中国 個人情報保護に関する政策法規Q&A（2026年1月）

こんにちは、丸山満彦です。

2026.01.01より、改正ネットワークセキュリティ法の施行、機微な個人情報の取り扱いに関する技術標準の施行、外資系企業などによる個人データの適切な越境処理の確認も含めて？、個人情報保護に関する政策放棄Q&Aが公表されていますね...

 

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.09 个人信息保护政策法规问答（2026年1月）

 

个人信息保护政策法规问答（2026年1月）	個人情報保護に関する政策法規Q&A（2026年1月）
国家互联网信息办公室持续加强个人信息保护相关政策法规宣贯，指导帮助个人信息处理者规范开展个人信息处理活动，保护个人信息权益。现将一些具有代表性的问题和答复公布如下。	国家サイバースペース管理局は、個人情報保護関連の政策法規の周知徹底を継続的に強化し、個人情報取扱者が規範的に個人情報の処理活動を行い、個人情報の権利を保護するよう指導・支援している。代表的な質問と回答を以下に公表する。
1.什么是个人信息？	1. 個人情報とは何か？
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。	個人情報とは、電子的その他の方法で記録された、識別されたまたは識別可能な自然人に関するあらゆる情報を指す。匿名化処理後の情報は含まれない。
个人信息包括但不限于以下类型，如个人姓名、生日、年龄等个人基本资料，身份证、军官证、护照等个人身份信息，人脸、基因、声纹、虹膜、指纹等生物识别信息，用户账号、用户标识符（用户ID）等网络身份标识信息，教育经历、职业、职位等个人教育工作信息，金融账户、消费记录、收入状况、借款信息等个人财产信息，账号口令、数字证书等身份鉴别信息，通信记录、短信、电子邮件等个人通信信息，通讯录、好友列表等联系人信息，网页浏览记录、软件使用记录等个人上网记录，国际移动设备识别码（IMEI）等个人设备信息，交通出行信息等个人位置信息，用户标签、画像信息等个人标签信息，步数、步频等个人运动信息，以及其他与已识别或者可识别的自然人有关的各种信息。	個人情報には以下のような種類が含まれるが、これらに限定されない。・個人名、生年月日、年齢などの基本情報・身分証明書、軍人証、パスポートなどの個人識別情報・顔、遺伝子、声紋、虹彩、指紋などの生体認証情報・ユーザーアカウント、ユーザー識別子（ユーザーID）などのネットワーク識別情報・教育情報、職業情報、健康情報などの個人データ 身分証明書、軍人証、パスポート等の個人身分情報、顔、遺伝子、声紋、虹彩、指紋等の生体識別情報、ユーザーアカウント、ユーザー識別子（ユーザーID）等のネットワーク身分識別情報、学歴、職業、役職等の個人教育・就業情報、金融口座、消費記録、収入状況、借入情報等の個人財産情報、アカウントパスワード、デジタル証明書等の身分認証情報、通信記録、SMS、電子メール等の個人通信情報、 連絡先リスト、フレンドリストなどの連絡先情報、ウェブ閲覧履歴、ソフトウェア使用記録などの個人インターネット利用記録、国際移動体装置識別番号（IMEI）などの個人端末情報、交通移動情報などの個人位置情報、ユーザータグ、プロファイル情報などの個人タグ情報、歩数、歩数頻度などの個人運動情報、その他識別された、または識別可能な自然人に関連する各種情報。
2.什么是敏感个人信息？	2. 機微な個人情報とは何か？
敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。	機微な個人情報とは、漏洩または不正使用された場合、自然人の人格的尊厳が侵害されたり、身体・財産の安全が危害を受ける恐れがある個人情報を指す。これには生体認証情報、宗教的信仰、特定身分、医療健康情報、金融口座情報、行動軌跡情報などが含まれ、14歳未満の未成年者の個人情報も該当する。
国家标准GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》明确了敏感个人信息识别和界定方法，并在附录A中给出常见的敏感个人信息类别，如人脸、基因、声纹等生物识别信息，个人信仰的宗教、加入的宗教组织等宗教信仰信息，残障人士身份信息、不适宜公开的职业身份信息等特定身份信息，病症、既往病史、医疗就诊记录、检验检查数据等医疗健康信息，银行、证券、基金、保险账户的账号及密码等金融账户信息，连续精准定位轨迹信息、车辆行驶轨迹信息等行踪轨迹信息，居民身份证照片、征信信息、犯罪记录信息等其他敏感个人信息。	標準GB/T 45574-2025『データセキュリティ技術 機微な個人情報の処理に関する安全要件』は、機微な個人情報の識別及び定義方法を明確化しており、付録Aにおいて一般的な機微な個人情報のカテゴリーを示している。例えば、顔、遺伝子、声紋などの生体認証情報、個人の信仰する宗教、加入する宗教組織などの宗教信仰情報、障害者身分情報、公開に適さない職業身分情報などの特定身分情報、 疾病・既往歴・診療記録・検査データ等の医療健康情報、銀行・証券・投資信託・保険口座の番号及びパスワード等の金融口座情報、連続的な精密位置情報・車両走行軌跡情報等の行動軌跡情報、住民身分証写真・信用情報・犯罪記録情報等のその他の機微な個人情報である。
3.应用人脸识别技术处理人脸信息前如何进行个人信息保护影响评估？	3.顔認識技術を用いた顔情報の処理前に、個人情報保護アセスメントをどう行うか？
《人脸识别技术应用安全管理办法》第九条规定，使用人脸识别技术前应当进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估由应用人脸识别技术的个人信息处理者组织开展，可有第三方机构参与。若有第三方机构参与，需在评估报告中说明第三方机构的基本情况及参与评估的情况。	『顔認識技術応用セキュリティ評価弁法』第9条は、顔認識技術使用前に個人情報保護アセスメントを実施し、処理状況を記録すべきと規定している。個人情報保護アセスメントは、顔認識技術を利用する個人情報処理者が実施し、第三者機関の参加が可能である。第三者機関が参加する場合、評価報告書に当該機関の基本情報及び評価への参加状況を記載する必要がある。
主要评估四方面内容，一是人脸信息的处理目的、处理方式是否合法、正当、必要；二是对个人权益带来的影响，以及降低不利影响的措施是否有效；三是发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害；四是所采取的保护措施是否合法、有效并与风险程度相适应。	主に四つの側面についてアセスメントを行う。第一に、顔情報の処理目的・処理方法が合法的・正当・必要か。第二に、個人の権益への影響及び不利な影響を軽減する措置の有効性。第三に、顔情報の漏洩・改ざん・紛失・毀損、あるいは不正取得・販売・使用のリスク及び引き起こし得る危害。第四に、講じた保護措置が合法的・有効であり、リスクの程度に見合っているか。
4.符合什么条件的个人信息处理者需指定个人信息保护负责人和报送负责人信息？	4. どのような条件を満たす個人情報処理者は個人情報保護責任者を指定し、責任者情報を報告する必要があるのか？
《中华人民共和国个人信息保护法》第五十二条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。	『中華人民共和国個人情報保護法』第52条は、個人情報の処理が国家サイバー空間管理局が定める数量に達した個人情報処理者は、個人情報保護責任者を指定し、個人情報処理活動及び講じた保護措置等の監督を担当させなければならないと規定している。『個人情報保護コンプライアンス監査管理弁法』第12条は、100万人以上の個人情報を処理する個人情報の取扱者が個人情報保護責任者を指定し、当該取扱者の個人情報保護コンプライアンス監査業務を担当させることを規定している。
2025年7月18日，国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》，明确个人信息保护负责人信息报送要求、报送时间、报送方式等。个人信息保护负责人信息报送采用线上方式。可直接访问“个人信息保护业务系统”（[web]），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（[web]）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。	2025年7月18日、国家サイバースペース管理局は『個人情報保護責任者情報報告業務の実施に関する公告』を発表し、個人情報保護責任者情報の報告要件、報告時期、報告方法等を明確化した。個人情報保護責任者情報の報告はオンライン方式を採用する。「個人情報保護業務システム」（web）に直接アクセスし、システムホームページに掲載されている『個人情報保護責任者情報報告システム記入説明（第一版）』に従い、関連資料を準備して情報報告手続きを行うか、中国網信網（[web]）ホームページの「全国網信政務サービスホール」欄から「個人情報保護業務システム」にアクセスすることもできる。