M&P Legal Note 2019 No.4-1
「中国インターネット安全法」実施後の個人情報の取扱い(第2回)
2019年6月1日
松田綜合法律事務所
中国弁護士 徐 瑞静
第1 はじめ
近年、中国においては、多くの個人情報被害事件が発生し、個人情報の保護はかつて見られなかった挑戦に直面しています。例えば、2016年には、学生が個人情報漏洩により、振込め詐欺で学費を騙し取られ、被害学生がショック死したり、自殺した事件が起きました。また、同年、各地のエイズ感染者個人情報漏洩により、政府の職員と称する詐欺師から、詐欺の電話を受け、補助金給付の名目で、被害者の銀行カード情報が盗み取られた事件が起きました。さらに、2017年には、安徽省の政府ホームページにおいて、生活保護者・保障性住宅(都市部低所得者向けの住宅)の福祉配分という行政情報が開示されると同時に、被保護者の個人情報も情報「開示」の方法をもって公開された事件が起きました。
第2 アリペイ年間請求書事件
個人情報の侵害は、主に情報収集、加工、保存及び利用などの個人情報処理活動において発生するものと思われます。そこで、次のアリペイ年間請求書事件を通じて、中国における個人情報の保護体制を整理することとします。
1 事実概要
アリペイ年間請求書事件とは、アリペイが、2018年1月3日に作成した「ごまサービス契約」(以下、規約という。)について、ユーザーの明確な認識のないまま規約に同意させ、ユーザーの個人情報を収集したため、関連法令に違反したとして行政指導を受けた事件です。
アリペイの規約に同意すると、ユーザーは、過去一年間(2017年)にアリペイを利用して支出した自己の費用(旅行、携帯チャージ、生活費用の納付、振替を含む各消費データ)を閲覧することができます。しかしながら、アリペイ年間請求書の閲覧の前提となる規約への同意が、ユーザーの知らない状態でなされたことは、関連法令に違反するおそれがあるものと指摘されました。実態を見れば、年間請求書のトップページの左下に表示されていた「規約への同意」という文字は、画面の中で目立たない位置にあり、書体が小さく、文字の色も背景色に近い色が使用され、しかも、「規約への同意」をするか否かの選択において、既に同意するという状態に設定されていました。つまり、ユーザーが「同意」のチェックをキャンセルしないと、自動的に規約の利用に同意するようになっていたのです。
さらに、規約内容によると、アリペイは、規約の利用を「同意」したユーザーのすべての情報について、個人情報、取引情報、納税、及びユーザーの信用・リスクを評価できる他の情報、並びに、それらを分析した結果を含め、第三者に提供することができるとの内容が織り込まれていました。
2 処分内容
2018年1月10日、アリペイ年間請求書支払事件について、国家網信弁インターネット安全協調局は、メディアに対して、アリペイなど関連会社及びその責任者と面談し、行政指導を行ったことを発表しました。
当該行政指導においては、アリペイの規約が国家基準たる「個人情報安全規範」[1] における個人情報収集、使用の指針に適合せず、また、アリペイが「個人情報保護提案書」[2] に承諾した内容に違反したため、中国インターネット安全法の規定に従い、アリペイがプラットフォームに対する全面調査を強化し、特定項目を整理し、類似事件の再発を防止するための実効な措置を講ずるよう命じられました。
それにより、「規約への同意」に使用する文字の大きさ、及び「同意」にチェック済みの状態は修正されました。
第3 個人情報保護のための法規制
1 根拠法令及び法的責任
2018年9月7日、全国人民代表大会常務委員会が公布した「第十三期全国人民代表大会立法計画」において、その任期(2018年3月から2023年3月まで)内に、「個人情報保護法」を第1類法案として審議することが決定されましたが、実際には、施行に至るまでにはまだ時間が掛かります。
2017年に、個人情報の保護に向けて、政府が、一連の法令、司法解釈を公布し、個人情報に対する法整備及び執務を強化する体制を整えるまで、中国における個人情報の保護に対する法規制は、民事、行政、刑事に散在していました。一般に、個人情報を脅かした責任の追及は、以下のように行われていました。
(1) 民事上の権利の保護の対象となる個人情報
「民法総則」の規定に基づき、個人情報は、個人の民事上の権利となります。従って、個人情報が侵害された場合には、被害者は、権利の侵害よる侵害の停止、名誉の回復、損害の賠償、謝罪などの救済を求めることができます。
(2) 消費者の個人情報
個人は、消費者として、「消費者権益保護法」の規定に基づき、協議、苦情、仲裁、訴訟などの方法により、経営者の責任を追及することができます。経営者はその侵害を停止し、消費者の名誉を回復し、謝罪、損害賠償の責任を問われます。なお、経営者は明確な方法で、消費者に対し、消費者と重大な利害関係がある条項に対する注意を喚起する説明義務があります。
(3) 従業員の個人情報
労働関係法上の規定に基づき、雇用者は、労働者の個人情報(労働契約に記される氏名、年齢、性別、学歴、職歴、連絡先)を取得する権利を有しますが、しかし、任意にそれを使用してはなりません。労働者の個人情報に対する保護義務を負う雇用者が、労働者の同意を得ず、その個人情報を他者に販売したり、提示する行為がある場合には、不法行為による侵害責任を負います。さらに、情状が重大な場合には、刑事上の処罰対象となり、罰金刑ないし有期刑に問われます。
「インターネット安全法」の規定は、個人情報の収集・使用において、収集利用の目的、方式、範囲を明示し、被収集者の同意を得る必要があると定めています。
個人は、自己の個人情報を勝手に収集、使用されたことが発覚した場合には、企業に対してそれを削除または更正することを求める権利を有します。しかも、個人情報を侵害した行為については、その違法行為に合わせて、行政指導及び改善を促すことのほか、絶えず、高額の過料、製品のリコール、サービスプラットフォームの期限付き閉鎖、関連業務の営業停止、営業免許の取消しなどの細分化された異なる種類の処分を求めることができます。
2 関連部門の職権の範囲
アリペイ年間請求書事件が、殊の外、社会大衆から個人情報保護について注目を集めていたことは否めませんが、本件の執務機関であるインターネット安全協調局は、問題が起きた3日後には、直ちに行政処分の結果を発表しており、速やかな対応体制が取られていることが看取されます。
サイバー安全の責任主体である情報発信機能を持つウェブサイト、プラットフォーム(例えば、Weibo、WeChat、Baidu、Toutiaoの運営者)、インターネット製品・サービスを提供する企業は、自社の営業目的と結び付けて、いずれの主管機関の管理監督対象に該当するかを整理することができます。
管轄機関の職権範囲については、現在、未だ明確な規定やガイドラインがなく、開示された事例から見ると、サイバー安全に関する最も主要な執務機関は、国家網信弁、工信部、公安部であることが知られ、各機関の執務対象は、以下のように整理することができます。因みに、アリペイ年間請求書事件は、下記(1)の対象となります。
(1)各地方の網信弁を含め、国家網信弁は、インターネット運営者(サイバー所有者・管理者、製品・サービス提供者)のユーザーの実名登録や発信情報の適法性の監督管理を担う。
(2)各地方の工信局を含め、工通部は、電信企業のライセンス、電信事業の発展、及び電信分野における個人情報保護の監督管理を担う。
(3)各地方のサイバー警察を含め、公安部は、サイバー安全運営、サイバー安全を脅かす違法・犯罪行為の管理監督を担う。
第4 個人情報保護に対する実務の新たな動向
1 個人情報の範囲
個人情報は、特定の人の利益又は人と関連し、他人に知られたくなく、公共の利益に関わらない情報です。個人情報の保護が必要とされるのは、プライバシーだけではなく、これらの情報が個人の権益と密接に関係している場合です。中国においては、ITの急速的な普及及び変化につれ、新しい個人情報の種類も増加し、それらを枚挙するに暇がありません。新しい情報のタイプが未だ定義し難い点があることは確かですが、特定の人に属する情報は、すべて個人情報と看做すべきであり、個人情報の範囲は、広義に理解することが望ましいと思われます。
2 「個人情報安全規範」の効力
アリペイの年間請求書事件の処分内容を見ると、執務機関は、国家が推奨する基準である「個人情報安全規範」に言及し、当該基準は、強制執行力を有しないが、インターネット安全などの法令の技術規範の一環として、行政主体、司法機関、評価委員会、企業に対して普遍的な参考価値及び実用性を有することが示唆されました。「個人情報安全規範」においては、適用条件と行為パターンのみを設定し、該当する行為の結果を設けていませんが、行政と司法機関は、それを事実及び構成要件の判断根拠にして、企業に対する相応の民事、行政、刑事の責任を追求し、個人情報を違反するとして、処罰ないし判決を下すことができます。
関わる企業にとって、個人情報に関する新たな法令の施行前には、「個人情報安全規範」の内容は、普遍的な強行性を有しませんが、企業が、契約を通じて「個人情報安全規範」またはその関連内容について承諾する場合、それは、企業にとっての契約の正当化の根拠となり、法律上の拘束力を受けることになるので、個人情報の取扱い際の参考基準として重視するに値します。
3 「個人情報安全規範」の概説
「個人情報安全規範」は、「個人情報」及び「個人敏感情報」の範囲を定義するほか、個人情報の収集、保存、使用、委託処理、共有、譲渡、公開開示などの行為に対して、具体かつ細分化された内容を規定しています。
以下においては、アリペイの事例と結び付けて、「個人情報安全規範」における個人情報保護の収集、使用について、次のようにまとめることができます。
(1) 個人情報の収集
① 収集した個人情報の類型は、企業の(製品・サービス)業務機能の実現と直接的な関連性がなければなりません。
② 間接的に取得した情報についても、さらに、提供先に対して個人情報の出所の説明を求め、個人情報源の合法性を確認する必要があります。
(2) 個人情報の保存
① 個人情報の保存期限は、目的を実現するために必要な最短期間に限られます。
② 上記の個人情報の保存期限を超過する場合、個人情報を削除するか、匿名化する必要があります。
(3) 個人情報の使用
① 特定の目的を除き、個人情報を使用するときは、個人を特定できることを避けるべきです。
② 収集した個人情報を加工処理した後に発生した情報については、それが、単独または他の情報と結び付けて当該個人を識別することができるか、または当該個人の活動状況を反映することができる場合には、それを個人情報として認識すべきです。なお、個人情報に対する処理は、個人情報を収集する際に得られる授権同意の範囲に従わなければなりません。
③ 個人情報を利用する場合は、個人情報を収集する際に説明した目的及び範囲を超えてはなりません。業務上の必要により、上記の範囲を超えて個人情報を使用する必要がある場合には、再度、個人情報の本体に明示な同意を得る必要があります。
第5 まとめ
ビッグデータ時代の到来により、個人が、生活における位置情報、消費習慣、人間関係など、多くのデータを収集されていることは、既に中国社会全体に周知され、また、個人情報の漏洩による被害事件の多発で、人々は警戒しています。企業が自覚的に法令を遵守し、企業の責任を履行し、ユーザーの個人情報の収集、使用に関する明確な基準を設定することは、喫緊の切実な問題であると考えられます。
[1] 国家品質監督検査検疫総局及び国家基準化管理委員会(国家行政部門)が公布した規範性文書である。法の強制的な効力を有さず、国家は、その内容を遵守することを推奨するレベルに止まる。
[2] 個人情報保護を貫くため、中央ネット信用弁、工信部、公安部、国家標準委員会は、アリペイを含む10社のサイバー企業の製品とサービスに関するプライバシー条項の審査結果を発表した。その審査結果を受けて、アリペイを含む10社のサイバー企業は、ユーザーの知る権利の尊重、ユーザーの授権の遵守、ユーザーの情報セキュリティの保障などについて承諾した。
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
松田綜合法律事務所
中国弁護士 徐 瑞静
jo@jmatsuda-law.com
〒100-0004 東京都千代田区大手町二丁目6番1号 朝日生命大手町ビル7階
電話:03-3272-0101 FAX:03-3272-0102
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。