中國的個人信息保護法是什麼?從制定背景到日本企業應採取的對策解說
計劃在中國展開業務,或已經在中國展開業務的企業法務負責人,您可能經常對中國的個人信息保護感到困惑。
本文將全面介紹在中國展開業務時需要了解的法律規範。同時,本所將清晰地解釋應對方法以及日本企業應該注意的事項。請務必參考本文,理解中國的個人信息保護法,並開始採取相應措施。
中國個人信息保護法的制定背景與目的
在此之前,中國並未有如日本個人信息保護法那樣,全面規定個人信息保護的法律。然而,早在此之前就有制定個人信息保護法的動向,並於2021年11月1日,中國首次實施了全面規定個人信息保護的法律——「中國個人信息保護法」。
尤其是「網絡安全法」和「數據安全法」,雖然是偏重國家安全保障要素的法律,但中國個人信息保護法則更加注重個人權利的保護。
中國個人信息保護法的框架,在很大程度上受到了近年來其他國家法律規制的影響,例如「歐盟一般數據保護規則(GDPR)」。然而,關於合法性的依據以及個人權利等細節方面,則有其獨特之處,因此需要針對性的應對策略。
中國的個人信息保護法規範對象
本章將解說中國個人信息保護的規範對象。
若符合以下條件,則會成為規範的對象,請務必注意。
- 以向中國境內個人提供商品或服務為目的
- 以分析、評估中國境內個人的行為為目的
- 法律規定的其他情形
中國的個人信息保護法在某些情況下,不僅在中國境內有效,甚至可能擴及到國外。即使在國外,若是針對在中國的「個人」進行銷售業務或行為分析,同樣適用該法律,因此請特別留意。
理解中國《個人信息保護法》的關鍵點
本章將逐一解說理解中國《個人信息保護法》所需掌握的八大要點。
合法性依據
企業僅在符合中國個人信息保護法所定義的合法性依據之一的情況下,方可處理個人信息。
這些依據共有七項,如下所示:
- 本人同意
- 合約履行
- 法定義務履行
- 公共衛生
- 公共利益
- 處理已公開的個人信息
- 法令等規定的其他情形
由此可見,並未包含GDPR中的「正當利益」。因此,與GDPR相比,預計在更多情況下必須以本人同意為根據來處理個人信息。
此外,同意本身必須被定義為「本人隨時可以輕易撤回」的。因此,需要考慮設計易於撤回同意的用戶介面,或者將撤回方法記載得簡潔明瞭。
資訊提供
企業在處理個人資訊前,必須依照中國個人資訊保護法的要求,以清晰易懂的語言向當事人明確通知相關內容。
此外,企業不僅需說明處理目的,還要提供處理方式、個人資訊的類型、保存期限、行使權利的方法與程序等詳細資訊。
與委託方的合約
在委託處理個人資料時,必須與委託方就處理目的、期限、方法及保護措施等事項,透過委託合約等方式達成共識。
同時,也將承擔監督委託處理的責任。若與其他企業共同處理個人資料,應如同委託處理一般,事先就處理目的、方法及雙方的權利義務達成共識。
跨境轉移時的規範
在中國境內收集的個人資訊,若要提供給國外第三方時,需要遵循以下兩項措施。
首先,必須通知個人資訊的接收方名稱、聯絡方式、處理目的、處理方式、個人資訊的類型,以及個人如何對接收方行使權利的方法和程序。此外,還必須個別獲得當事人的同意。
其次,必須實施以下四項措施中的任一項:
- 通過國家的安全評估
- 獲得專業機構的個人資訊保護認證
- 根據標準合約,與境外接收方簽訂合約
- 滿足國家網絡資訊部門規定的其他條件
根據轉移的個人資訊內容,可能必須進行國家的安全評估。因此,應依照「數據國外轉移安全評估辦法」(Japanese データ国外移転安全評価弁法)確認是否需要國家的安全評估,再選擇適當的措施。
關於權利
中國個人信息保護法賦予個人包括知情權、查閱權、複製權、撤回權、數據可攜權、更正權、刪除權等多項權利。
此外,該法律還承認了GDPR所未涵蓋的「死者的權利」。所謂「死者的權利」,指的是當事人去世後,其近親屬可以代替死者行使相關權利。因此,本所也應當注意對於已故人士的信息保護。
事件報告義務
為了預防個人資訊的洩露,企業需要採取與ISMS(資訊安全管理系統)要求的事項相同或類似的措施。
以下是一些被要求採取的對應措施範例:
- 制定內部規程
- 根據機密程度進行分類管理
- 根據需要進行加密
- 實施假名化等措施
- 對員工進行教育
- 制定事件應對流程等
關於安全管理措施,由於在日本網絡安全法和資料安全法中也有相關規定,因此建議您仔細整理這三項法律的要求,並確認相應的對策。
相關文章:中國資料安全法是什麼?解釋日本企業應採取的對策[ja]
DPO・代表者設置義務
當企業處理的個人資料數量達到一定量時,便有義務任命DPO(資料保護責任人)。
此外,成為域外適用對象的企業必須在中國境內設立代表人,並將名稱、聯絡方式等資訊報備給主管機關。
實施個人資訊保護影響評估的義務
企業在以下五種情況之一適用時,必須事先進行風險評估,並適當控制風險。
必須實施義務的案例如下:
- 處理敏感資訊時
- 進行自動化決策時
- 委託處理個人資訊或向第三方提供個人資訊時
- 將個人資訊跨國轉移時
- 對個人的權利及利益造成重大影響時
中國個人資料保護法的罰則
一旦違反該法律,企業可能面臨高額的處罰(最高可達人民幣5,000萬元或上一財年銷售額的5%)。由於該法律的適用範圍擴及境外,因此在中國開展業務的日本企業需要迅速採取應對措施。
日本企業應採取的個人資訊保護法對策
本章將介紹四項日本企業應採取的個人資訊保護對策。
檢討公司內部架構
首先,應該考慮檢討公司內部架構。由於有設立代表者或資料保護官(DPO)的義務,因此需要重新審視公司內部架構。
例如,可以設立專門負責包含個人資訊在內的資料整體合規性的法務與技術部門,整理業務流程,以及執行詳細的資料映射等多種措施。
更新規定與政策
更新規定與政策也是非常重要的。需要更新符合中國資料三法的規定與政策。
此外,不僅僅是制定反映法律要求的規程,還需要建立所有員工都能執行的操作流程。
掌握運營實況
由於個人資訊保護法於2021年11月1日制定,距今時間尚短,因此需要在掌握運營實況的同時,持續進行對策。同時,公司員工也被規定必須適當處理個人資訊並嚴格遵守法律。
因此,企業應定期對員工進行培訓,加深對最新法律和程序的認識。
建立與專家的合作體系
建立或加強與專家的合作體系也是必不可少的。通過與熟悉中國法規的專家建立合作關係,可以實現迅速的應對。此外,企業需要定期監控和評估個人資訊保護的合規狀況。因此,可以說,建立外部專家的合作體系是必須的。
總結:理解多項法規並採取準確行動
2021年11月1日,中國首次實施了全面規範個人信息保護的《中國個人信息保護法》。對於在全球範圍內開展業務的企業而言,中國的數據相關法規(網絡安全法、數據安全法、個人信息保護法)因市場的重要性和規範的嚴格性,是不容忽視的法律。在某些情況下,應該借助專家的幫助,確保能夠建立起一套完善的實務操作體系。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的法律事務所。近年來,全球商業活動的擴張日益加速,專業的法律審查需求也隨之增加。本所事務所提供國際法務相關的解決方案。
Monolith法律事務所的業務範圍:國際法務・海外事業[ja]