中国「民法典」における個人情報保護条項及び個人情報保護の現状

額尓敦畢力格(エレドンビリゲ)
中国弁護士
上海開澤法律事務所パートナー弁護士。日本一橋大学法学博士。人事労務、コーポレート・M&A、撤退・清算、訴訟・債権回収、知的財産・リスク管理、エンターテインメント、国際取引・海外進出、コンプライアンス等企業法務全般を主に取り扱う。現在は約30名のチームで、中国人弁護士ならではの強みを生かした的確かつ迅速な解決力をモットーに、中国全域で日系企業に特化した包括的な業務を提供する。

はじめに

2020年5月28日、「中華人民共和国民法典」(以下「民法典」という)は中国第十三回全国人民代表大会第三次会議を通過し、中国においてはじめて法典として制定された。中国民法典は総則、物権、契約、人格権、婚姻家庭、相続、不法行為及び附則の 7 編から構成され、1260条ある。「民法典」は2021年1月1日から施行され、同時に婚姻法、相続法、民法通則、養子縁組法、担保法、契約法、物権法、不法行為法、民法総則等が廃止されることになる。「民法典」の制定に伴って、既存の法律に関する修正を行うとともに、個人情報保護等に関して新しい内容の追加もあった。「民法典」における個人情保護条項以外に、個人情報保護に関する法律はすでに2020年の立法計画に含まれている。個人情報保護に関する立法動向は目を離せない状況にある。

中国において個人情報に関する保護法制度は、インターネットにおける個人情報保護に関する「中華人民共和国インターネット安全法」等、刑事分野における「刑法修正案(七)」と「刑法修正案(九)」があり、ほかに「中華人民共和国電子商務法」、「中華人民共和国消費者権益保護法」、「中華人民共和国旅行法」「中華人民共和国保険法」、「中華人民共和国図書館法」、「中華人民共和国銀行法」等個別の法律に個別条項の形式で形成されている。なお、国家標準化管理委員会の公布した「情報安全技術、公共及び商用服務情報システムにおける個人情報保護ガイドライン」、公安部の公布した「インターネット個人情報安全保護ガイドライン」等も個人情報制度に関する重要なものである。

一、 民法典における個人情報保護条項

民法典は個別条項の形式を採用していた個別法律より後に制定され、今後立法予定である個人情報保護法の前法として、現段階における個人情報保護に関するまとまった法内容を呈示している。 民法典はその第110条における個人情報保護に関する原則的な規定以外以下のような規定を設けている。

第1034条 「個人情報の定義」
自然人の個人情報は法律の保護を受ける。
個人情報とは、電子的あるいはその他の方式により記録された単独で、あるいはその他の情報と結合して特定の自然人を識別する各種情報、自然人の氏名、生年月日、身分証番号、生物識別情報、住所、電話番号、電子メールアドレス、健康に関する情報、行方に関する情報等を含む。
個人情報におけるプライベートな情報に関してプライバシー権条項を適用する。規定を設けていない場合、個人情報保護規定を適用する。

第1035条 「個人情報処理制限」
個人情報の処理にあたり、合法、正当、必要の原則により、過度に処理してはならず、以下の条件に適しなければならない:
(一) 当該自然人あるいは後見人(※)の同意を得なければならない。ただし、法律・行政法規にて別途規定ある場合は除く。
(二) 情報処理規定を公開する
(三) 情報を処理する目的、方法及び範囲を明示する
(四) 法律・行政法規の規定及び当事者間の約定に違反しない。
個人情報の処理は、個人情報の収集、保存、使用、加工、転送、提供、公開等を含む。
(※中国法上「後見人」に「未成年の法定代理人」も含まれる。)

第1036条 「個人情報処理に関する免責」
個人情報処理の際、以下いずれかの状況に該当する場合、民事責任は負わない:
(一) 当該私人全てあるいは後見人の同意した範囲において合理的に施した行為
(二) 当該自然人が自ら公開した情報あるいはその他合法的に公開された情報を合理的に処理した場合。ただし、当該自然人が明確に拒否し、あるいは当該情報の処理がその重大な利益を損害する場合は除く。
(三) 公共の利益あるいは当該自然人の利益を保護するため、合理的に実施したその他行為

第1037条 「個人情報自己決定権」
自然人は法により、情報処理者に対してその個人情報を閲覧し、複写することができる。情報に誤りがある場合、異議を申し立て、速やかに提示する等必要な措置を講ずるよう請求できる。
情報処理者が法律・行政法規に違反しあるいは当事者間の約定に違反してその個人情報を処理した場合、自然人はその情報を速やかに削除するよう情報請求者に請求できる。

第1038条 「個人情報安全保護」
情報処理者は、その収集、保存している個人情報を漏洩し、あるいは改変してはならない。自然人の同意をなくして他人に違法にその個人情報を提供してはならない。ただし、加工後、特定人を識別できない、かつ復元できない場合は除く。
情報処理者は、技術的措置及びその他必要な措置を講じてその収集、保存している個人情報の安全を確保し、情報漏洩、改変、紛失を防がなければならない。個人情報が漏洩、改変、紛失あるいはその恐れがある場合、速やかに救済措置を講じなければならず、規定に従って当該自然人に告知し、並びに主管部門に報告しなければならない。

第1039条 「行政機関の秘密保持義務」
国家機関、行政機能を担う法定機関及びその職員は、その職務履行過程において知りえた自然人のプライバシー及び個人情報を秘密保持しなければならず、漏洩また他人に違法に提供してはならない。

以上は、中国で新しく制定された民法典における個人情報保護に関する条項である。民法典は、その「第四編人格権」の第六章においてプライバシー権と個人情報保護を置いている。第1032条第2項において、プライバシーの定義を、自然人の私生活の安寧と他人に知られたくない私的な空間、活動及び情報を指すとし、個人情報を含むかのような規定を設ける同時に、1034条第3項において、プライバシー規定を適用する場合と個人情報保護に関する規定の適用の場合を区別している。

二、 個人情報の定義

民法典における個人情報の定義は、上記第1034条の第2項であり、すなわち「電子的あるいはその他の方式により記録された単独で、あるいはその他の情報と結合して特定の自然人を識別する各種情報、自然人の氏名、生年月日、身分証番号、生物識別情報、住所、電話番号、電子メールアドレス、健康に関する情報、行方に関する情報等を含む」としており、含まれる情報を具体的に列挙している。民法典初稿における個人情報の定義は、明らかに「中華人民共和国インターネット安全法」第76条に依拠していたと思われるが、その後、三審の際に電子メールアドレス、行方に関する情報の二つが追加され、正式に公布された際にさらに健康に関する情報が追加されていた。健康に関する情報は、コロナ禍流行後国民の健康管理のために開発された「健康コード」というアプリの登場により臨時的に追加された内容であると思われる。

民法典とインターネット安全法以外に、国家基準である「情報安全技術 個人情報安全規範(GB/T 35273-2020)」(以下「安全規範2020版」という)も個人情報を定義し、さらに個人情報と個人に関する敏感な情報の区別をしている。個人情報の定義は民法典よりは広範である。

安全規範 2020 版における個人情報の定義は、「電子的あるいはその他の方式により記録された単独で、あるいはその他の情報と結合して特定の自然人の身分を識別できる、あるいは特定自然人の活動状況を反映する各種情報を指す」としており、さらに、個人に関する敏感な情報に関して、「一旦漏洩、違法に提供されあるいは濫用されると人身の生命財産に危害を及ぼし、個人の名誉を棄損し、心身健康に損害を与え、あるいは差別される等恐れのある個人情報を指す」と定義している。安全規2020版範は、個人情報と個人に関する敏感な情報を別紙の形で列挙している。

民法典において、プライバシー権と個人情報の定義を区別しており、安全規範2020版は改正前の旧版において「プライバシー政策」としていた項目を「個人情報保護政策」と名称替えした点に注意を払う必要があり、企業も合わせてプライバシーポリシーの名称を改める必要があろう。

三、 個人情報の処理とその処理者

民法典第1036条は、個人情報の取り扱い(民法典は個人情報の「処理」と記載している)に関して、その収集、保存、利用等は「本人同意のもと、適法に」と要請しており、また第1037条において、個人情報に関する取扱者(民法典は「処理者」と記載している)概念があり、また個人は自らの情報閲覧複写をでき、乃至は個人情報の取扱に関して違法・違約行為あった場合に個人情報の訂正・削除等を要求する、いわゆる「自らの個人情報に対する自己決定権」を有するに至った。これは、「中華人民共和国インターネット安全法」第43条の内容を踏まえたものであるが、個人が閲覧・複写できる個人情報の範囲は不明確である。いずれにしても、企業は自社の「個人情報保護政策」を当該条項の趣旨を反映させるように見直す必要がある。

四、 個人情報に関する安全管理義務

民法典第1038条は、個人情報取扱者に対し、その取扱う個人情報に関して安全管理義務を課しており、個人情報の漏洩、紛失等安全事故が生じた場合に ① 速やかに救済措置を講じ、② 規定に従って個人に告知し、③ 規定に従って主管部門に報告するとしている。「中華人民共和国インターネット安全法」第42条を踏まえた条文であるが、安全事故の処理に関しては、インターネット安全法第42条の「直ちに救済措置」としているのに対して民法典は「速やかに救済措置」としている。個人情報安全事故起きた際に、「インターネットに関するものか、そうでないものか」によって救済措置を講じる時間に差異があることを表現上異なっているが、そもそも法制度の運用としてその基準は不明確だととらえてもおかしくない。また、個人に対して告知も、主管部門に対する報告も、いずれも「規定」に従って行わなければならない。しかし、この「規定」は何を指しているのか、不明である。「規定」の確認のために、事故当時の個人情報保護に関する法制度全般を確認する必要がある。例えば、現在では、個人に対する告知と主管部門に対する報告を定めているものは、上記の「安全規範2020版」と2017年の「国家インターネット安全事件応急予案」等がある。

五、 行政機関及びその職員の秘密保持義務

国家機関、行政機関及びその職員の個人情報に対する秘密保持義務条項は、民法典草案になかった条項である。民法典草案の審理過程において挿入されたものであり、秘密漏洩した場合の責任条項は設けられていない。国家賠償訴訟によって責任追及できるか否かは今後の「個人情報保護法」、あるいは訴訟実務において明らかにされていくしかない。

最後に

近年、中国は個人情報保護に関する法制度の構築を急いている。個人情報保護に関する専門立法がないため、様々な法律に個別条項の形式で設けられている。また、訴訟実務においても個人情報保護に関して多くの裁判が起きているのも事実である。これまで裁判実務においては、個人情報侵害を理由とする訴訟においてその侵害行為に関する挙証責任を原告に追わせてきた。しかし、2018年に中国最高裁判所が公表した第一回インターネット関連典型判例において、「挙証責任は原告が負う」ことを回避してない(挙証責任の転換はなかった)が、「個人情報が侵害された高度の蓋然性」の立証のみで侵害行為を認定した判例を列挙した。最高裁の公表する典型判例は中国全国の同じあるいは類似訴訟にとってリーディングケースとなるので、今後裁判実務において「挙証責任の転換」はそれほど遠くないように思われる。

※商業目的で、画像および文字を許可なくダウンロードや複製等を行うことは固く禁じます。
中国商業新聞