• 明倫国際法律事務所

コラム

COLUMN

中国個人情報保護法②
~中国企業の従業員個人情報にかかる留意点~

国際ビジネス

2022.07.08

執筆者:弁護士 森 進吾

 中国の個人情報保護法[1](以下「本法」という。)は、当然ながら、中国企業に対し、自社に勤務する各従業員の個人情報を処理するにあたって一定の規制を課している。また、中国国内で収集した個人情報を中国国外へ移転する場合にも、厳しい規制を設けている。

 これらの規制からすれば、もし日本の親会社が企業グループ内の人事管理の一環として中国子会社の従業員の個人情報を処理するにあたって、中国個人情報保護法に反した処理をした場合には、中国子会社が本法に違反したことを理由に罰金等の行政処分を受けるリスクがある。

 そこで、本コラムでは、中国企業に勤務する従業員の個人情報の処理に関する留意点について解説する。

 なお、中国個人情報の概観及び特徴については、弊所のコラム「2021年11月1日施行、中国個人情報保護法① ~日本企業及び日系中国企業が留意すべきポイント~」をご覧いただきたい。

第1 個人情報の処理にあたって本人の同意が不要な場合(第13条1項2号)

 本法は、個人情報を処理するためには本人の同意が必要であることを原則としつつ、例外的に、①「個人を当事者の一方とする契約の締結、履行のために必要であるとき」(以下「例外①」という。)又は②「法に従い制定された労働規則制度に基づき人材資源管理を実施するために必要であるとき[2]」(以下「例外②」という。)には、本人の同意を取得する必要はない旨を定めている(第13条1項2号)。

 例外①に関して、中国の労働契約法[3]第8条は「使用者は、労働契約に直接関連のある労働者の基本的状況を知る権利を有し、労働者は事実のとおり説明しなければならない」と定めている。そうすると、労働契約に直接関連のある労働者の個人情報は、労働契約を締結するにあたって必要な個人情報として、例外①に該当するといえる。

 この点に関して、労働契約に直接関連のある労働者の個人情報とは、一般的には、氏名、住所、連絡先となる電話番号やメールアドレス・身分証番号(又はパスポート番号などの身分を証明するための番号)、業務との関係で必要な健康状況・知識技能・学歴・職歴等の情報を含むため(労働契約法17条、上海市労働契約条例[4]第8条等)、これらの個人情報の処理にあたって、従業員の同意を取得する必要はないと考えられる。

 例外②に関して、使用者である中国企業は、一般的には、「法に従い制定された労働規則制度に基づく人材資源管理」を実施するために、給与、賞与の情報、従業員の銀行口座情報、病気休暇に関する情報、婚姻状況・妊娠出産の状況、出張時の移動情報、緊急時の連絡先等の情報を把握し処理する必要があると考えられる。

 もっとも、本法は、収集する個人情報の範囲は必要最小限度のものでなければならないという大原則を定めている(第6条)。そのため、事業内容や雇用形態等を踏まえて、最終的には、各企業に応じた判断が必要である。例えば、従業員管理の必要性がないにもかかわらず女性従業員の婚姻状況や妊娠出産に関する情報を収集することは違法といえるし、採用面接時に出産計画を尋ねることは違法になる可能性がある。

 また、後述するとおり、例外①及び例外②に該当して同意の取得が不要な場合であっても、個人情報の処理に関するルール等は従業員に公開しておく必要がある。

第2 「個別の同意」が必要な場面における従業員の個人情報の処理について

 上記のとおり、例外①又は例外②の場合では従業員本人の「同意」を取得する必要はないものの、本法は、個人情報の無断使用が個人の利益に重大な影響を及ぼす可能性がある場合には、単なる「同意」ではなく、「個別の同意」の取得を要求している。具体的には以下の5つの場合である。

A 個人情報を他の個人情報処理者[5]に対して提供する場合(第23条)

B 処理する個人情報を公開する場合(第25条)

C 公共の場所で画像を収集し、個人の身元を識別する設備を設置して収集した個人の画像等の情報を、公共安全の維持以外の目的に使用する場合(第26条)

D センシティブ個人情報を処理する場合(第29条)

E 個人情報を中国国外へ提供する場合(第39条)

 企業の従業員個人情報の処理との関係では、Aは、社員旅行のために保険に加入する際に従業員個人情報を保険会社に対して提供する場合がこれに該当する可能性があり、Bは、従業員の氏名や顔写真等を企業紹介のために自社ウェブサイトで公開したり宣伝広告資料に掲載したりする場合がこれに該当する可能性があり、Dは、従業員からの傷病休暇申請の根拠として診断書等のエビデンスの提供を求める場合がこれに該当する可能性があり、Eは、中国企業が自社に勤務する従業員の個人情報を親会社である日本企業に対して提供する場合がこれに該当する可能性がある。

 これらの場合に必要となる「個別の同意」とは、特定の処理目的にかかる個別具体的な同意を指し、複数項目の個人情報又は多種類の処理活動を一括して取得する同意では足りないと考えられる[6]。そのため、例外①又は例外②の場合でも、A~Eに該当するときには、各従業員からの個別具体的な同意を取得する必要ではないかという点が議論されている。

 この点に関する一つの見解として、A~Eに該当するときに「個別の同意」が必要となる趣旨は、そもそも「同意」の取得が必要な場面を前提にして、より慎重に同意を取得するよう求めているのであって、そうすると、例外①又は例外②はそもそも「同意」の取得が不要な場合であるため、「個別の同意」も同じく不要であるという見解が示されている[7]

  もっとも、反対に、どのような場合であっても、A~Eに該当するときには「個別の同意」は必要であるとの見解も示されており[8]、特に、上記Eの場合(例えば、中国企業が自社に勤務する従業員の個人情報を親会社である日本企業に対して提供する場合)には、労働契約の履行のために必須であるとか人材資源管理のために必須であるという整理が困難である(例外①又は例外②の範囲を超える)ようにも思われる。なお、中国国外から中国国内の個人情報にアクセスすることができる状況にあれば、個人情報の国外移転と評価される可能性がある[9]

 そのため、本法に関する解釈が固まっていない現状では、中国子会社を有する日本親会社が企業グループ内の人事管理の一環として、中国子会社の従業員の個人情報の提供を受けるにあたっては、中国子会社が当該従業員から個人情報の越境移転に関する「個別の同意」を事前に取得していることが望ましい。

 また、日本親会社が中国子会社の従業員の個人情報の提供を受ける場合には、上記の「個別の同意」を取得することに加えて、親子会社間で個人情報の処理に関して中国政府が定める標準契約を締結するなどのその他の措置も必要になる。この中国政府が定める標準契約については、2022年6月30日に案が公表された[10]。この標準契約の案を踏まえた個人情報の越境移転規制に関しては、別コラムで検討する予定である。

第3 労働契約書と個人情報に関する社内規程(例:個人情報処理規程)について

 第1で述べた例外①又は例外②に基づき従業員の同意なく個人情報を処理する場合であっても、企業としては、従業員に対し、個人情報処理規則を公開し、取扱の目的、方法及び範囲を明示しなければならない(第7条、第17条3項)。

 この点に関して、まず、労働契約書の中で、個人情報に関する条項を追加することが考えられる。例えば、追加する内容として、例外①及び例外②に該当する場合に必要最小限度の範囲で個人情報を処理する場合がある旨の条項や、個人情報の処理に関する社内規則を策定している場合には当該社内規則の存在及び内容を示されたことを確認する条項(もちろん実際に労働契約締結時に社内規則を示す必要がある)などが考えられる。また、日系中国企業の場合に、従業員の一定の個人情報を日本親会社へ提供する必要がある場合には、「親会社の名称・連絡先・処理目的・処理方法・提供する個人情報の種類及び個人情報に関する本人の権利の行使方法及び手続等」を記載したうえで、労働契約書の締結時に、個人情報の越境移転に関する個別の同意を取得することも考えられる。

 次に、従業員の個人情報の処理に関する社内規則を制定しておく必要がある。特に、具体的にどのように場合に、「人材資源管理を実施するために必要」があるとして従業員の個人情報を処理するのかについて、各社の事情は様々であると思われるため、各社の事情を踏まえて想定される具体例を記載しておくことが望ましい。そのうえで、従業員の個人情報の処理の方法及び範囲等を明示しておく必要がある。

 なお、従業員の密接な利益に直接関わる規則については、その制定及び改定に際して、全従業員と討論する機会を設け、労働者代表と協議するなどの手続を経たうえで、社内で公開しておく必要がある(労働契約法第4条2項及び4項)。個人情報の処理に関する規則は、従業員の密接な利益に直接関わる規則に該当する可能性があると思われるため、上記のような民主的な手続を経て制定することが望ましい。

第4 退職した従業員の個人情報について

 本法は、個人情報の利用が可能な期間(保存期間)についても規制を設けているところ(第17条1項2号、第19条。)、例外①又は例外②に該当する場合には、従業員の雇用期間中は、個人情報の利用が可能であると考えられる。

 問題は退職従業員の個人情報であるが、中国の労働契約法は、従業員が離職した際、2年間は、労働契約の文書の保管義務を定めている(労働契約法第50条)。また、退職時に従業員との合意によって競業避止義務を定めた場合であっても、競業避止義務を課すことができる期間は2年間とされている(労働契約法第24条)。

 以上の法令の内容からすれば、退職従業員にかかる個人情報は、必要最小限度の範囲で、2年間は保持することができると考えられる。他方で、2年間を経過した場合、企業は、退職従業員の個人情報を保存する特段の必要性がない限り、個人情報を削除する義務を負う(第47条)。そのため、2年間を超えて退職従業員の個人情報を処理する必要性がある場合には、退職時に書面で、個人情報の処理方法や保存期間等について同意を取得しておくことも考えられる。


[1] http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

[2] なお、「法に従い制定された労働規則制度に基づき人材資源管理を実施するため」のほか、「法に従い締結された集団契約に基づき人材資源管理を実施するため」といえる場合にも、同意の取得が不要であるが、実務上、集団契約(労働契約法第51条)を締結している日系中国企業は多くはないと思われるため、本コラムでは省略する。

[3] http://www.mohrss.gov.cn/SYrlzyhshbzb/zcfg/flfg/fl/201605/t20160509_239643.html

[4] http://www.npc.gov.cn/zgrdw/npc/xinwen/dfrd/sh/2008-09/27/content_1451700.htm

[5] なお、第21条(個人情報の処理の委託)が、第23条(他の個人情報処理者への提供)とは別に定められている趣旨からすれば、第21条の「受託者」は、第23条の「他の個人情報処理者」に含まれないと考えられる。

[6]「ネットワークデータ安全管理条例(原文:网络数据安全管理条例)」の意見募集稿(2021 年 11 月 14 日公表)は、「個別の同意」の定義として、データ処理者が具体的なデータ処理活動を実施する際に各項目の個人情報につき取得する本人の同意を指し、複数項目の個人情報、多種類の処理活動に対して一括して取得する同意を含まないと定める(同条例第73条8号)。

[7] http://www.zhonglun.com/Content/2021/10-28/1454140850.html

特に、「主流观点认为“单独同意”属于“同意”的一种。处理者已根据其他五种合法性事由豁免取得个人同意的,就无需再取得个人单独同意。这也是笔者较为认同的观点。在此我们仍然以为员工购买商业保险为例:如果企业在劳动合同中约定为员工办理补充商业保险,则企业可以依据该约定将员工相应的个人信息用于办理商业保险,包括将员工的个人信息提供给保险公司——这属于向其他个人信息处理者提供个人信息,但无需再取得员工的单独同意。」という箇所をご参照。

[8] https://www.lawyers.org.cn/info/813e90f21af64e72a7942197d069de1e

特に、「在目前尚欠官方解释或执法实践的情况下,我们认为企业宜选择更为谨慎的解读,即在法定需要获得个人主体单独同意的情形下要求员工签署单独的同意书(同时也建议企业在规章制度中予以规定)。毕竟,“单独同意”所涉及的均是对个人利益影响较为重大的事项,对这些个人信息处理活动本身的必要性要求就应当高于仅基于“同意”的处理活动。」という箇所をご参照。

[9] データ国外移転安全評価ガイドライン(原文:数据出境安全评估指南)の意見募集稿(2017年 8月25日公表)3.7条では、国外移転とみなされる場合として、データは中国国外に転送・保存されないが、中国国外の楼関、組織、個人がアクセス・閲覧できる場合を含むとしており、国外移転の判断において参考になる。

[10]  http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm

  • 東京、福岡、上海、香港、シンガポール、ホーチミン、ハノイの世界7拠点から、各分野の専門の弁護士や弁理士が、企業法務や投資に役立つ情報をお届けしています。
  • 本原稿は、過去に執筆した時点での法律や判例に基づいておりますので、その後法令や判例が変更されたものがあります。記事内容の現時点での法的正確性は保証されておりませんのでご注意ください。

一覧に戻る

ページの先頭へ戻る