企業の個人情報保護義務について
個人情報の保護は、中国でここ数年来注目されている話題の一つである。現時点において、中国では包括的な個人情報保護法が制定されていないが、立法において個人情報の法的保護は強化される傾向がみられる。特に、2012年末での『ネットワーク情報保護の強化に関する決定』は、全国人民代表大会常務委員会により公布された法律として、企業による個人情報保護義務を確立した。
『民法通則』及び『権利侵害責任法』に定められている個人情報保護に関する規定は、プライバシー保護に止まっており、且つ企業による個人情報の収集?利用について規制していない。『刑法修正案(七)』は、「国民個人情報販売?違法提供罪」、「国民個人情報違法取得罪」を規定しているが、規制対象者について政府機関、金融、電信、交通、教育、医療等単位に限っている。2011年12月に工業情報化部が公布した『インターネット情報サービス市場秩序の規範化に関する若干の規定』では、インターネットサービス提供者(ISP)に対してユーザーの個人的な情報の収集?利用及び保護に関する制限を設けているものの、インターネットサービス提供者のみを規制対象者としており、それ以外の企業が対象外とされている。
個人情報流出事件が頻繁に起きていることに対して、2012年12月に全国人民代表大会常務委員会で通過された『決定』は、個人電子情報の概念(「個人を識別できる又は個人のプライバシーに関わる電子情報」)を明らかにした上で、インターネットサービス提供者及びそれ以外の企業?事業単位に対して個人情報の収集?利用に関する規制を設けて、企業の個人情報保護義務を明文化した。
しかし、『決定』の保護対象は、個人的な電子情報に限られており、また企業の個人情報保護義務に関する規定も、原則的なものに止まっており、主に以下の通りである。(1)利用目的の明確化。企業は、「国民の個人電子情報を収集?利用する際には、収集?利用の目的、方法及び範囲を明らかにしなければならない」。(2)被収集者の同意を得なければならない。(3)個人情報の収集及び利用規則を開示しなければならない。(4)個人情報の秘密保持の原則。企業及びその従業員は、「業務活動で収集した国民の個人電子情報の秘密を厳格に保持し、漏洩、改ざん、毀損をしてはならず、他人に販売又は不正に提供してはならない」。(5)個人情報の適切な管理。関連企業は、「技術的な措置及びそのほか必要な措置を採り、情報の安全を確保しなければならず」、「情報の漏洩、毀損、紛失が発生し又は発生する恐れのある場合には、直ちに救済措置を採らなければならない」。
通常、企業の個人情報保護制度は主に二つの内容にかかわる。
企業の従業員の個人情報に対する保護。これについて講じられる措置は、以下の通りである:(1)企業としては、企業が個人情報を収集する範囲と目的を従業員に告知し、従業員が敏感な個人情報を披露しないことを認める。(2)入社の際に従業員に確認書に署名させ、従業員から提供される個人情報について企業の収集、使用を従業員に同意させる。従業員個人情報の保管、使用に関する人員、条件及び手続きなどについて規定を定め、且つ厳格に監督、執行する。
企業のユーザーの個人情報に対する保護。これについて考えられる措置は、以下の通りである:(1)統一的なユーザー個人情報の収集規則を制定し、企業のウェブサイト、パンフレット、コンサルティング窓口など合理的な方式で開示する。(2)ユーザーに個人情報収集使用同意書に署名させ、且つそれらの文書を分類してきちんと管理する。(3)ユーザー個人情報を知っている従業員の範囲を明確に限定し、関連の従業員に秘密保持承諾書に署名させる。(4)完全なユーザー個人情報の使用、管理、審査許可制度を設ける。(5)ユーザー個人情報の定期審査、削除制度を設け、法律、法規又は企業の規定年限に符合する古い情報について、適時に削除するなど。