「自動車データセキュリティ管理に関する若干の規定(試行)」2021/10/1施行
中国サイバースペース管理局(互联网信息办公室)が2021/08/20に公布していた「自動車データセキュリティ管理に関する若干の規定(汽车数据安全管理若干规定)(試行)」という法律が2021/10/01から施行されるとのこと。
中国の法律は「試行」と付いていても実質的な効力を持つので要注意(『現代中国法入門』p.118参照)。
上位の法律にあたる「データセキュリティ法」が2021/9/1に施行されたと思ったら、さっそく自動車データのセキュリティに関する個別法が出てくるというスピード感。
以下、試訳する。
なお筆者は法律の専門家でも何でもないので、このブログの内容はゆめゆめ実務に利用されませぬよう。
第一条
自動車データ処理活動を規定し、個人、組織の権益を保護し、国家の安全と社会公共の利益を維持し、自動車データの合理的な開発と利用を促進するために、「中国サイバーセキュリティ法」、「中国データセキュリティ法」等の法律、行政法規に基づき、本規定を制定する。
第二条
国内において自動車データ処理活動の実施およびそのセキュリティ監督を実施する場合、関連する法律、行政法規と本規定の要求を順守しなければならない。
第三条
本規定のいう自動車データとは、自動車の設計、生産、販売、使用、メンテナンス等の過程で個人情報データと重要データにかかわるものを含む。
自動車データ処理とは、自動車データの収集、保存、使用、加工、伝送、提供、公開等を含む。
自動車データ処理者とは、自動車データ処理活動を実施する組織を指し、自動車メーカー、部品とソフトウェアのサプライヤー、ディーラー、メンテナンス事業者および出張サービス企業等を含む。
個人情報とは、電子あるいはその他の方式で記録されるとともに、すでに識別された、あるいは識別できる自動車の所有者、運転者、同乗者、車外の人員等に関連する各種情報を指し、匿名化処理後の情報は含まない。
センシティブ情報とは、いったん漏えいあるいは不法に使用されれば、自動車の所有者、運転者、同乗者、車外の人員等が差別を受け、あるいは人身、財産の安全が重大な危害を受けるような個人情報を指し、車両の走行履歴、録音、録画、画像と生体識別特徴等の情報を含む。
重要データとは、いったん改ざん、破壊、漏えいあるいは不法な取得をされると、国家の安全、公共の利益あるいは個人、組織の合法的権益を損なうようなデータを指し、以下のものを含む:
(一)軍事管理区、国防科単位および県クラス以上の党政機関等重要なセンシティブ区域の地理情報、人員移動量、車両移動量等のデータ
(二)車両移動量、物量等、経済の進行状況を反映するデータ
(三)自動車充電網の運用データ
(四)顔データ、ナンバープレート等を含む車外の動画、画像データ
(五)10万人を超える個人情報主体に関する個人情報
(六)国家網信部と国務院の発展改革委員会、産業情報化部、公安部、交通運輸部等関連する部門が確定する、その他国家の安全、公共の利益あるいは個人、組織の合法的権益を損ないうるデータ
第四条
自動車データ処理者による自動車データ処理は合法的、正当、具体的、明確でなければならず、自動車の設計、生産、販売、使用、メンテナンス等に直接関係するものでなければならない。
第五条
インターネット等の情報ネットワークを利用して自動車データ処理活動を実施する場合、サイバーセキュリティ等級保護制度を実施し、自動車データの保護を強化し、法に基づいてデータセキュリティ義務を履行しなければならない。
(訳注:サイバーセキュリティ等級保護制度については「网络安全等级保护」でググって下さい。旧制度である「信息安全等级保护制度」がサイバーセキュリティ法施行にともなって「信息」から「网络」に改訂された制度で、新しい等級保護制度という意味で「安全等级保护制度 2.0」と呼ばれることもある)
第六条
国家は自動車データを法に基づいて有効利用することを奨励し、自動車データ処理者が自動車データ処理活動中に以下の努力を続けることを提唱する
(一)車内処理の原則。やむを得ず車外に提供する必要がある場合を除く
(二)不収集初期設定の原則。運転者が自ら設定する場合を除き、毎回運転する際の初期設定は収集しない状態とすること
(三)精度・範囲適用の原則。提供する機能やサービスのデータ精度に対する要求に基づき、カメラ、レーダー等のカバーする範囲、解像度を確定すること
(四)非センシティブ化の原則。可能な限り匿名化、非識別化等の処理を行うこと
(訳注:データ処理を車内に制限するのは、車外に存在する情報やデータ、たとえば通行人を識別できる顔情報や国家機密にあたるような重要データなどを、自動車が運転中に収集することを制限するためと思われる。さらっと読むと個人情報保護だけの観点のように読めるが、第三条の定義にある「重要データ」も含まれていると思われる)
第七条
自動車データ処理者による個人情報処理はマニュアル、車載LED、言語、自動車の使用に関連するアプリケーションプログラム等明確な方法で、個人に対して以下の事項を告知しなければならない
(一)処理する個人情報の種類。車両の走行履歴、運転の習慣、音声、映像、画像と生体識別特徴等を含む
(二)各種個人情報の収集の具体的な状況および収集を停止する方法と経路
(三)各種個人情報を処理する目的、用途、方法
(四)個人情報を保存する場所、保存期限、あるいは保存する場所、保存期限を確定する規則
(五)車内におけるその個人情報の閲覧、複製および削除、すでに車外に提供した個人情報の削除請求の方法と経路
(六)ユーザーの権益に関する事務の連絡先担当者の氏名と連絡方法
(七)法律、行政法規の規定するその他の告知すべき事項
第八条
自動車データ処理者による個人情報処理は個人の同意を得るか、あるいは法律、行政法規の規定するその他の状況に符合しなければならない。
安全運転を保証する必要性から、個人の同意を得ることができない状態で、車外の個人の情報を収集かつ車外に対して提供する場合は、匿名化処理を行わなければならない。この匿名化処理は、自然人を識別できる画像の削除、あるいは画像内の顔情報に対する部分的な輪郭化処理等を含む。
(訳注:ここはおそらく、走行中の自動車が歩行者検知などのために周囲の情報を収集し、そこに歩行者の顔など個人を識別できる情報が含まれてしまう場合、いちいち歩行者に同意を得るわけにもいかないので、匿名化しなければいけないという意味。ただし、その個人情報をいっさい車内から持ち出さない、つまり車載システムから車外へデータをいっさい書き出したり送信したりしなければ、匿名化処理する必要はないということと思われる。)
第九条
自動車データ処理者によるセンシティブ情報の処理は、以下の要求あるいは法律、行政法規と強制性のある国家標準等その他の要求に符合しなければならない
(一)個人に対して直接サービスする目的を有すること。安全運転の強化、AI運転、ナビゲーション等。
(二)マニュアル、車載LED、言語および自動車の使用に関連するアプリケーションプログラム等明確な方法で、その必要性と個人に対する影響を告知すること
(三)個人自らの同意を得なければならない場合、個人が自ら同意の期限を設定できるようにすること
(四)安全運転を保証する前提で、適切な方法で収集状態を提示し、収集を停止する便宜を個人に提供すること
(五)個人が削除を要求した場合、自動車データ処理者は十営業日以内に削除すること
自動車データ処理者は安全運転目的と十分な必要性がある場合に限って、指紋、声紋、顔、心拍数など生体識別特徴情報を収集できる。
第十条
自動車データ処理者が重要データの処理活動を行う場合、規定に基づいてリスク評価を行い、省、自治区、直轄市の網信部門と関連部門にリスク評価報告を提出しなければならない。
リスク評価報告は、処理する重要データの種類、数量、範囲、保存場所と期限、使用方法、データ処理活動の実施状況と第三者に提供するかどうか、想定されるデータセキュリティリスクとそれに対する措置等を含まなければならない。
第十一条
重要データは法に基づいて国内に保存しなければならない。業務上の必要から域外に提供する必要がある場合は、国家網信部門が国務院の関連部門と共同で実施するセキュリティ評価を経なければならない。重要データに入らない個人に関する情報の域外提供のセキュリティ管理は、法律、行政法規の関連規定を適用する。
我が国が締結あるいは参加している国際条約、協定に異なる規定がある場合は、その国際条約、協定を適用する。ただし我が国が留保を声明している条項は除く。
第十二条
自動車データ処理者が域外に重要データを提供する場合、域外提供セキュリティ評価の際に明確にした目的、範囲、方法とデータの種類、規模等を超えてはならない。
国家網信部門が国務院の関連部門と共同でサンプリング等の方法で前項の定める事項を検査する場合、自動車データ処理者はそれに協力し、閲覧可能にする等の簡便な方法で提示しなければならない。
第十三条
自動車データ処理者が重要データ処理活動を行う場合、毎年十二月十五日より以前に省、自治区、直轄市の網信部門と関連する部門に、以下のような年間自動車データセキュリティ管理状況を報告しなければならない
(一)自動車データセキュリティ管理責任者、ユーザ権益事務連絡先担当者の氏名と連絡方法
(二)処理する自動車データの種類、規模、目的と必要性
(三)自動車データのセキュリティ保護と管理措置。保存場所、期限等を含む。
(四)域外の第三者に対する自動車データの提供状況
(五)自動車データセキュリティインシデントと対処状況
(六)自動車データに関するユーザーからのクレームとその処理状況
(七)国家網信部門が国務院の産業情報化部、公安部、交通運輸部等の関連部門と共同で明確にする、その他自動車データセキュリティの管理状況
第十四条
域外に重要データを提供する自動車データ処理者は、本規定の第十三条の要求に基づき、以下の状況を追加で報告しなければならない
(一)受領者の基本状況
(二)域外提供した自動車データの種類、規模、目的と必要性
(三)自動車データの域外における保存場所、保存期限、保存範囲と保存方法
(四)域外に提供した自動車データに関するユーザーからのクレームとその処理状況
(五)国家網信部門が国務院の産業情報化部、公安部、交通運輸部等の関連部門と共同で明確にする、自動車データの域外提供について報告する必要があるその他の状況
第十五条
国家網信部門と国務院の発展改革委員会、産業情報化部、公安部、交通運輸部等の関連部門が職責に基づき、処理データの状況によって自動車データ処理者に対して行うデータセキュリティ評価に、自動車データ処理者は協力しなければならない。
セキュリティ評価に参加する機構と人員は評価中に知り得た自動車データ処理者の営業機密、未公開情報を開示してはならず、評価中に知り得た情報を評価以外の目的に使ってはならない。
第十六条
国家はAI(コネクテッド)自動車のネットワークプラットフォーム建設を強化し、AI(コネクテッド)自動車のネットワーク接続運行とセキュリティ保障サービス等を実施し、自動車データ処理者と協力してAI(コネクテッド)自動車のネットワークと自動車データのセキュリティ保護を強化する。
(訳注:コネクテッドカーの開発、普及を国策として実施していく意思がはっきり感じられる条文)
第十七条
自動車データ処理者が自動車データ処理活動を行う場合、クレームと通報の経路を確立し、簡便にクレームと通報ができる窓口を設置し、ユーザーからのクレームと通報を速やかに処理しなければならない。
第十八条
自動車データ処理者が本規定に違反した場合、省クラス以上の網信、産業情報化部、公安部、交通運輸部等の関連部門が、「サイバーセキュリティ法」、「データセキュリティ法」等の法律、行政法規の規定に基づいて処罰を行う。犯罪を構成するものは、法に基づき刑事責任を追及する。
(訳注:具体的な処罰の内容、たとえば罰金額や営業停止処分などが書かれていないのが困る。というよりこの規定自体が全体にざっくりしすぎ)
第十九条
本規定は2021年10月1日より施行する。
中国金融業界、匿名化データの活用で個人情報保護とフィンテック発展の両立を目指す
政府と中国金融業界の代表者が集まった会議でプライバシーやデータセキュリティについて議論がなされたとのことで、ご紹介。
2021/09/17「第五回中国フィンテック・イノベーション・プログラム」が清華大学中国金融研究センター、中国銀行協会IT専門委員会、中国インターネット協会フィンテックワーキンググループ主催で開催された。
オフライン、オンライン並行開催で、オンラインライブにはウェイボーの運営会社、新浪の生放送サイトから112万人が参加。
当然サイバーセキュリティもテーマとして取り上げられ、サイバー攻撃の脅威に対する防御力強化もリスク管理の重要課題の一つという認識。
フィンテックにおける積極的なデータ活用の一方、「データセキュリティ法」「個人情報保護法」に関連する政策のもとで、保有するデータをどのように合法的、効率的に各種データと結びつけてデータの資産価値を高め、デジタル化を推進するかが、金融機関の直面するテーマとされた。
金融機関向けにAIによる匿名化ビッグデータ処理などのサービスを提供する星雲Clustar社のCEO陳沫氏は、「個人情報保護法」第4条、第73条にある匿名化後の個人情報処理を認める条文や、「データセキュリティ法」でITを利用したデータ価値の保護を奨励している点に触れ、技術と法律は相補的で、イノベーションは法律を遵守する前提で、データの価値を発掘できると話した。
・・・といったシンポジウム的なものがあったようで、中国「データセキュリティ法」「個人情報保護法」は中国国内的には技術革新を後押しする役割も強いようだ。
中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催
2021/9/18午後、中国広報協会と中国外資企業協会が共同で「中華人民共和国個人情報保護法」プロモーション会議を開催したらしい。
中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)局長・華清氏、全国人代常務委員会法制工作委員会経済法室副主任・楊合慶の二名がメインで、同法の実施状況の紹介や解釈、現場企業との交流が目的。
外資企業、国内外のプロモーション企業、IT、インターネット関連企業約200名の代表者がオフライン、オンライン形式で参加したとのこと。
もう少し詳しい会議の内容はこちらのニュースにある。
華清氏:次の一歩として必要な作業はまだ多い。(一)各界の力を活かして効果的に法律を徹底する作業、(二)それぞれの役割を十分調整してプロジェクトを進め、さまざまな規定を改善していくこと、(三)監督管理の職責を実施し、違法行為の処罰を強化すること、(四)関係者の責任のひきしめを図り、業界の発展を長期的に安定したものにすること。
楊合慶氏:個人情報保護は国民のもっとも関心がある重要な問題なので、国内での個人情報保護の実践や、国際的な経験を十分活かして、順守すべき規則をさらに詳細化し、改善していく。個人情報処理活動の権利と義務の境界をはっきりさせ、厳格な法的責任を定め、同法の体系、権威、目的を強化する。制度面をさらに整備する。
両氏の意見交換では、ECサイトが新規ユーザーを獲得するために行う過度な新規登録優遇の問題や、センシティブ情報の濫用、個人情報保護とデジタル化経済の関係について意見が交わされた。
以上、個人情報の極端な不正利用については、すでに普通に刑事事件として処罰されているので、今後は行政罰として外資含めた企業に適用するために、細かい制度が整備されていく、ということでしょう。
中国の個人情報保護は民法典にすでに書かれていたという話
中国個人情報保護法は2021/11/1施行だが、2021/1/1施行されている民法典の第四編 人格権の「第六章 プライバシー権と個人情報保護」にすでに書かれていたという話。
中華人民共和国 民法典 http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml
草案段階の中国個人情報保護法の全文逐条解読で知りました(汗)
民法典第一千零三十四条からが個人情報保護に関する規定で、以下が試訳。例によって個人の趣味による試訳なので実務には決して使わないように。
第一千零三十四条
自然人の個人情報は法律による保護を受ける
個人情報とは電子またはその他の方法で記録され、単独あるいはその他の情報との結合で特定の自然人を識別することができる各種情報であり、自然人の姓名、生年月日、身分証明書番号、生体識別情報、住所、電話番号、電子メールアドレス、健康情報、行動情報等を含む。
第一千零三十五条
個人情報の処理は、合法、正当、必要の原則を順守し、過度な処理をしてはならず、以下の条件に符合しなければならない。
(一)当該自然人またはその監護人の同意を得ること。ただし法律、行政法規に別途規定のある場合を除く。
(二)情報処理の規則を公開すること
(三)情報処理の目的、方法と範囲を明示すること
(四)法律、行政法規の規定と双方の約束に違反しないこと。
個人情報の処理は個人情報の収集、保存、使用、加工、伝送、提供、公開等を含む。
第一千零三十六条
個人情報の処理は、次の状況のいずれかである場合、行為者は民事責任を問われない
(一)当該自然人または監護人の同意の範囲内で合理的に実施される行為である場合
(二)当該自然人が自ら公開、またはその他すでに合法的に公開された情報を合理的に処理する場合。ただし当該自然人が明確に拒否した場合、または当該情報の処理がその重大な利益を侵害する場合を除く。
(三)公共の利益または当該自然人の合法的な権益を維持するために、合理的に実施されるその他の行為の場合
第一千零三十七条
自然人は法に基づいて情報処理者からその個人情報の閲覧または複製することができる。情報に誤りがある場合は、異議を提出するとともに直ちに訂正等必要な措置を取るよう求めることができる。
第一千零三十八条
情報処理者はその収集し、保存する個人情報を漏えいまたは改ざんしてはならない。自然人の同意を経ずに、他者に対して不法にその個人情報を提供してはならない。ただし特定個人を識別できず、かつ復原できない加工を経ている場合を除く。
情報処理者は技術的措置とその他必要な措置を取り、その収集、保存する個人情報の安全性を確保し、情報の漏えい、改ざん、紛失を防止しなければならない。個人情報の漏えい、改ざん、紛失が発生または発生しうる場合は、直ちに防止措置を取り、規定に基づいて自然人に告知するとともに主管部門に報告しなければならない。
第一千零三十九条
国家機関、行政職能を担当する法定機構およびその職員は、職責の履行の過程で知り得た自然人のプライバシーと個人情報に対して、秘密の保護を行い、漏えいまたは他者に対して不法に提供してはならない。
中国個人情報保護法についてサイバースペース管理局(互联网信息办公室)自らによる解説
2021/08/20に第十三回全人代常務委員会第三十次会議で、中国の個人情報保護法が可決され、2021/11/01から施行されることになった。
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
中国サイバースペース管理局(国家互联网信息办公室)サイトに解説記事がいくつか掲載されているので、要約してみる。例によってこのブログは個人の趣味でやっており、ゆめゆめ実務にご利用にならぬようお願いします。
中国個人情報保護法の十大ポイント
8章74条,个人信息保护法来了!权威解读十大亮点-中共中央网络安全和信息化委员会办公室
1. 個人情報保護の原則を確立
2. 「告知ー同意」原則
つまり、個人情報処理の前に本人に十分な告知をし、同意を得ること。処理後に重要事項が変更された場合は再度告知、同意を得ること。
センシティブ情報、第三者提供、域外移転などの場合は、別途本人の同意を得ること。
個人情報を過度に収集しないこと。製品やサービスの提供拒否を盾に、個人情報の提供を強要しないこと。
個人は同意をいつでも撤回できる権利があること。
共同処理、委託処理については別途規定をもうけること。
3. 「大数据殺熟」を禁止するための規定
「大数据殺熟」とは既存ユーザーより新規ユーザーに有利な条件を提示して、新規ユーザーを獲得しようというマーケティング手法。
このようなことが起こらないように、個人情報の自動処理の透明性や、処理結果の公平さ、公正さを確保すること。
4. センシティブ情報の厳格な保護
生体識別情報、宗教信仰、犯罪歴、病歴、銀行口座、行動履歴など。また、14歳未満の未成年の個人情報の処理には、両親または後見人の同意が必要。
5. 国家機関の処理活動
国家機関の中にも一部、個人情報漏えい事故などが起こっており、管理強化が必要。
6. 本人に対する十分な権利の賦与
個人情報の処理ルール、処理項目の告知、同意とその撤回、照会、複製、訂正、削除など個人の権利を明確化する。
プラットフォームをまたぐ個人情報移転の需要の高まりにこたえ、情報処理者は個人に対しデータ移転の方法を提供しなければならない。
また、死者の個人情報について専用の規定を設ける。死者が生前に明確な意思表示をしている前提で、親族の正当な利益のために、死者の個人情報の閲覧、複製、変更、削除などの権利を認める。
7. 個人情報処理者の義務の強化
個人情報処理者を第一の個人情報保護責任者として、必要な安全保護措置を義務付ける。内部管理規定の策定、技術措置、指定した責任者による監督、定期的な監査など。
センシティブ情報の処理、個人情報の自動処理による決定、対外的な個人情報提供または公開など、リスクの高い処理活動には、事前のリスク評価を義務づける。個人情報漏えい時の通知や救済義務も課す。
8. 大型プラットフォーマーに対する特別な義務
重要なプラットフォームサービスや、大量のユーザー、複雑な個人情報処理をおこなう処理者は、個人情報に対する強いコントロールや支配力をもつため、より多くの法的義務を課す。
独立した組織による監査を行うこと、公開、公平、公正の原則によるプラットフォーム規則を遵守すること、重大な法律違反の場合はサービス停止とすること、定期的に社会的責任に関するレポートを公開し、社会の監督を受けることなど。
9. 個人情報の域外移転流動ルール
経済のグローバル化により個人情報の国境を越えた流動が増加しているが、地理的に通り国家の法制度、保護水準との間には差がある。そのため個人情報の域外移転リスクはコントロールが難しい。
(1) 国内自然人の個人情報を域外で処理することに対しても、本法を適用し、域外の個人情報処理者に、国内に専用の組織や代表者を指定し、責任者が個人情報保護関連の事務をおこなうことを求める。
(2) 域外に個人情報を提供する経路を明確にする。つまり、国家サイバースペース管理局によるセキュリティ評価、専門の機構による認証、標準契約の締結、我が国が締結または我が国が参加する国際条約への準拠など。
(3) 域外の処理活動にも本法の定める保護水準を要求する。
(4) 域外移転して提供される個人情報の「告知ー同意」にはさらに厳格さを要求し、個人の知る権利、決定権等を確実に保証する。
(5) 国家の主権、安全、利益の発展を維持する。つまり、域外提供に対するセキュリティ評価、域外の法執行機関に対する個人情報の提供、個人情報の域外提供に対する制限措置、外国による差別的な措置に対する対抗制度など。
10. 個人情報保護業務の健全化
幅広い個人情報処理に対して信頼できる完全な監督、法執行制度を実施する。
サイバースペース管理局や関連する国務院の各部門が職責の範囲内で、個人情報保護と監督管理の責任を負う。個人情報保護の宣伝教育、指導監督、苦情受付、アプリケーションプログラムの評価、違法な個人情報処理活動の調査など。
要約は以上。
サイバースペース管理局自らによる解説は他にもいくつかあるので、興味のある方はご参照を。
