弁護士著者
中国におけるデータプライバシー・個人情報保護に関する法規制動向と多国籍企業の対応
August 18, 2016
By 新井 敏之
背景
諸外国におけるデータプライバシー、個人情報保護法制の発展に伴い、中国でビジネスを展開する多国籍企業では、個人情報保護法制の現状、個人情報の収集・利用、国外へのデータの移動の実務に関する関心がこのところ一段と高まっている。とりわけ、今年7月に公布され、パブリックコメントを募集していた「インターネット安全法(第二次草案)」に規定される個人情報に関する規定が注目を集めている。
個人情報の取り扱いについては、企業の日常の経営(とりわけ顧客情報)、人事管理、内部調査など、様々な場面で対応が求められる。中国の関連法規制や運用を把握したうえで、グループ全体のコンプライアンスの一環として、個人情報保護対応プログラムの整備が喫緊な問題となるゆえんである。
諸外国に比べ、中国における個人情報保護の規制には際立った特殊性がある。すなわち、包括的な個人情報保護法が存在せず、個人情報保護に関する規制は、数百部にも及ぶ法令、規則、省令及び地方ルールに散在している。これらの規制の中から、自分の業界に適用のあるルールを見つけ出し、対応プログラムに盛り込むことは、煩雑この上ない作業である。また、個人情報保護にかかわる新しい法令・業界ガイドライン等の制定・発展が活発で、企業法務部としては、常にかかるような法令制定の動向を見守っていく必要がある。
また、この問題の裏面として、会社の従業員が非行を働いた場合に、個人情報を隠れ蓑にさせないような工夫も必要で�ある。更に個人情報の海外移転の規制は、国家機密の海外移転の規制と発現の仕方が似ている場合があり、比較しながら考察するのが便宜である。(本稿では扱う余裕がない。)
本稿では、現在中国における個人情報保護に関する主な法規制を紹介し、多国籍企業の企業法務の現場における個人情報取扱い上の対応策を検討する。
第1 中国の個人情報保護の法体系
中国において、包括的な個人情報保護法の制定の動きは、既に2003年から始まっていた。当時、国務院関連部門の委託を受け、中国社会科学研究院法学研究所は2003年から2005年にかけて、「個人情報保護法(専門家草案)」及び「立法研究報告書」を作成し、2008年に国務院に提示したが、いまだに正式な立法プロセスに入っていない。
とはいえ、個人情報に対する保護は皆無というわけではなく、数多くの法律、行政法規、省令、また地方政府に制定された規則として散在している。中国でビジネスを展開する多国籍企業は、国家レベルの法令、業界のガイドライン、及び登記地の地方レベルの規則を精密に把握する必要がある。
1. 個人情報保護に関する主な法規制
(1) 刑法
2009年、中国刑法第7次改正で、個人情報保護に関する規定が追加され、2015年の刑法第9次改正で、同条がさらに改正され、処罰対象が従前の「国家機関または金融、通信、交通、教育、医療その他の分��野の事業者の職員」(身分犯)から「規定を違反して、公民の個人情報を他人に販売し、もしくは不法に提供する者」(非身分犯)に拡大され、罰則も最長7年間の懲役及び罰金の併科と一層厳しくなった。また、「国の法規を違反して、職務遂行または役務提供の過程で得た個人情報を他人に販売または不法に提供した場合、前項の規定に照らし、重きに従い処罰する」という規定が新設された。[1]
個人情報を盗取し、あるいは不正に入手した側も、同程度の刑事罰に科せられうる。違反した従業員に加え、会社の責任者または直接的な責任者も刑事罰に処せられうる。
また、刑法第9次改正で、インターネットサービス提供者による安全管理義務履行拒否罪[2]が新設され、インターネットサービス提供者が個人情報を含む情報に関するインターネット安全管理義務を履行せず、行政管理部門から改善措置を命じられたにもかかわらず、履践を怠り、その結果として、①違法な情報が大量に拡散されたとき、②インターネット利用者の情報が漏洩し、重大な結果が生じたとき、③犯罪証拠が毀損し、情状が重いとき、④その他の重大な情状があるとき、3年以下の有期懲役、拘留を処し、罰金を併科すると定められている。
(2) 消費者権益保護法
2013年10月25日公布、2014年3月15日施行された「消費者権益保護法」は、消費者保護という視点から、消費者の個人情報の取り扱いについて規定[3]を置いている。同法によると、事業者は消費者の個人情報を収集・使用する場合は、適法性、正当性、必要性の原則に基づき、情報を収集し、使用する目的、方式及び範囲を明示し、かつ消費者のそれら事項についての同意を得なければならない。事業者は消費者の個人情報を収集・使用する場合は、その収集・使用規定を公開しなければならず、法令の規定及び双方の約定に違反して情報を収集・使用してはならない。さらに、事業者は技術的措置及びその他の必要な措置を講じて、情報の安全を確保し、消費者の個人情報の漏洩、紛失を防止しなければならない。事業者は消費者の同意もしくは要請がなく、または消費者が明確に拒絶を表明した場合は、当該人物に商業情報を発信してはならない。
(3) ネットワークにおける情報保護強化に関する全国人民代表大会常務委員会決定」及び「電気通信及びインターネット利用者の個人情報保護に関する規定」
2012年12月28日に公布・施行された「ネットワークにおける情報保護強化に関する全国人民代表大会常務委員会決定」(以下「全人代委員会決定」という。)は、ネットワークサービス提供者のみならず、その他の事業者による個人情報電子データの取扱の原則を規定している。具体的には、ネットワークサービス事業者及びその他の事業者は事業活動において電子的個人情報を収集・利用する場合、適法性、正当性及び必要性という原則を遵守すること、情報の収集と利用の目的、方式及び範囲について明確に示し、それら事項についての利用者の同意を得なければならないこと、法令並びに両当事者の合意に違反して情報を収集及び利用してはならないこと等が定められている。
上記全人代委員会決定に基づき、通信及びインターネットの主管機関である工業情報技術省(MIIT)が2013年7月16日に公布、2013年9月1日に施行した「電気通信及びインターネット利用者の個人情報保護に関する規定」(以下「MIIT規定」という。)は、電気通信・インターネットサービスの分野において、サービス提供者による利用者個人情報の収集と利用を規制するものである。
MIIT規定は「個人情報」を、氏名、誕生日、身分証明書番号、住所、電話番号、口座番号、パスワードなど、単独またはその他の情報と組み合わせて、利用者を識別できる情報、並びに利用者がサービスを利用した時間及び場所に関する情報と定義している。同規定は、電気通信及びインターネットサービス提供者に対して以下の義務を課している。
利用者個人情報の収集・使用に関する規定を制定、公開すること
利用者の同意を得ずに、利用者個人情報を収集・使用してはならないこと
個人情報の収集・使用の目的、方法、範囲、情報の照会及び変更の方法、情報提供拒否の場合の結果等を利用者��に明確に告知すること
サービスの提供に必要な情報以外の利用者の個人情報を収集してはならないこと、情報をサービスの提供以外の目的で使用してはならないこと
利用者がサービスの利用を中止した後、当該利用者の個人情報の収集及び使用を停止すること
個人情報収集・利用について第三者に業務委託する場合、当該第三者の個人情報保護について監督・管理を行い、MIIT規定に適合しない第三者に業務委託してはならないこと
クレーム処理体制の構築、安全管理措置の構築義務
(4) 就業及び就業管理規定
2015年4月30日に公布・施行された「就業及び就業管理規定」第13条には、使用者は従業員の個人情報について秘密保持義務を有し、従業員からの書面による同意がない限り、使用者は従業員の個人情報を公開してはならないと定められている。
2. 個人情報保護ガイドライン
2012年、国家品質監督検査検疫総局と国家標準化管理委員会は、「情報セキュリティ技術―公的及び商業サービスのための情報システム内での個人情報保護ガイドライン」(以下「個人情報保護ガイドライン」という。)を公布した。当該ガイドラインは法的強制力がないものの、個人情報保護に関して洗練された詳細な規定が含まれ、EUのデータ保護法と同じレベルの保護が意図されている�。
個人情報保護ガイドラインは、個人情報の処理(収集、加工、移転、削除を含む)について以下の原則を定めている[4]。
目的の明確性の原則:個人情報の処理にあたり、具体的、明確、かつ合理的な目的を有し、利用範囲を拡大しないこと、当該個人の同意なく個人情報処理の目的を変更しないこと
必要最小限の原則:情報処理の目的に必要最小限の情報のみを取り扱うこと。処理の目的が達成された後、個人情報を直ちに削除すること
公表原則:当該個人に対して、明確、簡易、及び適切な方法で個人情報処理の目的、収集・利用の範囲、保護措置等を告知すること
本人同意の原則:個人情報処理について、当該個人からの事前の同意を得なければならないこと
情報品質確保の原則:個人情報の秘密性、完全性、有効性及び最新性を確保すること
安全性保証の原則:損害の可能性及び重大性に応じて、適切な安全管理措置を講じること
誠実実行の原則:個人情報を収集するときの約定、または法令に基づき個人情報を処理し、目的達成後、個人情報の処理を停止すること
明確責任の原則:個人情��報処理における責任を明確にし、遡及して調査ができるよう、個人情報の処理過程について記録を残すこと
さらに、個人情報を収集する前に、当該個人に次の情報を開示しなければならない。①収集の目的と内容、②収集の方法手段、収集の内容と保存期間、③収集情報の利用範囲、第三者へ開示する個人情報の範囲、④個人情報の安全管理措置、⑤情報管理者の氏名、住所、連絡方法、⑥情報提供にかかわるリスク、⑦情報提供を拒否した場合の結果、⑧当該個人が苦情を申し立てる場合の連絡方法。
上記に加え、個人情報保護ガイドラインは初めて、個人情報の海外移転の要件について言及した。すなわち、当該個人からの明確な同意、法律の明文上の規定、または監督官庁の同意がなければ、個人情報の管理者は、当該個人情報を海外に移転してはならない。また、海外移転かを問わず、個人情報を第三者に移転、または業務委託で第三者に開示する場合、事前に移転の目的、移転される情報の具体的内容及び利用範囲、業務委託先の名称、住所、連絡方法を当該個人に告知しなければならない。
2016年6月14日に公布、同年7月1日から施行された支払決済業界のガイドラインである「個人情報保護に関する技術上の指針」(以下「個人情報指針」という。)は個人情報保護ガイドラインのルールを踏襲しながら、支払決済業界の特殊性を念頭に置き、業界特有の規定を盛り込んだ。当該指針は中国支払清算協会が制定、公布したもので、当協会の会員である決済ネットワーク、銀行、金融機関�、支払決済機構等に対して拘束力があるとされている。
3. インターネット安全法(草案)
2016年7月6日にインターネット安全法(第二次草案)が公布され、一か月かけパブリックコメントを募集した。当該草案第35条は、「重要な情報インフラの運営者」が中国国内における事業活動において収集した個人情報及び重要な事業データは、中国国内にて保存しなければならず、中国国外に提供する必要がある場合、国家ネットワーク通信部分及び国務院関連部門が制定するルールに基づき安全評価をしなければならないと規定している。同草案は、「重要な情報インフラ」について定義していないが、公共通信、ラジオ・テレビ放送等の情報インフラネットワーク、エネルギー、交通、水利、金融等重要な業界、電力、水道、ガスの供給、医療サービス、社会保障等の公共サービスにおける重要な情報ネットワーク、軍事施設のネットワーク、およびその他利用者数が多いネットワークサービス提供者等が含まれるのではないかと見られている[5]。
当該草案が可決され、施行されれば、「重要な情報インフラ」の運営者によるデータの海外への移転は厳しく制限されると思われる。また、重要な情報インフラの定義が明確にされるまで、情報インフラにかかわる業界の事業者は保守的なアプローチを取らざるを得まい[6]。よって、同法令の立法動向に今後十分注意を払う必要がある。
第2 多国籍企業にとって中国データプライバシー法制への実務上の対応
1. 現行の法規制・業界指針を斟酌して、個人情報保護に関するマニュアルを制定する
企業法務現場にとって、個人情報を取り扱う場面は主に、①従業員個人情報の取扱と②顧客の個人情報の取扱がある。
(1) 従業員個人情報の取扱
労働契約法第8条は、使用者に、労働契約に直接関連のある労働者の基本情報を知る権利を付与した。ここでは、いわゆる必要最小限の原則が適用され、労働契約と直接関連のない個人情報、たとえば、家族構成、政治的見解、経済力、性的指向等の情報を収集しないことが推奨される。また、従業員の個人情報を収集する際に、情報収集の目的(人事管理、企業内部調査等)、使用方法を明確に開示し、書面による同意を取ることが便宜である。
また、会社から支給される電子媒体に個人情報を保存してはならないという社内ポリシーを徹底させることも重要である。会社での腐敗行為や非行の内部調査に当たり、関連する従業員の業務用パソコンや携帯電話等に対してフォレンジック調査する必要が出てくることが多い。その際に、従業員から同意を得てから調査を実施するのは実務上難しいので、会社から支給されるパソコンや携帯電話等に個人情報を保存しないこと、及び、万が一個人情��報が保存されている場合、かかる情報を調査会社等の第三者専門会社への開示について同意する旨の誓約・同意を事前に得ることが推奨される[7]。
(2) 顧客、サービス利用者個人情報の取扱
業界により、適用がある法令、規則は異なるものの、一般大衆に対して製品やサービスを提供する企業にとって、まずは「消費者権益保護法」における個人情報に関する規定に遵守しなければならない。すなわち、事業者は利用者の個人情報を収集・使用する場合は、適法性、正当性、必要性の原則を順守し、情報を収集し、使用する目的、方式及び範囲を明示し、かつ利用者の同意を得なければならない。また、収集、使用規定を公開し、同時に、企業内部において、収集した個人情報の管理体制を構築し、技術を含め必要な措置を講じて、情報の安全を確保し、顧客の個人情報の漏洩、紛失を防止する義務も課されている。
電気通信及びインターネットサービス分野の企業は、より詳細な規定が置かれているMIIT規定に従って、個人情報保護に関するマニュアルの制定、整備が必要である。金融業の企業であれば、支払決済業の個人情報指針に従うことが無難であろう。
また、世界で汎用性のある、中国における個人情報保護を目指しているのであれば、業界を問わず、個人情報保護ガイドラインに適合する社内体制を整備すれば出発点としては良いと思われる。
上記に加え、各業界において個人情報取り扱いに関して特別な規定がある場合、かかる規定に適合するよう、工夫する必要がある。たとえば、銀行業金融機関が、個人金融情報を海外で分析、処理、保存することは禁止されている[8]。また、信用情報調査業界において、中国国内で収集した情報の整理、保存、加工等の作業は中国国内で行われなければならないと規定されている[9]。
2. 法令制定の動向に常に注意を払い、個人情報に関するマニュアルを定期的に更新する
中国において、個人情報の保護の重要性、喫緊性についてすでに十分理解されており、各業界において、法整備の動向がみられる。よって、これまで問題がないとされていた個人情報の取り扱い方(たとえば、個人情報の海外への移転)がある日突然違法となることさえありうる。また、地方レベルでも、個人情報に関する規定が数多く[10]存在し、営業活動をする地域で適用のある地方レベルの規定を確認する必要もある。企業法務にとって、新しい法令や、適用のある規定を踏まえ、個人情報に関するマニュアルを定期的にレビュー・更新することが不可欠である。
3. ベンダーやビジネスパートナーの個人�情報保護ポリシーについてデューディリジェンスを実施する
第三者ベンダーに個人情報の収集・利用を業務委託したり、調査等の目的で個人情報を開示したりする際に、当該ベンダーの個人情報保護についてデューディリジェンスを実施することは不可欠である。MIIT規定によれば、電気通信及びインターネットサービス提供者が、個人情報収集・利用について第三者に業務委託する場合、当該第三者の個人情報保護について監督・管理を行う義務を有し、MIIT規定における定めに適合しない第三者に業務委託してはならない。実務上、電気通信及びインターネットサービス提供者のみならず、その他の事業者も第三者に個人情報の収集・利用について業務委託する場合、個人情報保護について、当該第三者に対する監督管理責任を負われる可能性があるので、常に第三者の個人情報保護について監督・管理する立場にあると言えよう。その運用は実際には無過失責任として扱われると思われる。よって、第三者ベンダーが適正な個人情報保護ポリシーが制定・実施していることを確認するのが肝要である。
以上
[1] 「中華人民共和国刑法修正案(九)」第17条
[2] 「中華人民共和国刑法修正案(九)」第28条
[3] 「消費者権益保護法」第29条
[4] 「個人情報保護ガイドライン」第4.2条
[5] 2015年7月に公布された「インターネット安全法(第一次草案)」第5条
[6] 重要な情報インフラではない業界においても、国家機密情報の海外への移転は禁じられるので、国家機密法という視点から当該移転は適法かどうかを、事前に確認する必要がある。
[7] これとは逆の場合であるが、会社情報を個人のコンピューターや携帯電話にセーブすることについては当然禁止規定があるべきである。それに違反した場合、会社が会社情報について個人端末に保管されているとの合理的な疑いを持つときは、会社はかかる個人端末をかかる会社情報の範囲で調査することの同意を得ているとの書面を取得することが勧められる。
[8] 中国人民銀行が2011年公布した「銀行業金融機関による個人金融情報��保護の向上に関する通知」第6条
[9] 2013年3月15日施行された「信用情報調査業管理条例」第24条
[10] たとえば、「上海市個人信用情報調査管理弁法」、「江蘇省個人信用情報調査管理弁法」
Contributors
