中国の全国人民代表大会 常務委員会は2021年8月20日、個人情報保護法を可決され、2021年11月1日より施行されます。

同法は、中国において、個人情報の取り扱いに特化した初めての法律となり、

また、サイバーセキュリティ法やデータセキュリティ法とともに、データ保護に関する基本法として位置付けられることになります。

本法の施行により、中国の日系企業が日本の親会社に対して中国国内の取引先や従業員に関する個人情報を提供する場合、

原則として本人に必要事項を告知した上での個別的同意を得る必要がある他、国家ネットワーク情報部門が策定した標準契約の締結や、

保護影響評価及び処理記録に関する措置の実施が必要となります。

また、中国国内に拠点や法人を持たないが、中国国内の個人向けサービスを提供する日本企業は、

本法に則ったプライバシーポリシーの策定及び中国国内に指定代理人等を選定したうえで、本法に定める各種義務を遵守する必要があります。

本法において留意の必要となる箇所は大きく５点あります。

1.適用範囲（域外適用について）

2.取扱範囲及びその判断基準

3.個人情報の域外移転

4.データ国内保存義務

5.法的責任

本法における関連箇所を以下に記載致します。

1.適用範囲（域外適用について）

第三条 中華人民共和国の域内において自然人の個人情報を処理する活動に対して、本法を適用する。

中華人民共和国の域外において、中華人民共和国域内の自然人の個人情報を処理する活動が、以下に掲げる事由のいずれか一つに該当する場合も、本法を適用する。

(一)域内の自然人に向けて商品又はサービスを提供することを目的としている場合。

(二)域内の自然人の行為を分析し、評価する場合。

(三)法律、行政法規が規定するその他の事由。

2.取扱範囲及びその判断基準

第四条 個人情報とは、電子的又はその他の方法で記録された、すでに識別され又は識別可能な、自然人に関係する各種情報をいうが、匿名化処理後の情報は含まれない。

個人情報の処理には、個人情報の收集、保存、使用、加工、伝送、提供、公開、削除等が含まれる。

3.個人情報の域外移転

第三十八条 個人情報処理者が業務等の必要性により、どうしても中華人民共和国の域外に個人情報を提供する必要がある場合には、

以下のいずれか一つの条件を具備しているものとする。

(一)本法第四十条の規定に基づき、国家インターネット情報部門による安全評価に合格している。

(二)国家インターネット情報部門の規定に基づき、専門機関による個人情報保護の認証を得ている。

(三)国家インターネット情報部門が制定した標準契約に従って、域外の移転先との間で契約を締結し双方の権利及び義務を約定している。

(四)法律、行政法規又は国家インターネット情報部門が規定するその他の条件。

中華人民共和国が締結又は参加している国際条約、協定が、中華人民共和国の域外に対する個人情報の提供の条件等について規定している場合は、

その規定に従って執行することができる。

個人情報処理者は、必要な措置を講じて、域外の移転先による個人情報の処理活動が、

本法の規定する個人情報保護の基準を満たしていることを保障しなければならない。

第三十九条 個人情報処理者が中華人民共和国の域外に個人情報を提供する場合には、

個人 に対し域外の移転先の名称又は氏名、連絡先、処理目的、処理方法、個人情報の種類及び個人が

域外移転先に対し本法の規定する権利を行使する方法と手順等の事項を告知し、かつ個人の個別の同意を取得しなければならない。

4.データ国内保存義務

第四十条 重要情報インフラ運営者及び処理する個人情報が国家インターネット情報部門の規定数量に達する個人情報処理者は、

中華人民共和国域内で收集及び発生した個人情報を域内で保存しなければならない。

どうしても域外に提供する必要がある場合には、国家イ ンターネット情報部門による安全評価に合格しなければならない。

法律、行政法規及び国家 インターネット情報部門が安全評価を行わなくとも良いと規定する場合には、その規定に従う。

5.法的責任

第六十六条 本法の規定に違反して個人情報を処理した場合、又は個人情報の処理に際して本法に規定する個人情報の保護義務を履行しない場合、

個人情報保護の職責を履行する部門は是正を命じ、警告を与え、違法所得を没収し、個人情報を違法に処理するアプリケーションプログラムについては、

サービス提供の停止又は終了を命じる。是正を拒む場合は、100万元以下の過料を併科する。

直接の責任を負う主管者及びその他直接の責任者は、1万元以上10万元以下の過料に処する。

前項に規定する違法行為が存在し、情状が重い場合、省級以上の個人情報保護の職責を履行する部門は是正を命じ、

違法所得を没収し、5000万元以下又は前年度の売上高の100分の5以下の過料に処する。

あわせて、関連する業務の一時休止、又は営業停止・整頓を命じ、関係主管部門に通報して関係する業務許可又は営業許可証を取り消すことできる。

直接の責任を負う主管者及びその他の直接の責任者は10万元以上100万元以下の過料に処するとともに、

一定の期間、その者が関連する企業の董事、監事、高級管理職員及び個人情報保護責任者に就任することを禁止することができる。

最後に

本法は、中国国内で自然人の個人情報を取扱う活動のみならず、

中国国外から中国国内の自然人の個人情報を取扱う場合も適用すると定めております。

そのため、例えば、越境EC制度を利用して中国の消費者に向け商品を輸出する日本企業等に対して、

本法が適用される可能性が高いため個人情報の扱いには注意が必要となります。

また、大量の個人情報を処理する個人・法人には、中国国内で収集した個人情報を中国国内で保存する義務を負います。

それにより、中国国内にサーバーを設置するという追加コストが生じる可能性があります。

しかしながら、どの程度の規模・数量の個人情報を処理する者が上記の追加規制の対象となるかについて現時点で明確な基準は公表されておりません。

参考基準として、サイバーセキュリティ法の下位規範である「サイバーセキュリティ審査弁法（改正草案）」が一つ考えられております。

また、大量の個人情報を処理する個人・法人が個人情報を中国国外へ移転する場合には、必ず上記【3.個人情報の域外移転】に

定めるセキュリティ評価に合格する必要があります。

ご不明な点や疑問点がございましたら、ご遠慮なくお問い合わせください。