中国における個人情報の保護に関する法律規制の最新動向と実務対応
「聞くところによると、電話勧誘販売すれば投獄されるおそれがあるぞ。」、「本来は、従業員の休暇申請及び賃金調べなどに便宜を図るためにアプリケーションを導入するつもりだったが、まさか企業に大きなリスクを与えるとは。」……最近、個人情報の保護に関連する法律、法令、司法解釈が公布され、関連事件の報道が相次ぐにつれて、個人情報の保護に関心を持つ企業も多くなってきている。
しかし、生噛りや聞きかじりは恐れをもたらすだけで、問題解決には何の役にも立たない。企業は、経営に影響を与える個人情報保護の新規定及び相応の法的リスクの低減対策を理性的に把握すべきである。
2017年6月1日より施行されている個人情報及びインターネットセキュリティに関連する新規定は、『中華人民共和国インターネット安全法』、『最高人民法院、最高人民検察院による公民個人情報侵害刑事案件の処理における法律適用の若干問題に関する解釈』、『インターネットニュース情報サービス管理規定』及びその実施細則などが挙げられる(詳細は新規定の原文を参照)。
現行の法律及び上述の新規定を総合的に考えれば、企業は個人情報の収集、使用、移転などにおいて個人情報保護の法的リスクを防止することができる。
まず、個人情報の収集については、適法の原則、同意の原則及び必要性の原則を遵守すべきである。
適法の原則とは、売買又はハッカーによる侵害などの手段で個人情報を不法に取得してはならないことを指す。『最高人民法院、最高人民検察院による公民個人情報侵害刑事案件の処理における法律適用の若干問題に関する解釈』によると、位置情報追跡情報、通信内容、信用調査情報、財産情報を不法に取得し売却した、又は提供した件数が50件以上に達した場合、個人情報侵害罪に問われる。
『中華人民共和国インターネット安全法』第22条には、「インターネット関連商品、インターネット関連サービスがユーザー情報の収集機能を備えている場合、その提供者はユーザーに対しそれを明示し、ユーザーの同意を得る。……」と明確にしている。実務において、多くの企業はユーザーの商品に対する経験を把握したり、潜在顧客を開拓したりするために、ユーザー/潜在顧客の情報を収集する必要がある。企業は関連情報を収集するにあたって、合理的な方法を用い、ユーザーの同意を得るべきである。又、インターネットシステム又はスマホアプリを通じて従業員に対して情報化管理を行う企業も増えている。現行の『情報セキュリティ技術:公共及び商用サービス情報システムにおける個人情報保護指南』(以下『指南』という)では、一般的な個人情報について黙示の同意を認めているが、国が個人情報の保護を強化する傾向が見られることから(特に、大衆は早期に「『個人情報保護法』を制定されるよう強く要望する)、企業は慎重に対応すべきである。例えば、インターネットシステム又はスマホアプリによりウェブサイトにログインし、「本人がウェブサイト使用条項及びプライバシー政策を読み、理解し、同意した」などの内容を明示する。そうしておけば、ユーザーが当該チャックボックスを選択した後にログインできるようになり、企業の個人情報の取得に同意したと見なされる。
必要性の原則については、前述の『指南』では「必要最小限の原則」を明確にしている。従って、従業員の情報であっても、ユーザー/潜在顧客の情報であっても、企業は情報処理の目的に必要最小限の個人情報のみを収集すべきである。
次に、個人情報の使用については、主に以下の2点からリスクをコントロールすべきである。
一、使用目的の限定。『指南』では、「企業は個人情報の主体を知らずに、個人情報の処理目的を変更することによって個人情報を加工、利用又は移転してはならない。目的が達成した後は、速やかに個人情報を完全に削除する。」と明確にしている。
実務において、合法的に収集した個人情報である以上、制限を受けずに企業の財産として使用することができるという誤った認識を持つ企業は少なくない。
二、合理的な個人情報保護措置を講じる。『中華人民共和国インターネット安全法』では、「収集対象となる個人情報のセキュリティを確保し、個人情報の漏洩、毀損、紛失を防止するために、企業は技術的措置及びその他の必要な措置を講じる。個人情報の漏洩、毀損、紛失が生じた、又は生じうる場合は、直ちに救済措置を講じ、規定に従い、ユーザーに対し適時告知するとともに、主管部門に報告する。」と明確に規定されている。実務において、以下の措置を講じることが考えられる。①企業が収集した個人情報が従業員に漏らされたり、又は第三者に侵害されたりしないように、企業はインターネットシステム又はスマホアプリに保存される個人情報に対して、厳格に暗号化措置を講じる。②個人情報に触れる必要がある社内従業員及び/又は第三者パートナーのみにだけ個人情報への接触を認め、それ以外に個人情報への接触を認めない。③企業は個人情報の保存設備に対して定期的なセキュリティ評価を行う。また、実務において、個人情報が漏洩した場合は、個人情報の主体が必要な措置を講じたり警戒心を高められるように、企業は直ちに個人情報の主体に通知するとともに、関連部門に報告し、法律執行部門の調査に協力する。
そのほか、特に注意すべきことは、『中華人民共和国インターネット安全法』では、「企業はその中国内で取得した個人情報を業務遂行のために、中国国外に提供する必要がある場合、国のインターネット情報の関連部門と国務院の関連部門が共同で制定した方法に照らし合わせて、セキュリティ評価を行う」とはじめて定められたことだ。従って、企業は原則としてその収集した個人情報を中国国内に保存するものとし、中国国外に提供する場合は、申告を行う。