2021年11月1日から施行された中国の個人情報保護法は、これまで民法典やネットワーク安全法などで局所的に定められてきたルールを、中国大陸として初めて体系的に整備した特別法として注目を集めている。また同法は、EU（欧州連合）のGDPR（一般データ保護規則）との類似点が多数見られる半面、特徴的な独自の義務や独特の解釈も多く取り入れられており、これを順守するには、十分な理解と慎重な運用が求められる。本稿では、前後編に分けて同法の概要とポイントを中崎尚弁護士に聞いた。

中国個人情報保護法は、成立・公布から3カ月もたたないうちに施行され、対応を迫られる企業の多くは準備不足に陥っている（写真／Shutterstock）

［画像のクリックで拡大表示］

Q1　今回、急きょ施行された印象ですが、どのような経緯で中国において個人情報保護法が導入されることになったのでしょうか。

A1　これまで中国大陸には、特定の場面に限って、個人情報の保護の役割を果たす法令が複数存在していましたが（「ネットワーク安全法」「データ安全法」）、日本やEUのように、個人情報保護について包括的に定める法令は存在していませんでした。必要性が指摘され、ようやく2020年10月に意見募集稿が公表されましたが、その後も3回の審議を経た後の公表を経て、改めて21年8月20日付で全国人民代表大会常務委員会により正式に公表されたものです。

　法令の内容とビジネスへのインパクトを考えれば、通常であれば、日本の個人情報保護法やEUのGDPRがそうであったように、実際の施行まで1～2年の猶予期間を設けることが多いところ、今回制定された中国の個人情報保護法は公布から3カ月もない、21年11月1日から施行され、多くの企業が圧倒的な時間不足、準備不足のまま、今日に至っています。

　このように公布から施行までの期間が非常に短かったこともあり、法律本体では、詳細な解釈や具体的な運用基準についていまだ明らかになっていない事項も多く、これらは他の個別法令で明らかにされるのを待つ必要があります。さらに場合によっては、義務が加重される場合はそれらも併せて適用されるため、注意が必要です。

中国とビジネスの関係がある日本企業に甚大な影響

Q2　どのようなビジネスが影響を受けるのでしょうか。中国大陸に拠点がなければ関係ないと思っていてよいでしょうか。

A2　中国大陸に拠点を設けて進出している日本企業はもちろん、拠点がなくとも域外適用を受ける日本企業、また、個人情報の移転を受ける日本企業も影響を受けることになります。

　中国個人情報保護法の適用範囲ですが、まず中国大陸（「大陸」なので、香港、マカオ、台湾は含まれません）での個人情報取り扱い活動に適用されます。そして、いわゆる域外適用として、中国国内の自然人の個人情報に関する中国国外の取り扱い活動であっても、次の（1）（2）（3）のいずれかに該当すれば適用されることになります（3条）。

（1）中国大陸の自然人に製品またはサービスを提供することを目的とする場合（旅行サービス事業者、ホテル業者、Eコマース事業者など）
（2）中国大陸の自然人の行為を分析、評価する場合（ユーザーによるネット閲覧履歴や動きなどのデータを分析し、ターゲティング広告を打つといった類型）
（3）法律、行政法規に定めるその他の場合

　域外適用の場合、GDPRと同じく代理人の指定が義務付けられるとされていますが、いまだ詳細は不明です。

　また、個人情報の移転についても厳格な規制が導入されるため（後編Q9、Q10で後述）、移転を受ける側の日本企業も少なからず影響を受けることになります。