「データセキュリティ法」の下位規則「工業情報化分野データセキュリティ管理規則」パブコメ公開
2021/09/30に中国工業情報化部(日本でいう省)が「データセキュリティ法(数据安全法)」にもとづく規則として「工業情報化分野のデータセキュリティ管理規則」のパブコメを公開した。意見募集期限は2021/10/30。
公开征求对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》的意见 https://www.miit.gov.cn/gzcy/yjzj/art/2021/art_dcb6cc8d9f5c414eabd7070871996525.html
データセキュリティ法を一段具体化した実施規則ということで要注目。
以下、逐語訳してみる。例によって筆者は法律の専門家ではないので業務への利用は決してなさらぬよう。
(2021/10/02 「工业」を「産業」と意訳していたが「工業」に訂正した。原語が「产业」の部分は「産業」のまま)
第一章 総則
第一条【目的根拠】
工業情報化分野のデータ処理活動を統制し、データセキュリティ管理を強化し、データセキュリティを保証し、データの開発利用を促進し、個人、組織の合法的権益を保護し、国家の安全と発展、利益を維持し、「民法典」「データセキュリティ法」「サイバーセキュリティ法」等の法律法規に基づき本規則を制定する。
第二条【適用範囲】
中国国内で工業電信データ処理活動およびそのセキュリティ管理を実施する場合、関連する法律、行政法規と本規則の要求を遵守しなければならない。
(訳注:「電信」は電気通信のこと。以下も同じ)
第三条【データの定義】
産業データとは原材料産業、装備産業、消費品産業、電子情報製造業、ソフトウェアと情報技術サービス業、民生用爆薬産業等の業界分野において、開発設計、生産製造、経営管理、サービス運用、プラットフォーム運用、アプリケーションサービス等の過程で収集、産出されるデータをいう。
(訳注:突然「民爆」、つまり軍事用ではない民生用の爆発物・爆発器機製造業が産業分野の一つとして登場するのは不勉強でよく分からない。)
電信データとは電信業務経営活動中に収集、産出されるデータをいう。
工業電信データ処理者とは工業、電信データに対して収集、保存、使用、加工、伝送、提供、公開等のデータ処理活動を行う産業企業、ソフトウェア、情報技術サービス企業と、電信業務経営許可証を取得した電信業務経営者等、工業情報化分野の各種主体をいう。
第四条【監督機構】
工業情報化部は工業電信データ処理者のデータ処理活動とセキュリティ保護に対して監督管理を実施する責任を負う。各省、自治区、直轄市および計画単列市、新疆生産建設兵団工業情報化主管部門(以下地方工業情報化主管部門と総称)は、現地の産業データ処理者のデータ処理活動とセキュリティ保護に対して監督管理を実施する責任を負う。各省、自治区、直轄市通信管理局(以下地方通信管理局と総称)は、現地電信データ処理者のデータ処理活動とセキュリティ保護に対する監督管理を実施する責任を負う。
工業情報化部および地方工業情報化主管部門、通信管理局を業界監督部門と総称する。
第五条【産業発展】
業界監督部門はデータ開発利用とデータセキュリティ技術研究を奨励し、データセキュリティ製品とサービスの普及を支援し、データセキュリティ企業、研究、サービス機構を育成し、データセキュリティ産業を発展させ、データセキュリティ保障能力を向上させ、データの創造的応用を促進する。
工業電信データ処理者がデータ開発利用の新技術、新製品、新サービスを研究開発提供する場合、経済社会と業界の発展促進の利益になり、社会道徳と倫理に符合するものでなければならない。
第六条【標準制定】
業界監督部門は工業情報化分野のデータ開発利用とデータセキュリティの標準体系の構築と、業界標準の作成改訂業務の組織化を推進する。企業、研究機関、大学、業界組織等ことなる主体が、国際標準、国家標準、団体標準、企業標準を制定することを奨励支援する。工業電信データ処理者がデータ管理、データセキュリティ標準を貫徹、達成するよう指導する。
第二章 データ分類等級区分管理
(訳注:「分类分级」を仮に「分類等級区分」と訳した。「分类」は同じレベルのものどうしのヨコの分類、「分级」は重要度によって上下のレベルのタテの区分をすることと理解している)
第七条【分類等級区分法】
工業電信データ処理者はまず分類、次に等級区分を行い、定期的に見直し、業界の要求、業務の要件、データソースと用途等の要素に基づいて、データに対する分類とラベリングを行い、データ分類一覧を作成しなければならない。データ分類の種類は、開発研究データ、生産運用データ、管理データ、運用維持データ、サービス業務データ、個人情報等を含むがこれらに限らない。
工業情報化部は国家の関連規程に基づき、データの改ざん、破壊、漏えいまたは不法な取得、不法利用される可能性や、国家の安全、公共の利益あるいは個人、組織の合法的権益等に対して生じうる危害の程度に基づいて、工業電信データを一般データ、重要データ、核心データの三等級に区分する。
第八条【一般データ】
危害の程度が以下の条件の一つに符合するようなデータを一般データという:
(一)公共の利益または個人、組織の合法的権益に対して比較的小さな影響が生じ、社会に対する負の影響が小さい
(二)影響を受けるユーザーと企業数が比較的少なく、生産生活区域の範囲が比較的小さく、持続時間が比較的短く、企業経営、業界の発展、技術の進歩と産業エコシステム等に対する影響が比較的小さい
(三)データの復旧または削除の負の影響について支払うべきコストが小さい
(四)その他重要データ、核心データのリストに入らないデータ
第九条【重要データ】
危害の程度が以下の条件の一つに符合するようなデータを重要データという:
(一)政治、国土、軍事、経済、文化、社会、科学技術、ネットワーク、エコシステム、資源、核安全等に対して脅威を構成し、海外の利益、生物、宇宙、極地、深海、人工知能等の重点領域の国家の安全に関するデータのセキュリティに影響を生じる
(二)工業、電信業界の発展、生産、運営と経済利益等に対して影響を生じる
(三)重大なデータセキュリティ事故または生産安全事故を発生させ、公共の利益または個人、組織の合法的権益に重大な影響を生じ、社会に対する負の影響が大きい
(四)雪崩式に影響が広がることが明らかで、影響範囲が多くの業界、分野または業界内の多くの企業に及び、または継続時間が長く、業界の発展、技術の進歩と産業エコシステム等に対して重大な影響を生じる
(五)データの復旧または削除の負の影響について支払うべきコストが大きい
(六)業界監督部門の評価によって確定されたその他重要データ
第十条【核心データ】
危害の程度が以下の条件の一つに符合するようなデータを核心データという:
(一)政治、国土、軍事、経済、文化、社会、科学技術、ネットワーク、エコシステム、資源、核安全等に対して重大な脅威を構成し、海外の利益、生物、宇宙、極地、深海、人工知能等の重点領域の国家の安全に関するデータのセキュリティに重大な影響を生じる
(二)工業、電信業界およびその重要な基幹企業、主要情報インフラ施設、重要資源等に対して重大な影響を生じる
(三)工業生産運営、電信インターネット運営とサービス等に重大な損害を生じ、広範囲の営業停止、生産停止、広範囲のネットワークとサービスの麻痺、業務処理能力の大量の喪失等に至る
(四)工業情報化部の評価によって確定されたその他核心データ
【分類等級区分作業要求】
工業情報化部は工業情報化分野データの分類等級区分、重要データと核心データの識別認定およびデータ等級区分防護等の制度規範の制定を組織的に行い、業界重要データと核心データの具体的なリストを作成ならびに動的な管理を実施し、データ分類等級区分保護作業を指導実施する。
地方工業情報化主管部門、通信管理局は、現地の工業、電信業界データの分類等級区分防護および重要データと核心データの識別認定作業を実施し、現地の業界重要データと核心データの具体的なリストを作成ならびに工業情報化部に報告する。
工業電信データ処理者は健全なデータ分類等級区分管理制度を構築し、重要データと核心データのリストを地方の工業情報化主管部門送付し、データ等級区分某羽後措置を取り、重要データに対して重点保護を実施し、核心データに対して重要データ保護の基礎の上にさらに厳格な管理と保護を実施しなければならない。異なる等級のデータを同時に処理し、かつ個別に保護措置をとることが難しい場合、その中で等級の最も高い要求に基づいて保護を実施しなければならない。
第十二条【重要データと核心データの記録管理】
工業情報化部は工業情報化分野の重要データと核心データの記録管理制度を構築し、記録管理プラットフォームを統一的に構築する。記録内容はデータ量、種類、処理目的と方法、使用範囲、責任主体、セキュリティ保護措置等の基本的状況を含み、データ提供、公開、域外提供、受領、およびデータセキュリティリスク、インシデント対応等の状況も含む。
地方の工業情報化主管部門、通信監理局は現地の工業、電信業界の重要データと核心データのリストの内容について審査を行い、関連するリストの要求に適合しない場合は、企業に対して適時に記録の完成と見直しを促さなければならない。
工業電信データ処理者は関連する要求に基づいて記録を実施し、記録内容に変化が生じた場合、三か月以内に変化の状況を記録報告し、同時に記録状況全体に対して更新を行わなければならない。
第三章【データの全ライフサイクルセキュリティ管理】
第十三条【責任主体】
工業電信データ処理者はデータ処理活動に対してセキュリティ主体としての責任を負い、データの類型、数量、セキュリティ等級、処理方法および国家の安全、公共の利益または個人、組織の合法的権益にもたらす影響とセキュリティリスク等に基づき、データが有効に保護され合法的に利用される状態に持続的に置かれていることを確保するために必要な措置をとらなければならない。
(一)データの全ライフサイクルセキュリティ管理制度を構築し、異なる等級のデータに対して、データ収集、保存、使用、加工、伝送、提供、公開等の段階の具体的な等級区分防護要求と操作規程を制定すること。
(二)データセキュリティ管理の主要な責任者と責任部門を明確にし、データ処理活動のセキュリティ管理に統一的に責任を負うこと
(三)データ処理活動の捜査権限を合理的に確定し、人員の権限管理を厳格に実施すること
(四)データセキュリティ事故対応計画を制定し、かつ定期的に演習を実施すること
(五)定期的に従業員に対してデータセキュリティ教育と訓練を実施すること
(六)法律、行政法規の規定するその他の措置
第十四条【業務体制】
重要データと核心データに関わる場合、工業電信データ処理者はその職場の関連部門をカバーするデータセキュリティ業務体制を構築し、専門のデータセキュリティ管理責任部門を設置し、職場の党委員会(党組織)またはリーダーグループはデータセキュリティに対する主体として責任を負い、主要責任者はデータセキュリティの第一責任者とし、データセキュリティを分担する責任者は直接責任者とし、各部門のデータセキュリティの職責と人員を明確にし、定常的なコミュニケーションと協力メカニズムを構築しなければならない。
第十五条【重要職位管理】
工業電信データ処理者はデータ処理の重要な職位と人員を明確にし、データセキュリティ責任書に署名し、データ処理活動を記録しなければならない。
第十六条【セキュリティ協調】
工業電信データ処理者はデータセキュリティ管理と技術的保護手段を、生産運営、業務推進と協調して発展統制、構築、運用しなければならない。
第十七条【データ収集】
工業電信データ処理者によるデータ収集は合法、正当、必要の原則を遵守しなければならず、窃取またはその他不法な方法でデータを収集してはならない。
データ収集の過程では、技術的手段を配備し、セキュリティ合意への署名等データ収集人員、設備の管理を強化する措置をとるとともに、データ収集の時間、類型、数量、頻度、方向等の実施を記録しなければならない。
間接的な経路でデータを取得する場合、データ提供方に対してデータソースの合法性について書面承諾を提出し、相応の法的責任を負担するよう要求しなければならない。
第十八条【データ保存】
工業電信データ処理者は法規定またはユーザーと契約した方法と期限に基づいてデータを保存しなければならない。重要データを保存する場合、さらに検証技術、暗号化技術等の措置をとって安全に保存しなければならず、保存システムのパブリックな情報ネットワークアクセスを直接提供してはならず、データの災害用バックアップと保存媒体のセキュリティ管理を実施しなければならない。核心データを保存する場合、さらに別サイト災害用バックアップを実施しなければならない。
第十九条【データ使用加工】
工業電信データ処理者は個人、職場等の同意を経ずに、データマイニング、相関分析等の技術手段により特定の主体に対して画像の高画質化、データ復元等の加工処理活動を行ってはならない。データを利用した自動化決定を行う場合、決定の透明度と結果の公平性合理性を保証しなければならない。重要データと核心データの使用、加工を行う場合、アクセス制御をさらに強化しなければならず、登記、審査メカニズムを構築するとともに記録を残さなければならない。
工業電信データ処理者がデータ処理サービスを提供し、電信業務の経営に関わる場合、関連する法律、行政法規規定に基づき電信業務経営許可を取得しなければならない。
第二十条【データ伝送】
工業電信データ処理者は伝送するデータの類型、等級別と応用状況に基づき、セキュリティ政策を制定するとともに保護措置をとらなければならない。重要データを伝送する場合、検証技術、暗号化技術、セキュアチャネルによる伝送またはセキュアな送信プロトコル等の措置をとらなければならなず、組織機構を跨いだ伝送または公衆情報ネットワークを使用したデータ伝送を行う場合、登記、審査メカニズムを構築しなければならない。異なるデータ処理主体を跨いで核心データを伝送する場合、国家データセキュリティ業務協調メカニズムの審査を通過しなければならない。
第二十一条【データ提供】
工業電信データ処理者は業界のデータ分類等級区分の管理要求に基づいて、提供するデータの範囲、数量、条件、手順等を明確にしなければならない。重要データを提供する場合、データマスキング(脱敏)等の措置を講じ、審査メカニズムを構築しなければならない。核心データを提供する場合、国家データセキュリティ業務協調メカニズムの審査を通過しなければならない。
工業電信データ処理者は事前にデータ受領方のデータセキュリティ保護能力に対して実態調査を行い、データ受領方とデータセキュリティ合意に署名することで、データ提供の範囲、使用方法、期間、用途および相応のセキュリティ保護措置、違約責任を明確にし、データ受領方に実施するよう促さなければならない。
第二十二条【データ公開】
工業電信データ処理者がデータを公開する場合、真実、正確、かつ公開前にセキュリティ評価を行わなければならず、個人のプライバシー、個人情報、営業機密、企業機密に関わる場合および公共の利益と国家の安全に重大な影響を生じる可能性がある場合、公開してはならない。
第二十三条【データ廃棄】
工業電信データ処理者はデータ廃棄政策と管理制度を構築し、廃棄の対象、手順と技術等の要求を明確にし、廃棄活動に対して記録と保管を行わなければならない。重要データと核心データを廃棄する場合、いかなる理由、方式でも廃棄したデータの復旧を行ってはならない。
以下の状況の一つに符合する場合、工業電信データ処理者は関連するデータを廃棄しなければならない。
(一)業務契約により、廃棄が必要な場合
(二)個人からの合法的権益に基づく廃棄請求があった場合
(三)組織が国家の安全の保護、社会公共の利益を目的とし、かつ第三者機構が証明を提供し、廃棄を要求する場合
第二十四条【データ域外移転】
工業電信データ処理者が国内で収集と生成を行った重要データは、法律、行政法規の要求に基づき、国内で保存しなければならず、域外に提供せざるを得ない場合は、法規制に基づいてデータ域外移転セキュリティ評価を実施し、セキュリティが確保されている前提でデータ域外移転を行い、かつデータ域外移転後の追跡把握を強化しなければならない。核心データは域外移転してはならない。
第二十五条【データ受領】
工業電信データ処理者は合併、再編、破産等の理由でデータを移転する必要がある場合、データ受領計画を明確にし、電話、ショートメッセージ、郵便、公告等の方法で影響を受けるユーザーに通知しなければならない。重要データと核心データに関わる場合、適時に所在地の工業情報化主管部門または通信管理局に報告しなければならない。
データ受領方の工業電信データ処理者である者は、適時に所在地の工業情報化主管部門または通信管理局に報告し、データセキュリティの責任と保護義務を承諾しなければならず、国家の関連規定および移転元データ処理者とユーザー間の契約に違反してはならない。
重要データと核心データについて受領方が存在せずかつ廃棄条件に符合する場合、工業電信データ処理者は法に基づいてデータ廃棄をしなければならない。重要データと核心データについて受領方が存在せずかつ廃棄条件に符合しない場合、工業電信データ処理者は適時に所在地の工業情報化主管部門または通信管理局に報告し、業界監督部門の指定する機構にデータを譲渡し、保存を行わなければならない。
第二十六条【委託処理】
工業電信データ処理者は他社に委託してデータ処理活動を行う場合、委託先のデータセキュリティ保護能力、資格に対して検査を検査を行い、国家、行政主管部門の関連する要求に符合していることを確認し、かつ契約締結、実地検査等の方法で委託先に対してデータセキュリティ保護措置の実施状況に対する監督管理を行わなければならない。重要データと核心データを委託処理する場合、相応の認証資格を取得している検査評価機構に委託し、委託先に対してセキュリティ評価を行わなければならない。
法律、行政法規にその他の規定がある場合を除いて、委託元の同意なしに、委託先は第三者にデータを提供してはならない。
第二十七条【セキュリティ監査】
工業電信データ処理者はデータの全ライフサイクル処理過程において、データ処理、権限管理、人員による操作等のログを記録しなければならない。ログは少なくとも6か月間保存し、定期的にセキュリティ監査を行うとともに監査報告を作成し、重要データと核心データに関わる場合は、少なくとも半年に一回監査を行わなければならない。
第四章 データセキュリティ監視警戒と応急管理
第二十八条【監視警戒メカニズム】
工業情報化部は工業情報化分野のデータセキュリティリスクの監視メカニズムを統一的に構築し、データセキュリティ監視警戒プラットフォームを構築し、データ漏えい、規則違反の伝送、伝送量の異常等セキュリティリスクに対して監視と警戒を行い、適時に重要データと核心データのセキュリティリスクの検討評価の組織化ならびに警戒を実施する。
地方工業情報化主管部門、通信管理局はデータセキュリティ監視警戒プラットフォームを構築し、現地の工業、電信業界のデータセキュリティリスク監視の実施を組織化し、関連する規定に基づいて適時に警戒情報を公布し、現地の工業電信データ処理者に適時に対応措置を取るよう通知する。
工業電信データ処理者はデータセキュリティリスク監視を実施し、適時に潜在的リスクの点検を行い、必要な措置をとってデータセキュリティリスクを防止しなければならない。
第二十九条【情報報告と共有】
工業情報化部は工業情報化分野のデータセキュリティリスク情報を統一して収集、分析、通報し、セキュリティサービス機構、行政組織、科学研究機構等がデータセキュリティリスクとインシデント等の関連情報を報告し共有することを奨励する。
地方工業情報化主管部門、通信管理局は現地の工業、電信業界のデータセキュリティリスクと事故の情報を一括して分析し、重要データと核心データに関わるセキュリティリスクを適時に工業情報化部に報告する。
工業電信データ処理者は自身のデータセキュリティリスク状況を、所在地の工業情報化主管部門または通信管理局に適時に報告しなければならない。
第三十条【応急処置】
工業情報化部は工業情報化分野のデータセキュリティ事故の応急処置計画を制定し、重要データと核心データのセキュリティ事故の応急処置業務を組織化し調整する。
(訳注:インシデントレスポンスのことだが、いったん外来語を入れると日本語訳がカタカナだらけになるのであえて漢字で試訳する)
地方工業情報化主管部門、通信管理局は現地の工業、電信業界のデータセキュリティ事故の応急処置業務を組織的に実施する。重要データと核心データのセキュリティ事故に関わる場合、直ちに工業情報化部に報告し、適時に事故の経過と処置状況を報告する。
工業電信データ処理者はデータセキュリティ事故発生後、応急計画に基づいて、適時に応急処置を行わなければならず、重要データと核心データのセキュリティ事故に関わる場合、最初に所在地の工業情報化主管部門または通信管理局に報告しなければならない。事故処理の完了後、既定の期限内に総括報告を作成し、毎年所在地の工業情報化主管部門または通信管理局にデータセキュリティ事故処置状況を報告しなければならない。
工業電信データ処理者はユーザーの合法的権益に損害を与える可能性のあるデータセキュリティ事故に対して、適時にユーザーに告知し、損害を低減する措置を提供しなければならない。
第三十一条【通報苦情処理】
工業情報化部は関連する業界組織に委託して工業情報化分野のデータセキュリティ違法行為についての苦情通報チャンネルを構築し、地方工業情報化主管部門、通信管理局、工業電信データ処理者に対して適時に関連する苦情通報についての情報を通知する。地方工業情報化主管部門、通信管理局と工業電信データ処理者は、通報についての情報に対して事実確認と法に基づく処理を行い、重要データと核心データのセキュリティ問題に関する場合、法執行による調査を行う。
工業電信データ処理者はユーザーの苦情処理メカニズムを構築し、電子メール、電話番号、ファックス、オンライン窓口等簡便で効果的な連絡方法を構築し、ユーザーの苦情を受け付ける人員を配備してデータセキュリティに関する苦情を受け付けるとともに、苦情受付日から15営業日以内に通報者に回答しなければならない。
第五章 データセキュリティ検査、評価と認証管理
第三十二条【セキュリティ能力認証】
工業情報化部はデータセキュリティ検査、評価と認証機構管理制度を構築、機構の認定標準を制定し、機構の選抜認定、資格授与、日常管理と推薦リスト発表等の業務を行う。地方工業情報化主管部門、通信管理局は管理制度と認定標準に基づいて、現地の工業、電信業界のデータセキュリティ検査、評価と認証機構の選抜認定、資格授与と管理等の業務をおこなう。
第三十三条【セキュリティ評価】
工業情報化部は工業情報化分野のデータセキュリティ評価ガイドラインを制定し、検査評価機構を指導してデータセキュリティリスク評価、規則適合評価等の業務をおこなう。地方工業情報化主管部門、通信管理局は現地の工業、電信業界のデータセキュリティ評価の組織的な実施に責任を持つ。
工業電信データ処理者はデータセキュリティ評価ガイドラインに基づいて、データセキュリティ評価と改善を行わなければならない。
(一)一般データに対しては、データセキュリティ評価の実施を奨励し、発見したデータセキュリティリスク問題に対して適時に改善を行うこと。
(二)重要データと核心データに対しては、自らまたは推薦リストにある検査評価機構に委託して少なくとも毎年一回セキュリティ評価を行い、ならびに所在地の工業情報化主管部門または通信管理局に報告すること。
第六章 監督検査
第三十四条【監督検査と協力義務】
工業情報化部はデータセキュリティ監督検査インターフェース標準を制定する。業界監督部門は工業電信データ処理者の本規定要求の実施状況に対して監督検査を行う。工業電信データ処理者は業界監督部門が法に基づいて監督検査を行うことに協力し、検査インターフェースを準備しておかなければならない。
(訳注:「接口」はふつうは技術用語でインターフェースなのでそう試訳したが、ここでは監査用のAPIを作っておくなどの意味ではなく、単に窓口や受け入れ態勢を準備しておくことと思われる)
第三十五条【データセキュリティ審査】
工業情報化部は国家データセキュリティ作業協調メカニズムの指導の下、国家安全に影響するまたは影響する可能性のある工業電信データ処理活動に対してデータセキュリティ検査を実施する。
第三十六条【機密保持要求】
業界監督部門およびその委託先であるセキュリティ検査評価機構の人員は職責の履行中に知り得た個人情報と営業機密等について、厳格な機密保持をおこない、漏えい、販売または不法に他者に提供してはならない。
第三十七条【聴取と改善】
業界監督部門はデータセキュリティ監督管理の職責の履行中に、要求に基づいた重要データと核心データの記録が行われていないこと、またはデータ処理活動に重大なセキュリティリスクを発見またはセキュリティ事故が発生した場合、権限と手続の規定に基づいて工業電信データ処理者の法廷代表者または主要責任者に対して聴取を行い、改善措置をとり、潜在的リスクを取り除くよう要求することができる。
第七章 法的責任
第三十八条【信用メカニズム】
業界監督部門は工業電信データ処理者のデータセキュリティ管理責任実施状況を信用管理に取り入れなければならない。データセキュリティ法規定に違反する行為の存在に対して行政罰を受けたデータ処理者は、関連規定に基づき業務経営不良名簿または信用喪失名簿に追加する。
第三十九条【法的責任】
本規則に違反した場合に対して、業界監督部門は「データセキュリティ法」「サイバーセキュリティ法」等の法律と関連する行政法規に基づいて、状況の重要度に応じて公開公表、違法所得の没収、業務暫定停止、営業停止、ウェブサイト閉鎖、業務許可証の取消しまたは営業許可証の取消し等の行政罰を与える。犯罪を構成する場合は、法に基づいて刑事責任を追及する。
第八章 附則
第四十条【機密の除外】
国家機密情報、暗号使用等に関わるデータ処理活動は、国家の関連規定に基づいて執行する。
第四十一条【軍事データの除外】
軍事データに関わるデータ処理活動は、国家の関連規定に基づいて執行する。
第四十二条【政務データの除外】
工業情報化分野んも政務データ処理活動の具体的な規則は、工業情報化部が別途規定する。
第四十三条【国防科学技術工業、たばこ分野】
国防科学技術工業、たばこ分野のデータセキュリティ管理は国防科工局、国家たばこ専売局が責任を負い、具体的な制度は本規則を参照して別途制定する。
第四十四条【施行日】
本規定は〇〇〇〇年〇〇月〇〇日より施行する。
以上が試訳。
以下、正式な規則が公布された時、比較するために原文を貼り付けておく。
工业和信息化领域数据安全管理办法(试行)(征求意见稿)
第一章 总则
第一条【目的依据】为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
第二条【适用范围】在中华人民共和国境内开展的工业和电信数据处理活动及其安全监管,应当遵守相关法律、行政法规和本办法的要求。
第三条【数据定义】工业数据是指原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域,在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据。电信数据是指在电信业务经营活动中收集和产生的数据。工业和电信数据处理者是指对工业、电信数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业和取得电信业务经营许可证的电信业务经营者等工业和信息化领域各类主体。
第四条【监管机构】工业和信息化部负责对工业和电信数据处理者的数据处理活动和安全保护进行监督管理。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门(以下统称地方工业和信息化主管部门)负责对本地区工业数据处理者的数据处理活动和安全保护进行监督管理。各省、自治区、直辖市通信管理局(以下统称地方通信管理局)负责对本地区电信数据处理者的数据处理活动和安全保护进行监督管理。工业和信息化部及地方工业和信息化主管部门、通信管理局统称为行业监管部门。
第五条【产业发展】行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,壮大数据安全产业,提升数据安全保障能力,促进数据的创新应用。工业和电信数据处理者研发提供数据开发利用新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。
第六条【标准制定】行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设,组织开展行业标准制修订工作。鼓励支持企业、研究机构、高等院校、行业组织等不同主体,开展国际标准、国家标准、团体标准、企业标准制定。引导工业和电信数据处理者开展数据管理、数据安全贯标达标工作。
第二章 数据分类分级管理
第七条【分类分级方法】工业和电信数据处理者应当坚持先分类后分级,定期梳理,根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,形成数据分类清单。数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据、个人信息等。工业和信息化部按照国家有关规定,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。
第八条【一般数据】危害程度符合下列条件之一的数据为一般数据:
(一)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;
(二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;
(三)恢复数据或消除负面影响所需付出的代价小;
(四)其他未纳入重要数据、核心数据目录的数据。
第九条【重要数据】危害程度符合下列条件之一的数据为重要数据:
(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业发展、生产、运行和经济利益等造成影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)恢复数据或消除负面影响所需付出的代价大;
(六)经行业监管部门评估确定的其他重要数据。
第十条【核心数据】危害程度符合下列条件之一的数据为核心数据:
(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响;
(三)对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等;(四)经工业和信息化部评估确定的其他核心数据。
第十一条【分类分级工作要求】工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定及数据分级防护等制度规范,形成行业重要数据和核心数据具体目录并实施动态管理,指导开展数据分类分级防护工作。
地方工业和信息化主管部门、通信管理局组织开展本地区工业、电信行业数据分类分级防护及重要数据和核心数据识别认定工作,形成本地区行业重要数据和核心数据具体目录并上报工业和信息化部。
工业和电信数据处理者应当建立健全数据分类分级管理制度,将重要数据和核心数据目录报送地方工业和信息化主管部门或通信管理局,并采取措施开展数据分级防护,对重要数据进行重点保护,对核心数据在重要数据保护基础上实施更严格的管理和保护。不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护。
第十二条【重要数据和核心数据备案管理】工业和信息化部建立工业和信息化领域重要数据和核心数据备案管理制度,统筹建设备案管理平台。备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况,数据提供、公开、出境、承接,以及数据安全风险、事件处置等情况。
地方工业和信息化主管部门、通信管理局应当分别对本地区工业、电信行业重要数据和核心数据备案内容进行审核,对不符合有关备案要求的,应当督促企业及时完善并重新进行备案。
工业和电信数据处理者应当按照有关要求进行备案,备案内容发生变化的,应在三个月内报备变更情况,同时对整体备案情况进行更新。
第三章 数据全生命周期安全管理
第十三条【主体责任】工业和电信数据处理者应当对数据处理活动负安全主体责任,根据数据的类型、数量、安全级别、处理方式以及对国家安全、公共利益或者个人、组织合法权益带来的影响和安全风险等,采取必要措施确保数据持续处于有效保护和合法利用的状态。
(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
(二)明确数据安全管理的主要负责人和责任部门,统筹负责数据处理活动的安全监督管理;
(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;
(四)制定数据安全事件应急预案,并定期进行演练;
(五)定期对从业人员开展数据安全教育和培训;
(六)法律、行政法规规定的其他措施。
第十四条【工作体系】涉及重要数据和核心数据的,工业和电信数据处理者应当建立覆盖本单位相关部门的数据安全工作体系,设置专门的数据安全管理责任部门,本单位党委(党组)或领导班子对数据安全负主体责任,主要负责人是数据安全
第一责任人,分管数据安全的负责人是直接责任人,明确各部门数据安全职责及人员,建立常态化沟通与协作机制。第十五条【关键岗位管理】工业和电信数据处理者应当确认数据处理关键岗位及人员,签署数据安全责任书,记录数据处理活动。
第十六条【安全同步】工业和电信数据处理者应当确保数据安全管理和技术保护手段与生产运营、业务发展同步规划、同步建设、同步运行。
第十七条【数据收集】工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式收集数据。
数据收集过程中,应当采取配备技术手段、签署安全协议等措施加强对数据收集人员、设备的管理,并对数据收集的时间、类型、数量、频度、流向等进行记录。
通过间接途径获取数据的,应当要求数据提供方做出数据源合法性的书面承诺,并承担相应的法律责任。
第十八条【数据存储】工业和电信数据处理者应当依据法律规定或者与用户约定的方式和期限存储数据。存储重要数据的,还应当采用校验技术、密码技术等措施进行安全存储,不得直接提供存储系统的公共信息网络访问,并实施数据容灾备份和存储介质安全管理。存储核心数据的,还应当实施异地容灾备份。
第十九条【数据使用加工】工业和电信数据处理者未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制,建立登记、审批机制并留存记录。
工业和电信数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。
第二十条【数据传输】工业和电信数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据的,还应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施,涉及跨组织机构或者使用公共信息网络进行数据传输的,应当建立登记、审批机制。跨不同数据处理主体传输核心数据的,还应当通过国家数据安全工作协调机制审批。
第二十一条【数据提供】工业和电信数据处理者应当依据行业数据分类分级管理要求,明确数据提供的范围、数量、条件、程序等。提供重要数据的,还应当采取数据脱敏等措施,建立审批机制。提供核心数据的,还应当通过国家数据安全工作协调机制审批。
工业和电信数据处理者应当事先对数据接收方的数据安全保护能力进行核实,并与数据接收方签订数据安全协议,明确数据提供的范围、使用方式、时限、用途以及相应的安全保护措施、违约责任,并督促数据接收方予以落实。
第二十二条【数据公开】工业和电信数据处理者公开数据应当真实、准确,并在公开前开展安全评估,对涉及个人隐私、个人信息、商业秘密、保密商务信息以及可能对公共利益及国家安全产生重大影响的,不得公开。
第二十三条【数据销毁】工业和电信数据处理者应当建立数据销毁策略和管理制度,明确销毁对象、流程和技术等要求,对销毁活动进行记录和留存。销毁重要数据和核心数据的,不得以任何理由、任何方式对销毁数据进行恢复。
符合以下情况之一的,工业和电信数据处理者应当销毁相应数据:
(一)因业务约定,需要销毁的;
(二)个人依据其合法权益请求销毁的;
(三)组织基于保护国家安全、社会公共利益目的,且有第三方机构提供证明,请求销毁的。
第二十四条【数据出境】工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
第二十五条【数据承接】工业和电信数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据承接方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据的,应当及时向所在地工业和信息化主管部门或通信管理局备案。
作为数据承接方的工业和电信数据处理者,应当及时向所在地工业和信息化主管部门或通信管理局备案,承担数据安全责任和保护义务,不得违反国家有关规定及原数据处理者与用户的约定。
重要数据和核心数据没有承接方且符合销毁条件的,工业和电信数据处理者应当依法进行数据销毁。重要数据和核心数据没有数据承接方且不符合销毁条件的,工业和电信数据处理者应当及时上报所在地工业和信息化主管部门或通信管理局,将数据移交至行业监管部门指定的机构进行保存。
第二十六条【委托处理】工业和电信数据处理者委托他人开展数据处理活动的,应当对被委托方的数据安全保护能力、资质进行核实,确保符合国家、行业主管部门的相关要求,并通过合同约束、现场核查等方式对被委托方落实数据安全保护措施的情况进行监督管理。委托处理重要数据和核心数据的,还应当委托取得相应认证资质的检测评估机构对被委托方进行安全评估。
除法律、行政法规另有规定外,未经委托方同意,被委托方不得将数据提供给
第三方。第二十七条【安全审计】工业和电信数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月,定期进行安全审计,并形成审计报告,涉及重要数据和核心数据的,应当至少每半年进行一次。
第四章 数据安全监测预警与应急管理
第二十八条【监测预警机制】工业和信息化部统筹建立工业和信息化领域数据安全风险监测机制,建设数据安全监测预警平台,对数据泄露、违规传输、流量异常等安全风险进行监测和预警,及时组织研判重要数据和核心数据安全风险并进行预警。
地方工业和信息化主管部门、通信管理局建设数据安全监测预警平台,组织开展本地区工业、电信行业数据安全风险监测,按照有关规定及时发布预警信息,通知本地区工业和电信数据处理者及时采取应对措施。
工业和电信数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
第二十九条【信息上报和共享】工业和信息化部统一汇集、分析、通报工业和信息化领域数据安全风险信息,鼓励安全服务机构、行业组织、科研机构等开展数据安全风险和事件等相关信息上报和共享。
地方工业和信息化主管部门、通信管理局汇总分析本地区工业、电信行业数据安全风险和事件信息,及时将涉及重要数据和核心数据的安全风险上报工业和信息化部。
工业和电信数据处理者应当及时将自身数据安全风险情况向所在地工业和信息化主管部门或通信管理局报告。
第三十条【应急处置】工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。
地方工业和信息化主管部门、通信管理局组织开展本地区工业、电信行业数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即上报工业和信息化部,并及时报告事件发展和处置情况。
工业和电信数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,应当第一时间向所在地工业和信息化主管部门或通信管理局报告。事件处置完成后应当在规定期限内形成总结报告,每年向所在地工业和信息化主管部门或通信管理局报告数据安全事件处置情况。
工业和电信数据处理者对可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
第三十一条【举报投诉处理】工业和信息化部委托相关行业组织建立工业和信息化领域数据安全违法行为投诉举报渠道,及时向地方工业和信息化主管部门、通信管理局、工业和电信数据处理者下发相关投诉举报信息。地方工业和信息化主管部门、通信管理局组织工业和电信数据处理者对举报信息进行核实和依法处理,对涉及重要数据和核心数据安全问题的,开展执法调查。
工业和电信数据处理者应当建立用户投诉处理机制,公布电子邮件、电话、传真、在线客服等便捷有效的联系方式,配备受理用户投诉的人员接收数据安全相关投诉,并自接到投诉之日起15 个工作日内答复投诉人。
第五章 数据安全检测、评估与认证管理
第三十二条【安全能力认证】工业和信息化部建立数据安全检测、评估与认证机构管理制度,制定机构认定标准,开展机构选拔认定、资质授权、日常管理和推荐目录发布等工作。地方工业和信息化主管部门、通信管理局依据管理制度和认定标准,开展本地区工业、电信行业数据安全检测、评估与认证机构选拔认定、资质授权和管理等工作。
第三十三条【安全评估】工业和信息化部制定工业和信息化领域数据安全评估规范,指导检测评估机构开展数据安全风险评估、合规评估等工作。地方工业和信息化主管部门、通信管理局负责组织开展本地区工业、电信行业数据安全评估。
工业和电信数据处理者应当依据数据安全评估规范,开展数据安全评估及整改。
(一)对于一般数据,鼓励开展数据安全自评估,对发现的数据安全风险问题进行及时整改;
(二)对于重要数据和核心数据,应当至少每年自行或者委托推荐目录中的检测评估机构开展一次安全评估,并向所在地工业和信息化主管部门或通信管理局报告。
第六章 监督检查
第三十四条【监督检查和协助义务】工业和信息化部组织制定数据安全监测接口标准。行业监管部门对工业和电信数据处理者落实本规定要求的情况进行监督检查。工业和电信数据处理者应当配合行业监管部门依法开展监督检查,并预留检查接口。
第三十五条【数据安全审查】工业和信息化部在国家数据安全工作协调机制指导下,对影响或可能影响国家安全的工业和电信数据处理活动开展数据安全审查。
第三十六条【保密要求】行业监管部门及其委托的数据安全检测评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露、出售或者非法向他人提供。
第三十七条【约谈整改】行业监管部门在履行数据安全监督管理职责中,对未按要求进行重要数据和核心数据备案,或者发现数据处理活动存在重大安全风险或发生安全事件的,可以按照规定权限和程序对工业和电信数据处理者的法定代表人或者主要负责人进行约谈,并要求采取措施进行整改,消除隐患。
第七章 法律责任
第三十八条【信用机制】行业监管部门应当将工业和电信数据处理者落实数据安全管理责任情况纳入信用管理。对存在数据安全违法违规行为受到行政处罚的数据处理者,按照有关规定将其列入业务经营不良名单或失信名单。
第三十九条【法律责任】对于违反本办法的,由行业监管部门依照《数据安全法》《网络安全法》等法律和相关行政法规,根据情节严重程度给予公开曝光、没收违法所得、罚款、暂停业务、停业整顿、关闭网站、吊销业务许可证或吊销营业执照等行政处罚;构成犯罪的,依法追究刑事责任。
第八章 附则
第四十条【涉密排除】涉及国家秘密信息、密码使用等数据处理活动,按照国家有关规定执行。
第四十一条【军事数据排除】涉及军事的数据处理活动,按照国家有关规定执行。
第四十二条【政务数据排除】工业和信息化领域政务数据处理活动的具体办法,由工业和信息化部另行规定。
第四十三条【国防科工、烟草领域】国防科技工业、烟草领域数据安全管理由国防科工局、国家烟草专卖局负责,具体制度参照本办法另行制定。
第四十四条【施行日期】本规定自〇〇〇〇年〇〇月〇〇日起施行。
中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催(続き)
先日のブログでご紹介した2021/09/18開催の「中華人民共和国個人情報保護法」プロモーション会議で、外資系企業に対する個人情報保護要求の強化について個別に言及があったらしいので補足。
先日のブログ todkm.hatenablog.com
《个人信息保护法》实施在即——企业须履职尽责合规经营 http://www.ce.cn/xwzx/gnsz/gdxw/202109/30/t20210930_36960085.shtml
中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)局長・華清氏からは、外資系企業に対するアドバイスとして以下の点が取り上げられたとのこと。
- 個人情報保護を法制度に適合させる作業の完成
- 企業内部の管理制度と業務規則の制定
- セキュリティ技術措置の実施
- 指定した責任者による監督の実施
- 定期的な監査の実施
- 個人情報処理活動の全業務フロー管理の実現
- センシティブ情報に対する特別な注意
- 個人情報を利用した自動的な決定や、個人情報の外部への提供・公開等のハイリスクな活動にかんする事前影響評価の実施
- 個人情報の本人開示や救済義務等の履行
また、個人情報の域外移転については、全国人代常務委員会法制工作委員会経済法室副主任・楊合慶から以下のようなアドバイスがなされたらしい。
- 中国国内に個人情報の域外移転事務に関する代表責任者を設置すること
- 国家サイバースペース管理部門の実施するセキュリティ評価を受けるとともに、専門機構が策定する予定の標準契約(GDPRのSCCにあたる契約)を締結すること
- 域外の個人情報受領者の処理活動が法の規定する保護標準に達していることを保障すること
先日のブログで取り上げた中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)自体の記事には、外資系についてここまで詳細な内容が書かれていなかったので、補足としてご紹介した。
法律の内容そのままで、新しいことは何も言っていないが、政府関係者が外資系企業に明確に対応を求めていること自体が重要と思われる。
中国初のデジタルデータ専門法廷が広州市に開設、専門家を参審員に招聘
中国データセキュリティ法関連ニュース。2021/09/26中国のニュースサイト大洋網によると、広州市に全国初のデジタルデータ専門法廷が開設されたとのこと。
そもそも広州市に「広州インターネット法院」なるものが存在するのを知らなかったのだが、そこに中国初のデジタルデータ関連訴訟専門法廷ができるとのこと。
管轄するのは個人データ、企業データ、公共データの収集、保存、使用、加工、伝送、提供、公開、削除などデータ処理とデータセキュリティに関する第一審の審査。
広州インターネット法院は成立すでに3年、仮想通貨、個人情報保護、情報の自己決定権、データ匿名化、データ価格決定など624案件を処理しているとのこと。
今回デジタルデータ係争専門合議法廷を設置するのは、データ産業の発展にともなう司法要求に応え、審議の専門性のレベルを高めるため。(合議法廷とは裁判官1人の単独法廷以外の法廷)
同専門法廷は、政府機関、科学研究機構、大学、ネット関連企業などから、専門家を招いて人民参審員とし、審理中に専門的な尋問の時間を新たに設けるらしい。
地方ごとにバラツキはあると思われるが中国「データセキュリティ法」の具体的な制度化は着実に進んでいるように見える。
Emotetのようにメールのやり取りに割り込んでくるマルウェアに要注意
FortiGuard Labsが2021/09/21、Emotetのように返信メールを悪用するタイプのマルウェアSquirrelwaffle(スクウォーレル・ワッフル)の注意喚起をしているようだ。
メールのリンクをクリックすると、不正なVBAマクロを含むオフィスファイルを圧縮したZIPファイルが外部サーバーからダウンロードされる。
ZIPファイルを解凍してオフィスファイルを開くと、VBScriptファイルが展開され、そのVBScriptが外部サーバーからSquirrelwaffle Loaderというマルウェアをダウンロードする。
現時点でSquirrelwaffle Loaderが悪用する攻撃ツールとして報告されているのはCobaltStrikeとのこと。CobaltStrikeは外部のコマンド&コントロールサーバーと通信して、さらに追加のマルウェアをダウンロードする。
このSquirrelwaffleは、以前のEmotetのように「Replay Chain Technique(リプライ・チェーン・テクニック)」を利用しているとのこと。
これはメールの返信をくり返すことで出来るスレッドに途中から割り込むテクニックで「スレッドハイジャック」とも呼ばれるらしい。
個人的にもビジネスメール詐欺でよく見るパターンだが、タテに延々とつながっている返信の返信のそのまた返信というスレッドの途中から、いつの間にか自社や取引先のメールアドレスが奇妙なドメインのアドレスに入れ替わっていたりする。
攻撃者はスレッドに含まれる送受信者のうち誰かのメールアカウントに不正アクセスし、メールのやりとりの情報を盗み、ある時点で割り込んで来てもっともらしい返信をして受信者をだます。
この「スレッドハイジャック」は何度も見たことがあるが、先方に問い合わせるとほとんどの場合メールアカウントに二要素認証を設定していなかったり、自分が攻撃者のアドレスにメールを送信していることに気づいていなかったりする。
とはいえ自分がだまされる可能性も十分あるので、まず自社のメールアカウントは最低限、二要素認証を必須とし、その上で相手のメールアドレスがヘンなドメインにすり替わっていないか、「スレッドハイジャック」に要注意。
個人情報保護法の施行に関わらず2019/11からスマホアプリの処分は始まっている件
2021/09/23、中国産業情報化部が「サイバーセキュリティ法」「電信条例」「電信インターネットユーザー個人情報保護規定」などに基づき、旅行サービス関連アプリを中心に抜き取り検査をしたところ、52個のアプリが改善を終えておらず、2021/09/29までに改善しなければ処分するとの通知を出した。
「ユーザーの権益を侵害しているアプリに関する通報(2021年第10回、計第19回)」
添付ファイルの中身を見ると、問題となっているのは例えば以下のような点。
- 規則に反した個人情報の収集
- 強制的、頻繁、過度なシステム上の権限の要求
- 範囲を超えた個人情報の収集
- ユーザーを騙して何らかの強制を行ったこと
処罰の対象になっている旅行会社、航空会社などのアプリには、中国国内のAndroidアプリストアだけでなく、AppleのAppStoreで公開されているものもある。
ただ、通知のタイトルに2021年第10回、計第19回とあるように、この種のスマホアプリに対する処分は2019/11から定期的に行われており、2021/11/1施行の「中国個人情報保護法」とは直接関係ない。
こちらがアプリ処分開始の通知。
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2020/art_ebe83afcca4c430590c1a66cbbac1b21.html
この2019/11の段階ですでに処分の対象となっていた以下のようなことを行うアプリ。
- 個人情報収集の目的、方法、範囲をユーザーの同意取得前に収集する
- サービスに必要な範囲を超えて個人情報を収集する
- 本人の同意を得ずに第三者に個人情報を共有する
- ユーザーへの告知なく、ユーザーの検索、閲覧記録などを元に広告のプッシュ配信をする
- アプリのインストール時にサービスと無関係な権限を要求し、ユーザーが応じない場合はインストールを中止する
- ユーザーが明確に拒否した後も、サービスと無関係な権限を何度も要求する
- ユーザーが特定のサービスや機能をまだ利用し始めていないのに、事前に各種権限を要求する
- アカウント削除の方法を提供しない、または、アカウント削除に対して不合理な障壁を設ける
ということで、個人情報保護法の施行にかかわらず、サイバーセキュリティ―法など既存の法律でスマホアプリの個人情報の不適切な収集などはすでに処分されてきた、というお話でした。
