Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

中国、全国人民代表大会常任委員会で個人情報保護法(中华人民共和国个人信息保护法:PIPL)を可決(その1)

2021-08-22 09:04:39 | 個人情報保護法制

 Last Updated:August  23,2022

 筆者は、7月10日ブログ「中華人民共和国が『データ安全保障法(データセキュリティ法):中华人民共和国数据安全法):DSL』を可決」で中国のビッグデータ立国を目指す重要な3つの立法のうち2つ( サイバーセキュリティ法(中国ネット安全法:中华人民共和国网络安全法:CSL)とDSL)が全国人民代表大会で可決され、残るはいわゆる個人情報保護法(PIPL)であると説明した。

 中国は、2021年8月20日に開催された第13回全国人民代表大会常任委員会の第30回会合で「個人情報保護法(中华人民共和国个人信息保护法:PIPL')」が採択され、2021年11月1日付けで施行予定であると主席令を発出した。

 やや遡るが、中国は8月20日、2021年10月1日に施行される「自動車データのセキュリティ管理に関する規定(試験実施用)」(自動車データ規制)も公表している。

 これは中国の新しいデータセキュリティ法(DSL)の傘下で発行された実装規則である。自動車業界における中国のデータおよびサイバーセキュリティ法の中核的な概念である「重要なデータ」を構成するものについて定義している。

 今回のブログは、(1)他に先行するかたちで「個人情報保護法(PIPL)」を74条全文を仮訳するとともに、適宜、補足説明を加える、(2)国務院令第745号「重要な情報インフラストラクチャのセキュリティ保護に関する条例」(以下「条例」)の概要を説明し、(3)法律で引用される行政規則中、「オンラインでの子供の個人情報の保護に関する規定」(http://www.cac.gov.cn/2019-08/23/c_1124913903.htm)の概要を解説する。

 本ブログは単に翻訳ソフトでの中国法の日本語訳にとどまらず、中国が国の絶対的権力を優先させながら、併せて欧米先進国の人権擁護につき限定的であれ国際ビジネス拡大の入口を模索している姿を垣間見ることが狙いである。

 いずれにしても、今後内外のローファーム(注0)や調査機関等からPIPLに関する詳しい解説、評価、問題点などが公表されようが、時間をみて筆者も比較法の観点からチャレンジしてみたい。8月26日付けCrowell & Morning LLPの blogEmployee Personal Information Protection in China – Are You Up to Speed?が、PIPLが中国の職場シナリオにどのように適用されるかを具体的に強調し、多国籍企業の中国の労働および雇用業務に対するデータ・プライバシー・コンプライアンスを確保するための提案を提供している。ぜひ、読まれたい。

 また、9月9日付けSquire Patton Boggs LLPのblog「新しいPRC個人情報保護法が可決:より深い条項への飛び込みも論点が整理されている。

 なお、2022.8.15 Internet Initiative Japan は「中国 個人情報保護法、サイバーセキュリティ法、データセキュリティ法違反でDiDiに80億人民元の制裁」と題するblogで「国家ネットワーク情報弁公室(以下「CAC」)は、2022年7月21日、個人情報保護法(中华人民共和国个人信息保护法)、データセキュリティ法(中华人民共和国数据安全法)及びサイバーセキュリティ法(中华人民共和国网络安全法)に違反したとして、ネット配車サービス大手である滴滴出行(以下「DiDi」)に対し80億2600万人民元(約11億ユーロ)、DiDiの会長兼CEOとDiDiの社長に対して各100万元の過料を課したと発表した」と報じている。詳細は同blogを参照されたい。(2022.8.23追記)

 今回は3回に分けて掲載する。

「個人情報保護法(PIPL)」74条の仮訳

 総則

第1条 個人情報の権利と利益を保護し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するために、この法律は憲法に従って制定されている。

第2条 自然人の個人情報は法律で保護されており、組織や個人が自然人の個人情報の権利を侵害することはない。

第3条:この法律は、中華人民共和国の領土内の自然人の個人情報の処理に適用される。

この法律は、次のいずれかの状況下で、中華人民共和国外の中華人民共和国の領土内の自然人の個人情報の処理にも適用される。

(1)国内の自然人に製品またはサービスを提供する目的で。

(2)領土内の自然人の行動を分析および評価する。

(3)法令等に定めるその他の事情。

第4条 個人情報とは、匿名化された情報を除き、電子的またはその他の方法で記録された、識別または識別可能な自然人に関連するあらゆる種類の情報をいう。

個人情報の処理には、個人情報の収集、保管、使用、処理、送信、提供、開示、削除などが含まれる。

第5条:個人情報の取り扱いは、合法性、公正性、必要性、誠実性の原則に従い、誤解を招く、詐欺的、強制的およびその他の方法で個人情報を処理してはならない。

第6条:個人情報の処理は、明確かつ合理的な目的を持ち、処理の目的に直接関連し、個人の権利と利益への影響が最も少ない方法を採用する必要がある。

個人情報の収集は、処理を目的とした最小限の範囲に限定し、過度に収集しないものとする。

第7条:個人情報の処理は、公開性と透明性の原則に従い、個人情報処理規則を開示し、処理の目的、方法、範囲を明確に示すものとする。

第8条:個人情報の処理は、個人情報の品質を確保し、不正確かつ不完全な個人情報による個人の権利への悪影響を回避するものとする。

第9条:個人情報処理者は、個人情報処理に責任を負い、処理する個人情報の安全を確保するために必要な措置を講じるものとする。

第10条:組織または個人は、他人の個人情報を違法に収集、使用、処理、または送信することはできない。また、他人の個人情報を違法に売買、提供、または開示することはできない。また、国家安全保障や公益を危険にさらす目的で個人情報処理活動に従事してはならない。

第11条:国は、個人情報保護システムを確立および改善し、個人情報の権利および利益の侵害を防止および処罰し、個人情報保護の宣伝および教育を強化し、政府、企業、関連する社会組織および個人情報保護に参加する一般市民のための良好な環境の形成を促進するものとする。

第12条:国は、個人情報保護に関する国際規則の策定に積極的に参加し、個人情報保護における国際交流と協力を促進し、他の国、地域、および国際機関との個人情報保護規則および基準の相互承認を促進する。 

第2章 個人情報処理規則

第1節 一般規定

第13条:個人情報処理者は、以下のいずれかの状況が満たされた場合のみ個人情報を処理することができる。

(1)個人の同意を得る。

(2)個人が当事者である契約の締結および履行のために必要であるか、または法律に従って確立された労働規則および規則およびに従って署名された労働協約に従って人的資源管理を実施するために必要である。

(3)法定義務または法定義務を遂行する必要がある。

(4)公衆衛生上の緊急事態に対応すること、または緊急時に自然人の生命、健康および財産の安全を保護することが必要である。

(5)公益のために、ニュース報道、世論の監督およびその他の行為を実施し、合理的な範囲内で個人情報を取り扱うこと。

(6)本法の規定に従い、個人が開示した個人情報またはその他の法的に開示された個人情報を合理的な範囲内で処理すること。

(7)法令等に定めるその他の事情。

この法律の他の関連規定に従い、個人情報の処理については個人の同意を得るものとするが、本条の第2項から第7項に規定する状況の場合は、個人の同意は必要ない。

第14条:個人情報の取り扱いが個人の同意に基づく場合は、十分な知識を有する個人が自主的かつ明確に同意するものとする。個人情報の取り扱いについて、個人の同意または書面による同意を得ることが法律および行政規則で定められている場合は、その規定に従うものとする。

処理目的、処理方法、処理する個人情報の種類が変更になった場合は、本人の同意を再度取得するものとする。

第15条:個人情報の処理が個人の同意に基づく場合、個人は同意を取り消す権利を有する。個人情報処理者は、同意を撤回するための便利な方法を提供するものとする。

個人の同意の撤回は、撤回前の個人の同意に基づいて実施された個人情報処理活動の有効性に影響を与えない。

第16条:個人情報処理者は、製品またはサービスの提供に個人情報の処理が必要な場合を除き、個人が個人情報の処理に同意しない、または同意を撤回しないという理由で、製品またはサービスの提供を拒否してはならない。

第17条:個人情報処理者は、個人情報を処理する前に、以下の事項を誠実かつ正確かつ完全に、目立つ方法で、明確かつわかりやすい言葉で個人に通知しなければならない。

(1)個人情報処理者の氏名または氏名および連絡先情報。

(2)個人情報の処理の目的、処理方法、処理される個人情報の種類、および保存期間。

(3)個人がこの法律に基づいて権利を行使するための方法および手順。

(4)法令及び行政規則により通知すべきその他の事項。

前項の事項に変更があったときは、変更した部分を本人に通知する。

個人情報処理者が、個人情報処理規則(プライバシーポリシー?)を定めることにより、前項の事項を通知する場合は、処理規則を公表し、閲覧・保管に便利なものとする。

第18条:法律および行政規則?により機密保持が義務付けられている、または通知する必要がない状況で個人情報処理者が個人情報を取り扱う場合、前条の最初の段落で指定された事項を個人に通知することはできない。

緊急時に、自然人の生命、健康、財産の安全を守るために適時に通知することができない場合、個人情報処理者は、緊急事態が解消された後、速やかに個人に通知するものとする。

第19条:法令等に別段の定めがある場合を除き、個人情報の保持期間は、処理目的を達成するために必要な最短期間とする。

第20条:2人以上の個人情報処理者が共同で個人情報の処理の目的と方法を決定する場合、それらはそれぞれの権利と義務に同意するものとする。ただし、本契約は、本法に定める権利を行使するための個人情報処理者への個人の要求には影響しない。

個人情報処理者が共同で個人情報を処理し、個人情報の権利と利益を侵害し、損害を生じさせた場合は、法律に従い、連帯責任を負うものとする。

第21条:個人情報処理者が個人情報の処理を委託する場合は、その目的、期限、処理方法、個人情報の種類、保護措置、両当事者の権利義務等について、受託者と合意するものとし、および委託者は受託者の個人情報処理活動を監督する。

受託者は、本契約に基づき個人情報を処理し、合意された処理目的、処理方法等を超えて個人情報を処理することはない。委託契約が有効、無効、取消、または終了しない場合、受託者は個人情報を返却するものとする。個人情報処理者への情報の提供または削除、保持しないものとする。

受託者は、個人情報処理者の同意なしに、個人情報の処理を他人に再委任してはならない。

第22条:合併、分割、解散、破産等により個人情報を転送する必要がある場合は、受取人の氏名及び連絡先を個人に通知する。受領者は、引き続き個人情報処理者の義務を履行するものとする。受領当事者が当初の処理目的または処理方法を変更した場合、本法の規定に従い、個人の同意を再取得するものとする。

第23条:個人情報処理者が他の個人情報処理者が処理する個人情報を提供する場合は、受取人の氏名、連絡先、処理目的、処理方法、個人情報の種類を個人に通知し、個人の同意を得るものとする。受領者は、上記の処理目的、処理方法、個人情報の種類の範囲内で個人情報を処理するものとする。受領当事者が当初の処理目的または処理方法を変更した場合、本法の規定に従い、個人の同意を再取得するものとする。

第24条:個人情報を利用して自動化された意思決定を行う個人情報処理者は、意思決定の透明性と結果の公平性を確保し、取引価格等の取引条件において個人に不当な差別的扱いをしてはならない。

自動化された意思決定方法による個人への情報の圧力および商業的マーケティングは、個人の特性に固有ではないオプションを提供するか、個人に拒否する便利な方法を提供する必要がある。

自動化された意思決定方法を通じて個人の権利と利益に重大な影響を与える決定を行うために、個人は個人情報処理者に説明を求める権利を有し、自動化された意思決定手段を通じてのみ決定を行うことを個人情報処理者に拒否する権利を有する。

第25条個人情報処理者は、個人の同意を得ない限り、処理する個人情報を開示してはならない。

第26条:公共の場所に画像の収集および個人識別装置を設置することは、公共の安全を維持し、関連する国の規制を遵守し、目立つ注意喚起メッセージを設定することが必要である。収集された個人の画像および識別情報は、公共の安全を維持する目的でのみ使用でき、個人の同意がある場合を除き、他の目的で使用することはできない。

第27条個人情報処理者は、個人が明示的に拒否しない限り、個人が開示した個人情報または合理的な範囲内で法的に開示されたその他の個人情報を処理することができる。個人情報処理者は、個人の権利や利益に重大な影響を与える開示された個人情報を処理する場合、本法の規定に従い、個人の同意を得るものとする。

2節 機密性の高い個人情報の取扱いに関する規則

第28条:機密性の高い個人情報とは、漏洩または違法に使用されると自然人の尊厳を侵害したり、生物測定、宗教的信念、特定の身元、医療の健康を含む個金融口座、所在などの情報、および14歳未満の未成年者の個人情報および財産の安全を害したりする可能性のある個人情報をいう。

個人情報処理者は、特定の目的と十分な必要性がある場合にのみ機密性の高い個人情報を処理し、厳格な保護措置を講じることができる。

第29条:機密性の高い個人情報の処理は、個人の同意を得るものとする。法律および行政規則により、機密性の高い個人情報の処理は書面による同意を得ることが規定されている場合は、当該規定に従うものとする。

第30条:個人情報処理者は、機密性の高い個人情報を取り扱う場合、本法第17条第1項に定める事項に加えて、機密性の高い個人情報の取り扱いの必要性および個人の権利と利益への影響についても個人に通知するものとする。

この法律に従い、法律は、個人に通知することはできないと規定している。?

第31条:個人情報処理者が14歳未満の未成年者の個人情報を取り扱う場合は、未成年者の親または他の保護者の同意を得るものとする。

14歳未満の未成年者の個人情報を処理する個人情報処理者は、特別な個人情報処理規則(プラバシーポリシー?)を策定するものとする。

第32条:法律および行政規則により、機密性の高い個人情報の処理が関連する行政免許を取得するか、その他の制限を課すことが規定されている場合、それらの規定に従うものする。

3節 国の機関による個人情報の取り扱いに関する特別規定

第33条:この法律は、個人情報の処理における国の機関の活動に適用されるものとする。。本節に特別な規定がある場合は、本節の規定が適用されるものとする。

第34条:法定義務を遂行するために、国の機関は、法律および行政規則によって規定された権限および手順に従って個人情報を処理し、法定義務を遂行するために必要な範囲および制限を超えてはならない。

第35条:国の政府機関は、法定義務を遂行するために個人情報を処理する場合、本法第18条の最初の段落で指定された状況を除き、または通知が国の機関が法定義務を遂行するのを防ぐ。

第36条:国の機関が処理する個人情報は、中華人民共和国の領土内に保管し、本当に海外に提供する必要がある場合は、海外につきセキュリティ評価(security assessment)を実施するものとする。セキュリティ評価には、関連部門からのサポートと支援が必要になる場合がある。

第37条:法定の職務を遂行するために個人情報を処理するために公務を管理する機能を有する法律および規制によって認可された組織は、国の機関による個人情報の取り扱いにこの法律の規定を適用するものとする。

章:個人情報の国境を越えた提供に関する規則

第38条:個人情報処理者が、業務上の必要性から、真に中華人民共和国外に個人情報を提供する必要がある場合は、以下のいずれかの条件を満たすものとする。

(1)この法律の第40条の規定に従って、国家サイバースペース管理局(CAC)によって組織されたセキュリティ評価に合格する。(注1)

(2)国家サイバースペース行政の規則に従い、専門機関による個人情報保護認証を実施する。

(3)国家サイバースペース管理部門が策定した標準契約に従い、両当事者の権利と義務を規定した海外の受領者との契約を締結する。

(4)法律、行政規則、または国家サイバースペース管理部門によって規定されたその他の条件。

中華人民共和国が締結または参加した国際条約および協定に中華人民共和国外での個人情報の提供条件に関する規定がある場合、それらの規定に従って実施することができる。

個人情報処理者は、海外の受信者による個人情報の処理が本法に定める個人情報保護基準を確実に満たすために必要な措置を講じるものとする。

第39条:個人情報処理者が中華人民共和国以外で個人情報を提供する場合は、海外の受取人の氏名、連絡先、処理目的、処理方法、個人情報の種類、個人情報を個人に通知するものとする。本法に定める権利を行使し、個人の同意を得るための方法及び手続き。

第40条:国家サイバーセキュリティおよび情報化部門によって規定された数までの個人情報を処理した重要な情報インフラストラクチャ(注2)および個人情報処理の運営者は、中華人民共和国の領域内で収集および生成された個人情報を保存するものとする。本当に海外に提供する必要がある場合は、国のサイバーセキュリティ情報部門が主催するセキュリティ評価に合格するものとする。法律、行政規則、国のサイバーセキュリティ情報部門がセキュリティ評価を不要と規定している場合は、以下の手順、規定に従う。

第41条:中華人民共和国の所管官庁は、中華人民共和国が締結または加入した関連法および国際条約および協定に従って、または平等および互恵の原則に従って、国に保管されている個人情報を提供するための司法機関または法執行機関は外国からの要請を処理するものとする。個人情報処理者は、中華人民共和国の所管官庁の承認なし、中華人民共和国の領土に保管されている個人情報を外国の司法機関または法執行機関に提供してはならない。

第42条:外国の組織および個人が中華人民共和国の市民の個人情報の権利を侵害する、または中華人民共和国の国家安全保障および公共の利益を危険にさらす個人情報処理活動に従事する場合、国家サイバースペース監視機関(注3)は提供する個人情報の一覧を公表し、個人情報の提供を制限または禁止するなどの措置を講ずる。

第43条:いずれかの国または地域が個人情報保護の観点から中華人民共和国に対して差別的な禁止、制限、またはその他の同様の措置を採用する場合、中華人民共和国は実際の状況に基づいて国または地域に対して対応する措置を講じることができる。

第4章 個人情報処理活動における個人の権利

第44条:個人は、個人情報の処理について知り、決定する権利を有し、法律および行政規則によって別段の定めがない限り、他者による個人情報の処理を制限または拒否する権利を有する。

第45条:個人は、本法第18条第1項、第35条に規定されている場合を除き、個人情報を個人情報処理者に相談し、コピーする権利を有する。

個人が個人情報の閲覧またはコピーを要求する場合、個人情報処理者は適時にそれを提供するものとする。

指定された個人情報処理者への個人情報の転送を要求する個人および個人情報処理者は、国家のサイバーセキュリティおよび情報化部門によって指定された条件が満たされた場合に転送の手段を提供するものとする。

第46条:個人情報が不正確または不完全であることに気付いた場合、個人情報処理者に訂正または補足を求める権利を有す。

個人が個人情報の訂正または補足を要求する場合、個人情報処理者は、個人情報を確認し、適時に訂正および補足を行うものとする。

第47条:以下のいずれかの場合において、個人情報処理者は、個人情報の削除を主導するものとします。個人情報処理者が削除しなかった場合、個人は削除を要求する権利を有す。

(1)処理目的が達成されたか、達成できないか、または処理目的を達成するためにもはや必要ではない場合。

(2)個人情報処理者が商品やサービスの提供を停止した場合、または保存期間が終了した場合。

(3)個人が同意を撤回した場合。

(4)個人情報処理者が法令、行政規則に違反する、または個人情報を取り扱う契約に違反する場合。

(5)法令等に定めるその他の事情。

法令に定める保存期間が満了していない場合または個人情報の削除が技術的に困難な場合、個人情報処理者は、必要なセキュリティ保護措置の保存および採用以外の処理を停止するものとする。

第48条:個人は、個人情報処理規則を説明するように個人情報処理者に要求する権利を有す。

第49条:自然人が死亡した場合、本章では、彼の生涯の間に故人によって別段の取り決めがない限り、その近親者は、自らの合法かつ正当な利益のために、提供されたとおり、故人の関連する個人情報へのアクセス、コピー、訂正、削除などの権利を行使することができる。

第50条:個人情報処理者は、個人が権利を行使するための申請を受理し処理するための便利で便利なメカニズムを確立しなければならない。個人の権利行使の請求が却下された場合は、その理由を説明しなければならない。

個人情報処理者が個人の権利行使の請求を拒否した場合、その個人は法律に従い人民法院に訴訟を起こすことができる。

************************************************************************************************

3.引用される行政規則中、「オンラインでの子供の個人情報の保護に関する規定(儿童个人信息网络保护规定)」の概要の解説

「オンラインでの子供の個人情報の保護に関する規定」は、中国インターネット情報局の事務局会議で審議および承認されており、これにより発表され、2019年10月1日に施行している。

関係法令「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国未成年者保護法(中华人民共和国未成年人保护法)」(注7)等の法令に基づき、子どもの安全を守り、子どもの健康な成長を促進するためこの規定を置く。

第1条:この規定は、児童の個人情報の安全を守り、児童の健全な育成を促進するため、中華人民共和国サイバーセキュリティ法、未成年者保護法(中华人民共和国未成年人保护法)」その他の法令に基づき定める。

第2条:この規定において「子供」とは、14歳未満の未成年者をいう。

第3条:この規定は、中華人民共和国の領土内で、インターネットを通じて児童の個人情報の収集、保存、利用、移転、開示等に従事する場合に適用される。

第4条:いかなる組織または個人も、児童の個人情報の安全を侵害する情報を作成、公開、または広めてはならない。

第5条:児童の保護者は、保護義務を正しく遂行し、児童の個人情報保護に対する意識と能力を高め、児童の個人情報の安全を保護するよう教育し、指導しなければならない。

第6条:インターネット業界団体は、児童の個人情報保護に関する業界規範及び行動規範の策定をネットワーク事業者に指導し、業界の自主規制を強化し、社会的責任を果たすよう奨励する。

第7条:ネットワーク事業者は、児童の個人情報を収集、保存、利用、転送、開示する場合、適切な必要性、インフォームドコンセント、目的の明確化、安全・安心、法律に基づく利用の原則を遵守しなければならない。

第8条:ネットワーク事業者は、児童の個人情報保護に関する特別規則及び利用者契約を定め、児童の個人情報保護に責任を負う者を任命する。

第9条:ネットワーク事業者は、児童の個人情報を収集、利用、転送、または開示する場合、児童の保護者に対し、重要かつ明確な方法で通知し、児童保護者の同意を得るものとする。

第10条:ネットワーク事業者は、児童保護者の同意を得たときは、拒否オプションも提供し、以下の事項を明示しなければならない。

 (1)お子様の個人情報の収集、保存、利用、転送、開示の目的、方法、範囲

 (ii) お子様の個人情報が保管される場所、期間、および有効期限後の処理方法

 (iii) お子様の個人情報の安全管理措置

 (iv) 拒絶の結果。

 (v) 苦情、報告のチャネルと方法

 (vi) お子様の個人情報の訂正・削除方法

 (vii) その他通知すべき事項。  

 前項の通知事項に実質的な変更が生じ生じた場合は、児童保護者の同意を得るものとする。

第11条:ネットワーク事業者は、提供するサービスに関係のない児童の個人情報を収集したり、法令、行政規則の規定、両当事者の合意に違反して児童の個人情報を収集したりしてはならない。

第12条:ネットワーク事業者は、収集・利用目的の達成に必要な期間を超えて、児童の個人情報を保管してはならない。

第13条:ネットワーク事業者は、児童の個人情報を保管し、情報の安全性を確保するため、暗号化その他の措置を講ずるものとする。

第14条:ネットワーク事業者は、児童の個人情報を利用し、法令及び行政規則の規定及び双方が合意した目的及び範囲に違反してはならない。運用上の必要性により、合意された目的または範囲を超えて使用する必要がある場合は、児童保護者の同意を得るものとする。

第15条:ネットワーク事業者は、職員に対し、最小限の権限の原則に基づき、情報へのアクセスを厳格に設定し、児童の個人情報の範囲を管理するものとする。 職員が児童の個人情報にアクセスする場合は、児童個人情報保護責任者又はその権限のある管理者の承認を得て、アクセスを記録し、児童の個人情報の違法コピー又はダウンロードを防止するための技術的措置を講ずるものとする。

第16条:ネットワーク事業者は、児童の個人情報の取扱いを第三者に委託する場合、委託先及び委託行為等について安全評価を行い、委託契約に署名し、双方の責任、取扱い事項、処理期間、処理の性質及び目的等を明確にし、委託行為が認可の範囲を超えないものとする。

 前項の委託先は、次の義務を履行しなければならない。

 (ⅰ)法令、行政規則、ネットワーク事業者の要請により、児童の個人情報を取り扱う。  

 (ii)児童保護者からの申請に応じて、ネットワーク事業者を支援する。  

 (iii)情報セキュリティ対策を講じ、児童の個人情報漏洩のセキュリティインシデントが発生した場合に、速やかにネットワーク事業者にフィードバックすること。  

 (ⅳ)委託関係が解消された場合、速やかに児童の個人情報を削除すること。  

 (v)委託を譲渡してはならない。  

(vi) その他、法律により履行すべき児童の個人情報保護義務

第17条:ネットワーク事業者が児童の個人情報を第三者に譲渡する場合、その利用者は、自己又は第三者の機関に安全評価を委託しなければならない。

第18条:ネットワーク事業者は、法令及び行政規則により開示すべき場合、又は児童保護者との合意により開示できるものを除き、児童の個人情報を開示してはならない。

第19条:児童又はその保護者は、ネットワーク事業者が収集、保管、利用、開示した児童の個人情報に誤りがあると認めた場合、ネットワーク事業者に訂正を求める権利を有する。 ネットワーク事業者は、速やかに是正措置を講ずるものとする。

第20条:児童又はその保護者が、ネットワーク事業者に対し、収集、保管、利用、開示する児童の個人情報の削除を求められた場合、ネットワーク事業者は、以下の場合を含むがこれらに限定されない速やかに削除するための措置を講ずるものとする。

 (ⅰ)ネットワーク事業者が、法令、行政規則、または両当事者の合意に違反して、お子様の個人情報を収集、保存、使用、転送、または開示すること。  

 (ii)お子様の個人情報を収集、保存、使用、転送、または開示する目的の範囲を超えて、または必要な期間、  

 (iii)児童保護者が同意を撤回すること。

 (iv)子供またはその保護者は、キャンセル等によって製品またはサービスの使用を終了する。

第21条:ネットワーク事業者は、児童の個人情報の漏えい、破壊、紛失の可能性があるときは、直ちに緊急計画を開始し、是正措置を講ずるものとする。

第22条:ネットワーク事業者は、インターネット通信部門及びその他の関連部門が法律に従って実施する監督及び検査に協力するものとする。

第23条:ネットワーク事業者は、製品又はサービスの運営を停止するときは、直ちに児童の個人情報の収集を中止し、保有する児童の個人情報を削除し、その業務停止の通知を速やかに児童保護者に通知しなければならない。

第24条組織または個人は、本規約の違反を発見した場合、ネットワーク安全情報化機関NetCIT部門およびその他の関連部門に報告することができる。

 NetChat部門及びその他の関連部門が関連報告を受けた場合、その職務に従って速やかに処理しなければならない。

第25条:ネットワーク事業者は、児童の個人情報の安全管理に対する責任が不十分であり、重大なセキュリティリスク又はセキュリティインシデントが発生した場合、ネットワーク通信部門は、その職務に応じてインタビューを行い、ネットワーク事業者は、隠れた危険を排除するために、速やかに是正措置を講ずるものとする。

第26条:この規定に違反した場合、ネットワーク通信部門及びその他の関連部門は、その職務に従い、中華人民共和国サイバーセキュリティ法、インターネット情報サービス管理措置、その他の関連法令の規定に従って処理し、犯罪を構成する者は、法律に従って刑事責任を追及されるものとする。

第27条:この規定に違反して法的責任を問われた者は、関連する法律及び行政規則の規定に従って信用記録に記録され、公表されるものとする。

第28条:コンピュータ情報システムを通じて処理情報を自動的に保持し、保持された処理された情報が子供の個人情報であることを認識できない場合、その他の関連規定に従って行われるものとする。

第29条:この規定は、2019年10月1日から施行する

******************************************************************************************************

(注0) 20218.24 Law Blog Commuinity: LexBlogが「PIPL: A game changer for companies in China」で要約している。参照されたい。

著者はNorton Rose Fulbright LLPのAnna Gamvros (HK)とLianying Wang

Anna Gamvros氏 (HK)

Lianying Wang 氏

PIPLの主な構成項目

(1)概要  8章74条

(2)域外効果

(3) 責任ある各当局(PI保護当局: personal information protection duties and responsibilities (PI Protection Authorities)

の定義

この部分は欧米に国家行政機関から独立した「情報保護委員会(情報保護コミッショナー)」と中国の場合はまったくことなる。以下で仮訳する。

*責任ある当局の範囲

PIPLは、当局間の責任配分をより明確にし、個人情報保護の義務と責任を果たす当局(PI保護当局)として、法律に基づく責任を負う中央および地方自治体を指す。責任配分は次のとおりである。

「国家サイバースペース管理部門(中国サイバースペース管理局またはCAC)」は、個人情報保護および関連する監督および管理業務の包括的な計画と調整を担当する。

国務院の関係省庁および部門は、個人情報保護ならびにそれぞれの見解の中での監督と管理に責任を負う。また、郡レベル以上の地方公共団体の関係部署は、国の規則に従い、個人情報保護および関連する監督管理に関して一定の責務を果たす。

(4) 処理の基礎

(5) 個人情報の国境を越えた転送

(6) 個人の権利

(7) プロセッサーの義務

(8) 罰則

(注1)「個人情報及び重要データの域外持出セキュリティ評価弁法(意見募集案)」(「評価弁法」)及び「データ域外持出セキュリティ評価ガイドライン(意見募集案)」(「ガイドライン」)を公表した。

(注2) 重要な情報インフラストラクチャは、それらの間で基本的、安全、かつ戦略的な位置を占めていると言っても過言ではない。このため、法律は重要な情報インフラストラクチャオペレーター(CIIO)に対してより高い要件も提唱している。CIIOの場合、準拠して運用する場合、最初のタスクは関連するネットワークセキュリティレビュー要件を習得することである。

1.サイバーセキュリティレビューの責任機関-CIIO

中国の「サイバーセキュリティ法」(「サイバーセキュリティ法」と呼ばれる)の第35条、および「サイバーセキュリティレビュー措置」(「レビュー措置」と呼ばれる)の第2条には、CIIOが明確に記載されてる。サイバーセキュリティレビュー責任機関。しかし、CIIOの定義に関しては、既存の法律にはあまり明確な規制がない。「審査措置」はまた、CIIOは「重要な情報施設保護部門によって認められた運営者」であると一般的に述べています。

サイバーセキュリティ法の第35条:国家安全保障に影響を与える可能性のあるネットワーク製品およびサービスを購入する重要な情報インフラストラクチャの運営者は、国家評議会の関連部門と協力して国家サイバーセキュリティおよび情報化部門によって組織された国家安全保障レビューに合格するものとします。

「サイバーセキュリティレビュー措置」の第2条:国家安全保障に影響を与える、または影響を与える可能性のあるネットワーク製品およびサービスを購入する重要な情報インフラストラクチャ事業者は、これらの措置に従ってサイバーセキュリティレビューを実施するものとします。

「サイバーセキュリティレビュー措置」の第20条:これらの措置における主要な情報インフラストラクチャ事業者は、主要な情報インフラストラクチャ保護作業部門によって承認された事業者を指します。以下。略す。

(注3) 中国の Cyberspace Administration of Chinaとは、国家互联网信息办公室:State Internet Information Office'), Office of the Central Cyberspace Affairs Commission  中央网络安全和信息化委员会办公室),をいう。

*************************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 2人のラトビア人がQQAAZZ組織... | トップ | 中国、全国人民代表大会常任... »
最新の画像もっと見る

コメントを投稿

個人情報保護法制」カテゴリの最新記事