中国の個人情報保護法（草案）の重要ポイント

2018年のEU一般データ保護規則（GDPR：General Data Protection Rules）の施行から、グローバルでプライバシー保護強化が進む中、中国でも2020年10月に個人情報保護法（草案）が公表され、急速に個人情報保護への関心が高まっています。中国では、これまで、「個人情報保護法」という名の法律や、個人情報保護について統一的な規定を定める法律は存在せず、民法典や中国サイバーセキュリティ法等の各法令に、部分的に個人情報に関する記載が存在している状況でした。そのため、これまで個人情報保護対応といえば、中国サイバーセキュリティ法の個人情報に関する規定への対応が中心となっている状況です。このような状況の中、個人情報保護法（草案）が公表されました。本草案が定める罰金がこれまでのサイバーセキュリティ法での罰金に比べ高額であることもあり、現地でも個人情報保護対応の話題が増えてきています。

本草案では、一部中国域外への適用を定めており、中国に拠点を置かない企業にとっても、中国のユーザーに商品を販売し個人情報を収集している場合には、今後、中国の個人情報保護法対応が必要となる可能性があります。そこで、本稿では個人情報保護法（草案）の重要なポイントについて紹介いたします。

「個人情報」の定義

まず、前提となる個人情報の定義について紹介いします。本草案において、個人情報は「電子的またはその他の方式により記録され、すでに識別されたまたは識別可能な自然人に関する各種情報であり、匿名化処理された情報は含まない」（本草案第4条）と定義されています。つまり、収集された情報のうち生存する人に関する情報で、匿名化処理された情報は含みません。

個人情報保護法（草案）の域外適用

本草案において、「中華人民共和国の域内において、中華人民共和国域内の自然人の個人情報を取り扱う活動に対し、本法を適用する」と規定され（本草案第3条1項）、原則として、中国の域内の活動に対して本法を適用するとしています。しかし、同条2項において、一部の域外適用を定めており（下記参照）、中国に拠点を持たない日本企業であっても、中国域内の自然人の個人情報を取り扱う場合には、同法の適用を受ける可能性があります。例えば、日本にある企業がEコマースなどで直接中国の個人に商品やサービスを提供している場合は、留意が必要です。

その他の留意点

個人情報を取り扱うことができる場合の限定列挙

本草案では、個人情報を取り扱うことができる場合を限定列挙しており、日系企業の場合、一般的には「個人の同意を得た場合」（同草案第13条1項）もしくは「個人が当事者となる契約の締結または履行に必要な場合」（同条2項）に該当する場合に個人情報の取り扱いが可能となります。例えば、現地顧客から同意を得た場合や、現地社員との労働契約締結において社員の個人情報を取り扱う場合が該当します。契約がある場合でも、契約の締結または履行に必要な情報以外の個人情報を収集する場合には、上記2項には該当せず、1項に従い個人の同意を得る必要がある点に留意が必要です。

高額の罰金

本草案の規定に違反した場合で、情状が重い場合には、是正命令、違法所得を没収の上、かつ5,000万元以下または前年度売上高の5％以下の罰金が課される可能性があります（同草案第62条）。「中国サイバーセキュリティ法」での個人情報に関する罰金は最高100万元であるのに対し、高額であり、無視できない影響となっています。

著者：矢内　隆一
※本ニュースレターは、2021年6月28日に投稿された内容です。