※免責：筆者は弁護士資格を有していないため、法的なアドバイスではなく動画から情報を整理した内容としてご覧ください

今日から中国でプライバシー保護法が施行され、欧州先行で動き始めたデータ保護の広がりが中国国内にも波及していくことになります。

最近は中国国内の動きに関する質問をいただく機会も増えたので、今回は中国での動きに関して一部ご紹介していきたいと思います。

中国国内のプライバシー法単体で理解するよりも、欧州のデータ保護法と比較する方がわかりやすいかと思い、リーガルドキュメントサービスを展開するSixFityさんのこちらの動画を参考にポイントを紹介します。

（動画：Privacy Laws Compared: GDPR vs PIPL）

欧州データ保護法と中国プライバシー法の概要

類似点

・欧州、中国双方のデータ保護に関する法律は欧州、中国国内の個人情報に対して適用される

・欧州、中国双方域外で処理される個人情報に対しても適用される

・欧州、中国双方個人情報に関する定義は個人を識別できる（Identifiable）という点で類似

異なる点

・欧州と中国国内での政府による管理の体制

・欧州の場合は直接識別できる（Direct Identifiable）と間接的に識別できる（Indirect Identifiable）が分けて説明されているが中国の場合はない

・センシティブな情報に関する定義は欧州の場合は明確に（スペシャルカテゴリー情報）されているが、中国の場合は定義が広く個人及び資産の安全（Security）に関しても触れている

・中国のプライバシー保護法では欧州のデータ保護法よりも幅広くデータ処理に関する定義に触れている（データ運用に限らず、Processingではなく、Handlingと紹介）

・中国のプライバシー保護法ではデータ処理の中に正当な利益（Legitimate Interest）、公共の利益（Public Interest）が含まれておらず、一方で人材マネジメント（Human Resource）、公共の医療の問題（Public Health Incident）、緊急時の資産の保護（Protect Property）が含まれている

・欧州ではデータ処理の際に人権（Human Right）を基に定義しているが、中国の場合は資産（Property）を安全に守ることを定義している

全体の概要に関して気になった点は以下の内容です👇

スコープとして気になった点は、欧州と中国で類似の部分はありつつも中国のプライバシー法では個人の権利よりも、資産を安全に守るという考え方が起点になってデータ処理を見ているという点です。

もう一つは、欧州のデータ保護法で定義されているセンシティブな情報（スペシャルカテゴリー）に関しても違いがあるので、この辺りは今後のガイドラインで明確になっていく気がします。

データの処理と個人の権利に関して

類似点

・欧州も中国もデータ管理者（Data Controller）とデータ処理者（Data Processor）のように役割を定義している

データの権利は欧州、中国共に同等の権利を認めている（中国の場合は政府のサイバースペース機関が認めた条件下に限定）

異なる点

・欧州のデータ保護法では別のデータ処理者（Sub Processor）でデータ処理を行うためには許可が必要になるが、中国のプライバシー法では記されていない（今後ガイドライン等で公表される可能性）

データの処理と個人の権利に関して気になった点は以下の内容です👇

中国のプライバシー法が施行されることによって、全世界で新たに18％の個人のデータが保護されることになる。

テクノロジーを活用した自動化のデータ処理（人を介さず）の場合は、同意の取り消しを要求することもできるということで、中国のテクノロジー環境にも一定数影響がありそうです。

対策が必要なドキュメント類とポリシー

類似点

・欧州のデータ保護インパクト評価同様に、中国国内でもプライバシー影響評価が必要がある

・欧州、中国どちらも情報漏洩が起きた際の対応等をまとめたセキュリティポリシーの準備が必要がある

・プライバシーポリシーへの記載が求められる項目に関しては、欧州、中国ともに類似している（中国の場合は正当な利益に関する項目はない）

・欧州、中国共にプライバシー影響度評価の項目を定めている

異なる点

・中国の場合はデータを第三者に共有する際に、第三者の企業名やウェブサイト、コンタクト先を掲載する必要がある

・欧州データ保護法の場合は第三国にデータ移転する際に欧州と同等のデータ保護を行なっている国ではない場合にポリシーで通知する必要があるが、中国のプライバシー保護法の場合はどの国にデータ移転する場合にも企業名と連絡先をポリシーで通知する必要がある

・中国のプライバシー法では公共空間で画像データを取得する場合は、わかりやすくサイネージでの通知が必要である

・欧州のデータ保護法ではデータ処理者との契約を事前に審査する必要があるが、中国の場合はデータ管理者が管理する形で対応する（今後ガイドライン等が発表される予定）

・欧州のデータ保護法ではプライバシーバイデザインを実現するために、プライバシーデフォルトに関する内部ポリシーが必要であるが、中国の場合は特に要求されていない

・中国のプライバシー法ではデータ漏洩が起きた際の計画をポリシーにまとめる必要があることに加えて、一定数の個人のデータを処理する仕組みを設ける際には独立した監査体制を準備する必要がある

・欧州では公共空間から大規模で取得するデータのリスク評価を実施する必要があるが、中国では特に明記はされておらずいつでも特定のデータ処理者に取得した情報を公開する必要がある（公開先のデータ処理者のプライバシー影響度評価が必要）

・現時点で欧州はプライバシー影響度評価の内容を明確に規定しているが、中国の場合は今後ガイドライン等が発表されていく予定

対策が必要なドキュメント類とポリシーに関して気になった点は以下の内容です👇

中国に住んでいる人の個人データを処理する際には事前にプライバシー影響度評価を実施することが良いという話

社内のデータ監査は欧州と中国で細かい点が明記されていない違いが幾つかあるので、中国のプライバシー法に関しては引き続きガイドラインの発表を待つことが望ましいという話

罰則規定

類似点

・欧州、中国どちらも罰則規定が存在し、罰則対象には罰金が課される

異なる点

・中国のでは罰則金の%が全世界か国内かはまだ示されていない

・中国では情報を取り扱う個人に対しても少額の罰則金が課される可能性がある

・中国の執行機関が罰則金額を没収するだけでなく、国内でのビジネスを停止される可能性もある

罰則規定に関して気になった点は以下の内容です👇

中国の執行機関とどのように付き合うべきかは、今後ガイドライン等が公表されていくと思うので、引き続きチェックしていく必要がある

情報を管理する個人にも罰則がかかるということで、情報を取り扱う責任者はより重要な役職を担うことになりそう

中国のプライバシー法とこれから

中国では徐々にプライバシー法の制度に関する情報公開やガイドラインの発表も進んでいくと思うので、この辺りの動きは引き続きキャッチアップが必要になりそうです。

欧州との比較だけでなく国内事情や実際の判例などを見ていく必要も出てくるかと思うので、今後の動きに関してはアップデートして紹介していければと思います。

特にプライバシー影響度評価等は新たなシステムを設計し企業に提供していく際に大きなポイントになりそうなので、実務的な動きも含めて引き続き動向をチェックしていきたいと思います。ご参考になれば幸いです。

海外のプライバシー動向が気になる方は、気軽にご連絡ください。