中国 データセキュリティ管理弁法(意見募集稿)

1. ビジネス用途での通信ネットワーク利用は対象に

本意見募集稿の適用範囲は、中国国内でインターネットを含むネットワークを利用したデータの収集、保存、送信、処理、使用等の活動、およびデータセキュリティ保護と監督管理となっており、家庭や個人での利用は除外されている(2 条)。

2. データ収集に関する規定

本意見募集稿では、ネットワークの所有者、管理者、ネットワークサービスの提供者を「ネットワーク運営者」と定義している(38 条)。現行の関連規定などから判断して、中国国内において業務でインターネットやネットワークを利用している企業はほぼ該当するものと思われる。

本意見募集稿では、ネットワーク運営者が WEB サイトやアプリなどの製品を通じて個人情報を収集使用する場合、収集使用ルールを制定し公開しなければならない、と規定している(7 条)。収集使用にあたっては、本人の同意が必要であるが、14 歳以下の未成年については保護者の同意が必要だとしている(12 条)。

また、ネットワーク運営者は、サービス品質の改善、ユーザー体験の向上、プッシュ通知の送信、新製品の研究開発等を理由に、個人情報の収集使用についてデフォルトで同意する設定にしたり、同意を機能にバンドルする形にしたり、誤解を招く手段によって同意させてはならないとした(11 条)。さらに、本人が個人情報の提供やその範囲について同意しているかどうかにかかわらず、サービス品質や価格で差別行為を行ってはならないと定めている(13 条)。

経営のために重要データあるいは個人のプライバシー情報を収集するネットワーク運営者は、所在地のネットワーク情報部門に届出登録をしなければならないとし、併せて社内にデータセキュリティ責任者を置かなければならないとしている (15 条、17 条)。

3. データの処理と使用に関する規定

ネットワーク運営者がユーザーデータや解析を利用してカスタマイズしたニュースや商業広告などを送信する場合、目立つ方法で「定推」の文字を表示しなければならないと定め(23 条)、ビッグデータや AI 等の技術を使ってニュース、ブログ、BBS、フォーラム等の情報を自動生成する場合、同じく「合成」の文字を表示しなければならないとした(24 条)。

またネットワーク運営者が重要データを発表、共有、交易、越境移転する場合、セキュリティリスクの評価を実施し、主管部門に報告して同意を得なければならないとしたが(28 条)、この重要データに企業の経営情報や個人情報は含まれないとしている(38 条)。

このほか、国内のユーザーが国内のインターネットにアクセスする場合、当該通信経路が国外を経由してはならない(29 条)と定めている。さらにネットワーク運営者が所有するデータリソースを分析して、市場予測、統計情報、個人や企業の信用情報などを発表する場合、国家の安全、経済、社会の安定に影響を及ぼしてはならず、他人の合法的権益を侵害してはならないことも定めている(32 条)。

●原文(中国語)

【無料ダウンロード】中国データセキュリティ法をリーガルコンサルタントが解説したガイドブック！