第57回(最終回) 中国における個人情報の取扱い

Q:日系中国企業X社はある製品を販売していますが、製品に関連したアプリケーションのリリースを予定しています。ユーザーは、当該アプリケーション上に個人情報を入力することとなります。ユーザーの個人情報を収集するにあたり、同意書を取得するほかにプライバシーポリシーなどの作成も必要でしょうか?収集した個人情報を日本の親会社に提供することは可能ですか?

A:X社は、「個人情報の収集・使用に関する規則」(プライバシーポリシー)を作成して公表する必要があります。また、親会社に個人情報を提供したい場合には、域外提供に関わる義務を履行する必要があります。これらを履行しない場合、法律の規定に従ってX社は是正命令、過料、違法所得の没収等の処罰を受ける可能性があり、直接に責任を負う会社の主管者その他直接の責任者も過料の処罰を受ける可能性があります。

解説

1 序論
 中国ではサイバーセキュリティ、データセキュリティ、情報セキュリティの法体系の構築が目まぐるしく行われており、「サイバーセキュリティ法」は2017年6月1日より施行され、「データセキュリティ法」は2021年9月1日より施行されました。また、「個人情報保護法」(以下「本法」といいます)も2021年8月20日に公布され、2021年11月1日から施行されます。
 本法では、個人情報の収集、使用、保護、域外提供、違反した場合の処罰等について規定が行われました。
 この他にも、「サイバーセキュリティ審査弁法」、「アプリケーションによる法規に違反する個人情報収集・使用行為の認定方法」、「よくあるタイプのモバイルインターネットアプリケーションプログラムに必要な個人情報の範囲に関する規定」、「情報セキュリティ技術 個人情報セキュリティ規範」等の一連の法規が制定されています。

 次に、実務の状況に目を向けると、2021年より取締りも強化されており、「抖音」、「keep」、「BOSS直聘」、「鳳凰新聞」、「滴滴打車」等を含む中国の有名なアプリケーションが、ユーザーに対する詐欺、誤導、強制により、個人情報を違法に収集しているなどの問題が存在しているとの通報が相次いでなされ、その是正を要求されています。
 その中でも、「滴滴打車」のアプリケーションをリリースする滴滴出行科技有限公司(以下「滴滴出行」といいます)に関する事案においては、サイバーセキュリティ審査弁公室が、2021年7月2日に、滴滴出行に対するサイバーセキュリティ審査を開始後、滴滴出行が新規ユーザーの登録を停止し、アプリケーションの新規ダウンロードができなくなるなど、世間に与えた影響が非常に大きいものでした。

 中国における個人情報セキュリティに関する法令の制定及び違法事件に対する取締りの強化等の現状に鑑み、本稿では中国における個人情報の取扱いに関する法令について、本法を中心にご紹介致します。

2 個人情報の取扱いに対する具体的な要求
(1) 個人情報
 
個人情報とは、電子的又はその他の方式により記録される、すでに識別されている自然人又は識別可能な自然人に関する各種情報であり、匿名化が施された情報は含まれません(本法第4条第1項)。

(2) 個人情報の保護地域・範囲 
 中国域内における自然人の個人情報の取扱活動及び中国域外における中国域内の自然人の個人情報の取扱活動が次に掲げる事由のいずれかに該当するときは、本法が適用されます(本法第3条)。

①域内の自然人に対する製品又は役務の提供を目的とするものであるとき
②域内の自然人の行為を分析、評価するものであるとき
③法律、行政法規の定めるその他の事由

(3) 個人情報の取扱いに関する原則的規定 
 個人情報の取扱いには、個人情報の収集、記憶、使用、加工、伝送、提供、公開、削除等が含まれます(本法第4条第2項)。
 個人情報の取扱いにおいては、以下の内容を遵守しなければなりません。

①個人情報の取扱いは、適法性、正当性、必要性及び信義誠実の原則を遵守しなければならず、誤導、詐欺、脅迫などの方法を通じて個人情報を取り扱ってはならない(本法第5条)
②個人情報の取扱いは、明確かつ合理的な目的を有していなければならず、また、取扱目的に直接関連し、個人の権益に対する影響が最小となる方法を採用しなければならない(本法第6条第1項)
③個人情報の収集は、取扱目的を実現するために必要な最小の範囲に限定しなければならず、個人情報を過剰に収集してはならない(本法第6条第2項)
④個人情報の取扱いは、公開、透明性の原則を遵守し、個人情報の取扱規則を公開し、取扱いの目的、方法及び範囲を明示しなければならない(本法第7条)
➄個人情報の取扱いは、個人情報が不正確、不完全であることにより個人の権益に不利な影響が生じることのないよう、個人情報の品質を保証しなければならない(本法第8条)
⑥個人情報取扱者は、その個人情報取扱活動に責任を負い、かつ取扱う個人情報のセキュリティを保障するために必要な措置を講じなければならない(本法第9条)

 (4) 個人情報の收集に関する具体的な規定 
 本法第6条、「サイバーセキュリティ法」第49条、「アプリケーションによる法規に違反する個人情報収集・使用行為の認定方法」第1条から第6条及び「情報セキュリティ技術 個人情報セキュリティ規範」第5.2項、第8.2項、第8.3項の規定によれば、個人情報の収集においては次の要求を満たさなければなりません。

 ①収集・使用に関する規則を公開すること
 次の行為は「収集・使用に関する規則を公開していない」と認定される可能性があります。

 ⅰ アプリケーションにプライバシーポリシーがない、又はプライバシーポリシーに個人情報の収集・使用に関する規則がない
 ⅱ アプリケーションを初めて稼働させる時に、ポップアップウィンドウなどの目立つ方法を通じて、プライバシーポリシーなどの収集・使用に関する規則を読むようユーザーに注意を促していない
 ⅲ プライバシーポリシーなどの収集・使用に関する規則へのアクセスが困難である(例えばアプリケーションのメインインターフェースに入った後、4回より多くクリックするなどの操作をしなければアクセスすることができない)
 ⅳ プライバシーポリシーなどの収集・使用に関する規則の閲覧が困難である(例えば文字があまりにも小さく密集しており、色があまりにも薄く、ぼやけて鮮明でない、又は簡体字中国語版を提供していないなど)
 
 ②個人情報を収集・使用する目的、方式及び範囲を明示すること
 ユーザーの同意を取得すること
 ④個人情報を収集するにあたり、必要最小限の原則に従い、必要最小限の範囲で収集すること
 ➄個人情報を削除又は訂正する機能を設定すること
 ⑥告発、通報方式などの情報を公表すること

(5) 個人情報の域外提供
 中国域外に個人情報を提供する場合、次に掲げる条件及び個人情報保護基準を満たす必要があります。

①個人情報取扱者は、業務などの必要により、中国域外に個人情報を提供する必要が確かにある場合、次に掲げる条件の一つを備えていなければならない(本法第38条第1項)

 ⅰ 本法第40条の規定に従い国のネットワークセキュリティ・情報化部門が手配するセキュリティ評価に合格していること
 ⅱ 国のネットワークセキュリティ・情報化部門の規定に従い専門機構による個人情報保護認証を受けていること
 ⅲ 国のネットワークセキュリティ・情報化部門の制定した標準契約に従い域外受領者と契約を締結し、双方の権利及び義務を約定していること
 ⅳ 法律、行政法規又は国のネットワークセキュリティ・情報化部門の定めるその他の条件

②個人情報取扱者は、域外受領者の個人情報取扱活動が本法に定める個人情報保護基準を満たすよう必要な措置を講じなければならない(本法第38条第3項)
③個人情報取扱者は、中国域外に個人情報を提供する場合、域外受領者の名称又は氏名、連絡先、取扱目的、取扱方式、個人情報の種類及び個人が域外受領者に対し本法に定める権利を行使する方式及び手続などの事項につき個人に告知し、かつ個人の単独の同意を取得しなければならない(本法第39条)

3 違反した場合の法的責任
 
本法に違反した場合の処罰としては、通常の場合と情状が重大な場合で、以下の内容が規定されています(本法第66条)。

①通常の場合
・是正命令、警告、違法所得の没収、個人情報を違法に取り扱うアプリケーションのサービス提供の一時停止又は終了命令、是正を拒否した場合の100万元以下の過料の併科
・直接に責任を負う主管者及びその他の直接責任者について1万元以上10万元以下の過料

②情状が重大な場合
・是正命令、違法所得の没収、5000万元以下又は前年度の売上高の5%以下の過料の併科、また、関連業務の一時停止又は業務停止・改善の命令、関連業務許可の取消し又は営業許可証の取消しを行うよう関係主管部門へ通知
・直接に責任を負う主管者及びその他の直接責任者につき10万元以上100万元以下の過料、また、関係企業の董事、監事、高級管理職及び個人情報保護責任者を一定の期間務めることの禁止決定

 また、本法に違反した場合、関係する法律、行政法規の規定に従い信用記録に記入し、かつこれを公示する旨も規定されています(本法第67条)。

4 本件の検討
 
X社がアプリケーションを通じてユーザーの個人情報を収集する場合、ユーザーからの同意の取得にとどまらず、法律の規定に従い「個人情報の収集・使用に関する規則」(プライバシーポリシー)を制定の上で公表するなどの義務を履行しなければなりません。また、個人情報を日本の親会社に提供したい場合には、法律の規定に従い個人情報の域外提供に関する義務を履行しなければなりません。これらの義務を履行しなければ、上記3記載の処罰を受ける可能性があります。
 義務の履行は必ずしも容易なものではないと考えられます。このため、域外提供に関しては、例えば個人情報とは言えない程度に情報を加工し、個人情報の域外提供には該当しないようにした上で日本の親会社に提供するなどの方法を検討することも考慮に値すると考えます。


*本記事は、一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。具体的な法律問題についての法的助言をご希望される方は当事務所にご相談ください。

*本記事は、Mizuho China Weekly News(第913号)に寄稿した記事です。