中国「国家データ局(国家数据局)」設立についての新華社電試訳
自分のためのメモとして記事にしておく。
2023/3/7新華社電によれば、国務院が提起した国務院機構改革案にもとづき、「国家データ局」が設立されたとのこと。
まず、中国インターネット情報弁公室(CAC: 中共中央网络安全和信息化委员会办公室)が担当していた、デジタル中国建設のための研究調査、公共サービスの情報化促進、AI都市建設、国家の重要情報資源の開発、利用、共有、情報資源の業界、部門をまたぐ相互利用などの職責が「国家データ局」に移行される。
さらに、国家発展改革委員会が担当していた、デジタル経済開発、国家ビッグデータ戦略の構築、デジタルインフラの推進、デジタルインフラ施設整備の推進などの職責も移行される、とのこと。
以上
中国版SCC「個人情報域外移転標準契約規則」2023/6/1より正式施行
中国で2023/1/10施行の深層学習によるメディア合成規制法を読んでみた
2022/11/25、中国政府がディープラーニングによる音声、画像、動画の合成を規制する規則を公布、2023/1/10施行すると発表した。
規則の正式名称は「互联网信息服务深度合成管理规定」(インターネット情報サービス深層学習合成管理規定)。
規則の全文はこちらで読める。
互联网信息服务深度合成管理规定_信息产业(含电信)_中国政府网
規制対象は中国国内のインターネットサービス提供者で法人、個人とも含む。深層学習を利用して違法な情報や、フェイクニュースを制作、複製、配布、送信することを禁じている。
第五章によると、この規則において「深度合成」として列挙されているものは以下のとおり。
(一)文章生成、文体の変換、Q&Aなど、文書コンテンツを生成、編集する技術
(二)テキスト・トゥー・スピーチ、翻訳、音声属性など、スピーチコンテンツを生成、編集する技術
(三)音楽の生成、BGMの編集など、非言語の音声を生成、編集する技術
(四)人物の顔、顔の入れ替え、人物属性の編集、表情の操作、ポーズの操作など、画像、動画コンテンツの中の生体の特徴を生成、編集する技術
(五)画像生成、画像の拡張、画像の修復など、画像、動画コンテンツ内の非生物の特徴を生成、編集する技術
(六)3DCGによる再現、デジタルシミュレーションなど、デジタル化された人物、バーチャルシーンを生成、編集する技術
規制の内容としては、サービスプロバイダに対してセキュリティ管理体制や内部審査体制、クレーム対応体制などの整備を求めるもので、とくに変わったところはない。
ただ、自組織または委託先専門組織によるセキュリティ評価が必要なのは、以下二種類のサービス。
- 顔、人間の声など生体識別情報の生成、編集
- 国家安全、国家のイメージ、国家利益と社会の公共利益に影響する可能性のある、特殊な物体、シーンなど非生体識別情報の生成、編集
AIによる合成であることを分かりやすく表記しなければならないのは、以下のようなサービス。
- AIによる対話、文書生成など、人間による文章の生成、編集を模したサービス
- 合成音声、声の模倣など、個人の特徴を生成、編集するサービス
- 顔の生成、顔の変換、顔の操作、ポーズの操作など、人物の画像、動画を生成したり、個人の特徴を著しく変更する編集サービス
- 没入式バーチャルリアリティーの生成、編集サービス
- その他情報コンテンツを生成あるいは著しく変更する機能のサービス
中国の表現規制関連の法律として、それほど特殊な内容ではないと感じた。
2022/12/13追記 第十四条に個人情報保護関連の定めがあり、生体情報を処理する場合は事前に本人同意を得ること、となっている。
GDPR、EU域外での個人データ漏えい時の当局に対する通知ガイドライン改訂
EDPB(欧州データ保護会議)が2022/10/10に、個人データ漏えい時の当局に対する通知ガイドライン改訂案を採択、パブコメを開始した。EU域外での個人データ漏えい時の対応がより厳しくなる。
採択されたのは「Guidelines 9/2022 on personal data breach notification (個人データ漏えい通知に関する2022/9ガイドライン)」。
Guidelines 9/2022 on personal data breach notification under GDPR | European Data Protection Board
これによって2017/3に旧第29条作業部会が作成、採択されていた同じガイドライン「Guidelines on Personal data breach notification under Regulation 2016/679」が廃止される。
ARTICLE29 - Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)
といっても、改訂されたのは一か所だけ。
EU域外でGDPRの保護対象となるデータ主体の個人データ漏えいが起こった場合を定めた、Section II.C.2の第73段落部分のみだ。(なお今回の新ガイドラインはすべての段落に番号がふられているが、旧ガイドラインに段落番号はない)
旧第29条作業部会ガイドラインの該当部分はこんな内容。
第29条作業部会は、(データ漏えい時は)コントローラーの代表者が存在するEU加盟国の監督当局に通知するよう推奨する。
新ガイドラインの該当部分はこんな内容。
コントローラーの代表者が一つのEU加盟国に存在しさえすれば、ワンストップ制度が発動されるわけではない。このため、漏えいの影響をうけたデータ主体が居住する、すべてのEU加盟国の監督当局に通知する必要がある。この通知はコントローラーがその代表者に課す義務を遵守し、コントローラーの責任のもとで行われなければならない。
たとえば、日本企業がGDRP対応でドイツ拠点に代表者を置いている状態で、日本でドイツ、フランス、イタリアの居住者をふくむ個人データ漏えいを起こしてしまった場合を考えてみる。
いままでは代表者がいるドイツの監督当局に通知すればよかったが、今後はドイツ、フランス、イタリアの監督当局それぞれに通知する必要があるということになる。
通常時のGDPR対応においては、代表者が設置されているEU加盟国の監督当局に対してワンストップでおこなうことができるが、いざ個人データ漏えいとなると、ワンストップは許されず、関係するすべてのEU加盟国の監督当局への通知が必要となるらしい。
ちなみに当然のことだが、日本がGDPRの十分制認定を受けているからといって、個人データ漏えい時の通知が免除されるわけではないので、日本も今回の対応が必要になる。
2022/08/01施行の中国「インターネットユーザーアカウント情報管理規定」とは
2022/08/01に施行された中国「インターネットユーザーアカウント情報管理規定」とは一体どういう法律なのか、ポイントになる部分だけを日本語抄訳する。
この法律はユーザーが発信するコンテンツに対する規制ではなく、ユーザアカウントに関する情報、つまり、アカウント名、プロフィール、アイコンなどの中身を規制するもの。身分を偽ってユーザー登録することも規制されている。
また、直接の規制対象はユーザーではなくサービスプロバイダで、罰則もプロバイダに対するものだが、アカウント閉鎖や再登録禁止などによって間接的にユーザーも規制されることになる。
例によって筆者は法律の専門家ではないので実務に利用されませぬよう。
第四条 インターネットユーザーの登録、使用とインターネット情報サービスプロバイダのインターネットユーザーアカウント情報の管理は、法律法規を遵守しなければならず、公序良俗に従い、誠実と信用をもって、国家安全と社会の公共利益あるいは他社の合法的権益を損なってはならない。
第六条 インターネット情報サービスプロバイダは法律、行政法規と国家の関連規定に基づき、インターネットユーザーアカウント管理規則、プラットフォーム規約を制定、公開し、インターネットユーザーとサービス契約に署名し、アカウント情報の登録、使用と管理に関連する権利義務を明確にしなければならない。
第七条 インターネット個人ユーザーが登録、使用するアカウント情報は、職業情報も含めて、個人の真の職業情報と一致しなければならない。
インターネット組織ユーザーが登録、使用するアカウント情報は、その組織の名称、ロゴ等と一致し、組織の性質、経営範囲と所属業種のタイプ等と符合しなければならない。
第八条 インターネットユーザーが登録、使用するアカウント情報は、以下の状態であってはならない。
(一)『サイバー情報コンテンツ生態系管理規定(网络信息内容生态治理规定)』第六条、第七条の規定に違反すること
(訳注:「网络信息内容生态治理规定」は下記リンク参照。第六条、第七条は公序良俗に反し、国家安全・国家機密を侵害するコンテンツの種類が列挙されている部分)
(二)政党、党、政府、軍組織、企業組織、人民団体と社会組織の名称、ロゴ等を騙り、偽装し、捏造すること
(三)国家(地区)、国際組織の名称、ロゴを騙り、偽装し、捏造すること
(四)ニュースサイト、出版社、放送局、通信社等ニュースメディアの名称、ロゴ等を騙り、偽装し、捏造すること、あるいは「ニュース」、「報道」等ニュースの属性をもつ名称、ロゴ等を許可なく使用すること
(五)国家行政区域、機構の所在地、象徴的な建築物等の重要な場所の地名、ロゴ等を騙り、偽装し、悪意のある関連づけをすること。
(六)公共の利益を毀損し、あるいは不正な利益を得る等の目的で、QRコード、インターネットアドレス、メールアドレス、連絡方法等を故意にすり替えること。あるいは、同じ発音、似た発音、似た文字、数字、記号、アルファベット等を使用すること。
(七)有名無実、誇大な表現等、公衆をだまし、あるいは誤解を産むようなコンテンツを含むこと
(八)法律、行政法規と国家の関連する規定が禁止するその他のコンテンツを含むこと
第九条 インターネット情報サービスプロバイダはインターネットユーザーのために情報発信、インスタントメッセージ等のサービスを提供する場合、登録申請にかかわるアカウント情報のユーザーに対して携帯電話番号、身分証番号、統一社会信用コード等の方法で真実の身分情報を認証しなければならない。ユーザーが真実の身分情報を提供しない場合、あるいは組織機構、他社の身分情報になりすまして虚偽の登録を行った場合、関連サービスを提供してはならない。
第十条 インターネット情報サービスプロバイダはインターネットユーザーが登録時に提出し、使用中に変更するアカウント情報に対して審査を実行しなければいけない。本規定第七条、第八条の規定の違反を発見した場合、登録あるいはアカウント情報の変更を許可してはならない。
アカウント情報に「中国」「中華」「中央」「全国」「国家」等の内容を含む場合、あるいは党旗、党徽、国旗、国歌、国徽等、党と国家の省庁やマークを含む場合、法律、行政法規と国家の関連する規定に基づいて厳格に審査しなければならない。
インターネット情報サービスプロバイダは必要な措置を講じ、法に基づいて閉鎖されたアカウントの再登録を防止しなければならない。登録とそれに関連度が高いアカウント情報に対して、関連する情報を厳格に審査しなければならない。
第十四条 インターネット情報サービスプロバイダはインターネットユーザーのアカウント情報の管理主体としての責任を履行し、サービスの規模にふさわしい専門的な人員と技術能力を配備し、真実の身分情報の認証を完全に確立かつ厳格に実行し、アカウント情報の審査、情報内容の安全性、環境管理、応急処置、個人情報保護等の管理制度を確立しなければならない。
第十五条 インターネット情報サービスプロバイダはアカウント情報の動態的な審査制度を確立し、適時に既存のアカウント情報を審査し、本規定の要求に符合しないものを発見した場合は、サービス提供を一時停止するとともにユーザーに期限を定めて修正するよう通知しなければならない。修正を拒否した場合は、サービス提供を停止しなければならない。
第十六条 インターネット情報サービスプロバイダは法に基づいてインターネットユーザーのアカウント情報内の個人情報を保護し処理し、かつ不正アクセスおよび個人情報漏えい、改ざん、紛失を防止する措置を取らなければならない。
第十七条 インターネット情報サービスプロバイダはインターネットユーザーが登録、使用するアカウント情報が法律、行政法規と本規定に違反することに気づいた場合、法に基づいた警告、期限を定めた修正、アカウント昨日の制限、一時使用停止、アカウント閉鎖、再登録の禁止等の措置を講じなければならず、関連する記録を保存し、かつ速やかに通信情報部等の主管部門に報告しなければならない。
第十八条 インターネット情報サービスプロバイダはインターネットユーザーのアカウント情報の信用管理体系を完全に確立し、アカウント情報に関連する信用評価をアカウント信用管理のための重要な参考指標として、かつそれに基づいて相応のサービスを提供しなければならない。
第十九条 インターネット情報サービスプロバイダは目立つ場所に使いやすい通報窓口を設置し、通報の方法を公布し、通報受理、選別、対処、回答等の仕組みを完全にし、処理プロセスと回答期限を明確にし、速やかにユーザーと公衆の通報を処理しなければならない。
第二十一条 インターネット情報サービスプロバイダに比較的大きな情報セキュリティリスクが存在する場合、省級以上の通信情報部門は情報更新、ユーザーアカウントの登録あるいはその他関連サービスの一時停止等の措置を要求できる。インターネット情報サービスプロバイダは要求に基づいて措置を講じ、改善を行い、損害を除去しなければならない。
第二十二条 インターネット情報サービスプロバイダが本規定に違反した場合、関連する法律、行政法規の規定に基づいて処罰される。法律、行政法規に規定がない場合は、省級以上の通信情報部門が職責に基づいて警告を与え、批判を通報し、期限を定めて修正を命令し、かつ一万元以上十万元以下の罰金を科すことができる。治安管理に違反する行為を構成する場合は、公安機関の処理にゆだねる。犯罪を構成する場合は、司法機関の処理にゆだねる。
第二十三条 本規定の用語の定義は以下のとおり
(一)インターネットユーザーアカウント情報とは、インターネットユーザーがインターネット情報サービスにおいて登録、使用する名称、アイコン、トップページ、自己紹介、署名、認証情報等ユーザーアカウントを識別するために用いる情報を指す。
(二)インターネット情報サービスプロバイダとは、ユーザーにインターネット情報を発信し、プラットフォームサービスを提供する主体を指すが、インターネットニュース情報サービス、オンライン出版サービス、検索エンジン、インスタントメッセージ、インタラクティブ情報サービス、オンラインライブ、アプリケーションのダウンロード等のインターネットサービスを含むが、それらに限定されないサービスを提供する主体を指す。