« 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈 | Main | 米国 シークレットサービスの戦略 »

2021.08.31

中国 「個人情報保護法」についての専門家の解釈

こんにちは、丸山満彦です。

11月1日に中国の「個人情報保護法」が施行されますが、その解釈についての記事がいくつかありますね。。。

中国個人情報保護法は、第3回の草案段階で憲法に基づく人権に関する法律ということを明記することにしたこともあり、安全保障のための法律というよりも、人権に配慮した法律という立ち位置になっていると思います。その点は、関連しているネットワークセキュリティ法(サイバーセキュリティ法)やデータセキュリティ法とはやや異なる位置付けなのかもしれません。(個人情報保護法は政府と民に対する規制の両方を含んでいますが、民に対する規制に重きをおいているようにも感じます。)

ただ、中華人民共和国は共産党独裁による社会主義国家ですから、社会全体の安全と個々人の人権のバランスの取り方は欧米の民主主義国家とは違うかもしれませんね。でも、そのバランスの取り方は個人情報保護法が成立したからといって新たに規定されたり、修正されたものではなく、そもそも社会にあったところに法律ができたということなのだろうと思います。

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

2021.08.25 专家解读|个人信息保护法:为数字社会治理与数字经济发展构建基本法 専門家の解釈|個人情報保護法:デジタル社会の統治とデジタル経済の発展のための基本法の構築を目指して
2021.08.25 专家解读|吸收接轨国际立法 探索开创中国路径——读《中华人民共和国个人信息保护法》 専門家の解釈|個人情報保護に関する中華人民共和国の法律
2021.08.25 专家解读|个人信息保护法解决广大人民群众最关心最直接最现实的利益问题 専門家の解釈|個人情報保護法は、一般市民の最も直接的で現実的な利益に対応しています。
2021.08.25 专家解读|全面保护个人信息权益的重要法律 専門家の解釈|個人情報保護のための重要な法律を徹底解説
2021.08.25 专家解读|个人信息保护法的深远意义:中国与世界 専門家の解釈|個人情報保護法の遠大な意義:中国と世界へ
2021.08.21 8章74条,个人信息保护法来了!权威解读十大亮点 8章74条からなる「個人情報保護法」の登場!10のハイライトについての権威ある解釈

 

個別の記事の内容は

こちらから・・・

 


1_20210612030101


まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

 

专家解读|个人信息保护法:为数字社会治理与数字经济发展构建基本法 専門家の解釈|個人情報保護法:デジタル社会の統治とデジタル経済の発展のための基本法の構築を目指して
互联网与大数据时代,个人信息保护构成了数字社会治理与数字经济发展的基本法,牵动着万千公众的切身利益,也关涉企业对于个人信息的合理利用与规范发展。个人信息保护法自启动立法以来,也因此受到了社会的广泛关注。如今,个人信息保护法正式颁布,为个人信息处理活动提供了明确的法律依据,为个人维护其个人信息权益提供了充分保障,为企业合规处理提供了操作指引。 インターネットとビッグデータの時代において、個人情報の保護は、デジタル社会の統治とデジタル経済の発展のための基本法を構成しており、何千人もの人々の重要な利益に影響を与え、企業による個人情報の合理的な使用と規制された発展に関係しています。個人情報保護法が立法化されて以来、社会的に広く注目されています。個人情報保護法が制定されたことにより、個人情報を取り扱う活動の明確な法的根拠、個人情報の権利や利益を守るための個人の適切な保護、そして企業がコンプライアンスに則って個人情報を取り扱うための運用ガイドラインが提供されています。
整体来看,个人信息保护法构建了完整的个人信息保护框架。其规定涵盖了个人信息的范围以及个人信息从收集、存储到使用、加工、传输、提供、公开、删除等所有处理过程;明确赋予了个人对其信息控制的相关权利,并确认与个人权利相对应的个人信息处理者的义务及法律责任;对个人信息出境问题、个人信息保护的部门职责、相关法律责任进行了规定。 個人情報保護法は、全体として個人情報保護のための完全な枠組みを構築しています。個人情報の範囲と、個人情報の収集・保管から利用・処理・送信・提供・開示・削除までの個人情報を扱うすべてのプロセスを規定し、個人に自分の情報をコントロールする関連権利を明確に付与し、個人の権利に対応する個人情報を扱う者の義務と法的責任を確認し、個人情報の出口の問題、個人情報保護のための部門の責任、関連する法的責任を規定しています。個人情報の域外移転の問題、個人情報保護のための部門の責任と関連する法的責任について規定しています。
首先,个人信息保护法确认了广义的个人信息范围,包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,这意味着绝大多数与自然人相关的信息都可以纳入保护范围,体现了个人信息保护法广泛的保护范围。同时区分了敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。将不满十四周岁的未成年人的个人信息纳入敏感个人信息范畴,加强了对未成年人个人信息保护的力度。此外,明确将匿名化处理后的信息排除在外,这表明在大力保护个人信息权益的同时,也希望个人信息处理者能够采用匿名化等技术,以保障正常的信息处理活动。 第1に、個人情報保護法では、個人情報の範囲の広さが確認されています。これは、電子的またはその他の手段で記録された、識別または特定可能な自然人に関するあらゆる種類の情報を含むことを意味しており、自然人に関するほとんどの情報が保護の範囲に含まれることになり、個人情報保護法の保護範囲の広さを反映しています。また、生体情報、宗教的信条、特定のアイデンティティ、医療・健康管理、金融口座、居場所などのセンシティブな個人情報と、14歳未満の未成年者の個人情報は区別されています。14歳未満の未成年者の個人情報を機微な個人情報のカテゴリーに含めることで、未成年者の個人情報の保護を強化しています。また、匿名化後に処理された情報を明示的に除外していることは、個人情報の権利や利益が強力に保護されている一方で、個人情報の処理者が通常の情報処理活動を保護するために匿名化などの技術を使用することも期待されていることを示しています。
第二,个人信息保护法提出了处理个人信息需要遵循的原则和要求。处理个人信息不仅要满足合法、正当、必要,还要有明确、合理的目的,同时必须采取对个人权益影响最小的方式,限于实现处理目的的最小范围,遵循公开、透明的原则,保证个人信息的准确、完整性,并采取必要措施保障个人信息的安全。作为个人信息处理活动最基本的要求,这些原则贯穿于个人信息的收集、存储、使用、加工、传输、提供、公开、删除等各个处理环节,在疑难情况或没有具体规定时也都应当符合原则的要求,任何组织、个人都不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。 第2に、個人情報保護法は、個人情報の取り扱いについて遵守すべき原則と要件を定めています。個人情報の取り扱いは、合法性、正当性、必要性を満たすだけでなく、明確で合理的な目的を持っていなければなりません。同時に、個人の権利や利益への影響が最も少ない方法で行われ、取り扱いの目的を達成するために最小限の範囲に限定され、公開性と透明性の原則に従い、個人情報の正確性と完全性を確保し、個人情報の安全性を守るために必要な措置を講じなければなりません。この原則は、個人情報取扱活動の最も基本的な要件として、個人情報の収集、保管、使用、処理、送信、提供、開示、削除などのすべての処理局面に適用され、困難な場合や具体的な規制がない場合にも原則の要件を遵守しなければならず、いかなる組織または個人も、他人の個人情報を違法に売買、提供、開示してはならず、いかなる組織または個人も、国家の安全または公共の利益を危険にさらす個人情報取扱活動を行ってはならないものとします。
第三,个人信息保护法制定了个人信息处理的规则。原则为个人信息的处理活动提供了方向,规则则让个人信息的具体处理活动有更具体的依据。 第3に、個人情報保護法では、個人情報の取り扱いについてのルールを定めています。原則は個人情報の取り扱いの方向性を示すものですが、規則はより具体的な個人情報の取り扱いの根拠となるものです。
首先是处理个人信息的合法性基础。个人信息保护法对“知情—同意规则”提出了明确要求。必须要保证个人的知情权,明确在处理个人信息前,个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地将个人信息处理的目的、处理方式等相关事项告知个人,个人在充分知情的前提下自愿、明确作出同意。个人还有权随时撤回其同意,并且不影响撤回前基于个人同意已进行的个人信息处理活动的效力,个人信息处理者不得以个人不同意或者撤回同意为由拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。而基于“知情—同意规则”处理敏感个人信息的,除了需要个人的单独同意,在告知环节还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。 まず、個人情報の処理が合法であることの根拠です。個人情報保護法では、「通知ー同意原則」の明確な要件が定められています。個人の情報を得る権利は保証されなければならず、個人情報の処理者は、個人情報を処理する前に、個人情報の処理の目的、処理の方法、その他の関連事項について、真実、正確かつ完全な方法で、著名な方法で、明確かつ理解しやすい言語で本人に通知しなければならず、本人は十分な説明を受けたことを前提に、自発的かつ明示的に同意しなければならないことが明らかになっています。また、本人はいつでも同意を撤回する権利を有し、このことは、撤回前の本人の同意に基づいて行われた個人情報取扱活動の有効性に影響を与えるものではなく、個人情報の処理者は、個人情報の処理が製品またはサービスの提供に必要である場合を除き、本人の同意の欠如または同意の撤回に基づいて、製品またはサービスの提供を拒否することはできません。センシティブな個人情報の処理が「インフォームド・コンセント・ルール」に基づいて行われる場合、個人の個別の同意に加えて、センシティブな個人情報の処理の必要性および個人の権利と利益への影響について、通知プロセスにおいて個人に通知するものとします。
处理个人信息的合法基础除了个人的同意外,还有可能是其他原因,个人信息保护法第十三条规定:符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。除同意以外的其他合法性基础还需要考虑特定情形,符合处理个人信息的基本原则,并采取对个人权益影响最小的方式,严格限制对个人信息的滥用。其中,以“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”为企业需要处理员工的个人信息的情形提供了法律依据。因为劳动关系中从属性的存在,员工的“同意”往往难以被认定为是自由作出,使得企业处理员工个人信息困难重重,以“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为合法基础为企业处理信息预留空间的同时又有着较强的限定,可以避免企业对正当利益合法基础的滥用,也体现了个人信息保护法严格的规制目标。 個人情報保護法第13条では、個人情報の処理者は、次のいずれかの状況を満たす場合に限り、個人情報を取り扱うことができると規定されています。(1) 本人の同意が得られている場合、(2) 本人が当事者である契約の締結または履行のために必要である、または法律で定められた労働規則および法律で締結された労働協約に従った人事管理の実施のために必要である場合。(3) 法律上の義務または法的義務の履行のために必要な場合 (4) 公衆衛生上の緊急事態に対応するため、または緊急事態において自然人の生命、健康、財産を保護するために必要な場合 (5) 公益のための報道や世論の監視を実施するために合理的な範囲内で必要な場合 (6) 本人が自ら開示した個人情報や、その他の合法的に開示された個人情報を、本法の規定に従って合理的な範囲で取り扱う場合 (7) その他、法律や行政法規で定められた場合。また、同意以外の合法性の根拠として、具体的な状況を考慮し、個人情報取り扱いの基本原則を遵守し、個人の権利・利益への影響が最も少なく、個人情報の乱用を厳しく制限する方法を採用することが求められます。この点、従業員の個人情報を取り扱う法的根拠は、「法律で定められた労働規則や労働協約に従って人事管理を行うために必要である」というものです。労使関係には従属関係が存在するため、従業員の「同意」が自由に与えられたものであると判断することは困難な場合が多く、企業が従業員の個人情報を取り扱うことは困難です。労働規則および法律に基づいて締結された労働協約に基づく人事管理の実施のために必要」という合法的な根拠は、企業が情報を取り扱う余地を残すと同時に、強い制限を設けており、企業が正当な利益という合法的な根拠を濫用することを防ぐことができ、個人情報保護法の厳格な規制目的を反映しています。
其次,个人信息保护法规定利用个人信息进行自动化决策,不仅要保证决策的透明度和结果的公平、公正,还要求不得对个人在交易价格等交易条件上实行不合理的差别待遇,明确否定了“大数据杀熟”等现象。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。如果利用自动化决策方式进行信息推送、商业营销,还应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式,比如提供关闭个性化推荐的选项。 次に、個人情報保護法では、個人情報を用いた自動意思決定について、意思決定の透明性や結果の公正・公平性を確保するだけでなく、取引価格などの取引条件に不合理な差が生じないことを求めており、「ビッグデータにするのに協力した人を裏切る」のような現象を明確に否定しています。個人は、自分の権利や利益に影響を与える決定が自動化された意思決定によって行われる場合に、個人情報の処理者に説明を求める権利、および個人情報の処理者が自動化された意思決定のみを行うことを拒否する権利を有します。自動化された意思決定方法が情報の押し売りや商業的なマーケティングのために使用される場合は、個人的な特徴を対象としない選択肢を伴っているか、あるいは、個人化された推奨事項をオフにするオプションを提供するなどして、個人に拒否する方法を提供する必要があります。
个人信息保护法还规定了个人信息跨境提供的合法性基础,包括通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同并约定双方的权利和义务等,并且规定了中华人民共和国缔结或者参加的国际条约、协定也可以作为合法基础。但同时还需要注意个人信息跨境提供,个人信息处理者应当保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 また、個人情報保護法では、個人情報を国境を越えて提供する際の合法的な根拠として、国家インターネット情報部門が主催するセキュリティ評価に合格すること、国家インターネット情報部門の規定に基づいて個人情報保護の専門機関から認定を受けること、国家インターネット情報部門が策定した標準契約書に基づいて海外の受信者と契約を締結し、双方の権利と義務について合意することなどを規定しており、中華人民共和国が締結した、または中華人民共和国が加盟している国際条約・協定を規定しています。また、中華人民共和国が加盟している条約や協定も法的根拠となる場合があります。しかし、個人情報の国境を越えた提供にも注意を払う必要があり、個人情報の処理者は、海外の受取人の個人情報を扱う活動が、この法律で定められた個人情報保護基準を満たすようにしなければなりません。
第四,个人信息保护法明确了个人信息处理活动过程中的权利和义务。赋予了个人在个人信息处理活动中的权利,包括查阅复制权、可携带权、更正补充权、删除权、解释说明权等权利。其中,可携带权是指当个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。删除权的行使则需要在保存期限届满、出现违法违约等情况且个人信息处理者没有主动删除的情况下,个人才有权请求删除。 第4に、個人情報保護法は、個人情報の処理活動の過程における権利と義務を明確にしています。個人情報の処理活動の過程で個人に与えられる権利には、閲覧と複写の権利、ポータビリティーの権利、修正と補足の権利、削除の権利、説明と解明の権利などがあります。中でもポータビリティーの権利とは、個人が自分の指定する個人情報取扱者に個人情報の移転を要求した場合、国家インターネット情報局が定める条件を満たしていれば、個人情報取扱者は移転の手段を提供しなければならないというものです。一方、削除権の行使は、保存期間が過ぎた場合、法令違反などがあった場合、個人情報取扱者が率先して削除しなかった場合に限り、本人が削除を要求する権利を有することが必要です。
与个人权利相对应的是个人信息处理者的义务,个人信息保护法中对个人信息处理者的职责和义务提出了严格的要求,应当根据具体的处理情形采取必要的措施,并在涉及敏感个人信息、自动化决策等情形时还需在事前进行个人信息保护影响评估,如果处理个人信息数量达到国家网信部门规定数量的,还应当指定个人信息保护负责人。发生或可能发生个人信息泄露、篡改、丢失时,个人信息处理者应当立即采取补救措施,并将相关情况通知履行个人信息保护职责的部门和个人。同时,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者还应履行更高水平的保护义务。 個人の権利とは対照的に、個人情報取扱者の義務は、個人情報保護法は個人情報取扱者の義務について厳格な要求を提示しており、個人情報取扱者は具体的な取扱状況に応じて必要な措置を講じなければならず、機密性の高い個人情報、自動化された意思決定などの場合には、事前に個人情報保護影響評価を行う必要があり、取扱う個人情報の量が国家サイバー情報部門の規定する量に達した場合には、個人情報保護影響評価を行わなけばならず、取扱う個人情報の量が省のインターネット情報部門が定める量に達した場合は、個人情報保護の担当者も指定しなければなりません。個人情報を取り扱う者は、個人情報の漏えい、改ざん、紛失が発生した場合、または発生するおそれがある場合には、直ちに是正措置を講じるとともに、個人情報保護義務を負う部署および個人に当該状況を通知します。同時に、重要なインターネットプラットフォームサービスを提供し、多数のユーザーを抱え、複雑な事業形態を持つ個人情報取扱者も、より高いレベルの保護義務を果たさなければなりません。
第五,个人信息保护法规定了履行个人信息保护职责部门的职责。国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。履行个人信息保护职责的部门需要接受、处理与个人信息保护有关的投诉、举报,并调查、处理违法个人信息处理活动。对于个人信息处理活动有任何疑问的任何组织、个人都有权向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。 第5に、個人情報保護法では、個人情報保護業務を行う部門の責任を規定しています。省のインターネット情報部門は、個人情報の保護と関連する監督・管理の調整に責任を負っています。個人情報保護業務を行う部門は、個人情報保護に関する苦情や報告を受けて処理し、違法な個人情報取扱活動を調査して対処することが求められます。個人情報の取り扱いに疑問を感じた組織や個人は、個人情報保護の業務を行っている部署に苦情や報告をする権利があります。苦情や報告を受けた部門は、法律に基づいてタイムリーに対処し、苦情や報告の結果を苦情者や報告者に知らせます。
第六,个人信息保护法规定了相关法律责任。个人信息保护法第五十四条规定,个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。这表明在未来对企业的合规审计将会成为常态,不仅是事后对违法的个人信息处理活动进行调查处理,更重要的是事前的预防机制,从源头阻止个人信息被侵害的情形发生。而一旦发生侵害个人信息的行为,将对个人信息处理者实行过错推定原则,不能证明自己没有过错的就应当承担损害赔偿等侵权责任,这在很大程度上减轻了个人维权的难度,也给个人信息处理者的合规审计带来了压力和动力。如果侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织还可以依法向人民法院提起公益诉讼。 第6に、個人情報保護法では、関連する法的責任を規定しています。個人情報保護法第54条では、個人情報取扱者は、個人情報取扱活動が法令及び行政規則に適合しているかどうかについて、定期的にコンプライアンス監査を実施しなければならないと規定されています。これは、違法な個人情報取扱活動を調査して事後的に対処するだけでなく、より重要なのは、個人情報が侵害される事態を元から食い止めるための事前の予防的メカニズムとして、コンプライアンス監査が今後主流になることを示しています。個人情報が侵害された場合、個人情報取扱者には過失推定の原則が適用され、過失がないことを証明できない者は損害賠償などの不法行為責任を負うことになり、個人の権利擁護の難易度が大きく下がるとともに、個人情報取扱者のコンプライアンス監査にプレッシャーとモチベーションがもたらされることになります。また、多数の個人の権利・利益が侵害された場合、人民委員会、法律で定められた消費者団体、国家インターネット情報部門が決定した組織は、法律に基づいて人民裁判所に公益訴訟を提起することができます。
综合而言,我国的个人信息保护法对相关制度进行了全方位的规定,体现了我国政府维护公民基本权益的决心,为个人信息的规范化收集与利用提供了保障。随着几个月后个人信息保护法的生效实施,这一数字时代的基本法也必将为我国数字社会治理与数字经济发展注入更为强大的动力。(作者:丁晓东,中国人民大学未来法治研究院副院长) このように、個人情報保護法は、国民の基本的な権利と利益を保護し、個人情報の収集と利用を規制するという政府の決意を反映して、関連するシステムを包括的に提供しています。個人情報保護法の施行を数ヶ月後に控え、このデジタル時代の基本法が、中国のデジタル社会の統治とデジタル経済の発展に、より強い推進力を与えることは間違ありません。(著者:丁暁東(中国人民大学法治未来研究所副所長)
********** **********
专家解读|吸收接轨国际立法 探索开创中国路径 専門家の解釈|国際的な法律を導入し、中国の道を探る
——读《中华人民共和国个人信息保护法》 「中華人民共和国個人情報保護法」を読み解く
2021年8月20日,广受中外关注的《中华人民共和国个人信息保护法》由十三届全国人大常委会第三十次会议正式通过,这翻开了我国个人信息立法保护的历史新篇章,也是全球个人信息法治发展的重大里程碑。 2021年8月20日、中国内外で広く注目されている「中華人民共和国個人情報保護法」が、第13期全国人民代表大会(NPC)常務委員会第30回会議で正式に採択され、中国における個人情報の立法・保護の歴史に新たな章が開かれるとともに、世界における個人情報の法治の発展にも大きな一石を投じました。
就个人信息保护法出台的时代背景而言,有着丰富的国际国内蕴涵:一方面,随着数字经济的蓬勃发展,世界各国日益重视个人信息的多重价值属性,纷纷出台个人信息保护的专门立法。从欧盟《一般数据保护条例》、美国《加州消费者隐私保护法案》到日本、韩国、巴西、印度乃至阿联酋等国新近出台的诸多法律文件,无不透射出个人信息保护的重要战略意义,可以说个人信息法律保护已经成为衡量一国法治文明和法治水平的重要指针。 個人情報保護法が導入された背景には、国際的にも国内的にも豊かな意味合いがあります。一方では、デジタル経済の旺盛な発展に伴い、世界各国が個人情報の多面的な価値属性を重視するようになり、個人情報保護のための特別な法律が導入されています。欧州連合の一般データ保護規則や米国のカリフォルニア州消費者プライバシー保護法から、日本、韓国、ブラジル、インド、さらにはアラブ首長国連邦で発行された多くの新しい法律文書に至るまで、すべてが個人情報保護の戦略的重要性を反映しており、個人情報の法的保護は、その国の法治と文明のレベルを測る重要な指針となっていると言えます。
另一方面,当下我国正处于全面数字化转型的高质量发展新阶段,在新技术新应用层出不穷的生态语境下,个人信息的处理已经成为社会进步和产业升级新的驱动力,而广大民众对于加大个人信息保护力度也有着空前的关切和期待,可以说个人信息保护法的制定颁布是保障公民个人信息权益、促进个人信息合理利用的必然举措。 一方、中国は現在、包括的なデジタルトランスフォーメーションの高品質な発展の新たな段階にあり、新技術とアプリケーションの生態的な文脈の中で、個人情報の取り扱いが社会の進歩と産業のアップグレードの新たな原動力となっており、一般の人々は個人情報の保護の強化に対してかつてないほどの懸念と期待を抱いています。個人情報保護法の制定は、国民の個人情報の権利・利益を保護し、個人情報の合理的な利用を促進するための必然的な措置です。
个人信息保护法全文以总计8章74条的篇幅,在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等多个层面设计和建构个人信息保护的立法框架,在条文内容上反映了立法者吸收接轨国际立法、探索开创中国路径的制度努力,特别是在规范设计上呈现了众多亮点: 個人情報保護法の全文は8章74条で構成され、総則、個人情報の取り扱いに関する規定、個人情報の国境を越えた提供に関する規定、個人情報の取り扱い活動における個人の権利、個人情報取扱者の義務、個人情報保護の責任部署、法的責任、付則など、さまざまなレベルで個人情報保護の法的枠組みを設計・構築しています。規定の内容については、国際的な法律を取り入れ、中国の道を探ろうとする立法者の努力が反映されており、特に規定のデザインについては、数多くの見どころがあります。
第一,个人信息保护法以“告知—同意”机制为核心逻辑建构覆盖个人信息处理全生命周期的规则框架,强化保障自然人的自主权利,同时注重与其他重要利益包括国家安全以及公共利益等的平衡协调,例如针对各类不同的具体场景设定告知或者同意的例外规则。 第1に、個人情報保護法は、「通知ー同意」メカニズムを中核論理として、個人情報処理のライフサイクル全体をカバーするルールの枠組みを構築し、自然人の自律的な権利の保護を強化するとともに、国家安全保障や公共の利益など、他の重要な利益とのバランスや調整を重視しています。例えば、通知や同意に関する規則の例外は、様々な特定のシナリオのために設定されています。
尤其是个人信息保护法从个人信息处理的一般规则到敏感个人信息处理的特殊规则,乃至个人信息跨境提供的单独规则设定,无不反映了立法者对于个人权益的着重保护,以及对于各利益相关方多样诉求的兼容权衡,并通过系统的个人权利内容以及个人信息处理者义务相关规定予以全面的细化落实,切实贯彻保护个人信息权益与促进个人信息合理利用的双重立法目的。 特に、個人情報保護法は、個人情報の取り扱いに関する一般的な規定から、機微な個人情報の取り扱いに関する特別な規定、さらには個人情報の国境を越えた提供に関する個別の規定まで、個人の権利と利益の保護、および様々な利害関係者の多様な要求の両立とバランスを重視する立法者の姿勢を反映しており、個人の権利と個人情報取扱者の義務を体系的な内容で包括的に詳述しています。また、同法は、個人の権利・利益の保護および個人情報の合理的な利用の促進についても規定しています。
第二,个人信息保护法通过明确规定履行个人信息保护职责的部门的权限分工进一步提升个人信息权益的保护水平。从国家网信部门、国务院有关部门到县级以上地方人民政府有关部门的职责内容与执法方式等细化规定都将有力推动个人信息处理活动监管机制的革新完善。 第2に、個人情報保護法では、個人情報保護業務を行う部門の能力分担を明確にすることで、個人情報の権利・利益の保護水準をさらに高めています。国家インターネット情報部、国務院の関連部門から県レベル以上の地方人民政府の関連部門まで、関連部門の義務内容と執行方法を詳細に規定することで、個人情報取扱活動の規制メカニズムの革新と改善を強力に推進する。
在职责内容上,个人信息保护法明确赋予履行个人信息保护职责的部门接受、处理与个人信息保护有关的投诉、举报以及调查、处理违法个人信息处理活动等执法权限,同时在执法方式上,个人信息保护法明文规定履行个人信息保护职责的部门可以采取询问、调查、查阅、复制、现场调查以及查封、扣押等措施,两者共同保障个人信息处理活动的法治化、机制化监管。 責任の内容については、個人情報保護法は、個人情報保護業務を行う部門に、個人情報保護に関する苦情や報告の受付や処理、違法な個人情報取扱活動の調査や処理、その他の法執行権限を明確に付与しています。また、個人情報保護法では、個人情報保護を担当する部署が、照会、調査、閲覧、複写、立入調査、押収・拘禁などの措置を取ることができることが明示されており、これらの措置により、法の支配と個人情報取扱活動の制度的な監視が保証されています。
第三,个人信息保护法注重发挥国家、社会、企业和个人等不同主体的协同作用,打造个人信息保护领域的多方共享共治模式。个人信息保护法特别强调国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织和社会公众共同参与个人信息保护的良好环境,为促进个人信息合理利用奠定坚实的、可持续的生态基础。 第3に、個人情報保護法は、国家、社会、企業、個人などの異なる主体の相乗効果に着目し、個人情報保護分野における多者間の共有ガバナンスモデルを構築しています。特に、「個人情報保護法」では、個人情報保護のための健全なシステムの構築、個人情報の権利・利益の侵害の防止と処罰、個人情報保護に関する広報・教育の強化、政府・企業・関連業界団体・国民が共同で個人情報保護に参加するための良好な環境の形成を促進し、個人情報の合理的な利用を促進するための強固で持続可能な生態基盤を構築することを重視しています。
更进一步而言,个人信息保护法还对当下我国民众的诸多现实关切做出了及时、有效的回应,提出了具有鲜明时代印记与中国特色的规则安排: また、個人情報保護法は、中国国民の現在の関心事の多くにタイムリーかつ効果的に対応しており、現代的な特徴と中国的な特徴を備えた規則や取り決めを提案しています。
其一,针对目前多发的个人信息泄露事件,个人信息保护法明确规定个人信息处理者的义务规则,要求其立即采取补救措施,并且面向履行个人信息保护职责的部门和个人通知个人信息泄露的原因、丢失的个人信息种类和可能造成的危害、已采取的补救措施以及个人可以采取的减轻危害的措施等重要事项。 (1) 個人情報保護法では、個人情報が頻繁に流出する現状に対応して、個人情報を取り扱う者の義務を明確に規定し、個人情報が流出した理由、流出した個人情報の種類と考えられる被害、講じた改善策と個人が取ることのできる被害軽減策などを、速やかに改善策を講じて、個人情報保護義務を負う部署や個人に通知することを義務づけています。重要な事項です。
其二,针对日益普遍的自动化决策应用,个人信息保护法明确要求保证决策的透明度和结果公平、公正,并赋予个人相关的知情权和拒绝权,特别是在通过自动化决策方式向个人进行信息推送、商业营销的应用场景中,有权同时获得不针对其个人特征的选项或者拒绝的途径。 (2) 自動化された意思決定の適用がますます一般的になっていることに対応して、個人情報保護法では、意思決定の透明性と結果の公正性・公平性が確保されること、また、個人に情報提供や拒否のための関連する権利が付与されることが明示されています。特に、自動化された意思決定や商業マーケティングの手段で個人に情報が押し付けられる適用場面では、個人の特性を対象としない選択肢と拒否する手段の両方が与えられる。
其三,针对广泛存在的已公开个人信息的利用问题,个人信息保护法专门规定个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,而个人对此有权明确拒绝,并且如果个人信息处理者处理已公开的个人信息对个人权益有重大影响的,仍然应当依法取得个人同意。 (3) 公開された個人情報の利用が広く問題となっていることを受けて、個人情報保護法では、個人情報取扱者は、合理的な範囲内で、本人が自ら公開した個人情報または適法に開示された個人情報を取り扱うことができること、個人はこれを明示的に拒否する権利を有すること、個人情報取扱者による公開された個人情報の取り扱いが本人の権利利益に重大な影響を与える場合には、本人の の同意を得ています。
“潮平两岸阔,风正一帆悬。”可以期待,在个人信息保护法科学、系统、全面的顶层设计之下,后续随着监管执法举措的不懈推进、司法裁判规则的不断丰富、多方参与共治的持续培育以及国际交流合作的深入开展,置身代码世界的广大人民群众将长久拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态。(作者:吴沈括 北京师范大学网络法治国际中心执行主任、博导,中国互联网协会研究中心副主任) 「潮は平たく、風は正しく、帆もはっている」。個人情報保護法の科学的、体系的、包括的なトップレベルの設計の下で、その後の規制・法執行措置の絶え間ない推進、司法規則の継続的な充実、複数の当事者の共通統治への参加の継続的な育成、国際交流・協力の深化により、コード世界の一般市民は、個人情報の正当な権利と利益が保護され、個人情報取扱活動が規制され、個人情報の合理的な利用が促進されるデジタル統治の新しい生態を長く受け入れることになると期待できます。個人情報の正当な権利と利益が保護され、個人情報の処理が規制され、個人情報の合理的な利用が促進される、デジタルガバナンスの新しい生態です。(筆者:北京師範大学インターネット法治国際センター事務局長、中国インターネット協会研究センター副所長 呉神国(ウー・シェングオ)氏)
********** **********
专家解读|个人信息保护法解决广大人民群众最关心最直接最现实的利益问题 専門家の解釈|個人情報保護法は、一般市民の最も直接的で現実的な利益に対応しています。
2021年8月20日,个人信息保护法审议出台,将于2021年11月1日起施行。国家层面对个人信息保护问题作出重大基础性法律制度安排。2016年11月审议通过的网络安全法在“网络信息安全”一章中对个人信息保护问题进行了规定,明确了个人信息保护的主要原则和基本规则。网络安全法对于推动个人信息保护法治进程发挥了重要作用。同时,随着信息通信技术快速发展迭代,个人信息保护问题的复杂性、紧迫性、专业性进一步凸显,有必要制定统一的、专门的个人信息保护立法。 2021年8月20日に「個人情報保護法」が審議・施行され、11月1日に施行されます。国レベルでは、個人情報保護のための重要かつ基本的な法的整備が行われており、2016年11月に成立したネットワークセキュリティ法では、「ネットワーク情報セキュリティ」の章で個人情報保護を規定し、個人情報保護の大原則と基本ルールを明記しています。ネットワークセキュリティ法は、個人情報保護のための法の支配のプロセスを促進する上で、重要な役割を果たしています。同時に、情報通信技術の急速な発展と反復に伴い、個人情報保護問題の複雑性、緊急性、専門性がさらに強調されており、統一的で専門的な個人情報保護法を策定する必要があります。
个人信息保护已经成为广大人民群众最关心最直接最现实的利益问题之一。截至2020年12月,我国网民规模达9.89亿,较2020年3月增长8540万,互联网普及率达70.4%。随着“互联网+”深度融合和数字经济快速发展,线下活动逐渐向线上转移融合,消费互联网广泛改变人们的生活方式,互联网深刻改变人们的工作方式,网络已经与人们的生产生活密不可分。现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众财产安全和生命健康等问题仍十分突出。日常生活中,随意收集个人信息的场景十分常见,免费领取的气球小玩具要求扫码关注获取个人信息,商场停车要求微信公众号注册缴纳停车费,餐厅点餐需要扫码下单获取不必要个人信息等等。人们对此司空见惯却又颇具无奈。个人信息频繁被收集使用,个人生活安宁被不断侵扰,用户合法权益得不到切实保障,甚至滋生长链条的黑色产业。个人信息保护法的出台有效回应了这些不规范、不合法的问题。总体来看,个人信息保护法对个人信息保护问题作出了全面性、基础性的规定,能够有效实现个人信息保护法治环境。具体来看,主要包括六个方面内容。 個人情報の保護は、一般の人々にとって最も直接的で現実的な関心事の一つとなっています。2020年12月時点で、中国のインターネットユーザー数は9億8900万人に達し、2020年3月から8540万人増加し、インターネット普及率は70.4%に達しています。Internet+」の深い統合とデジタル経済の急速な発展に伴い、オフラインの活動は徐々にオンラインの統合へと移行し、消費者向けのインターネットは人々のライフスタイルを広く変え、インターネットは人々の仕事のやり方を深く変え、インターネットは人々の生産や生活と切り離せないものになっています。現実には、一部の企業、機関、さらには個人が、商業的な利益などから、個人情報を恣意的に収集し、不正に取得し、過度に利用し、不正に取引し、個人情報を利用して人々の生活の平穏を乱し、人々の財産の安全や生命・健康を危険にさらすなどの問題が依然として非常に顕著です。日常生活の中では、無料の風船玩具にコードを入力して個人情報を取得したり、ショッピングモールの駐車場でWeChatの公開番号を登録して駐車料金を支払ったり、レストランで料理を注文する際にコードを入力して不要な個人情報を取得するなど、恣意的に個人情報が収集されることがよくあります。人々は慣れているのに、無力感に苛まれています。個人情報が頻繁に収集・利用され、個人の心の平穏が常に乱され、利用者の正当な権利・利益が効果的に保護されず、闇の産業の長い連鎖さえも成長しています。個人情報保護法の導入は、これらの不正・違法行為に効果的に対応しています。全体として、個人情報保護法は、個人情報の保護に関する包括的かつ基本的な規制を提供し、個人情報保護のための法治環境を効果的に実現することができます。具体的には、6つの主要な側面を含んでいます。
一是明确了个人信息保护的调整范围。个人信息保护法第四条第一款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。网络安全法、民法典等对“个人信息”均有界定,基本以“识别说”为基础,采取的都是概括+列举的表述方式。个人信息保护法作为专门的个人信息保护法律,在定义方式上有明显的不同,兼具了“识别说”和“关联说”,很大程度上反映了个人信息保护的专业性、动态性,结合个人信息处理主体多样、处理活动复杂、个人信息类型易变的现实发展情况,通过内涵和外延较为宽泛的定义方式,最大程度地保证了个人信息保护法能够广泛适用和稳定适用。与此同时,第四条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。数据作为新型生产要素,价值化释放是数据活动的主要目的之一。个人信息在当前发展阶段是价值极为丰富的数据类型,其价值化释放需求十分强烈,而可能伴随的个人信息权益侵害也贯穿于数据处理活动的全生命周期。个人信息保护法通过立法技巧,将有关个人信息活动统一为“处理”活动,以保证全法条文的有效覆盖。相比于欧盟的《通用数据保护条例》(GDPR)所规定的数据控制者(Data Controller)和数据处理者(Data Processor),个人信息保护法仅用“个人信息处理者”一个概念表述,从比较法角度存在差异理解问题,但个人信息保护法通过委托处理(第二十一条)和转移处理(第二十三条)两种方式的规定,实际上充分考虑了以“数据控制者”和“数据处理者”为理解背景的场景适用。从周延性的角度来说,并无实质不同。对于类型多样的个人信息处理者而言,这是理解个人信息保护法适用的关键问题之一。 I. 個人情報保護の調整範囲の明確化。個人情報保護法第4条第1項では、「個人情報とは、電子的方法その他の方法により記録された、特定または識別可能な自然人に関するあらゆる種類の情報であって、匿名化処理後のものを除く」と規定されています。「個人情報」という言葉は、ネットワークセキュリティ法や民法などで定義されていますが、基本的には「識別情報理論」に基づいており、一般的かつ列挙的に表現されています。個人情報保護法は、個人情報保護のための特別法として、個人情報保護の専門性と動的性質を大きく反映し、個人情報を取り扱う主体の多様性、取り扱い行為の複雑性、個人情報が様々な関係者によって取り扱われていることなどを考慮して、「同一性理論」と「関連性理論」を組み合わせて、その定義を大きく変えています。個人情報を取り扱う主体の多様性、処理活動の複雑性、個人情報の種類の多様性に鑑み、個人情報保護法が可能な限り広く安定的に適用されるように、より広い意味合いの定義と拡張子を採用しています。同時に、第4条第2項では、個人情報の処理には、個人情報の収集、保管、使用、処理、送信、提供、開示、削除が含まれると規定されています。新しいタイプの生産要素として、価値化の解除はデータ活動の主な目的の一つです。個人情報は、現段階では非常に価値のあるデータの一種であり、その価値を解き放つ必要性は非常に高く、それに伴う個人情報の権利や利益の侵害の可能性も、データ処理活動のライフサイクル全体に及んでいます。個人情報保護法では、立法技術により、個人情報に関わる活動を「処理」活動として統一し、法全体を効果的にカバーできるようにしています。EUの一般データ保護規則(GDPR)がデータコントローラーとデータプロセッサーを規定しているのに対し、個人情報保護法では「個人情報プロセッサー」という概念しか使われておらず、比較法の観点から理解が異なっています。しかし、個人情報保護法では、委託処理(第21条)と移転処理(第23条)の両方を規定することで、実際には「データ管理者」と「データ処理者」の適用を理解の文脈として考慮しています。外周から見ると、大きな違いはありません。これは、多様なタイプの個人データ処理者への個人データ保護法の適用を理解する上で、重要な問題の一つです。
二是明确了个人信息处理的基本规则。首先,个人信息保护法首次在国内法中规定了个人信息处理的合法性基础(第十三条),包括用户同意、订立合同所必需、人力资源管理所必需、履行法定职责/义务、紧急保护、新闻报道或者舆论监督、合理处理公开信息等多项合法性基础。对于个人信息处理者而言,在以往仅有用户同意这种唯一的合法性基础之上,丰富了可以合法处理个人信息的途径,既考虑了个人信息处理活动的合理实践,也借鉴了成熟的国外立法经验。同时,个人信息保护法也妥当地处理了同法条文的衔接,根据第十三条第二款规定,依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。这充分体现了个人信息处理活动的复杂性、多场景性,明确了除“用户同意”以外合法处理个人信息的情形遵守其他条款的规则,保证了立法的科学性和严密性。其次,个人信息保护法对通过自动化决策方式处理个人信息作出了规定,回应了广为关注的信息茧房和大数据杀熟问题。个人信息保护法要求“利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正”(第二十四条第一款)。针对信息茧房问题,个人信息保护法赋予了用户拒绝的权利,规定“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”(第二十四条第二款);针对大数据杀熟问题,规定“不得对个人在交易价格等交易条件上实行不合理的差别待遇”(第二十四条第一款)。实际上,在反垄断法框架下,大数据杀熟是一种滥用市场支配地位的行为,反垄断法已有类似的规定。个人信息保护法对此作出规定,既能在反垄断规制以外提供新的保护路径,也能从个人信息收集、使用的底层逻辑上应对大数据杀熟问题。无论是信息茧房问题还是大数据杀熟,个人信息处理活动发挥着最基础的支撑作用,离开个人信息数据处理,信息茧房和大数据杀熟都很难实现。通过对个人信息处理活动的有效规制,能够对解决类似问题起到釜底抽薪的根本性作用。再次,明确了对公共场所视频监控活动的规则。个人信息保护法第二十六条要求“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”出于保护公共安全的必要,公共场所设置摄像等设备越来越普及,也发挥了实际的效果。然而,有些摄像等设备的设置超出了维护公共安全的目的,甚至是为了私益。个人信息保护法通过该条作出了原则性规定,为后续规范相关活动提供了法律依据。最后,首次明确了处理已公开个人信息的规则。根据个人信息保护法第十三条的规定,“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”属于合法性基础之一。第二十七条对已公开的个人信息处理进行规定,明确可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但是个人明确拒绝的除外。同时,处理已公开的个人信息对个人权益有重大影响的,还应当依照本法规定取得个人同意。 II. 個人情報の取り扱いに関する基本規則の明確化。まず、個人情報保護法では初めて、国内法における個人情報の取り扱いの適法性根拠を規定しており(第13条)、利用者の同意、契約に必要、人事管理に必要、法律上の義務・責務の履行、緊急時の保護、報道や世論の監視、公共情報の合理的な取り扱いなど、いくつかの適法性根拠が含まれています。個人情報取扱者については、従来の利用者の同意のみを適法性の根拠としていたものに加え、個人情報取扱事業者の合理的な慣行や成熟した諸外国の法制度の経験を踏まえ、個人情報の適法な取扱方法を充実させました。同時に、個人情報保護法では、第13条第2項で、「この法律の他の関連規定に従い、個人情報の処理については本人の同意を得なければならないが、前項第2項から第7項までに定める場合には、本人の同意を必要としない」と規定しており、同法の規定の収束についても適切に対応しています。これは、個人情報取扱活動の複雑さとマルチシナリオの性質を完全に反映しており、個人情報の合法的な処理のための「利用者の同意」以外の状況は、他の規定の規則に準拠することを明確にし、法律の科学的かつ厳格な性質を確保しています。次に、個人情報保護法では、「情報の繭」や「ビッグデータにするのに協力した人を裏切る」に対する懸念が広がっていることに対応して、自動化された意思決定方法による個人情報の処理を規定しています。個人情報保護法では、「自動化された意思決定のために個人情報を利用する場合には、意思決定の透明性及び結果の公正性・公平性を確保しなければならない」と定められています(第24条1項)。情報の繭の問題に対処するため、個人情報保護法では、「自動意思決定による個人への情報の押し売りや商業マーケティングは、個人の特性を対象としない選択肢を伴うか、または個人に便利な拒否方法を提供しなければならない」と規定し、ユーザーに拒否権を与えている(第24条2項)。取引価格その他の取引条件について、個人に対して不合理な差別的取扱いをしてはならない」と規定されている(第24条第1項)。実際、独占禁止法の枠内では、「ビッグデータにするのに協力した人を裏切る」は一種の市場支配的地位の濫用であり、独占禁止法にも同様の規定が設けられています。個人情報保護法はこれを規定しており、独占禁止法の規制外の新たな保護の道を提供するだけでなく、個人情報の収集と利用の根本的な論理からビッグデータが波及する問題にも対応しています。「情報の繭」の問題にしても、「ビッグデータにするのに協力した人を裏切る」問題にしても、個人情報取扱活動は最も基本的なサポートの役割を果たしており、個人情報のデータ処理がなければ、「情報の繭」と「ビッグデータにするのに協力した人を裏切る」の両方を実現することは困難です。個人の情報処理活動を効果的に規制することで、同様の問題を解決するための基本的な役割を果たすことができます。今回も、公共の場での映像監視活動のルールが明確化されています。個人情報保護法第26条では、「公共の場所に画像収集装置および個人識別装置を設置する場合は、公共の安全を維持するために必要であり、関連する国の規制に準拠し、顕著な注意喚起の標識を設置しなければならない。収集された個人画像および識別情報は、公共の安全を維持する目的でのみ使用され、本人の個別の同意が得られている場合を除き、他の目的では使用されません」。公共の安全を守る必要性から、公共の場にカメラなどの機器を設置することが普及し、実際に効果を上げています。しかし、カメラのような機器は、治安維持の目的を超えて、私的な利益のために設置されることもあります。この条文により、個人情報保護法は原則的な規定を行い、その後の関連活動の規制に法的根拠を与えています。最後に、公開された個人情報の取り扱いに関するルールが初めて明確にされました。個人情報保護法第13条によれば、「個人が自発的に開示した個人情報その他この法律の規定に基づき合理的な範囲で適法に開示された個人情報の取扱い」が適法性の根拠の一つとされています。第27条では、開示された個人情報の取り扱いについて規定し、本人が開示した個人情報または本人が適法に開示した個人情報については、本人が明示的に拒否しない限り、合理的な範囲内で取り扱うことができると定めています。同時に、開示された個人情報の処理が本人の権利・利益に重大な影響を与える場合には、本法の規定に従い、本人の同意も得なければならないとされています。
三是对个人在个人信息处理活动中的权利进行了充分规定。个人对其个人信息所享有的权利是个人参与个人信息保护的重要手段之一,体现了个人信息多元治理思路。参考以GDPR为代表的国外个人信息保护立法,赋予个人的权利种类基本一致。个人信息保护法进行了科学、充分的立法借鉴。通过原则性条款明确了个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理(第四十四条)。具体规定了查阅、复制权,可携带权(第四十五条),更正权(第四十六条),删除权(第四十七条),请求解释权(第四十八条)。对于自然人死亡的,也明确了其近亲属行使相关权利的规定(第四十九条)。比较而言,个人信息保护法对个人在个人信息处理活动中享有的权利作了比较充分的规定,除了对国际国内普遍存在争议的“被遗忘权”未作明确规定以外,基本和国外立法相一致。值得注意的是,个人信息保护法中所称“权利”,有别于民法体系中的民事权利,并未对个人信息进行权利化规定,而是强调了“在个人信息处理活动中的”权利。 III. 個人情報取扱活動における個人の権利の適切な規定。個人情報に関連して個人が享受する権利は、個人が個人情報の保護に参加するための重要な手段の一つであり、個人情報の多元的なガバナンスの考え方を反映しています。GDPRに代表される個人情報保護に関する外国の法律を参照すると、個人に与えられる権利の種類は基本的に同じです。個人情報保護法は、科学的で適切な立法資料を作成しています。個人が自分の個人情報の処理について知らされ、決定する権利、および他人による個人情報の処理を制限または拒否する権利は、原則規定によって明確にされている(第44条)。閲覧権と複写権、ポータビリティーの権利(第45条)、修正の権利(第46条)、削除の権利(第47条)、解釈を要求する権利(第48条)が具体的に規定されています。自然人が死亡した場合、その近親者による関連する権利の行使についても規定されています(第49条)。これに対し、個人情報保護法は、個人情報の処理に関する個人の権利を規定しており、国際的にも国内的にも一般的に議論されている「忘れられる権利」が明示的に規定されていないことを除いて、基本的に外国の法律に沿った内容となっています。なお、個人情報保護法でいう「権利」とは、民法上の権利とは異なり、個人情報の権利を規定するものではなく、「個人情報の処理活動を行う上で」の権利を重視しています。
四是规定了个人信息处理者的义务。个人信息处理者的义务可以理解为个人信息处理的操作规范和手册。对于个人信息处理者而言,是需要非常熟悉并逐一对照遵守的部分。个人信息保护是一种合规性状态,而非一种目标性结果,需要个人信息处理者持续投入成本、资源以维持合法、合理的个人信息保护水平。个人信息保护法第五十一条对个人信息处理者的义务进行了概括性规定,包括:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。总体而言,个人信息处理者按照这几项持续推进内部个人信息保护工作就能符合合规要求,具体可以根据企业规模大小、服务性质、技术水平等选择更为符合自身情况的相应措施。除了第五十一条规定,个人信息保护法还规定了合规审计(第五十四条)、泄露通知(第五十七条)等要求。在一般性要求的基础上,个人信息保护法还作了一些特殊规定,一是对于处理个人信息达到国家网信部门规定数量的个人信息处理者,要求指定个人信息保护负责人(第五十二条);二是对于境外个人信息处理者,要求在中国境内设立专门机构或者指定代表(第五十三条);三是特定情形下应当进行个人信息保护影响评估,主要是一些高风险情形,包括处理敏感个人信息、自动化决策、委托处理、向他人/境外提供、公开个人信息等(第五十五条);四是规定了“守门人”义务,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(可以理解为“守门人”或是大型互联网平台)还应当履行更高水平的义务,要求成立外部独立监督机构、制定平台规则、阻断违法活动、定期发布履责报告等(第五十八条)。 IV. 個人情報取扱者に義務を課すこと。個人情報取扱者の義務は、個人情報の処理に関する運用ルールやマニュアルと理解することができます。個人情報取扱者にとっては、非常に身近で、ケースバイケースで遵守しなければならない部分です。個人情報の保護は、目標となる結果ではなく、コンプライアンスの状態であり、個人情報取扱者は、合法的かつ合理的なレベルの個人情報保護を維持するために、継続的にコストとリソースを投入する必要があります。個人情報保護法第51条では、個人情報取扱者の義務として、(1)内部管理体制および業務手順の整備、(2)個人情報の分類・管理の実施、(3)暗号化や非識別化などの適切な安全技術措置の採用、(4)個人情報処理の運用権限を合理的に決定し、実務者に対する定期的な安全教育・訓練の実施、(5)個人情報のセキュリティインシデントに対するコンティンジェンシープランの策定と実施、(6)その他、法律および行政法規で定められた措置、があります。一般的に、個人情報取扱者は、これらの項目に沿って社内の個人情報保護を継続的に推進することで、遵守すべき事項を遵守することができ、企業の規模やサービスの内容、技術のレベルなどに応じて、より自社の状況に即した対応策を具体的に選択することができます。個人情報保護法では、第51条の規定に加えて、コンプライアンス監査(第54条)、漏えいの届出(第57条)などの要件が定められています。個人情報保護法は、一般的な要求に加えて、いくつかの特別な規定を設けています。第1に、国家のインターネット情報部門が定める量の個人情報を取り扱う個人情報取扱者は、個人情報保護の担当者を指名することが義務付けられています(第52条)。第2に、海外の個人情報取扱者は、中国国内に特別な機関を設置するか、または代表者を指名することが義務付けられています(第53条)。第3に、特定の状況下で、個人情報取扱者は 第四に、重要なインターネットプラットフォームサービスを提供する個人情報取扱者については、「ゲートキーパー」の義務が規定されており、利用者数が多く、業務が複雑です。また、重要なインターネット・プラットフォーム・サービスを提供し、多数のユーザーを抱え、複雑な事業形態をとる個人情報取扱者(ゲートキーパー、大規模インターネット・プラットフォームと理解される)については、外部の独立した監督機関の設置、プラットフォーム・ルールの策定、違法行為の抑止、責任の履行状況に関する報告書の定期的な公表など、より高度な義務を果たす必要があります(第58条)。
五是确定了履行个人信息保护职责的部门及其职责。个人信息保护法对个人信息保护体制进行了明确安排(第六十条)。从横向来看,由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。从纵向来看,县级以上地方人民政府有关部门按照国家有关规定确定个人信息保护和监督管理职责。根据第六十条规定,个人信息保护将按照统筹协调加协抓共管的思路,构建跨部门、跨行业、跨领域监管体制机制,能够很好地适应个人信息保护工作的特点。管理层级上,可以结合情况构建国家、省(区、市)、地级市、县四级管理体系。同时,个人信息保护法对履行个人信息保护职责的部门的职责,国家网信部门的统筹协调职能进行了列举式规定(第六十一条、第六十二条)。 第5に、個人情報保護の義務を果たすための部署とその責任を定めています。個人情報保護法では、個人情報保護体制について明確な取り決めをしています(第60条)。水平方向では、国家インターネット情報部が個人情報保護と関連する監督管理業務の調整に責任を持ち、国務院の関連部門は、本法と関連する法律および行政法規の規定に基づき、それぞれの責任範囲内で個人情報保護と監督管理業務に責任を持ちます。垂直的には、県レベル以上の地方人民政府の関連部門が、個人情報の保護を決定し、関連する国家規定に基づいて監督管理する責任を負う。第60条の規定によれば、個人情報保護は、調整と協調、共同管理の考えに基づいて構築され、部門横断的、業界横断的、分野横断的な監督のための制度的メカニズムは、個人情報保護業務の特徴によく適合させることができるとしています。管理レベルでは、国、省(区・市)、県、郡の4レベルの管理システムを状況に合わせて構築することができます。同時に、個人情報保護法では、個人情報保護業務を行う部門の義務や、国家インターネット情報部門の調整機能を列挙しています(第61条、第62条)。
六是规定了较为严厉的法律责任。个人信息处理活动涉及面广、情况复杂、主体多样、隐蔽性强,一旦发生侵害个人信息权益的行为,往往会对社会层面造成较为严重的后果,甚至有些损害结果难以显性化察觉,监管成本比较高,行政资源消耗比较大。根据国外经验以及个人信息保护本身的特点,苛以较为严厉的法律责任符合法理逻辑。行政责任方面,个人信息保护法设置了全面的行政处罚手段,包括警告、没收违法所得、罚款(包括对单位和责任人员)、责令暂停相关业务或者停业整顿、吊销许可或者营业执照。其中,对于违法处理个人信息的应用程序,可以责令暂停或者终止提供服务。罚款的最高数额可达五千万元人民币或者上一年度营业额的百分之五。此外还规定了信用惩戒以及对担任企业董事、监事、高级管理人员和个人信息保护负责人的从业禁止等。民事责任方面,规定了过错推定原则,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任(第六十九条)。 第6に、より厳しい法的責任を規定していることです。個人情報取扱活動には、幅広い状況、複雑、多様な対象が含まれており、個人情報の権利や利益が侵害されると、しばしば社会レベルでより深刻な結果を引き起こし、さらにいくつかの損害結果が目に見えて検出されることは難しく、監督のコストは相対的に高く、行政資源の消費は相対的に大きくなります。海外の経験や個人情報保護の特性そのものを踏まえれば、より厳しい法的責任を課すことは、法的論理に沿ったものと言えるでしょう。行政責任については、個人情報保護法では、警告、違法所得の没収、罰金(事業者および責任者)、事業の停止または中止の命令、許可または営業許可の取り消しなど、包括的な行政処分が定められています。特に、法律に違反して個人情報を取り扱っているアプリケーションは、サービス提供の停止または中止を命じられる可能性があります。罰金は最大で5,000万人民元または前年の売上高の5%となります。また、信用規律に関する規定や、企業の取締役、監督者、上級管理者、個人情報保護責任者としての業務を禁止する規定もあります。民事責任については、過失推定の原則が定められており、個人情報の取り扱いが個人の権利利益を侵害して損害を与えた場合、個人情報を取り扱った者が過失がないことを証明できないときは、損害賠償その他の不法行為責任を負うことになっています(第69条)。
纵观个人信息保护法全文,其保护不可谓之不充分,其考虑不可谓之不全面,准确把握了网络发展的规律和特点,回应了个人权益保护的迫切需求。个人信息保护立法过程中一直承载着各方高度关注和殷切希望。从一审稿到二审稿到最终出台,不断得到完善,广泛得到各方认可和好评,反映了我国对个人信息保护法治工作认真、负责的态度。个人信息保护法的出台,并不意味着个人信息保护工作的刚刚开始,实际上我国个人信息保护工作已经深入开展了相当长的时间。而个人信息保护法的出台标志着我国进入了更高水平的个人信息保护的法治时代,这也正是给所有身处网络时代生活的人们最关心最直接最现实的利益问题的最好法律答案。(作者:方禹,中国信息通信研究院互联网法律研究中心主任) 個人情報保護法の全文を通じて、その保護は十分であると同時に、その配慮は包括的であり、ネットワークの発展に伴う法律や特性を的確に把握し、個人の権利・利益の保護という緊急の要請に応えています。個人情報保護の法制化は、各方面から高い関心と熱烈な期待が寄せられています。第一次草案から第二次草案、そして最終的な導入に至るまで、継続的に改善され、すべての関係者から広く認識され、賞賛されており、法治国家における個人情報保護に対する中国の真剣で責任ある態度を反映しています。個人情報保護法が導入されたからといって、個人情報の保護が始まったわけではなく、実際には、中国における個人情報の保護は、かなり以前から深く行われています。個人情報保護法の導入は、中国における法治国家のもとでのより高いレベルの個人情報保護への参入を意味しており、インターネット時代に生きるすべての人々の最も直接的で現実的な利益に対する最良の法的回答となっています。(著者:中国情報通信技術学院インターネット法研究センター長 Fang Yu)
********** **********
专家解读|全面保护个人信息权益的重要法律 専門家の解釈|個人情報の権利利益を総合的に保護するための重要な法律
2021年8月20日,第十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》,它是我国第一部个人信息保护方面的专门法律。个人信息保护法的颁行极大地加强我国个人信息保护的法制保障,在个人信息保护方面形成了更加完备的制度、提供了更有力的法律保障;个人信息保护法以严密的制度、严格的标准、严厉的责任规范个人信息处理活动,规定了完备的个人在个人信息处理活动中的权利,全方位落实各类组织、个人等个人信息处理者的义务与责任,有力地维护了网络空间良好生态,满足人民日益增长的美好生活需要;个人信息保护法科学地协调个人信息权益保护与个人信息合理利用的关系,建立了权责明确、保护有效、利用规范的个人信息处理规则,从而在保障个人信息权益的基础上,促进了包括个人信息在内的数据信息的自由安全的流动与合理有效的利用,推动了数字经济的健康发展。 2021年8月20日、第13期全国人民代表大会常務委員会第30回会議において、中国初の個人情報保護の特別法である「中華人民共和国個人情報保護法」が審議・採択されました。個人情報保護法の制定により、中国における個人情報保護の法的保護が大幅に強化され、より完全な制度が形成され、個人情報保護におけるより強力な法的保護が提供されています。個人情報保護法は、個人情報取扱活動を厳格な制度、厳格な基準、厳格な責任で規制し、個人情報取扱活動における個人の完全な権利を規定し、各種組織及び団体の全面的な義務を実施しています。個人情報保護法は、個人情報の権利・利益の保護と個人情報の合理的な利用との関係を科学的に調整し、個人情報の取り扱いについて、権利・責任の明確化、保護の実効性、利用の標準化などのルールを定めることにより、個人情報の権利・利益の保護を基本として、個人情報を含むデータ・情報の自由と安全を促進するものです。これにより、個人情報の権利・利益の保護を前提に、個人情報を含むデータや情報の自由で安全な流通と合理的で効果的な利用を促進し、デジタル経済の健全な発展を図ります。
个人信息保护法,顾名思义,就是保护个人信息的法律,也就是保护个人信息权益的专门法律。个人信息权益是自然人针对个人信息享有的受到法律保护的权益。保护个人信息权益是我国个人信息保护法的重要立法目的,该法第一条就明确规定,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。第2条再次明确“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”为了实现对个人信息权益的全面的、充分的保护,个人信息保护法作出了如下系统全面、科学细致的规定。 個人情報保護法は、その名の通り、個人情報を保護するための法律、つまり個人情報の権利・利益を保護するための特別な法律です。個人情報の権利・利益とは、個人情報に関する自然人の法的に保護された権利・利益のことです。個人情報の権利・利益の保護は、中国の個人情報保護法の重要な立法目的であり、同法第1条では、個人情報の権利・利益を保護し、個人情報取扱活動を規制し、個人情報の合理的な利用を促進するために、憲法に基づいて本法を制定することを明確に規定しています。第2条では、「自然人の個人情報は法律によって保護されなければならず、いかなる組織または個人も自然人の個人情報の権利と利益を侵害してはならない」と再度明記しています。個人情報保護法では、個人情報の権利・利益の包括的かつ適切な保護を実現するために、以下のような体系的かつ包括的、科学的かつ詳細な規定を設けています。
1.确立了个人信息处理活动应当遵循的基本原则,包括合法、正当、必要、诚信、目的限制、最小必要、质量、责任等原则。这些原则的根本目的就是要规范个人信息处理者的处理活动,保护个人信息权益。例如,依据第6条所确立的目的限制原则,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。无论什么样的个人信息处理者为了何种处理目的,以何种方式实施个人信息处理活动,都应当遵循这些基本原则。不仅如此,调整规范个人信息处理活动的法规规章,也不能违反这些基本原则。 1. 個人情報を取り扱う活動において遵守すべき基本原則(合法性、正当性、必要性、善意、目的限定、必要最小限、品質、責任の原則)を定めています。これらの原則の基本的な目的は、個人情報の処理者の処理活動を規制し、個人情報の権利と利益を保護することです。例えば、第6条に定められた目的限定の原則によれば、個人情報の処理には明確かつ合理的な目的があり、個人の権利や利益に最も影響を与えない方法で処理目的に直接関連したものでなければならないとされています。個人情報の収集は、処理の目的を達成するために必要最小限の範囲に限定し、個人情報を過度に収集してはならない。これらの基本原則は、どのような処理目的で、どのような方法で個人情報取扱活動が行われているか、個人情報取扱者の種類にかかわらず、遵守されるべきものです。また、個人情報取扱活動を規制する法令は、これらの基本原則に反するものであってはなりません。
2.详细规定告知同意规则,明确了个人信息处理者处理个人信息前,必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法律规定的事项,除非法律、行政法规规定应当保密或者不需要告知,或者告知将妨碍国家机关履行法定职责。如果个人信息处理者是基于个人同意而处理个人信息的,那么个人的同意必须是个人在充分知情的前提下自愿、明确地作出,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。 2. 同意の通知に関する規則が詳細に規定されており、個人情報取扱者は、個人情報を処理する前に、法律や行政規則で秘密にすべきと規定されていたり、通知する必要がないと規定されていたり、通知することで国家機関が法律上の義務を果たすことができなくなる場合を除き、真実、正確かつ完全な方法で、法律で規定されている事項をわかりやすい方法で本人に通知しなければならないことが明確にされています。個人情報取扱者が本人の同意に基づいて個人情報を処理する場合、本人の同意は、本人が十分な情報を得ていることを前提に、自発的かつ明示的に行われなければならず、個人情報取扱者は、本人が自分の個人情報の処理に同意しない、または同意を撤回したことを理由に、製品またはサービスの提供を拒否することはできません。
3.对于社会普遍关注的“大数据杀熟”“人脸识别”等问题,明确要求个人信息处理者保证自动化决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。如果通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意。 3. 社会一般の関心事である「ビッグデータにするのに協力した人を裏切る」や「顔認証」などの問題について、個人情報取扱者は、自動化された意思決定の透明性や結果の公正さ・公平さを確保し、取引価格などの取引条件において個人に不合理な取引条件を課さないことを明示的に求めています。個人は、個人の利益に著しく影響を与える方法で自動化された意思決定が行われた場合、個人データ処理者に説明を求める権利、および個人データ処理者が自動化された意思決定のみを行うことを拒否する権利を有します。公共の場所での画像収集および個人識別装置の設置は、公共の安全を維持するために必要であり、関連する国内規制に準拠し、目立つように表示されなければならない。収集した個人画像および識別情報は、公共の安全を維持する目的にのみ使用し、別途本人の同意を得ない限り、他の目的に使用することはできません。
4.界定了敏感个人信息并给予非常严格的保护。敏感个人信息,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。依据个人信息保护法的规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。同时,处理敏感个人信息应当取得个人的单独同意,处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。 4. センシティブな個人情報を定義し、非常に厳格に保護しています。機微(センシティブ)個人情報とは、漏洩したり不正に使用されたりした場合に、自然人の人間としての尊厳を侵害したり、その人や財産の安全を脅かしたりすることにつながりやすい個人情報のことで、生体情報、宗教的信条、特定のアイデンティティ、医療・健康管理、金融口座、軌跡などの情報、および14歳未満の未成年者の個人情報が含まれます。個人情報保護法によれば、個人情報の処理者は、特定の目的と十分な必要性があり、かつ厳格な保護措置が講じられている場合に限り、機微な個人情報を取り扱うことができます。同時に、機微な個人情報の処理は、本人の同意を得ることを前提とし、14歳未満の未成年者の個人情報を処理する場合には、未成年者の両親またはその他の保護者の同意を得ることとします。
5.专章规定了个人在个人信息处理活动中的权利。个人在个人信息处理活动中的权利属于手段性权利或救济性权利,规定这些权利的目的就是为了保护自然人的个人信息权益。个人信息保护法在网络安全法、民法典的规定的基础上,立足于我国个人信息保护实践的要求,吸收借鉴比较法上的优秀成果,对个人在个人信息处理活动中的权利作出了系统全面的规定,规定了个人在个人信息处理活动中享有:对个人信息处理的知情权与决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。此外,为了维护死者的近亲属的合法、正当利益,个人信息保护法还规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。 5. 個人情報取扱活動における個人の権利については、特別な章で定められています。個人情報取扱活動における個人の権利は、手段または救済の権利であり、これらの権利を提供する目的は、自然人の個人情報の権利および利益を保護することにあります。個人情報保護法は、ネットワークセキュリティ法および民法の規定に基づき、中国における個人情報保護の実務の要求を踏まえ、比較法の最良の成果を活用して、個人情報取扱活動における個人の権利を体系的かつ包括的に規定しており、個人が個人情報取扱活動において以下の権利を有することを規定している:個人情報の処理について知る権利および決定する権利、閲覧および複写する権利、ポータビリティーの権利、訂正する権利。訂正・補充・削除・説明等の権利 また、個人情報保護法では、故人の近親者の合法的かつ正当な利益を保護するために、自然人が死亡した場合、故人の近親者は、その合法的かつ正当な利益のために、故人の生前に別段の取り決めがない限り、本章に定める故人の個人情報について、閲覧、複写、訂正、削除等の権利を行使することができると規定しています。
6.对个人信息处理者的义务作出了集中、详细的规定,构建了完整的义务体系。这些义务包括:个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义务;按照规定指定个人信息保护负责人的义务;定期进行合规审计的义务;对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录的义务;在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者负有的“守门人义务”。 6. 個人情報取扱業者の義務は、集中的かつ詳細に定められており、完全な義務のシステムを構築しています。 これらの義務には、個人情報取扱者の、個人情報取扱活動が合法的であることを保証し、個人情報のセキュリティを保護するための措置を講じる義務、規則に従って個人情報保護の担当者を指定する義務、定期的なコンプライアンス監査を行う義務、リスクの高い個人情報取扱活動に対して個人情報保護の影響評価を行い、その取り扱いを記録する義務、個人情報の漏洩などが発生した場合に、直ちに是正措置を講じ、規制当局および個人に通知する義務、 セキュリティインシデント等が発生した場合、直ちに是正措置を講じ、規制当局や個人に通知する義務、重要なインターネットプラットフォームサービスを提供し、多数のユーザーを抱え、複雑な業態を持つ個人情報取扱者の「ゲートキーパー義務」、が含まれます。
7.对于违法处理个人信息或者没有履行法律规定的个人信息保护义务的行为规定了严格的行政处罚,如对于违法行为情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等。对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。再如,对于违反个人信息保护法的违法行为的,明确了依照有关法律、行政法规的规定记入信用档案,并予以公示。 7. 個人情報の違法な取り扱いや法に定められた個人情報保護義務の不履行に対しては、違法所得の没収、重大な違反の場合には5,000万元以下または前年度売上高の5%以下の罰金、関連事業の停止や事業の是正の命令、関連事業許可の取り消しや関係所轄庁への通知など、厳格な行政処分が定められています。直接の責任者およびその他の担当者を処罰する。直接責任を負う担当者およびその他の直接責任者は、10万元以上100万元以下の罰金に処し、一定期間、関連企業の取締役、監督、上級管理者および個人情報保護担当者に就任することを禁止することを決定することができる。また、個人情報保護法違反については、関連する法律や行政法規の規定に基づき、信用情報に記録され、公表されることが明らかにされています。
8.规定了科学合理的民事责任制度以及民事公益诉讼。依据个人信息保护法的规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。侵害个人信息权益造成损害的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。在个人信息处理者违反个人信息保护法规定处理个人信息,侵害众多个人的权益时,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。(作者:程啸,清华大学法学院副院长、教授、博士生导师) 8. 科学的で合理的な民事責任制度と民事公益訴訟を規定します。個人情報保護法の規定により、個人情報の取り扱いが個人の権利・利益を侵害して損害を与えた場合、個人情報を取り扱う者が自らの過失がないことを証明できなければ、損害賠償などの不法行為責任を負うことになります。個人情報の権利・利益の侵害による損害賠償責任は、本人が被った損失または結果として個人情報取扱者が得た利益に応じて決定し、本人が被った損失または結果として個人情報取扱者が得た利益を決定することが困難な場合は、実情に応じて賠償額を決定する。個人情報取扱者が個人情報を取り扱うことにより、個人情報保護法の規定に違反し、多数の個人の権益を侵害した場合、人民検察院、法律で定められた消費者団体、国家インターネット情報部門が定めた団体は、法律に基づき人民裁判所に訴訟を提起することができるとしています。(著者:清華大学法学部副学部長・教授・博士課程指導者 Cheng Xiao氏)
********** **********
专家解读|个人信息保护法的深远意义:中国与世界 専門家の解釈|個人情報保護法の遠大な意義:中国と世界
酝酿多年的《中华人民共和国个人信息保护法》终于在2021年8月20日出台,作为“百年未有之大变局”的制度回应,个人信息保护法外引域外立法智慧,内接本土实务经验,熔“个人信息权益”的私权保护与“个人信息处理”的公法监管于一炉,统合私主体和公权力机关的义务与责任,兼顾个人信息保护与利用,奠定了我国网络社会和数字经济的法律之基。为了充分理解个人信息保护法的内涵,我们不妨从世界维度与中国维度着眼,以展现其深远意义。 長年にわたって作成されてきた「中華人民共和国個人情報保護法」は、「世紀の未曾有の変化」への制度的対応として、2021年8月20日にようやく導入されました。「個人情報保護法」は、個人情報の私権保護と個人情報の取り扱いに関する公法上の規制を組み合わせたもので、私人主体と公権力の義務と責任を統一し、個人情報の保護と利用のバランスを取り、中国のネットワーク社会とデジタル経済の法的基盤を築いています。個人情報保護法の意味合いを十分に理解するために、世界と中国の両方の視点から見て、その広汎な意義を示したいと思います。
顺应世界潮流 世界のトレンドに合わせて
个人信息保护的立法可追溯至德国黑森州1970年《资料保护法》。此后,瑞士(1973)、法国(1978)、挪威(1978)、芬兰(1978)、冰岛(1978)、奥地利(1978)、冰岛(1981)、爱尔兰(1988)、葡萄牙(1991)、比利时(1992)等国的个人信息保护法亦景从云集。在大西洋彼岸,1973年美国发布“公平信息实践准则”报告,确立了处理个人信息处理的五项原则:(1)禁止所有秘密的个人信息档案保存系统;(2)确保个人了解其被收集的档案信息是什么,以及信息如何被使用;(3)确保个人能够阻止未经同意而将其信息用于个人授权使用之外的目的,或者将其信息提供给他人,用作个人授权之外的目的;(4)确保个人能够改正或修改关于个人可识别信息的档案;(5)确保任何组织在计划使用信息档案中的个人信息都必须是可靠的,并且必须采取预防措施防止滥用。在“公平信息实践准则”所奠定的个人信息保护基本框架之上,美国《消费者网上隐私法》《儿童网上隐私保护法》《电子通讯隐私法案》《金融服务现代化法》(GLB)《健康保险流通与责任法》(HIPAA)《公平信用报告法》相继出台。 個人情報の保護に関する法律は、1970年にドイツのヘッセン州で制定されたデータ保護法にまで遡ることができます。それ以降、スイス(1973年)、フランス(1978年)、ノルウェー(1978年)、フィンランド(1978年)、アイスランド(1978年)、オーストリア(1978年)、アイスランド(1981年)、アイルランド(1988年)、ポルトガル(1991年)、ベルギー(1992年)で個人情報保護法が制定されています。アメリカでは1973年に「Fair Information Practices Guidelines」という報告書が発表され、個人情報の取り扱いに関する次の5つの原則、(1) 個人情報のファイルを保管するための秘密のシステムをすべて禁止すること、(2) 個人が、自分のファイルからどのような情報が収集されているか、またその情報がどのように使用されているかを認識できるようにすること、(3) 個人が、自分の情報が同意なしに権限を与えられた目的以外に使用されることや、自分の情報が権限を与えられた目的以外に他者に提供されることを防止できるようにすること、(4) 個人が、個人を特定できる情報に関するファイルを修正または訂正できるようにすること、(5) 組織の情報ファイルにある個人情報の計画的な使用は、信頼できるものでなければならず、不正使用を防止するための予防措置が講じられなければならないことを保証すること、が定められました。Fair Information Practices Guidelinesで示された個人情報保護の基本的な枠組みに加えて、米国のConsumer Online Privacy Act、Children's Online Privacy Protection Act、Electronic Communications Privacy Act、Financial Services Modernization Act (GLB)、Health Insurance Portability and Accountability Act (HIPAA)、Fair Credit Reporting Actなどの法律が制定されています。。
进入21世纪,在数字化浪潮的推动下,个人信息保护的立法陡然加速。2000到2010年,共有40个国家颁布了个人信息保护法,是前10年的两倍,而2010年到2019年,又新增了62部个人信息保护法,比以往任何10年都要多。延续这一趋势,截至2029年将会有超过200个国家或地区拥有个人信息保护法。 21世紀は、デジタルの波に押されて、個人情報保護法の制定が急加速しています。2000年から2010年の間に個人情報保護法が制定された国は40カ国で、過去10年間の2倍となり、2010年から2019年の間に新たに追加された個人情報保護法は62カ国で、過去10年間の中で最も多くなりました。この傾向が続くと、2029年には個人情報保護法を制定している国や地域が200以上になると言われています。
我国个人信息保护法正是此历史进程中的重要一环。回顾过往,世界个人信息保护法迄今已经历了三代。第一代以经合组织1980年《关于隐私保护与个人数据跨境流通指引》和1981年欧洲理事会《有关个人数据自动化处理之个人保护公约》为起点。第二代以欧盟1995年《个人数据保护指令》为代表,其在第一代原则的基础上加入了包括“数据最少够用”“删除”“敏感信息”“独立的个人信息保护机构”等要素。第三代即为2018年生效的欧盟《通用数据保护条例》(GDPR)。与第二代相比,GDPR大大拓展了信息主体权利,并确立了一系列新的保护制度。我国个人信息保护法采取“拿来主义、兼容并包”的方法,会通各国立法,借鉴世界第三代个人信息保护法的先进制度,铸就熨帖我国国情的规则设计。这主要体现在: 私たちの個人情報保護法は、この歴史的なプロセスの重要な部分を占めています。振り返ってみると、世界ではこれまで3世代にわたって個人情報保護法が制定されてきました。第一世代は、1980年の「プライバシーの保護と個人データの国境を越えた流れに関するOECDガイドライン」と1981年の「個人データの自動処理に関する個人の保護に関する欧州理事会条約」から始まりました。第2世代は、1995年にEUが発表した「個人データの保護に関する指令」に代表されるように、第1世代の原則に基づいて、「最小限の十分なデータ」、「消去」、「センシティブな情報」などが盛り込まれています。「独立した個人情報保護当局」などの要素があります。第3世代は、2018年に施行されたEU一般データ保護規則(GDPR)です。第2世代と比較して、GDPRは情報主体の権利を大幅に拡大し、一連の新しい保護体制を確立しています。中国の個人情報保護法は、「フェティッシュで包括的」なアプローチを採用し、各国の法律を適応させ、世界の第三世代個人情報保護法の先進的なシステムを利用し、わが国の国情に合ったルール設計を鍛造しています。これは主に以下のように反映されています。
其一,在体例结构上,将私营部门处理个人信息和国家机关处理个人信息一体规制,除明确例外规则外,确保遵循个人信息保护的同一标准。基于此,个人信息保护法两线作战,即直面企业超采、滥用用户个人信息的痼疾,又防范行政部门违法违规处理个人信息的问题,最大限度地保护个人信息权益。其二,在管辖范围上,个人信息保护法统筹境内和境外,赋予必要的域外适用效力,以充分保护我国境内个人的权益。其三,在“个人信息”认定上,采取“关联说”,将“与已识别或者可识别的自然人有关的各种信息”均囊括在内。其四,在个人信息权益上,不仅赋予个人查询权、更正权、删除权、自动化决策的解释权和拒绝权以及有条件的可携带权等“具体权利”,而且从中升华为“个人对其个人信息处理的知情权、决定权,限制或者拒绝他人对其个人信息进行处理”的“抽象权利”,由此形成法定性和开放性兼备的个人信息权益体系。其五,在个人信息跨境上,采取安全评估、保护认证、标准合同等多元化的出境条件。其六,在大型平台监管上,对“重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”苛以“看门人”义务,完善个人信息治理。 第1に、法律の構造としては、民間企業の個人情報の取り扱いと国家機関の個人情報の取り扱いが一体となって規制されており、明確な例外規定を除いて、同じ基準で個人情報保護が行われるようになっています。これに基づき、個人情報保護法は、企業がユーザーの個人情報を過剰に収集して悪用するという慢性的な問題に立ち向かうとともに、行政部門が法律に違反して個人情報を取り扱うことを防止し、個人情報の権利を最大限に保護するという2つの面で戦っています。第2に、司法権の面では、個人情報保護法は国内外の司法権を統合し、必要な域外適用を行うことで、中国国内の個人の権利と利益を完全に保護しています。第3に、「個人情報」の定義について、同法は「連想説」を採用しており、「識別されたまたは識別可能な自然人に関連するあらゆる種類の情報」が含まれます。第4に、個人情報の権利と利益という観点から、個人に照会、訂正、削除、解釈、自動化された決定を拒否する権利、条件付きポータビリティーの権利を与えるだけでなく、「個人が自分の個人情報の処理について知らされる権利、決定を行う権利、他人による個人情報の処理を制限または拒否する権利」に昇華させています。これにより、個人情報の権利・利益に関する制度が法定化され、公開されました。第5に、個人情報の国境を越えた取り扱いについては、セキュリティ評価、保護証明、標準契約など、多様な出口条件を採用します。第6に、大規模プラットフォームの監督において、「重要なインターネットプラットフォームサービス、ユーザー数が多く複雑な業態の個人情報取扱者」に「ゲートキーパー」義務を課し、個人情報のガバナンスを向上させることです。
贡献中国智慧 中国の知恵を伝える
我国个人信息保护法决不只是回应世界潮流之举,事实上,它也是我国法律体系自我完善、自我发展的必然结果。从2018年9月个人信息保护法被纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中,到如今个人信息保护法正式颁行,看起来不过历时三载,但追根溯源,距离2012年《全国人大常委会关于加强网络信息保护的决定》已有10年,距离2003年国务院信息化办公室部署个人信息保护法立法研究工作已有18年。在近20年的进程中,我国个人信息保护规范日渐丰茂,网络安全法、新修订的消费者权益保护法、电子商务法、刑法修正案九、民法典等对个人信息保护作出了相应规定,及时回应了国家、社会、个人对个人信息保护的关切。然而,这种分散式的立法,也面临着体系性和操作性欠缺、权利救济和监管措施不足的困境,正因如此,一部统一的个人信息保护法正当其时。 中国の個人情報保護法は、決して世界の潮流に対応しただけのものではなく、むしろ、我が国の法制度の自己改善と自己発展の必然的な結果でもあるのです。個人情報保護法が「第13期全国人民代表大会常務委員会の立法計画」に含まれ、「比較的成熟しており、任期中に提出して検討する」69の法律案の中に記載された2018年9月から、個人情報保護法が正式に制定された今日まで、わずか3年しかかかっていないようだ。たった3年のようですが、ルーツを辿ると、2012年の「ネットワーク情報の保護強化に関する全国人民代表大会常務委員会の決定」から10年、2003年に国務院情報化部が個人情報保護法の立法研究を展開してから18年が経過しています。約20年の間に、中国の個人情報保護規範はますます豊富になり、ネットワークセキュリティ法、新しく改正された消費者保護法、電子商取引法、刑法および民法の改正第9条では、個人情報保護について対応する規定が設けられ、個人情報保護に関する国家、社会、個人の懸念にタイムリーに対応しています。しかし、このような断片的な法律では、制度面や運用面が不十分であったり、権利救済や規制措置が不十分であったりするジレンマもあり、統一的な個人情報保護法が時宜を得たものであると言えます。
任何法律都是特定时空下社会生活和国家秩序的规则,个人信息保护法概莫能外。我国个人信息保护法以现实问题为导向,以法律体系为根基,统筹既有法律法规,体察民众诉求和时代需求,将之挖掘、提炼、表达为具体可感、周密详实的法律规则,以维护网络良好生态,促进数字经济发展。我国个人信息保护法的中国智慧和中国方案包括但不限于: あらゆる法律は、特定の時間と空間における社会生活や国家秩序のルールであり、個人情報保護法も例外ではありません。中国の個人情報保護法は、現実の問題を志向し、法制度に基づいて、既存の法令を統合し、人々の要求や時代のニーズを理解して、それらを掘り下げ、洗練し、具体的で詳細な法規則に表現することで、ネットワークの良好な生態を維持し、デジタル経済の発展を促進することを目的としています。中国の個人情報保護法に関する中国の知恵と中国の解決策は、以下の通りです。
其一,在法律渊源上,将个人信息保护上溯至宪法,经由宪法第33条第三款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵犯”、第40条“中华人民共和国公民的通信自由和通信秘密受法律的保护”,宣誓、夯实、提升了个人信息权益的法律位阶。其二,在立法目的上,将“保护个人信息权益”和“促进个人信息合理利用”作为并行的规范目标,秉持“执其两端,用其中于民”的理念,满足人们对美好生活的向往。为此,个人信息保护法拓展了民法典“知情同意+免责事由”的规则设计,采取了包括个人同意、订立和履行合同、履行法定职责和法定义务、人力资源管理、突发公共卫生事件应对、公开信息处理、新闻报道、舆论监督等多元正当性基础。其三,在规范主体上,将“个人信息处理者”作为主要义务人,将“接受委托处理个人信息的受托人”作为辅助人,承担一定范围内的个人信息安全保障义务。其四,在保护程度上,对于未成年人的个人信息、特定身份、行踪轨迹、生物识别等信息予以更高力度的保护。其五,在适用场景上,对于“差别化定价”“个性化推送”“公共场所图像采集识别”等社会反映强烈的问题,予以专门规制;开展公开或向第三方提供个人信息、处理敏感个人信息、个人信息出境等高风险处理活动的,应当取得个人的“单独同意”。其六,在监管体制上,个人信息保护法采取了“规则制定权相对集中,执法权相对分散”的架构,由国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。 (1) 法的な起源としては、個人情報の保護は、憲法第33条3項「国家は人権を尊重し、これを保護する」、第38条「中華人民共和国国民の人間としての尊厳は、これを侵害してはならない」、第40条を経て、憲法にまで遡ります。「中華人民共和国の市民のコミュニケーションの自由と秘密は、法律によって保護されなければならない」と宣誓し、個人情報の権利と利益の法的地位を強固にし、向上させました。(2) 法律の目的の観点から、「個人情報の権利・利益の保護」と「個人情報の合理的な利用の促進」は並行した規制目的であり、「両端を取り締まり、国民のために利用する」という考え方を掲げています。この点、個人情報保護法では、民法の範囲を拡大して個人情報の保護を図っています。そのため、個人情報保護法では、民法の「インフォームド・コンセントと免責」ルールの設計を拡張し、個人の同意、契約の締結・履行、法的義務の履行、人事管理、公衆衛生上の緊急事態への対応、公共情報の取り扱い、報道、世論の監督など、多面的な正当化根拠を採用しています。(3) 規制の対象としては、「個人情報取扱者」を主たる債務者とし、「個人情報の取扱いを委託された受託者」を一定の範囲で個人情報の安全保護義務を負う補助者としています。(4) 保護の程度については、未成年者の個人情報、特定のID、軌跡、生体情報については、より高い保護レベルが与えられます。(5) 適用されるシナリオとしては、社会的な反響の大きい「差動価格」、「パーソナライズド・プッシュ」、「公共の場での画像収集・識別」などについて特別な規制が課せられます。個人情報の第三者への開示・提供、機微な個人情報の処理、個人情報の輸出、その他リスクの高い処理活動については、個別に同意を得る必要があります。(6) 規制制度の面では、個人情報保護法は「相対的に集中された規則制定権と相対的に分散された法執行権」という構造を採用しており、国家インターネット情報部が関連部門を調整して個人情報保護の具体的な規則や基準を制定し、国務院の関連部門がそれぞれの責任範囲内で個人情報保護と監督管理に責任を負うことになっています。
“十年辛苦不寻常”,我国个人信息保护法是过往世界经验和中国智慧的结晶。但同时,“徒法不足以自行”,在立法大功告成之后,个人信息保护法还有待司法和执法的后续接力,才能真正落地生根,最终成为护持个人权益、激励稳健发展、连接国家命运的数字时代基本法。从出台到实施,个人信息保护法依然任重而道远。(作者:许可,对外经济贸易大学数字经济与法律创新研究中心执行主任) 「10年の苦労は尋常ではない」、中国の個人情報保護法は、過去の世界の経験と中国の知恵の結晶です。しかし、同時に「無法地帯では不十分」です。立法が完了した後も、個人情報保護法が本当に定着し、最終的には個人の権利・利益を保護し、健全な発展を促し、国の運命をつなぐデジタル時代の基本法となるためには、司法や法執行機関によるフォローアップが必要です。導入から実施まで、個人情報保護法はまだまだこれからです。(著者:許可、国際商科大学デジタルエコノミー・リーガルイノベーション研究センター エグゼクティブディレクター)
********** **********
8章74条,个人信息保护法来了!权威解读十大亮点 8章74条からなる「個人情報保護法」の登場!10本のハイライトの権威ある解釈
经过三次审议,8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》,将于2021年11月1日起施行。 3回の審議を経て、8月20日、第13期全国人民代表大会常務委員会第30回会議において、「中華人民共和国個人情報保護法」の採択が議決され、2021年11月1日から施行されることになりました。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。个人信息保护法坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切。 情報技術の時代、個人情報の保護は、一般の人々にとって最も直接的で現実的な関心事の一つとなっています。「個人情報保護法」は、国民を中心とした法治国家の概念を堅持・実行し、国民の個人情報の権利・利益を保護するという立法上の位置づけをしっかりと把握し、個人情報保護の分野における未解決の問題や国民の大きな関心事に焦点を当てています。
个人信息保护法共8章74条。在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。 個人情報保護法は、8章、74条から成り立っています。この法律は、関連する法律に基づいて、個人情報保護のために従うべき原則や個人情報の取り扱いに関するルールをさらに洗練・改善し、個人情報取扱業務における権利と義務の境界を明確にし、個人情報保護のための制度的メカニズムを改善しています。
“个人信息保护法切实将广大人民群众网络空间合法权益维护好、保障好、发展好,使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。” 全国人大常委会法工委经济法室副主任杨合庆20日对个人信息保护法进行了权威解读。 「個人情報保護法は、サイバースペースにおける一般市民の合法的な権利と利益を効果的に保護し、発展させることで、一般市民がデジタル経済の発展において、より大きなアクセス感、幸福感、安心感を享受できるようにします」と、全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長が、20日に個人情報保護法の権威ある解釈を行いました。
亮点一: ハイライト1
确立个人信息保护原则 個人情報保護の原則の策定
个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。 個人情報保護の原則は、個人情報の収集と利用に関する基本的なガイドラインであり、個人情報保護のための具体的なルールを構築するための制度的な基礎となるものです。
个人信息保护法借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。 個人情報保護法は、国際的な経験を踏まえ、中国の実情に基づいて、個人情報の取り扱いについて遵守すべき原則を定めており、個人情報の取り扱いは、合法性、正当性、必要性、誠実性の原則に従うこと、明確で合理的な目的を持ち、取り扱いの目的に直接関連し、個人の権利と利益への影響を最小限に抑える方法を採用し、取扱目的を達成するために必要な最小限の範囲に限定し、公開された処理ルールと情報の品質保証を実現し、情報セキュリティ対策をとることを強調しています。
“这些原则应当贯穿于个人信息处理的全过程、各环节。”杨合庆说。 「これらの原則は、個人情報の処理の全プロセスおよびすべての側面を通して適用されるべきです。」 と楊和慶氏は説明しました。
亮点二: ハイライト2
规范处理活动保障权益 権利と利益を守るための取扱業務の規制
个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知-同意”为核心的个人信息处理规则。 個人情報保護法は、個人情報の取り扱い行為を規制し、個人情報の権利・利益を保護することに重点を置き、「通知・同意」を核とした個人情報取り扱いルールを構築しています。
“‘告知-同意’是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。”杨合庆说。 「『通知・同意』ルールは、法律で定められた個人情報保護の中核となるルールであり、個人情報の取り扱いに関する個人の知る権利と決定権を保護するための重要な手段です。」と、楊和慶氏と説明しました。
个人信息保护法要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。 個人情報保護法では、個人情報の取り扱いについて、事前に十分な通知を行った上で本人の同意を得ること、個人情報の取り扱いに関する重要事項を変更する場合には、改めて本人に通知し、同意を得ることを義務づけています。同時に、現実の社会に強く反映されている包括的な承認と強制的な同意の問題に対応して、個人情報保護法では、個人情報取扱者が機微な個人情報を取り扱う場合、個人情報を他人に提供または開示する場合、個人情報を国境を越えて転送する場合などに、本人の個別の同意を得ることを具体的に規定しており、個人情報取扱者が個人情報を過度に収集したり、本人の同意がないことを理由に個人情報の提供を拒否したりしてはならないことを明確にしています。本人が同意していないことに基づいて製品やサービスを提供する場合には、本人に同意を撤回する権利を与え、本人が同意を撤回した後は、個人情報取扱者は、適時に個人情報の処理を停止または削除しなければなりません。
此外,考虑到经济社会生活的复杂性,个人信息处理的场景日益多样,个人信息保护法从维护公共利益和保障社会正常生产生活的角度,还对取得个人同意以外可以合法处理个人信息的特定情形作了规定。 また、個人情報保護法では、経済・社会生活が複雑化し、個人情報の処理場面が多様化していることに鑑み、公共の利益を保護し、社会の正常な生産・生活を確保するという観点から、本人の同意を得ずに個人情報を適法に処理できる特定の場面を定めています。
此外,个人信息保护法还分别对共同处理、委托处理等实践中较为常见的处理情形作出有针对性规定。 また、個人情報保護法では、共同処理、委託処理など、実務上一般的な場面での個人情報の取り扱いについても規定されています。
亮点三: ハイライト3
禁止“大数据杀熟”规范自动化决策 「ビッグデータにするのに協力した人を裏切る」ことの禁止と自動化された意思決定の規制
当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者。其中,最典型的就是社会反映突出的“大数据杀熟”。 現在、商業的なマーケティングを目的として、消費者の個人的な特性を分析・評価するためにビッグデータを利用する企業が増えています。一部の企業では、消費者の経済状態、消費習慣、価格感応度などの情報を利用して、取引価格を差別し、消費者に誤解を与え、詐取する行為が行われています。その代表的なものが、社会的にも注目されている「ビッグデータにするのに協力した人を裏切る」です。
“‘大数据杀熟’行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止。”杨合庆说。 「『ビッグデータにするのに協力した人を裏切る』行為は、誠実さと信用の原則に違反し、消費者の権利利益の保護に関する法律に規定されている公正な取引条件を享受する消費者の権利を侵害するものであり、法律で禁止されるべきです。」と楊和慶氏は言いました。
对此,个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。 これを受けて、個人情報保護法では、自動意思決定のために個人情報を利用する個人情報取扱者は、意思決定の透明性と公正かつ公平な結果を確保し、取引価格その他の取引条件について個人に不合理な差別的取扱いをしてはならないと明確に規定しています。
亮点四: ハイライト4
严格保护敏感个人信息 機微な個人情報の厳格な保護
值得关注的是,个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。个人信息保护法要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。 個人情報保護法では、生体情報、宗教的信条、特定のアイデンティティ、医療・健康、金融口座、居場所などの情報を機微な個人情報として分類していることが注目されています。個人情報保護法では、機微な個人情報は、特定の目的と十分な必要性があり、厳格な保護措置が講じられている場合にのみ取り扱うことができ、事前に影響評価を行い、取り扱いの必要性と個人の権利・利益への影響を本人に通知することが求められています。
“这主要是考虑到此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此,对处理敏感个人信息的活动应当作出更加严格的限制。”杨合庆说。 「これは、ひとたびこれらの情報が漏洩したり、不正に使用されたりすると、自然人の人間としての尊厳が侵害されたり、個人や財産の安全が脅かされたりする可能性が高いことを考慮したものであり、機密性の高い個人情報を取り扱う行為をより厳しく制限すべきである」と楊和慶氏は説明しました。
值得关注的是,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时,与未成年人保护法有关规定相衔接,要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。 なお、個人情報保護法では、未成年者の個人情報に関する権利・利益およびその心身の健康を保護するために、14歳未満の未成年者の個人情報を厳格に保護すべき機微な個人情報として明記しています。同時に、14歳未満の未成年者の個人情報を取り扱う際には、未成年者の両親またはその他の保護者の同意を得なければならないという未成年者保護法の関連規定にもつながっており、個人情報の取り扱いに関する特別な規則を策定しなければなりません。
亮点五: ハイライト5
规范国家机关处理活动 国家機関の取扱業務の規制
为履行维护国家安全、惩治犯罪、管理经济社会事务等职责,国家机关需要处理大量个人信息。保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。但近年来,一些个人信息泄露事件也反映出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题。 国家安全保障の維持、犯罪の処罰、経済社会の管理などの職務を遂行するために、国家機関は大量の個人情報を取り扱う必要があります。個人情報の権利と利益を保護し、個人情報のセキュリティを守ることは、国家機関の義務と責任です。しかし、近年の個人情報漏洩事件では、一部の国家機関の個人情報保護に対する意識の低さ、不規則な処理プロセス、安全保護対策の不十分さなども反映されています。
对此,个人信息保护法对国家机关处理个人信息的活动作出专门规定,特别强调国家机关处理个人信息的活动适用本法,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。 この点、個人情報保護法では、個人情報を取り扱う国家機関の活動について、本法の適用を特に重視し、個人情報の取り扱いは、法律及び行政法規に定められた権限と手続きに従って行われ、かつ、法律上の義務の履行に必要な範囲及び限度を超えてはならないと規定しています。
亮点六: ハイライト6
赋予个人充分权利 個人への完全な権利の付与
个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制个人信息的处理。 個人情報保護法では、個人情報取扱規則や取扱事項を知る権利、同意や同意の撤回、個人情報の照会・複写・訂正・削除の概要を知る権利や決定権など、個人情報取扱業務における個人の様々な権利を高め、個人が個人情報の取扱を制限する権利を有することを明確にしています。
同时,为了适应互联网应用和服务多样化的实际,满足日益增长的跨平台转移个人信息的需求,个人信息保护法对个人信息可携带权作了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。 同時に、インターネット上のアプリケーションやサービスが多様化し、プラットフォーム間での個人情報の転送に対する需要が高まっている現実に対応するため、個人情報保護法では、個人情報のポータビリティーの権利を原則として規定し、国のネットワーク情報部門が定める条件を満たす状況下で、個人情報取扱者が個人に個人情報を転送する手段を提供することを義務づけています。
此外,个人信息保护法还对死者个人信息的保护作了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。 また、個人情報保護法では、故人の個人情報の保護についても特別な規定が設けられており、故人の生計を尊重することを前提に、故人の近親者が、自己の合法的かつ正当な利益のために、故人の個人情報を閲覧し、複写し、訂正し、削除する権利を行使できることが明記されています。
亮点七: ハイライト7
强化个人信息处理者义务 個人情報取扱事業者の義務の強化
个人信息处理者是个人信息保护的第一责任人。据此,个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。 個人情報取扱者は、個人情報の保護に最初に責任を負う者です。したがって、個人情報保護法は、個人情報取扱者がその個人情報取扱業務に責任を持ち、処理する個人情報の安全を守るために必要な措置を取らなければならないことを強調しています。
在此基础上,个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。 これを受けて、個人情報保護法では、個人情報取扱者の義務をコンプライアンス管理と個人情報のセキュリティ保護の観点から明確にするために特別な章を設け、個人情報取扱者に対して、規則に従った内部管理システムと作業手順の策定、適切な安全および技術的措置の採用、個人情報取扱業務を監督するための責任者の指名、個人情報取扱業務に関する定期的なコンプライアンス監査の実施、機微な個人情報の取り扱いに関する定期的な監査の実施を義務付けています。自動化された意思決定のための個人の利用、個人情報の公衆への提供または開示、その他のリスクの高い取り扱い行為による事前の影響評価の実施、個人情報漏洩の通知義務および是正義務の履行など。
亮点八: ハイライト8
赋予大型网络平台特别义务 大規模ネットワークプラットフォームに課せられる特別な義務
互联网平台服务是数字经济区别于传统经济的显著特征。互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务。 インターネットプラットフォームサービスは、伝統的な経済とは異なるデジタル経済の特徴を持っています。インターネットプラットフォームは、商品やサービスの取引のための技術サポート、取引場所、情報発信、取引集約などのサービスを提供します。
“在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。”杨合庆指出,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务。 「個人情報の処理については、インターネットプラットフォームが基本的な技術サービスを提供し、プラットフォーム内の事業者が個人情報を取り扱うための基本的な処理ルールを設定することが、個人情報保護の重要なポイントとなります。」と 楊和慶氏は指摘し、重要なインターネットプラットフォームサービスを提供し、膨大な数のユーザーと複雑な業態を持つ個人情報取扱者は、プラットフォーム内の取引と個人情報取扱業務を強力にコントロールし、支配しているため、個人情報保護の面でより多くの法的義務を負うべきだと指摘しています。
据此,个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务,包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。 したがって、個人情報保護法は、これらの大規模なインターネットプラットフォームに対して、国の規制に従って個人情報保護遵守の健全なシステムを構築し、個人情報保護を監督するために外部のメンバーを中心とした独立した機関を設置すること、公開、公平、公正の原則に従ってプラットフォームのルールを確立すること、個人情報の取り扱いにおいて重大な違反を犯したプラットフォーム内の製品またはサービス提供者に対してサービスの提供を停止することなど、特別な個人情報保護義務を定めています。また、個人情報の取り扱いが深刻な事業者に対しては、サービスの提供を停止し、個人情報保護の社会的責任に関する報告書を定期的に発行し、社会的な監督を受けます。以上の個人情報保護法の規定は、大規模なインターネットプラットフォームの運営の透明性を高め、プラットフォームのガバナンスを向上させ、外部からの監督を強化し、社会全体が参加する個人情報保護の仕組みを形成することを目的としています。
亮点九: ハイライト9
规范个人信息跨境流动 個人情報の国境を越えた流れの規制
随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大,个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制。 経済のグローバル化とデジタル化の継続的な進展、および中国の対外開放の継続的な拡大に伴い、個人情報の国境を越えた流れはますます頻繁になっていますが、個人情報の国境を越えた流れのリスクは、地理的距離が長く、各国の法制度や保護レベルが異なるため、コントロールがより困難になっています。
“个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。”杨合庆介绍说,一是明确以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在我国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表,负责个人信息保护相关事务;二是明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等;三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准;四是对跨境提供个人信息的“告知-同意”作出更严格的要求,切实保障个人的知情权、决定权等权利;五是为维护国家主权、安全和发展利益,对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。 「個人情報保護法は、個人情報の権利と安全を守るという客観的な要件を満たし、国際貿易や経済交流の現実的なニーズを満たすために、個人情報の国境を越えた流れに関する明確で体系的なルールを構築しています」と、楊和慶氏は説明しています。第1に、中国国内の自然人に製品やサービスを提供したり、中国国内の自然人の行動を分析・評価したりする目的で、中国国外の自然人の個人情報を取り扱う活動が本法の適用を受けることを明らかにし、上記の状況に該当する海外の個人情報取扱者に対して、個人情報保護に関する事項を担当する特別な機関を設置したり、中国国内の代表者を指名したりすることを求めています。第2に、中国国外に個人情報を提供する方法を規定しており、これには、国のネットワーク情報部門が組織するセキュリティ評価、専門機関による認証、標準的な契約の締結、および中国が締結または締結した国際条約・協定に基づく方法が含まれます。第3に、個人情報取扱者に対し、海外の受取人の処理活動が本法に定められた保護基準を満たすことを保証するために必要な措置をとることを要求しています。第4に、個人の情報提供や意思決定などの権利を効果的に保護するために、個人情報の越境提供における「通知・同意」の要件を厳格化することを要求しています。第5に、国家の主権、安全および発展の利益を守るために、個人情報の国境を越えた提供の安全性評価、海外の司法機関または法執行機関への個人情報の提供、個人情報の国境を越えた提供を制限するための措置、および外国による差別的措置への対策について規定されています。
亮点十: ハイライト10
健全个人信息保护工作机制 個人情報保護のための健全な仕組み
个人信息保护涉及的领域广,相关制度措施的落实有赖于完善的监管执法机制。 個人情報の保護は幅広い分野にわたっており、関連する制度的措置を実施するには、健全な規制・執行メカニズムが必要です。
根据个人信息保护工作实际,个人信息保护法明确,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时,对个人信息保护和监管职责作出规定,包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。 個人情報保護法では、個人情報保護の実際の業務に合わせて、国のネットワーク情報部門と国務院の関連部門がそれぞれの責任範囲内で個人情報保護監督を行うことを規定すると同時に、個人情報保護に関する広報・教育の実施、個人情報保護業務の指導・監督、関連する苦情・報告の受付・処理、申請書の評価の整理などの個人情報保護監督業務を規定しています。また、法務省は、個人情報保護に関する広報・教育の実施、個人情報保護業務の指導・監督、苦情・通報の受付・処理、申請等の評価の実施、違法な個人情報取扱活動の調査・処理など、個人情報保護・監督に関する責務を定めています。
此外,为了加强个人信息保护监管执法的协同配合,个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用,并对其统筹协调职责作出具体规定。 また、個人情報保護の監督と執行の連携を強化するため、個人情報保護法では、個人情報保護の監督における国のネットワーク情報部門の調整役割をさらに明確にし、その調整業務についても具体的に規定しています。

|

« 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈 | Main | 米国 シークレットサービスの戦略 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈 | Main | 米国 シークレットサービスの戦略 »