ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国個人情報保護法についてサイバースペース管理局(互联网信息办公室)自らによる解説

f:id:todkm:20210830095633j:plain 2021/08/20に第十三回全人代常務委員会第三十次会議で、中国の個人情報保護法が可決され、2021/11/01から施行されることになった。

http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

中国サイバースペース管理局(国家互联网信息办公室)サイトに解説記事がいくつか掲載されているので、要約してみる。例によってこのブログは個人の趣味でやっており、ゆめゆめ実務にご利用にならぬようお願いします。

中国個人情報保護法の十大ポイント

8章74条,个人信息保护法来了!权威解读十大亮点-中共中央网络安全和信息化委员会办公室

1. 個人情報保護の原則を確立

2. 「告知ー同意」原則

つまり、個人情報処理の前に本人に十分な告知をし、同意を得ること。処理後に重要事項が変更された場合は再度告知、同意を得ること。

センシティブ情報、第三者提供、越境移転などの場合は、別途本人の同意を得ること。

個人情報を過度に収集しないこと。製品やサービスの提供拒否を盾に、個人情報の提供を強要しないこと。

個人は同意をいつでも撤回できる権利があること。

共同処理、委託処理については別途規定をもうけること。

3. 「大数据殺熟」を禁止するための規定

「大数据殺熟」とは既存ユーザーより新規ユーザーに有利な条件を提示して、新規ユーザーを獲得しようというマーケティング手法。

このようなことが起こらないように、個人情報の自動処理の透明性や、処理結果の公平さ、公正さを確保すること。

4. センシティブ情報の厳格な保護

生体識別情報、宗教信仰、犯罪歴、病歴、銀行口座、行動履歴など。また、14歳未満の未成年の個人情報の処理には、両親または後見人の同意が必要。

5. 国家機関の処理活動

国家機関の中にも一部、個人情報漏えい事故などが起こっており、管理強化が必要。

6. 本人に対する十分な権利の賦与

個人情報の処理ルール、処理項目の告知、同意とその撤回、照会、複製、訂正、削除など個人の権利を明確化する。

プラットフォームをまたぐ個人情報移転の需要の高まりにこたえ、情報処理者は個人に対しデータ移転の方法を提供しなければならない。

また、死者の個人情報について専用の規定を設ける。死者が生前に明確な意思表示をしている前提で、親族の正当な利益のために、死者の個人情報の閲覧、複製、変更、削除などの権利を認める。

7. 個人情報処理者の義務の強化

個人情報処理者を第一の個人情報保護責任者として、必要な安全保護措置を義務付ける。内部管理規定の策定、技術措置、指定した責任者による監督、定期的な監査など。

センシティブ情報の処理、個人情報の自動処理による決定、対外的な個人情報提供または公開など、リスクの高い処理活動には、事前のリスク評価を義務づける。個人情報漏えい時の通知や救済義務も課す。

8. 大型プラットフォーマーに対する特別な義務

重要なプラットフォームサービスや、大量のユーザー、複雑な個人情報処理をおこなう処理者は、個人情報に対する強いコントロールや支配力をもつため、より多くの法的義務を課す。

独立した組織による監査を行うこと、公開、公平、公正の原則によるプラットフォーム規則を遵守すること、重大な法律違反の場合はサービス停止とすること、定期的に社会的責任に関するレポートを公開し、社会の監督を受けることなど。

9. 個人情報の越境流動ルール

経済のグローバル化により個人情報の国境を越えた流動が増加しているが、地理的に通り国家の法制度、保護水準との間には差がある。そのため個人情報の越境リスクはコントロールが難しい。

(1) 国内自然人の個人情報を国外で処理することに対しても、本法を適用し、国外の個人情報処理者に、国内に専用の組織や代表者を指定し、責任者が個人情報保護関連の事務をおこなうことを求める。

(2) 国外に個人情報を提供する経路を明確にする。つまり、国家サイバースペース管理局によるセキュリティ評価、専門の機構による認証、標準契約の締結、我が国が締結または我が国が参加する国際条約への準拠など。

(3) 国外の処理活動にも本法の定める保護水準を要求する。

(4) 越境して提供される個人情報の「告知ー同意」にはさらに厳格さを要求し、個人の知る権利、決定権等を確実に保証する。

(5) 国家の主権、安全、利益の発展を維持する。つまり、越境提供に対するセキュリティ評価、国外の法執行機関に対する個人情報の提供、個人情報の越境提供に対する制限措置、外国による差別的な措置に対する対抗制度など。

10. 個人情報保護業務の健全化

幅広い個人情報処理に対して信頼できる完全な監督、法執行制度を実施する。

サイバースペース管理局や関連する国務院の各部門が職責の範囲内で、個人情報保護と監督管理の責任を負う。個人情報保護の宣伝教育、指導監督、苦情受付、アプリケーションプログラムの評価、違法な個人情報処理活動の調査など。

要約は以上。

サイバースペース管理局自らによる解説は他にもいくつかあるので、興味のある方はご参照を。

专家解读|个人信息保护法解决广大人民群众最关心最直接最现实的利益问题-中共中央网络安全和信息化委员会办公室

专家解读|个人信息保护法解决广大人民群众最关心最直接最现实的利益问题-中共中央网络安全和信息化委员会办公室