中国における個人情報安全規範の改正
日本においては個人情報保護法の改正(2020年6月12日公布)がなされましたが、中国では、2020年3月6日、「情報安全技術個人情報安全規範」が公布され、2020年10月1日より施行されます。この個人情報安全規範は、あくまでガイドラインに過ぎず、法的効力があるものではないものの、2017年6月1日に施行されたネットワーク安全法を補足する重要な実務指針として機能するものと考えられています。
たとえば、ネットワーク安全法では、「ネットワーク運営者は、個人情報の収集、使用にあたり、合法、正当、必要の原則に従い、収集、使用に関する規則を公開し、情報を収集し、使用する目的、方式及び範囲を明示し、かつ情報収集対象者の同意を得なければならない」と規定しています(同法41条)が、具体的に、情報収集対象者からどのように同意を取得すればよいのかは規定されていません。
この点、個人情報安全規範では、明示的な同意について、電子形式による同意表明も同意であると定めています。また、情報収集対象者(個人情報主体)が情報収集されることを告知された後にも情報収集が行われるウェブページ等のエリアを離れないことをもって黙示的な同意とする等の規定もあります。このように、個人情報安全規範では、同意の取得方法についても一歩踏み込んだガイドラインとなっています。もっとも、実際の運用上、「情報収集されることの告知」をウェブページ上どのように行うのか、どのように情報収集対象者が「ウェブページのエリアから離れない」ことを立証(記録)するのかなど、さらに検討すべきポイントが残されているようにも思います。
このほかにも、個人情報安全規範では、個人の生体認証情報(指紋、虹彩、遺伝子等)を収集するに当たっては事前に情報収集対象者の明示的同意が必要となるほか、収集の目的、方法、保存期間等を個別告知しなければならないとの規定があります。
また、個人情報安全規範は、個人情報主体のインターネット閲覧履歴、趣味、消費記録や習慣等の個人情報に基づいて当該個人情報主体に対して情報内容を展示したり、商品やサービスの検索結果を提供する行為を、「個性化展示(Personalized Display)」と定義づけ、個性化展示を行う場合は、個性化展示した内容と、個性化展示していない内容を区別できるように表示しなければならない等の規定を設けています。
個人情報安全規範には、上記にご紹介した以外にも、個人情報の取得に関して重要な指針が規定されているので、中国において個人情報を取得するビジネスモデルを検討しておられる場合には、必ず個人情報安全規範を確認しておいた方が良いと考えます
文責 河野雄介