『個人情報保護法』は2021年11月1日より施行
10年にわたり数回の改正を経て、広範な関心を集めた『個人情報保護法』は公布され、2021年11月1日より施行される。
個人情報保護を規範化する専門法律である『個人情報保護法』は、個人情報の保護について全面的かつ統一的な規定を行った。一部の規定に不明確なところがあり、下位規則によって明確にする必要であるが、その立法背景や近年個別案件の多発からみて、法的リスクを低減するために、企業は当該法律を理解した上で、全面的に自己検査に着手すべきである。
以下は主に『個人情報保護法』における個人情報の越境移転を分析する。
個人情報の越境移転は個人情報を提供する者(以下「提供者」という)と個人情報の提供を受ける者(以下「受領者」という)の2つの主体に係わる。実務において、通常、提供者は受領者の中国国内における関連会社である。
まず、提供者は海外へ個人情報を提供する前提条件を満たしているか否か、越境移転が禁止されるか否かなど、個人情報越境移転の手続きに注意を払うべきである。
| 必須条件(択一)
(第38条) |
•国家サイバー情報部門の規定に基づき、専門機構による個人情報保護認証を行うこと。
•海外の受領者との間に、国家サイバー情報部門が制定する基準契約書を締結すること。 •重要情報インフラの運営者及び国家サイバー情報部門が定める数量に達した個人情報取扱者は、……海外に提供する必要がある場合、国家サイバー情報部門が主催するセキュリティ評価に合格しなければならない(法律、行政法規、国家サイバー情報部門の規定によりセキュリティ評価を実施しなくてもよい場合を除く)。 |
| 越境が禁止される状況
(第41~43条) |
•主管機関の許可を得ずに、外国の関連司法、法律執行機構に国内の個人情報を提供してはいけない。
•前述の『個人情報保護法』第42条に基づき、マイナスリストに組み入れられた海外主体。 •個人情報保護において、中国が対等な制限措置を講じる国家と地区。 |
| 個人情報越境の手続
(第39、55、56、38条)
|
• 通知 + 個人の単独同意の取得
※通知事項:海外受領者の名称又は氏名、連絡先、取扱目的、取扱方法、個人情報の種類、及び個人が海外受領者に対して本法の権利を行使する方式及びプロセスなど。 •事前に個人情報保護の影響評価を行い、実施状況を記録する。評価報告と実施状況の記録は少なくとも3年間保管しなければならない。 ※ 個人情報の影響評価は以下の内容が含まれる。 ①個人情報を取り扱う目的、方式等は合法性、正当性、必要性があるか否か。 ②個人の権益に対する影響及びリスク ③保護措置は合法かつ有効で、リスクの程度に適応するか否か •必要な措置を講じ、海外の取扱活動が個人情報保護の基準を満たすことを保障する。 |
次に、『個人情報保護法』第3条によると、海外で発生する以下の行為も拘束を受ける。(1)中国国内の自然人に対して製品やサービスを提供する目的とする行為。(2)中国国内の自然人の行動を分析、評価する行為。従って、受領者が中国国内からの個人情報を取り扱い場合も本法による規制を受ける。
受領者に対する規制は、主に以下の二つの方面に反映される。
(1)義務。『個人情報保護法』第53条によると、海外の受領者は中華人民共和国国内で専門機関設立する又は代表者を指名し、個人情報保護の関連事務を担当させ、関連機関の名称又は代表者の氏名、連絡方法などを個人情報保護の職責を履行する部門に報告しなければならない。
(2)責任。『個人情報保護法』第42条によると、海外の組織、個人が中華人民共和国公民の個人情報の権利を侵害し、又は中華人民共和国の国家安全、公共の利益を危害する個人情報取扱活動を行う場合は、国家サイバー情報部門は当該海外の組織、個人を個人情報提供マイナスリストに追加し、公告を行い、かつ個人情報の提供を制限又は禁止する等の措置を講じる。
上述の規定は「ロング・アーム管轄」に触れるか否かについての議論があり、具体的に如何に執行するかについても不明確な部分があるものの、立法の主旨からみれば、恐らく国内関連企業の第38条に基づく義務の違反(注:「必要な措置を講じ、海外での取扱活動が個人情報保護の基準を満たせるよう保障する」)を理由に、国内関連企業に対して措置を講じることにより、間接的に海外の主体を規制する目的を果たすと推測する。