中国政府が中国のUber的な配車アプリ企業DiDi(滴滴)に約1600億円(80.26億元)もの罰金を科したとのこと。

www.cac.gov.cn

2021/07/02国家サイバースペース管理局は同社に対してサイバーセキュリティ審査を開始すると宣言していたが、今回の処罰はその結果によるもの。なおこの1年以上の間、同社は新規顧客の登録を停止されていた。

网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告-中共中央网络安全和信息化委员会办公室

処罰の理由について国家サイバースペース管理局と記者のQ&Aが公開されていたので要約してみる。五つの質問のうち一、三、五は形式的な項目なので省略した。

国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问-中共中央网络安全和信息化委员会办公室

二、滴滴にはどのような違法行為が存在したのですか？

• ユーザーのスマホのアルバム内の画面ショット情報1196.39万件を不法に収集

• ユーザーのクリップボード情報、アプリ一覧情報83.23億件を過度に収集

• 乗客の顔識別情報1.07億件、年齢層情報5350.92万件、職業情報1633.56万件、家族関係情報138.29万件、自宅と会社の配車住所情報1.53億件を過度に収集

• 乗客によるドライバー評価時、アプリのバックグラウンド実行時、スマホをドライブレコーダーに接続した時の正確な位置情報(経緯度)1.67億件を過度に収集

• ドライバーの学歴情報14.29万件を過度に収集、ドライバーの身分証番号情報5780.26万件を平文で保存

• 乗客に明示的に告知しない状態で、乗客の外出目的情報539.76億件、現住所情報15.38億件、出張/旅行情報3.04億件を分析

• 乗客が「順風車」サービスアプリを利用する際、無関係な電話発信権限を頻繁に要求

• ユーザーのデバイス情報など19項目の個人情報処理目的を正確、明確に説明しなかったこと

四、滴滴に対してサイバーセキュリティ審査に関連した行政処罰の決定をした主要な根拠は何ですか？

• 違法行為の性質：監督部門の要求に基づかず、サイバーセキュリティ、データセキュリティ、個人情報保護の義務を履行せず、国家サイバーセキュリティ、データセキュリティを顧みず、国家サイバーセキュリティ、データセキュリティに重大なリスクと損害を与えたこと。かつ、監督部門の改善命令の状況下でも、いまだ全面的で根本的な改善を行わず、性質が極めて劣悪であること。

• 違法行為の持続期間：2015年6月から今にいたる7年間に達し、2017年6月施行の『サイバーセキュリティ法』、2021年9月施行の『データセキュリティ法』、2021年11月施行の『個人情報保護法』に継続して違反したこと。

• 違法行為による損害：違法な手段によってユーザーのクリップボード情報、アルバムの中の画面ショット情報、家族関係情報などの個人情報を収集し、ユーザーのプライバシーに重大な侵犯をおかし、ユーザーの個人情報権益に重大な損害を与えた。

• 違法に処理した個人情報の量：647.09億件に達する個人情報を違法に処理し、数量が巨大であり、その中に顔識別情報、正確な位置情報、身分証番号などのセンシティブな個人情報を含んでいること。

• 個人情報の違法処理の状況：違法行為が多数のアプリにおよび、過度な個人情報収集、センシティブな個人情報の強制的収集、アプリの頻繁な権限要求、個人情報処理の告知義務の不十分な実施、サイバーセキュリティ、データセキュリティ保護義務の不十分な実施などを含む多岐にわたる状況があったこと。

以上、細かい数字にはあまり意味がなく、重大な違反をやった感を出しているだけと思われる。