中国個人情報保護法

中国個人情報保護法

2021年10月17日

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2021年8月26日
  • タイトル: 中国個人情報保護法
  • 発表者:データサイン代表取締役社長 太田祐一

2021年11月1日から施行予定の中国個人情報保護法

2021年8月20日、中国で個人情報保護法(以下、中国個人情報保護法)が成立しました。どのような内容なのでしょうか。気になった点をデータサイン代表取締役社長 太田祐一がピックアップしました。本稿ではその一部をご紹介します。

*Web公開された中国語の原文を無償のWeb翻訳ツールで和訳しているため、本レポートにおける記述の正確性はデータサインで保証しかねる点をご了承ください。

2021年8月20日に開催された第13回 全国人民代表大会 常任委員会 第30回会議で、中国個人情報保護法(通称PIPL:Personal Information Protection Law)が可決されました。

法律は次の8つの章立てです。

  1. 一般規定
  2. 個人情報処理規則
  3. 個人情報の国境を越えた提供に関する規則
  4. 個人情報処理活動における個人の権利
  5. 個人情報処理者の義務
  6. 個人情報保護業務を行う部門
  7. 法的責任
  8. 補足規定

施行は2021年11月1日から。可決から2カ月強ほどの間ですが、中国と取引関係にある、日本企業を含む外国企業もチェックや準備を急ぐ必要がありそうです。

GDPR(一般データ保護規則)に近い、厳しめのルール

中国個人情報保護法における「個人情報」の定義はどのようなものでしょうか?

第1章 一般規定の第4条には、「個人情報とは、匿名化された情報を除き、電子的またはその他の方法で記録された、識別または識別可能な自然人に関連するさまざまな情報を指します」とあります。

「日本の個人情報保護法における文脈だと、『生存する個人に関する情報』のうち『匿名加工情報』を除いたもの、というイメージで、日本における個人情報の定義よりやや広めと思います。Cookieに含まれるブラウザのID やIDFAなどの広告識別子も対象になりそうです」(太田)

第2章 個人情報処理規則の第13条には、個人情報処理者が個人情報を処理する際の要件が記されています。

「同意取得については日本の個人情報保護法より厳しく、EU のGDPRに近いと考えられます。具体的には、個人情報を収集・保管する際にも個人の同意が必要である旨が記されています。日本の個人情報保護法では、収集や保管のために同意を取得する必要はありません」(太田)

また同意を得る場合には、十分な知識に基づいて本人が自発的かつ明示的に行うものとする旨が第14条に記されています。

「『ページを閲覧し続けた場合は同意したものとみなします』といったやり方はアウトになりそうで、GDPRに通じるものといえるでしょう」(太田)

第15条には個人情報処理者は、同意を撤回する便利な方法を個人に提供する、ということが記されています。具体的にどのような方法かは明示されていませんが、同意取得と同様に、同意撤回も自発的かつ明示的に行えるような方法を提供する必要がありそうです。

個人情報を中国の領域外に提供する場合は?

第21条、第23条にはそれぞれ個人情報処理者が個人情報の処理を委託する場合と、自己が処理した個人情報を他の個人情報処理者に提供する場合(第三者提供)について記されています。

「委託の場合では、受託者が再委託する際に、個人情報処理者の同意なしにやってはいけない旨が記されています。この点は日本の個人情報保護法より厳しいといえるでしょう。また、第三者提供にあたっては、自己が処理した個人情報を他の個人情報処理者に提供する場合、提供先の名称や連絡先、処理目的、処理方法、個人情報の種類などを本人に通知し、本人の個別の同意を得るものとする、とあります。日本では第三者提供時の記録義務はありますが本人に通知する必要はありません。また、日本における情報銀行は本人からの包括同意の取得も可能ですが、中国の場合は個別同意が必要である、と捉えられます」(太田)

第3章の個人情報の国境を越えた提供に関する規則では、第38条に個人情報処理者が中国外に個人情報を提供する際に満たすべき条件が記されています。

その1つに、国家サイバースペース管理局によって組織されたセキュリティ評価に合格しなければならない、という文言があります(ただし、法律、行政法規および国家インターネット情報局がセキュリティ評価を省略できると規定している場合は、その規定を運用する旨が付記されています)。

「条文によれば、中国の領域内で収集・生成された個人情報は領域内で保存することが原則必要です。具体的な評価内容は法律には見当たりませんでしたが、こうした規制への対応も法律施行日である2021年11月1日までに対応をしておく必要がありそうです」(太田)

毎週配信|視聴登録はこちら

関連記事

中国データセキュリティ法
すべての記事を見る

お問合せ