2021年9月1日にデータセキュリティ法が施行されて1年余りが経った。2022年7月には配車サービスなどを運営する滴滴全球股份有限公司(DiDi Global)に対し、サイバーセキュリティ法やデータセキュリティ法等の規定に違反したとして80億元(約1600億円)を超える過料を含む処分が下されたことは記憶に新しい。
本稿では中国の現地メディアが伝えた2022年10月までのデータセキュリティ法への違反・処分事例の概要を翻訳して紹介する。
違反事例
上海市:政府系データを扱うIT企業にセキュリティ保護義務違反で5万元の過料(2022年10月)
上海インターネット情報弁公室は、政府関連データの処理を行う市内のIT企業が、データセキュリティ法に違反してデータのセキュリティ保護措置やその他の必要な措置をとっておらず、データ流出の危険性があることを確認した。
同弁公室は、同社に対し警告と是正を命じ、5万元 (約100万円) の過料を科す処分を行った。
広州市:ハッキング被害にあった企業にセキュリティ保護義務違反で5万元の過料(2022年7月)
広州警察は2022年7月、自動車教習所などに「自動車運転訓練サービス」を開発、提供している民間企業に対し、データセキュリティ保護義務違反により警告および5万元の過料を科した。
処分の発端は、2022年5月に同社のサービスを悪用した犯罪が摘発されたことだった。容疑者3人は同社のサービスをハッキングし、偽の運転訓練データをサーバーに送信するなどして、生徒が所定の訓練時間を完了したように見せかけ、教習所が短期間で利益を得られるように計らった。容疑者らは、生徒5000人余りのデータを操作することで教習所30か所以上から約35万元(約680万円)の利益を上げていた。
広州警察によると、同社のサービスには、教習所の生徒の氏名、身分証番号、携帯電話番号、本人の証明写真等の個人情報が1070万件以上保存されていたが、同社はデータセキュリティ管理制度や運用規定を整備しておらず、収集した個人情報に対して暗号化等の保護措置をとっていなかった。
広州警察は、同社がデータセキュリティ保護義務を履行していないとして、警告と5万元の過料を科した。本件は広東省の公安当局管内におけるデータセキュリティ法違反の最初の処分事例となった。
山東省棗荘市:利用するクラウドサービスの未対策によりセキュリティ保護義務違反で警告処分(2022年5月)
市内の企業が開発した費用徴収システムでは、SNSの公衆号(パブリックアカウント)を通じて利用者の個人情報を収集し、それらのデータを第三者のクラウドサービスに保存していた。しかし収集したデータを保存するクラウドサービスでセキュリティ保護措置をとっていなかった。
棗庄市公安局台児荘分局ネットセキュリティ大隊は、データセキュリティ法27条第1項および45条第1項に違反しているとして、同社に警告を行い、是正を命じた。本件は、山東省におけるデータセキュリティ法違反の最初の処分事例となった。
浙江省:個人情報を不正収集するアプリに是正命令、87のアプリが是正せず(2021年12月)
浙江省インターネット情報弁公室が、スマホアプリのうち利用者の多い実用ツール、オンラインコミュニティ、オンラインショッピングなどの分野のアプリについて、個人情報の収集・使用・保存状況を調査した結果を公表し、データセキュリティ法等の規定に基づき是正を命じた。
その後、対象となったアプリを再検証したところ、87のアプリが必要な修正を行っておらず、引き続き個人情報の違法な収集・使用・保存を続けていることが発覚し、同弁公室がさらなる処分を進めている。
海南省:個人情報を不正収集する7つのアプリに是正命令(2021年11月)
海南省インターネット情報弁公室が、省内で利用者が特に多く、生活に密接にかかわるアプリに対し、個人情報の収集・利用・保存状況に関する技術的検査を行ったところ、「民生宝」「Quick Ask Doctor」など7つのアプリでデータセキュリティ法やサイバーセキュリティ法の規定への違反が見つかった。
同弁公室は各アプリの運営企業に対し、個人情報保護の全面的な履行に加え、社内の運営スタッフに対してサイバーセキュリティ法やデータセキュリティ法の研修を行うよう求めた上で、アプリの違法な個人情報の収集・利用・保存などを含む運営状況の是正を求めた。
