような面で課題が残っているのだろうか。 本稿では、そうした疑問点を踏まえ、個人情報保護法の実施状況について振り返り、個人情報保護に係るコンプライアンス上の見通しについて考察する。 Ⅰ基本条項 1.関連規定 個人情報保護法第13条では、個人情報の合法的な取扱について、次のとおり7項目の原則を掲げている。 (1)個人の同意を取得している場合 (2)個人が一方当事者となる契約の締結、履行に必要な場合、又は法により制定した労働規則及び法により締結した労働協約に従い、人的資源管理を行うため実施に必要な場合 (3)法定職責又は法定義務の履行に必要な場合 (4)突発的な公衆衛生事件に対応するため、又は緊急状況下において自然人の生命・健康及び財産の安全を保護するために必要な場合 (5)公共利益のため報道、世論監督等の行為を実施し、合理的な範囲内において個人情報を取扱う場合 (6)本法の規定により合理的な範囲内において、個人が自ら公開し、又はその他の既に合法的に公開されている個人情報を取扱う場合 (7)法律、行政法規の定めるその他の事由 このうち4項目について、以下、現時点での実施状況や今後の展望を分析する。 2.実施状況 (1)個人の同意の取得 「個人の同意の取得」は、個人情報保護法が施行される前から、「中華人民共和国民法典」により、個人情報取扱の合法化において基礎となる要件であると定められていた。個人情報保護法では、7項目の原則のうちの一つに過ぎなくなってしまったが、個人情報取扱者による個人情報の合法的な取扱において、依然として、最も重要な要件であることは変わりない。個人情報保護法第17条に定める「告知」は、個人情報取扱者が個人情報を取扱ううえでの義務である。アプリ製品等のITの分野では、通常、プライバシーポリシーにおいて、「告知」と「同意」がセットで出現し、ユーザーは「告知」の内容を理解したうえで 「同意」という意思決定を行っている。個人情報取扱者は、ポップアップ通知によりプライバシーポリシーを表示させることで、「告知」を済ませ、関連ページに設置した「同意する」の選択肢にチェックマークを入れさせる、又はボタンを押させることで、ユーザーの「同意」を取り付けている。非明示的な同意(黙示の承諾等)ではなく、このように、ユーザーが「自発的に」同意のチェックマークを入れさせることが、個人情報主体の「同意」を取得するためのスタンダードな方式になっている。 なお、この「告知と同意」の形式も、特殊なシーンでは多様化がみられる。「自動車データ安全管理若干規定(試行)」では、自動車データ取扱者に対し、ユーザーマニュアル、車載用ディスプレイ、音声、関連アプリ等を用いて、分かりやすい方法により、個人情報に係る事項を告知しなければならないと定めている。 (2)契約の締結、履行に不可欠 個人と個人情報取扱者との間で契約を締結する、又は履行するにあたり、個人情報取扱者が、その個人情報を取扱うことが不可欠である場合には、当該個人がその旨を明確に知ったうえで、自発的に提供されるものでなければならない。こうした状況は、個人情報取扱者と個人が平等な民事主体として契約の両当事者となる場合にのみ適用されるが、特に電子商取引において多く見受けられる。例えば、オンラインショップが受注した商品を発送するにあたり、ユーザーから、受取人の氏名、住所、連絡先等の情報を取得する必要がある。その支払いが銀行振込やクレジットカード決済であれば、その銀行口座番号やクレジットカード番号の情報を取得する必要がある。こうした状況における個人情報の取扱は、いずれも契約の締結又は履行に不可欠であれば合法とみなされるとしている1が、実際に、契約の締結又は履行に不可欠であるか否かの判断は、法理論的な視点からの問題解析のアプローチができる長年の実務経験が必要となり、事業者、法執行機関いずれも簡単に判断が下せる基準があるわけではないことから、契約の締結、履行に不可欠であることが、個人情報の合法的な取扱を根拠づける状況は多くないため、注意が必要である。 (3)法定職責 法定職責とは、法令の規定に従い、政府機関に与えられた職権及び責任をいう。政府機関がその法定職責を履行するために、個人情報の取扱が不可欠な場合には、個人の同意の取得を要しない。例えば、「中華人民共和国刑事訴訟法」第132条第1項では、「被害者、被疑者の特徴、被害状況又は生理状況を確定するために、身体の検査を行い、指紋をとり、血液、尿液等の生体試料を採取することができる」と定めている。つまり、公安機関又は検察機関が犯罪捜査のために、個人の生体情報等を強制的に収集することは、法定職責の履行に該当する。なお、政府機関が法定職責を履行することを、個人情報の合法的な取扱の根拠とする場合、個人情報保護法第34条により、法律、行政法規に定める権限、手続に従い実行しなければならず、法定職責の履行に必要な範囲及び限度を超えてはならない。 (4)突発的公共衛生事件 「突発的公共衛生事件緊急対応条例」第2条によると、突発的公共衛生事件とは、突然発生し、社会公衆健康に著しい損害を与える、又は与えうる重大な感染症の拡大、原因不明な集団性疾患、重大な 1参考文献:程嘯、王苑「個人情報取扱において個人の同意の取得を要さない事由について」(『人民司法』2021年第22 期掲載) 食中毒及び業務上の中毒並びに公衆健康に著しく影響を与えるその他の事件をいう。中国政府は、新型コロナウィルス感染症への対策を講じる中で、ビッグデータ分析、位置情報、行動履歴等の個人情報を収集し、感染状況の予測・早期警戒、行動制限、物資の分配等の面で重要な作用を発揮した。例えば、各地の健康宝アプリによる個人情報の取扱は、この原則を根拠とした合法的なものといえる。 3.今後の見通し 個人情報保護法第13条に定める7項目の個人情報の合法的な取扱のための事由は、それぞれ実現のための要件があり、選択を誤れば、又は正確性に欠ければ、個人情報の違法な取扱と認定されてしまうことから、事業者は、その運営において、各事由に適用する状況を検討し、正確に把握する必要がある。 Ⅱ「個別の同意」ルール 1.関連規定 個人情報保護法第14条では、「個別の同意」制度が設けられている。法定の状況において、個人情報取扱者は、その取扱目的、行為等について、個人に告知したうえで個別の同意を取得しなければならない。これは、個人情報保護法第13条第2項第1号に定める「同意の取得」の補充的要件といえる。 個人情報保護法では、「個別の同意」を取得しなければならない状況について、次のように定めている。 第23条:他の個人情報取扱者に個人情報を提供する場合 第25条:個人情報を公開する場合 第26条:公共の場所に画像を収集し、個人の身元を識別する機器を設置する場合 第29条:機微な個人情報を取扱う場合 第40条:個人情報を国外に提供する場合 「個別の同意」の取得について、以下、現時点での実施状況や今後の展望を分析する。 2.実施状況 (1)他の個人情報取扱者に個人情報を提供する場合 アプリの中には、ユーザーは、他のプラットフォームのアカウントを使用して登録・ログインすることができるものが多い。このとき、個人情報取扱者(アプリ)が、ユーザーのアカウント情報を他の個人情報取扱者に提供する状況が存在する。この場合、コンプライアンスが整っているアプリであれば、ポップアップ通知の形式により、アカウント情報の権限付与事項(明示)をユーザーに告知し、他の個人情報取扱者に個人情報を提供することについて、個別の同意を取得する。 (2)個人情報を公開する場合 一般的に、収集したユーザー/顧客の個人情報の公開を必要とする場面は少なく、多くが個人情報主体の自発的な選択に基づくものである。例えば、某アプリでは、抽選に当たった人の情報(例:微信のニ ックネーム、プロフィール写真、携帯電話番号)を合法的に公開するために、事前に、この活動のルールや抽選に当たるとその個人情報が公開されることについて告知し、ユーザーの個別の同意を取得している。ただし、その場合でも、公開前に非識別化等のデータ処理を行わなければならないため注意が必要である。なお、法令又は司法手続上の要求や、他人の人身・財産の安全を保護するためのもの等、同意なく公開される状況についてもプライバシーポリシー等にて告知しなければならない。 (3)公共の場所に画像を収集し、個人の身元を識別する機器を設置する場合 例えば、店内に顔認証機能を内蔵したカメラを設置し、来店客のデータを収集している事業者の違法行為について、国際消費者権益デー(3月15日)」に毎年放送されるテレビ番組「中国315晩会」にて取 り上げられ、各界の注目を浴びたことは記憶に新しい。個人情報保護法第26条には、「個人情報取扱者が公共の場所に画像を収集し、個人の身元を識別する機器を設置することは、公共安全の擁護に必要な場合でなければならず、国の関連規定を遵守し、かつ、目立つ注意喚起標識を設置しなければならない。収集した個人の画像、身元識別情報は、公共安全擁護の目的にのみ用いることができ、その他の目的に用いてはならない」と定めている。つまり、店内に、顔認証機能を内蔵するカメラを設置し、個人情報を収集する行為について、個人情報保護法は、撮影中であることの注意書きを掲げるほか、個人情報を取集し、使用することの目的及び範囲等を告知することを要求している。これらの前提がない限り、法執行機関より、来店客から有効な「個別の同意」を得ていないと認定される可能性がある。 (4)機微な個人情報を取扱う場合 機微な個人情報とは、漏洩し、又は不法使用されると、自然人の人格・尊厳が侵害され、又は人身、財産の安全が脅かされることを容易に招く個人情報をいう。例えば、生体認証、宗教・信仰、特定身分、医療・健康、金融口座、移動履歴等の情報、14歳未満の未成年者の個人情報がそれに該当する。なお、国家標準「情報安全技術個人情報安全規範」の附録において、機微な個人情報の類型が例示されている。 機微な個人情報の取扱について個別の同意を取得す
