ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

「自動車データセキュリティ管理に関する若干の規定(試行)」2021/10/1施行

中国サイバースペース管理局(互联网信息办公室)が2021/08/20に公布していた「自動車データセキュリティ管理に関する若干の規定(汽车数据安全管理若干规定)(試行)」という法律が2021/10/01から施行されるとのこと。

www.cac.gov.cn

中国の法律は「試行」と付いていても実質的な効力を持つので要注意(『現代中国法入門』p.118参照)。

上位の法律にあたる「データセキュリティ法」が2021/9/1に施行されたと思ったら、さっそく自動車データのセキュリティに関する個別法が出てくるというスピード感。

以下、試訳する。

なお筆者は法律の専門家でも何でもないので、このブログの内容はゆめゆめ実務に利用されませぬよう。

第一条

自動車データ処理活動を規定し、個人、組織の権益を保護し、国家の安全と社会公共の利益を維持し、自動車データの合理的な開発と利用を促進するために、「中国サイバーセキュリティ法」、「中国データセキュリティ法」等の法律、行政法規に基づき、本規定を制定する。

第二条

国内において自動車データ処理活動の実施およびそのセキュリティ監督を実施する場合、関連する法律、行政法規と本規定の要求を順守しなければならない。

第三条

本規定のいう自動車データとは、自動車の設計、生産、販売、使用、メンテナンス等の過程で個人情報データと重要データにかかわるものを含む。

自動車データ処理とは、自動車データの収集、保存、使用、加工、伝送、提供、公開等を含む。

自動車データ処理者とは、自動車データ処理活動を実施する組織を指し、自動車メーカー、部品とソフトウェアのサプライヤー、ディーラー、メンテナンス事業者および出張サービス企業等を含む。

個人情報とは、電子あるいはその他の方式で記録されるとともに、すでに識別された、あるいは識別できる自動車の所有者、運転者、同乗者、車外の人員等に関連する各種情報を指し、匿名化処理後の情報は含まない。

センシティブ情報とは、いったん漏えいあるいは不法に使用されれば、自動車の所有者、運転者、同乗者、車外の人員等が差別を受け、あるいは人身、財産の安全が重大な危害を受けるような個人情報を指し、車両の走行履歴、録音、録画、画像と生体識別特徴等の情報を含む。

重要データとは、いったん改ざん、破壊、漏えいあるいは不法な取得をされると、国家の安全、公共の利益あるいは個人、組織の合法的権益を損なうようなデータを指し、以下のものを含む:

(一)軍事管理区、国防科単位および県クラス以上の党政機関等重要なセンシティブ区域の地理情報、人員移動量、車両移動量等のデータ

(二)車両移動量、物量等、経済の進行状況を反映するデータ

(三)自動車充電網の運用データ

(四)顔データ、ナンバープレート等を含む車外の動画、画像データ

(五)10万人を超える個人情報主体に関する個人情報

(六)国家網信部と国務院の発展改革委員会、産業情報化部、公安部、交通運輸部等関連する部門が確定する、その他国家の安全、公共の利益あるいは個人、組織の合法的権益を損ないうるデータ

第四条

自動車データ処理者による自動車データ処理は合法的、正当、具体的、明確でなければならず、自動車の設計、生産、販売、使用、メンテナンス等に直接関係するものでなければならない。

第五条

インターネット等の情報ネットワークを利用して自動車データ処理活動を実施する場合、サイバーセキュリティ等級保護制度を実施し、自動車データの保護を強化し、法に基づいてデータセキュリティ義務を履行しなければならない。

(訳注:サイバーセキュリティ等級保護制度については「网络安全等级保护」でググって下さい。旧制度である「信息安全等级保护制度」がサイバーセキュリティ法施行にともなって「信息」から「网络」に改訂された制度で、新しい等級保護制度という意味で「安全等级保护制度 2.0」と呼ばれることもある)

第六条

国家は自動車データを法に基づいて有効利用することを奨励し、自動車データ処理者が自動車データ処理活動中に以下の努力を続けることを提唱する

(一)車内処理の原則。やむを得ず車外に提供する必要がある場合を除く

(二)不収集初期設定の原則。運転者が自ら設定する場合を除き、毎回運転する際の初期設定は収集しない状態とすること

(三)精度・範囲適用の原則。提供する機能やサービスのデータ精度に対する要求に基づき、カメラ、レーダー等のカバーする範囲、解像度を確定すること

(四)非センシティブ化の原則。可能な限り匿名化、非識別化等の処理を行うこと

(訳注:データ処理を車内に制限するのは、車外に存在する情報やデータ、たとえば通行人を識別できる顔情報や国家機密にあたるような重要データなどを、自動車が運転中に収集することを制限するためと思われる。さらっと読むと個人情報保護だけの観点のように読めるが、第三条の定義にある「重要データ」も含まれていると思われる)

第七条

自動車データ処理者による個人情報処理はマニュアル、車載LED、言語、自動車の使用に関連するアプリケーションプログラム等明確な方法で、個人に対して以下の事項を告知しなければならない

(一)処理する個人情報の種類。車両の走行履歴、運転の習慣、音声、映像、画像と生体識別特徴等を含む

(二)各種個人情報の収集の具体的な状況および収集を停止する方法と経路

(三)各種個人情報を処理する目的、用途、方法

(四)個人情報を保存する場所、保存期限、あるいは保存する場所、保存期限を確定する規則

(五)車内におけるその個人情報の閲覧、複製および削除、すでに車外に提供した個人情報の削除請求の方法と経路

(六)ユーザーの権益に関する事務の連絡先担当者の氏名と連絡方法

(七)法律、行政法規の規定するその他の告知すべき事項

第八条

自動車データ処理者による個人情報処理は個人の同意を得るか、あるいは法律、行政法規の規定するその他の状況に符合しなければならない。

安全運転を保証する必要性から、個人の同意を得ることができない状態で、車外の個人の情報を収集かつ車外に対して提供する場合は、匿名化処理を行わなければならない。この匿名化処理は、自然人を識別できる画像の削除、あるいは画像内の顔情報に対する部分的な輪郭化処理等を含む。

(訳注:ここはおそらく、走行中の自動車が歩行者検知などのために周囲の情報を収集し、そこに歩行者の顔など個人を識別できる情報が含まれてしまう場合、いちいち歩行者に同意を得るわけにもいかないので、匿名化しなければいけないという意味。ただし、その個人情報をいっさい車内から持ち出さない、つまり車載システムから車外へデータをいっさい書き出したり送信したりしなければ、匿名化処理する必要はないということと思われる。)

第九条

自動車データ処理者によるセンシティブ情報の処理は、以下の要求あるいは法律、行政法規と強制性のある国家標準等その他の要求に符合しなければならない

(一)個人に対して直接サービスする目的を有すること。安全運転の強化、AI運転、ナビゲーション等。

(二)マニュアル、車載LED、言語および自動車の使用に関連するアプリケーションプログラム等明確な方法で、その必要性と個人に対する影響を告知すること

(三)個人自らの同意を得なければならない場合、個人が自ら同意の期限を設定できるようにすること

(四)安全運転を保証する前提で、適切な方法で収集状態を提示し、収集を停止する便宜を個人に提供すること

(五)個人が削除を要求した場合、自動車データ処理者は十営業日以内に削除すること

自動車データ処理者は安全運転目的と十分な必要性がある場合に限って、指紋、声紋、顔、心拍数など生体識別特徴情報を収集できる。

第十条

自動車データ処理者が重要データの処理活動を行う場合、規定に基づいてリスク評価を行い、省、自治区直轄市の網信部門と関連部門にリスク評価報告を提出しなければならない。

リスク評価報告は、処理する重要データの種類、数量、範囲、保存場所と期限、使用方法、データ処理活動の実施状況と第三者に提供するかどうか、想定されるデータセキュリティリスクとそれに対する措置等を含まなければならない。

第十一条

重要データは法に基づいて国内に保存しなければならない。業務上の必要から国外に提供する必要がある場合は、国家網信部門が国務院の関連部門と共同で実施するセキュリティ評価を経なければならない。重要データに入らない個人に関する情報の国外提供のセキュリティ管理は、法律、行政法規の関連規定を適用する。

我が国が締結あるいは参加している国際条約、協定に異なる規定がある場合は、その国際条約、協定を適用する。ただし我が国が留保を声明している条項は除く。

第十二条

自動車データ処理者が国外に重要データを提供する場合、国外提供セキュリティ評価の際に明確にした目的、範囲、方法とデータの種類、規模等を超えてはならない。

国家網信部門が国務院の関連部門と共同でサンプリング等の方法で前項の定める事項を検査する場合、自動車データ処理者はそれに協力し、閲覧可能にする等の簡便な方法で提示しなければならない。

十三条

自動車データ処理者が重要データ処理活動を行う場合、毎年十二月十五日より以前に省、自治区直轄市の網信部門と関連する部門に、以下のような年間自動車データセキュリティ管理状況を報告しなければならない

(一)自動車データセキュリティ管理責任者、ユーザ権益事務連絡先担当者の氏名と連絡方法

(二)処理する自動車データの種類、規模、目的と必要性

(三)自動車データのセキュリティ保護と管理措置。保存場所、期限等を含む。

(四)国外の第三者に対する自動車データの提供状況

(五)自動車データセキュリティインシデントと対処状況

(六)自動車データに関するユーザーからのクレームとその処理状況

(七)国家網信部門が国務院の産業情報化部、公安部、交通運輸部等の関連部門と共同で明確にする、その他自動車データセキュリティの管理状況

第十四条

国外に重要データを提供する自動車データ処理者は、本規定の第十三条の要求に基づき、以下の状況を追加で報告しなければならない

(一)受領者の基本状況

(二)国外提供した自動車データの種類、規模、目的と必要性

(三)自動車データの国外における保存場所、保存期限、保存範囲と保存方法

(四)国外に提供した自動車データに関するユーザーからのクレームとその処理状況

(五)国家網信部門が国務院の産業情報化部、公安部、交通運輸部等の関連部門と共同で明確にする、自動車データの国外提供について報告する必要があるその他の状況

第十五条

国家網信部門と国務院の発展改革委員会、産業情報化部、公安部、交通運輸部等の関連部門が職責に基づき、処理データの状況によって自動車データ処理者に対して行うデータセキュリティ評価に、自動車データ処理者は協力しなければならない。

セキュリティ評価に参加する機構と人員は評価中に知り得た自動車データ処理者の営業機密、未公開情報を開示してはならず、評価中に知り得た情報を評価以外の目的に使ってはならない。

第十六条

国家はAI(コネクテッド)自動車のネットワークプラットフォーム建設を強化し、AI(コネクテッド)自動車のネットワーク接続運行とセキュリティ保障サービス等を実施し、自動車データ処理者と協力してAI(コネクテッド)自動車のネットワークと自動車データのセキュリティ保護を強化する。

(訳注:コネクテッドカーの開発、普及を国策として実施していく意思がはっきり感じられる条文)

第十七条

自動車データ処理者が自動車データ処理活動を行う場合、クレームと通報の経路を確立し、簡便にクレームと通報ができる窓口を設置し、ユーザーからのクレームと通報を速やかに処理しなければならない。

第十八条

自動車データ処理者が本規定に違反した場合、省クラス以上の網信、産業情報化部、公安部、交通運輸部等の関連部門が、「サイバーセキュリティ法」、「データセキュリティ法」等の法律、行政法規の規定に基づいて処罰を行う。犯罪を構成するものは、法に基づき刑事責任を追及する。

(訳注:具体的な処罰の内容、たとえば罰金額や営業停止処分などが書かれていないのが困る。というよりこの規定自体が全体にざっくりしすぎ)

第十九条

本規定は2021年10月1日より施行する。