サイバーセキュリティ法に関するアジアの視点 – 中国

    By 王筱東, グローバル弁護士事務所
    0
    565
    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link

    データ保護とサイバーセキュリティは、アジアにおいて進化する規制分野です。ここでは、専門家が主要な国に見られる法律に光を当てます

     

    我々は今、非常に困難な時期に直面しております。新型コロナウイルスによる感染症の拡大で、国際往来が大幅に減らしました。数多くの国や都市がほぼ封鎖の状態になっております。社交における距離を保つために、私たちは自宅に止めることになり、仕事や交流、娯楽などもオンラインに頼ることになっています。これまでにインターネットサービスにこれほどに密接することはなかったでしょうか。このように徹底的にネット環境に浴びることやこのように真剣に自分の個人情報やプライバシー保護の問題に直面することもなかったでしょう。

    これに関しまして、企業は、関連ビジネスでの個人情報の使用することから生じるコンプライアンスのリスクについても非常に警戒しています。世界を見渡ると、EUは伝統的な産業の巨人として、データ保護に関する『一般データ保護規則』(GDPR)を発行しています。インターネットの発祥の地であり、多くの有名なインターネット企業の拠点であるカリフォルニアは、『カリフォルニア州消費者プライバシー保護法』(CCPA)にも関連する内容を取り入れています。その一方で、長き歴史を持つ古代文明国である中国は、近年、グローバルなインターネット技術の革新と開発のテスト拠点となっていますが、データ保護法制の観点から、今どこまで進んでいるのでしょうか。

    cybersecurity
    王筱東
    グローバル弁護士事務所(上海)パートナー
    連絡先: +86 21 2310 9517
    Eメール: vincentwang@glo.com.cn

    法律体制

    中国はまだ制定しておらず、データ保護のすべての側面を対象とする包括的な法律を制定する見通しもないです。2019年12月、全国人民代表大会の常任委員会が発行した2020年度の立法計画には、『個人情報保護法』と『データセキュリティ法』の草案が明確に含まれていました。これは主に、国のデータ保護メカニズムが市民の個人情報とオンラインプライバシーだけでなく、政府に関連する重要なデータも保護可能ということを立法者が望んでいるためです。グローバリゼーションが進んでいる中、「二重目的」を強調するこの立法計画は、より保守的な選択のようです。しかし、一部の主要な西欧諸国でのポピュリズムの台頭によって引き起こされた反グローバリゼーションの波に参照すると、この立法モデルも保守的ではなくなりました。

    現在の中国のデータ保護メカニズムのもとで、データ保護に関連する要件は広範囲の法律体制に分散しており、データ保護に関連する推奨される運用慣行はいくつかの国家基準を通じて推進されています。具体的には、中国のデータ保護法制度は、主に次の4つの面で構成されることが想定できます。

    (1)『ネットワークセキュリティ法』およびその関連規制、規則、規格を含む一般的なデータセキュリティ要件;

    (2)『国家機密厳守法』およびその裏付けとなる実施規則を含む、国家機密の保護;

    (3)『民法』の関連規則や、『消費者権利保護法』および関連する国家基準の規定を含む個人情報保護;

    (4)各産業の関連部門の規制や現地の規制を含む、重要なるデータ保護。

    規制当局

    前述の中国のデータ保護メカニズムの「二重目的」を考慮して、データ保護計画システムに基づく両方の機能を確実に発揮するには、複数の監督者が協力する必要があります。中国の主なデータ保護当局とその機能は次のとおりです。

    (1)国立インターネット情報弁公室は、立法を主導し、関連する法律と規制の実施を指導および調整する責任があります。

    (2)公安部は、データセキュリティ犯罪とネットワークセキュリティ違反の撲滅に責任が追われています。

    (3)国家市場監督管理総局は、消費者のプライバシーを違法に侵害する商慣行など、個人情報のセキュリティを伴う市場経済活動の実施を監督する責任があります。

    (4)産業及び情報化部は、電気通信サービス産業のデータ保護を担当されています。

    (5)他の関連部門は、各業界におけるそれぞれのデータセキュリティコンプライアンス状況を監督する責任があります。

    一般規定:個人データ及び情報の保護

    合法性、正当性および必要性の原則。法律は、ネットワークオペレーターが個人情報に関連するビジネスを合法的に行うことを義務付けており、正当な理由があり、個人情報の収集と使用の必要性を証明することができる場合のみ関連業務を展開可能です。合法性、正当性、および必要性の原則はその具体的な基準が、「情報セキュリティ技術個人情報セキュリティ仕様」など、国家情報セキュリティ標準化技術委員会(TC260)が発行する各推奨国家標準に記載されています。

    同意の原則。この原則に従って、ネットワークオペレーターは、個人情報の収集と使用に関する規則とポリシーを公開し、収集の目的、手段、および範囲を個人情報主体に通知する必要があります。個人の機密情報を収集する前に、ネットワークオペレーターは個人情報主体の明示的な同意を得て、個人情報主体の明示的な同意が完全に理解した上にご自身の情報を提供することを確認する必要があります。個人の機密情報には、顔や銀行口座などの機密情報が含まれます。

    個人情報のライフサイクル全体の保護要件。個人情報を保護する要件は、収集から保管、使用、処理、共有、転送、削除と廃棄までのライフサイクル全体をカバーします。ライフサイクル各段階における個人情報保護のポイントを以下に示します。

    . 収集:ネットワークオペレーターは合法性、正当性、必要性及びインフォームドコンセントの原則を厳密に遵守する必要があります。

    . 使用と処理:個人情報の使用と処理においては、収集前に取得した許可の範囲を超えてはなりません。対応する同意なしに個人情報の使用及び処理する必要が生じる場合、ネットワークオペレーターは個人情報の追加の使用範囲について追加の同意を取得する必要があります。データ処理のアウトソーシングの場合、ネットワーク事業者は、アウトソーシング業者が当該処理活動の上記の要件に厳密に従うことを確認する必要があることに注意することが重要です。

    . 保管:個人情報の保管は、対象者の許可された使用を達成するために必要な最短の期間のみ許可すること。個人情報を保管する際には、匿名化を実施し、孤児情報の復元や個人の特定に利用できる情報と別に保管することをお勧めします。個人の機密情報を保管するには、暗号化された保存方法を利用することもお勧めします。

    . 共有と送信:個人情報を第三者に共有または送信する前に、ネットワークオペレーターは、個人情報の件名の関連する同意を追加で取得する必要があります。ネットワークオペレーターは、共有と送信する前に、セキュリティ影響評価を実施する必要が生じることもあります。共有と送信完了後、ネットワークオペレーターは個人情報の受信者に対する責任と義務を明確にし、受信者の行動に対する合理範囲内に監督することも必要です。

    . 個人情報主体の権利の尊重:ネットワークオペレーターは、同意の撤回、個人情報の修正または削除、バックアップデータの提供、またはアカウントの削除などの個人主体からの要求を尊重し、対応する義務があります。

    一般規定:重要なデータの保護

    個人情報保護とは異なり、重要なデータの保護は、「二重目的」立法システムのもう1つの柱として、中国ではまだ初期段階にあります。『サイバーセキュリティ法』といくつかの地方の規制は、いくつかのマクロ性の原則と参照基準のみを規定しました。当分野の特定的な規制である『データセキュリティ管理対策』(意見募集稿)は、まだ正式には出されていない現状です。

    重要なデータ保護のためのローカリゼーションルールはまだほとんど不明確です。『サイバーセキュリティ法』によると、重要情報インフラストラクチャの運営者(CIIO)は、中国での運営中に収集および生成された個人情報および重要なデータをローカライズする義務がつけられています。このデータローカリゼーションの要件には、上記の重要なデータは原則として中国に保存する必要があり、国境を越えた送信は必要な場合にのみ実行する必要があります。それとともに、国境を越えたデータ転送が実装される前に、関連するセキュリティ評価に合格する必要があります。

    CIIOは、重要なデータの処理中にバックアップと暗号化の対策も講じる必要があります。『データセキュリティ管理措置』(意見募集稿)は、データローカリゼーションの実現のために、『ネットワークセキュリティ法』よりも詳細かつ具体的な要件を提供しようとするものです。ただし、『ネットワークセキュリティ法』も『データセキュリティ管理措置』(意見募集稿)も、「CIIO」と「重要なデータ」の2つの主要な概念について、明確な判断プロセスや決定基準を提供していません。上記の法律と規制が曖昧性があるため、一部の行政規制と部門規制は、データローカリゼーションルールの範囲を他のデータタイプに拡張するか、CIIO定義の解釈を拡張しようとしました。しかし、このアプローチは混乱を引き起こしただけでなく、積極的な結果も得られませんでした。

    肯定すべくは、いくつかの省庁および地方政府が、その管轄下にある産業または地域の重要なデータを特定または決定し始めたことです。決定された重要なデータには、たとえば、人間の遺伝資源、人口健康情報、地理的マッピング情報、個人の信用情報、個人の財務情報などがあります。これから、ますます多くの業界や地方自治体が管轄内の重要なデータの範囲を明確にするために同じ行動をとることを期待しています。

    規制に関する最近のホットトピック

    アプリ:2019年、顕著な進展の中で、いくつかの政府機関が合同で違法的なアプリ運用に対する法律を施行しました。ネット情報弁公室や産業と情報化部、公安部、市場監督総局は共同で、『アプリでの個人情報の違法な収集および使用に関する特別なガバナンスの実施に関する公告』を発表しました。取り締まりは2019年を通して行われ、特に不適切なプライバシーポリシー、個人情報の収集と使用の範囲の誤った説明、および不要な個人データの収集に焦点が当てられました。課されたペナルティには、不正行為の情報公開、休業是正、関連営業許可や営業証書を取り消すなどが含まれていました。

    同時に、一連のアプリに置いての違法行為に関する評価ガイダンスと認定方式が公開されました。この中では、APPオペレーターがユーザーフレンドリーなプライバシー条件を提供し、データ収集の正しい範囲と目的を十分に詳細にユーザーに通知し、データ収集の前に明示的な同意を得る必要があります。

    クッキー(Cookie):Cookieおよび同様のテクノロジーは、ユーザーのステータス情報を追跡および記憶するため、またはWebサイトでのユーザーの行動を記録するために一般的に使用されます。Cookieの使用を規制する特定の法律はありませんが、Cookieの使用は個人データを収集する手段であるという司法慣行には、一般的の理解があります。したがって、ネットワークオペレーターは、Cookieまたは類似のテクノロジーを使用する場合、収集する個人データの主体に収集の目的やデータの種類を通知し、同意を得て、潜在的な法的リスクと紛争を最小限に抑える必要があります。

    Webクローラー:Webクローラーは、自動データ収集に広く使用されている技術ツールです。ただし、ツールのユーザーがWebサービスプロバイダーによるツールの使用の制限または禁止を意図的に無視したりされることがありますが、意図的に無視したりした場合、法的なリスクが生じます。このようなクローラーの違法な使用は、管理上または刑事上の責任の対象となります。

    ソフトウェア開発キット(SDK):サードパーティが提供するSDKは、ユーザーやサービスプロバイダーに知られることなく、デバイス情報やユーザーの個人データを収集する場合があります。2019年の法執行措置において、SDKが個人データ保護違反の多くのケースを引き起こしたことが判明しました。SDKの使用による潜在的な違反と損害は、立法上の注目を集めています。『データセキュリティ管理措置』(意見募集稿)では、ネットワークオペレーターが特定のデータセキュリティ要件と責任をSDKプロバイダーに課すことを要求しています。

    SDKの法的リスクを回避するために、推奨される方法は次のとおりです。(1)データ保護コンプライアンスの目的で、SDKプロバイダーからの表明および保証を求めること。(2)SDKまたはSDKを使用するアプリケーションに対して妥当な技術テストを実施すること。(3)SDKまたはSDKを使用するアプリケーションのリアルタイム監視を実施し、個人データへのSDKのアクセスをタイムリーに遮断しすること。

    顔認識:顔認識やその他の類似の生体認証アプリケーションは、人々の身元を識別または検証するために広く使用されています。法律の下では、人間の顔は一種の生体認証データであり、厳格な保護の対象となる機密個人データです。個人の生体データは、デバイスを制御するオペレーターがモバイルまたはその他のデバイスを介して収集および使用します。顔画像の不適切な収集と使用は、重大な法的リスクをもたらします。

    例を挙げると、2019年、顔のスワッピングアプリでユーザーが有名な俳優を真似ることができるZaoは、中国でプライバシー保護の懸念を引き起こしました。Zaoのユーザー協定に同意することにより、Zaoの開発者にユーザーの顔画像を収集して保存し、それ以上の同意なしに第三者に販売することを許可しないことを発見しました。

    産業と情報化部はZaoをそのような行為について非難し、Zaoにそのような個人データのセキュリティ問題を解決するためにユーザー同意を変更するよう要求しました。これは、2019年6月25日に更新された国家標準で、生体認証データ保護のために特別に提供されたTC260の理由の一部でもあります。

    ブロックチェーン:ブロックチェーンは、企業が安全な取引記録を維持するのに役立つ安全で分散した台帳です。ただし、プライベートブロックチェーンは個人データを収集して保存する可能性があります。たとえば、小売業者は、顧客とその好み、購入履歴、支払いの傾向と金額に関する大量のデータを収集して保存できます。

    2019年2月15日に発効した『ブロックチェーン情報サービスの管理に関する規定』は、ブロックチェーン情報サービスプロバイダーに情報コンテンツの安全管理の義務を課し、ユーザー登録、情報レビュー、緊急対応および安全保護などのコントロールシステムです。

    法的義務が確立された以来、プライベートブロックチェーンユーザーが関与する個人データ違反の事例は公開されていませんが、次の論争または違反が間近に迫っている可能性があります。

    データ保護コンプライアンスストラテジー

    世界中の個人データを保護するためのさまざまなアプローチがあります。米国はより寛大なアプローチをとり、個人データはデータ主体の完全な管理下にあるべき個人の利益であるが、データ主体は彼ら自身を保護するために主たる努力と責任を負うべきであり、政府は副次的な責任を負うことです。

    このようなアプローチでは、高度なテクノロジーにより、ほとんどのハイテク企業が個人データを「ワイルドウエスト」の「無料」の金として扱うことができます。このような状況において、『カリフォルニア州消費者パライバシー権法案』(CCPA)は、多くのハイテク企業の本拠地であるカリフォルニアで打ち出されました。データ主体に対する個人データの使用に対する力のバランスを回復しました。ただし、そのようなリベラルなアプローチは、多くのトレーニングと分析データを必要とする新しいテクノロジーの開発を促進し、米国の「新しいテクノロジーファースト」の方針を表しています。

    EUは異なるアプローチをとり、個人データはデータ主体の絶対的な管理下にあるべき個人の利益であり、すべてのEU主体の個人データの集約は、EU委員会に属する貴重な無形資産の新しい形態を構成したと考えました。したがって、EUは、そのような個人の利益が十分に保護されるように努めています。

    そのような考え方に沿っていくと、そのような個人的利益の政府による保護活動に資金を供給するために、いわゆるデジタル資産の課税または税金が課されることは当然のことです。そのような保守的なアプローチは、米国からの技術の巨人の侵入に耐える比較的不利な技術的能力を所有していたEUによって使用されています。

    中国のデータ保護メカニズムはまだ発展中ですが、中央政府は、正しいデータ保護アプローチが国の将来を決定することを認識しているようです。歴史的および政府の構造的観点から、中国はEUの『一般データ保護条例』(GDPR)に基づくものと同様のデータ保護メカニズムに傾向しています。ただし、中国は、GDPRのデータ保護メカニズムを完全にコピーすることで、特に人工知能(AI)などの特定のテクノロジーの開発を大量のデータによって発展する分野で、テクノロジーの巨人と彼らの米国の敵対者間の競争に不利益をもたらす可能性があることも理解しています。

    その結果、中国はデータ保護の目的で「二重目的」の並列構造を構築しました。一方では、個人データ保護はGDPRよりも技術の進歩と調査の余地を残すという制限がはるかに少ないですが、データの保護においてより制限的であることにより、これを調整しています。もう一方では、CIIOの概念と重要なデータを定義して、より高度なテクノロジー所有者からの潜在的な侵入に対する障壁を作成しようとします。このようなアプローチは、データ保護メカニズムにおけるテクノロジーと個人のプライバシーの間の競合する利益を定義する際の中国の特徴を表しています。

    マクロ視点のコンプライアンスアドバイス

    GDPRの要件に完全に準拠している外国の技術会社である場合、中国の個人情報保護に関する法律の要求が満たしている可能性もあります。

    米国の会社であり、適切なGDPRコンプライアンスストラテジーがない場合、現段階で必要とされることは、現在米国の個人データ保護の政策と中国の個人情報保護要件の間にある差を明らかにし、中国法律に基づきこの差を縮めていくことです。ただし、CCPAの規定に満たす米国会社である場合、中国の個人情報保護の要件に準拠しているか、または少しの手間で準拠することが可能です。

    EUの会社であろうか、米国の会社であろうか、重要なデータの保護要件に準拠できるために、CIIOと重要なデータの保護に関する法規制の情報を密接に関心するとともに、中国で収集された情報が重要なデータであるかどうかのも刻々に分析する必要があります。重要なデータである場合、特定のコンプライアンスストラテジーを策定することで、中国においての重要なデータの保護に関することを解決します。そうでなければ、ほぼ法規制の要件に満たしたことと理解してもよろしいです。

    追記:趙欣瑶さんと王旖璞さんは本文作成にあたり、サポートしていただきました。

    cybersecurity

    グローバル弁護士事務所(上海)

    上海市徐滙区淮海中路999号環貿広場一期(One ICC)36階 〒200031

    電話:+862123109517

    ファックス:+862123108299

    ホームページ:www.glo.com.cn

    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link