データ保護法の比較:中国

    0
    594
    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link

    インド

    タイ

    フィリピン

    中国における情報保護法

    2021年の個人情報保護法(PIPL)は、個人情報保護に関する中国初の包括的な法律です。非公開個人情報は、民法に基づくプライバシーの権利として保護されており、個人情報における個人の権利は、公開非公開を問わず、PIPLに基づき保護されています。

    個人情報ではないデータを含むデータセキュリティや、サイバーセキュリティは、データセキュリティ法およびサイバーセキュリティ法に基づき規制されています。同二法は、PIPLとあわせて、中国のデータプライバシーやセキュリティの法制度を構築しています。

    データ権限

    データガバナンスの実施や施行の任務を負う主要当局は、中国サイバースペース管理局(CAC)です。その他さまざまな業界や地方の規制機関は、履行規則を公布する任務を負っています。

    データ分類

    Amigo L Xie, K&L Gates
    Amigo L Xie
    パートナー
    K&L Gates(香港)
    電話: +852 2230 3510
    Eメール: amigo.xie@klgates.com

    中国のデータに関する国家安全保障や個人情報保護規則を実施するために、リスクや重要性のレベルに応じてデータを等級付けしました。データセキュリティ法は、「分類・等級付けされた」データ保護制度を定め、データをタイプ別にグループ分けし、各グループのデータにそれぞれ異なる重要度を割り当てます。国家データセキュリティ調整機構が、全体の計画策定を実施し、国務院の各部門をまとめて、「重要データ」の目録作成や、重要データの保護強化を図ります。

    個人情報保護法では、個人情報とセンシティブ個人情報が区別されています。個人情報とは、電子または他の形式により記録された、識別済または識別可能な自然人に関連する各種の情報を指し、匿名化処理された情報は含みません。センシティブ個人情報とは、漏洩した場合、または違法に使用された場合に、容易に自然人の人格尊厳の侵害、または損害を引き起こす個人情報であり、生物識別、宗教的信仰、医療・健康、金融口座、行動追跡およびその他同様の情報、および14才未満の未成年者の個人情報を指します。

    データ取扱者

    データガバナンス制度には、データ管理者やデータ処理者にそれぞれ個別の定義はありません。個人情報保護法(PIPL)では、個人情報取扱者(PIH)を、個人情報の取扱目的、取扱方法 を自ら決定する組織または個人と定義しています。PIHは、個人情報の取り扱いを別の当事者に委託することができますが、下請業者の作為または不作為に対しても責任を負うものとします。PIHは、個人情報の安全性を保護する対策を講じなければならず、第三者処理者が、確実に法令を遵守し、合意目的を逸脱して個人情報の処理を行わないように徹底します。

    法的根拠

    個人情報保護法(PIPL)では、個人情報取扱者(PIH)が個人情報を取り扱う際の状況を以下のように規定しています。

    • データ主体から法的に正当な同意を取得している場合、
    • 契約の締結または履行に必要な場合、または雇用契約や同様の契約に基づき人事管理を実施する上で必要な場合、
    • 法律上の義務の履行に必要な場合、
    • 公衆衛生上の緊急事態の対応に必要な場合、または緊急状況下において生命、健康または財産の安全の保護に必要な場合、
    • ニュース報道、または公共の利益、または、
    • 個人情報が個人によって、または法律によってすでに公開済みの場合、当該情報は、合理的な範囲内で処理することができます。

    データ越境移転

    Susan Munro, K&L Gates
    Susan Munro
    外国法事務弁護士
    K&L Gates(香港)
    電話: +852 2230 3518
    Eメール: susan.munro@klgates.com

    サイバーセキュリティ法には、当局が指名した、重要情報インフラ運営者(CIIO)が作成し収集した重要データや、個人情報の越境移転に適用される規定があります。一方で、PIPLには、個人情報の越境移転に関する包括的な枠組が含まれています。

    ネットワークデータセキュリティ管理条例(NDSM)や、データ越境移転安全評価弁法(MSA)など、履行規則案や指針案によって、データ越境移転に対処します。複数の事業法令によって、特定の種類のデータの越境移転が制限・禁止されています。個人情報取扱者(PIH)の一般的な要件は以下の通りです。

    • 個人情報の越境移転は、法的根拠に基づくものでなければなりません。
    • PIHは、移転された個人情報が、PIPLで義務付けられている基準と同じ基準で、海外の受領者によって処理および保護されるよう、必要なあらゆる対策を取る必要があります。
    • 個人情報が中国本土外に移転される前に、個人情報保護影響評価を実施しなければなりません。

    データローカライゼーションや国家安全保障評価に関して、特定のPIHに対して以下の具体的な要件もあります。

    • 重要情報インフラ運営者(CIIO)は、中国での事業活動時に収集および作成した個人情報や重要なデータを保管する必要があります。
    • 個人情報の処理が、中国サイバースペース管理局(CAC)が規定した基準に達したPIHは、データローカライゼーション要件の対象となります。規則案での現在の基準としてまず挙げられるのは、100万人以上のデータです。
    • 金融機関は、法律および中華人民銀行によって明確に許可された場合を除いて、個人の金融情報を海外に提供することはできません。
    • 個人情報の処理が、法定基準に達したCIIOもしくはPIHが、海外の受領者にかかる情報を提供することを意図している場合、国家安全保障評価の基準をクリアしなければなりません。
    • 移転予定のデータに「重要データ」が含まれている場合、規則案によって、国家安全保障評価要件が他のPIHにも拡大適用されます。
    • データ越境移転安全評価弁法(MSA)案では、国家安全保障評価要件が、10万人以上の個人情報、または1万人以上の「センシティブ個人情報」の海外への移転に適用されます。これらの基準は、累積ベースで適用されます。

    国家安全保障評価が不要な場合、PIHは、指定された専門機関から個人情報保護に関する証明書を取得するか、または中国サイバースペース管理局(CAC)が義務付けている標準条項を含むデータ移転契約を、海外の受領者と締結する必要があります。ネットワークデータセキュリティ管理条例(NDSM)案によって、これらの要件が、非個人データの取扱者に拡大適用されます。

    いかなる個人または組織も、最初に関係当局からの承諾を得ずに、中国本土にあるデータを外国の法執行機関や司法機関に提供することはできません。

    違反と責任

    個人情報保護法(PIPL)は、違反行為に対して以下のような罰則および処罰を設けています。

    • 最初の罰則として、是正命令、警告、違法所得の没収、サービス停止などがあります。
    • 是正されない場合は、違反行為1件につき最大100万元(15万米ドル)、および違反行為を引き起こした、あるいは別途違反行為の責任を負う個人に対して1万元から10万元までの罰金が科されます。
    • 重大な違反行為については、最大5,000万元、または前年度の収益の5%、業務停止、または営業許可証の取り消しが科されます。責任者は10万元から100万元の罰金、および管理職などの役職への就任を禁じられます。
    • 個人情報取扱者(PIH)は、データ主体が損害を被った場合、個人情報の権利を侵害していない旨を証明しなければなりません。PIHがこの証明をできない場合、PIHは、不法行為の責任を負い、被った損失または利益に基づく損害賠償、もしくは別途裁判所が決定する損害賠償に対して責任を負う可能性があります。
    • PIHが、多数の人々の権利を侵害した場合、中国サイバースペース管理局(CAC)は、検察官または特定の組織に、PIHを告訴する権限を与えます。
    • データセキュリティ法およびサイバーセキュリティ法も、違反行為に関する処罰を設けています。

    情報漏洩

    サイバーセキュリティ法では、等級保護制度を実施しています。データ漏洩が発生した際に、データガバナンス制度では、データ取扱者やネットワーク運用者に対して、速やかに緊急時対応策を開始し、対応する改善策を取り、必要に応じてデータ主体に通知し、当該事件に関して中国サイバースペース管理局(CAC)や関連規制当局に報告することを義務付けています。

    「国家サイバーセキュリティー事件緊急対応策(the National Contingency Plans for Cyber Security Incidents)」および「公共インターネットネットワーク安全突発事件緊急対応策(the Emergency Response Plan for Unexpected Network Security Incidents of the Public Internet)」に基づき、サイバーセキュリティ事件は、(1)特に重大、(2)重大、(3)比較的重大、(4)普通の4等級に分類されています。 こうした規則には、規制当局、監視および早期警戒システム、非常通報・報告システム、調査および評価、ならびに保護措置に関する細則も定められています。

    データ保護責任者

    個人情報保護法(PIPL)では、データ保護責任者(DPO)の任命が義務付けられており、以下の役割および責任が規定されています。

    • 個人情報取扱者(PIH)のデータ処理活動、保護措置などの管理、
    • PIHの主任への直接報告、
    • 個人的な責任として、違反行為の重大性に応じて、1万元から100万元までの罰金が科されます。データ保護責任者(DPO)は、上級職からの解雇、国家の社会信用ファイルへの違反情報の記録、違反行為の公表などに加えて、最悪の場合は行政拘禁または刑事訴追を受けるリスクもあります。
    • PIPLでは、DPOの任務について詳細に規定していませんが、役割に関する指針については、個人情報安全規範(PIS specification)で確認することができます。
    K&L Gates Logo

    K&L GATES
    44/F Edinburgh Tower, The Landmark
    15 Queen’s Road Central, Hong Kong
    電話: +852 2230 3500
    www.klgates.com

    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link