« 軍隊がサイバーセキュリティとどう向き合うのかという話かもしれませんが、これは企業でも同じだろうと思うので、参考になるかもですね。。。 | Main | NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価 »

2021.04.28

中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

こんにちは、丸山満彦です。

中国の個人情報関係の規則や基準ってどうも全体像がよくわかりません。。。どこかでじっくり学ばないとですね。。。

 

中共中央网络安全和信息化委员会办公室中国共産党中央委員会ネットワークセキュリティ・情報化対策室

・2021.04.26 移动互联网应用程序个人信息保护管理暂行规定 - 公开征求意见(モバイル・インターネット・アプリケーションの個人情報保護管理に関する暫定規定 - 意見募集)

 

北大法宝

・2021.04.25 将出台App个人信息保护管理暂行规定(アプリ個人情報保護管理規定が導入されます)

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

(いわゆるTC260)がセキュリティについて以下の意見募集をおこなっています。。。関係する標準もありますね。。。

国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件」
国家标准《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》  国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション(APP)個人情報セキュリティ測定仕様」
国家标准《信息安全技术 移动互联网应用程序(APP)SDK安全指南》 国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション(APP)SDKセキュリティガイド」
国家标准《信息安全技术 政务网络安全监测平台技术规范》  国家標準「政府機関ネットワークのセキュリティ監視プラットフォームの情報セキュリティ技術技術仕様」 
国家标准《信息安全技术 信息系统密码应用测评要求》  国家標準「情報セキュリティ技術 情報システムパスワードアプリケーション測定要件」
国家标准《信息安全技术 个人信息去标识化效果分级评估规范》 国家標準「情報セキュリティ技術 個人情報匿名化効果採点評価仕様書」
国家标准《信息安全技术 边缘计算安全技术要求》  国家標準「情報セキュリティ技術 エッジコンピューティング セキュリティ技術の要件」
国家标准《信息安全技术 IPSec VPN安全接入基本要求与实施指南》 国家標準「情報セキュリティ技術 IPSec VPN セキュリティアクセス基本要件および実装ガイド」

 

Photo_20210427233701

 


まるちゃんの情報セキュリティきまぐれ日記

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 


↓↓↓↓ パブコメの対象 ↓↓↓↓

 

移动互联网应用程序个人信息保护管理暂行规定(征求意见稿) モバイル・インターネット・アプリケーションにおける個人情報保護の管理に関する中間規定(意見募集稿)
第一条 为保护个人信息权益,规范移动互联网应用程序(以下简称APP)个人信息处理活动,促进个人信息合理利用,依据《中华人民共和国网络安全法》等法律法规,制定本规定。 第1条 本規定は、個人情報の権利・利益を保護し、モバイル・インターネット・アプリケーション(以下、APP)の個人情報処理活動を規制し、個人情報の合理的な利用を促進するために、中華人民共和国ネットワーク・セキュリティ法およびその他の法令に基づいて策定される。
第二条 在中华人民共和国境内开展的APP个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。 第2条 中華人民共和国の領域内で行われるAPPの個人情報処理活動は、本規定を遵守しなければならない。 個人情報の処理活動について、法律や行政規則に別の規定がある場合は、その規定を適用する。
第三条 本规定所称APP个人信息处理活动,是指移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动。 第3条 本規定でいうAPP個人情報処理活動とは、モバイル・インテリジェント端末で実行されるアプリケーションによる個人情報の収集、保存、利用、処理、送信の活動を指す。
本规定所称APP开发运营者,是指从事APP开发和运营活动的主体。 本規定でいうAPP開発事業者とは、APPの開発・運営活動を行う主体を指す。
本规定所称APP分发平台,是指通过应用商店、应用市场、网站等方式提供APP下载、升级服务的软件服务平台。 本規定でいうAPP配信プラットフォームとは、アプリケーションストア、アプリケーションマーケット、ウェブサイト等を通じてAPPのダウンロードおよびアップグレードサービスを提供するソフトウェアサービスプラットフォームをいう。
本规定所称APP第三方服务提供者,是指相对于用户和APP以外的,为APP提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。 本規定でいうAPP第三者サービス提供者とは、APPのためのソフトウェア開発キット(SDK)、パッケージ、補強、コンパイル環境などの第三者サービスを、利用者とAPP以外に相対的に提供する主体をいう。
本规定所称移动智能终端生产企业,是指生产能够接入公众网络,提供预置APP或者具备安装APP能力的移动智能终端设备的主体。 本規定でいうモバイル・インテリジェント・ターミナル製造者とは、公衆回線にアクセスでき、プリインストールされたAPPを提供したり、APPをインストールする機能を持つモバイル・インテリジェント・ターミナル機器を製造する主体をいう。
本规定所称网络接入服务提供者,是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为APP提供网络接入服务的电信业务经营者。 本規定でいうネットワーク・アクセス・サービス・プロバイダーとは、インターネット・データ・センター(IDC)事業、インターネット・アクセス・サービス(ISP)事業、コンテンツ・ディストリビューション・ネットワーク(CDN)事業に従事する電気通信事業者で、APPにネットワーク・アクセス・サービスを提供する者をいう。
第四条 国家互联网信息办公室负责统筹协调APP个人信息保护工作和相关监督管理工作,会同工业和信息化部、公安部、市场监管总局建立健全APP个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,加强信息共享及对App个人信息保护工作的指导。各部门在各自职责范围内负责APP个人信息保护和监督管理工作。 第4条 国家サイバースペース管理局は、APP個人情報保護と関連する監督管理の作業を調整する責任があり、工業情報化省、公安省、市場規制総局と連携して、APP個人情報保護の監督管理の共同作業メカニズムを構築・改善し、政策・基準・仕様等の関連作業を調整・推進し、APP個人情報保護の情報共有と指導を強化する。 各部門は、それぞれの責任範囲内で、APPの個人情報保護と監督・管理に責任を負う。
省、自治区、直辖市网信办、通信管理局、公安厅(局)、市场监管局负责本行政区域内APP个人信息保护监督管理工作。 中央政府直轄の省、自治区、市は、その行政区域内のAPP個人情報保護の監督と管理に責任を負う。
前两款规定的部门统称为APP个人信息保护监督管理部门。 前2項の部門を総称して「APP個人情報保護監督管理部門」という。
第五条 APP个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。 第5条 APPの個人情報処理活動は、合法的かつ正当な方法を採用し、誠意の原則に従い、偽りや誤解を招くような方法で個人情報を取り扱ってはならず、利用者の同意権、知る権利、選択する権利、個人情報の安全性を効果的に保護し、個人情報処理活動に責任を持つものとする。
相关行业组织和专业机构按照有关法律法规、标准及本规定,开展APP个人信息保护能力评估、认证。 関連する業界団体および専門機関は、関連する法令、基準および本規定に従って、APP社の個人情報保護能力の評価および認証を行うものとする。
第六条 从事APP个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。 第6条 APPの個人情報処理活動に従事する者は、個人情報処理規則を利用者に分かりやすい言葉で伝えなければならず、利用者は十分に知らされていることを前提に、自発的に明確な意味づけをしなければならない。
(一)应当在APP登录注册页面及APP首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则; (一) APPのログイン登録ページおよびAPPの初回起動時に、ポップアップウィンドウ、テキストリンクおよび添付ファイル、その他の簡潔かつ明白で容易にアクセス可能な手段を用いて、個人情報の処理対象者、処理目的、処理方法、処理タイプ、保存期間などを網羅した個人情報処理規則を利用者に通知しなければならない。
(二)应当采取非默认勾选的方式征得用户同意; (二) デフォルトのチェックボックス以外の方法で利用者の同意を得ること。
(三)应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意; (三) 利用者の選択権を尊重し、利用者の同意を得る前、または利用者が明示的に拒否した後に個人情報を処理してはならない。個人情報の処理規則が変更された場合は、再度ユーザーの同意を得流こと。
(四)应当在对应业务功能启动时,动态申请APP所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态; (四) 対応するビジネス機能の起動時に、APPが必要とする権限を動的に申請すること、複数のシステム権限を開くために利用者に包括的な同意を強要しないこと、利用者が設定した権限の状態を利用者の同意なしに変更しないこと。
(五)需要向本APP以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意; (五) 個人情報をAPP以外の第三者に提供する必要がある場合には、利用者の身元情報、連絡先、処理目的、処理方法、個人情報の種類などを通知し、利用者の同意を得ること。
(六)处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。 (六) 人種、民族、宗教的信条、個人の生体的特徴、医療・健康、金融口座、個人の所在などの機微な個人情報を取り扱う場合には、事前に利用者に個別に説明を行い、利用者の同意を得ること。
第七条 从事APP个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。 第7条 APPの個人情報処理活動に従事する者は、明確かつ合理的な目的を持ち、必要最小限の原則に従わなければならず、利用者の同意を得た範囲を超えて、またはサービスのシナリオに関係のない個人情報処理活動を行ってはならない。
(一)处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息; (一) 個人情報処理の量、頻度、精度は、サービスに必要なものであり、個人情報処理の範囲を超えないこと。
(二)个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围; (二) 個人情報の局所的な読み取り、書き込み、削除、変更などの操作は、サービスに必要なものであり、ユーザーが同意した操作の範囲を超えないこと。
(三)用户拒绝相关授权申请后,不得强制退出或者关闭APP,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限; (三) 利用者は、関連する許可申請を拒否した後に、APPの終了または閉鎖を強制されてはならず、自分のビジネス機能またはサービスを超える許可を事前に申請してはならず、頻繁なポップアップ・ウィンドウを使用して、現在のサービス・シナリオに関係のない許可を繰り返し申請してはならいこと。
(四)在非服务所必需或者无合理场景下,不得自启动或者关联启动其他APP; (四) サービスに必要でない場合、または合理的なシナリオがない場合に、他のAPPの自己起動または関連する起動をしないこと。
(五)用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务; (五) 利用者が、当該サービスに必要のない個人情報の提供を拒否した場合、当該サービスの利用に支障をきたすこと。
(六)不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。 (六) サービス品質の向上、利用体験の向上、新製品の開発、ターゲティングや情報のプッシュ、リスクコントロールなどを理由に、サービスの範囲を超えた、あるいはサービスシナリオに関係のない個人情報処理行為に、利用者が強制的に同意する必要がないこと。
第八条 APP开发运营者应当履行以下个人信息保护义务: 第8条 APP開発者および運営者は、以下の個人情報保護義務を負うものとする。
(一)切实提升产品和服务个人信息保护意识,将个人信息保护要求落实在产品设计、开发及运营环节;以显著、清晰的方式定期向用户呈现APP的个人信息收集使用情况; (一) 製品やサービスの個人情報保護に関する意識を効果的に高め、製品の設計、開発、運用において個人情報保護の要求を実施すること、APPの個人情報の収集と使用について、ユーザーに定期的に目立つように明確に提示すること。
(二)基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益; (二) 個人情報に基づいて商品やサービスの検索結果がユーザーに提供される場合、その検索結果が公正かつ妥当なものであることが保証されるとともに、ユーザーの個人的な特性に依存しない選択肢が提供され、ユーザーの正当な権利や利益が尊重され、かつ平等に保護されること。
(三)使用第三方服务的,应当制定管理规则,明示APP第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;APP开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任; (三) 第三者サービスを利用する場合、APP第三者サービス提供者の名称、機能および個人情報取扱規則を示す管理規則を策定し、第三者サービス提供者との間で個人情報取扱契約を締結して、両者の関連する権利および義務を明確にし、第三者サービス提供者の個人情報取扱活動および情報セキュリティ・リスクを管理・監督しなければならず、APP開発者および運営者が個人情報取扱契約を履行しない場合、APP開発者および運営者は、個人情報取扱契約を履行しなければならない。 監督義務については、法律に基づき、第三者サービス提供者と連帯して責任を負うこと。
(四)对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务; (四) 他のサービス機能に影響を与えない独立したサービス機能モジュールについては、当該独立したサービス機能の閉鎖または撤退の選択肢をユーザーに提供し、ユーザーが閉鎖または撤退の操作を行ったことを理由に、他のサービスの提供を拒否しないこと。
(五)加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求; (五) フロントエンドおよびバックエンドのセキュリティ保護、アクセス制御、技術的暗号化、セキュリティ監査などの作業を強化し、個人情報の漏洩などの違反行為を積極的に監視・発見し、廃棄要求にタイムリーに対応すること。
(六)国家规定的其他个人信息保护义务。 (六) その他、国が定める個人情報保護に関する義務
第九条 APP分发平台应当履行以下个人信息保护义务: 第9条 APP配信プラットフォームは、以下の個人情報保護義務を負う。
(一)登记并核验APP开发运营者、提供者的真实身份、联系方式等信息; (一) APP開発者や運営者、提供者の実在性、連絡先、その他の情報を登録・確認すること。
(二)在显著位置标明APP运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息; (二) 利用者端末の権限一覧と、APPが操作のために収集した個人情報の種類、内容、目的、範囲、方法、利用、処理ルールを目立つように表示すること。
(三)不得欺骗误导用户下载APP; (三) 利用者を欺き、誤解させてAPPをダウンロードさせないこと。
(四)对新上架APP实行上架前个人信息处理活动规范性审核,对已上架APP在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理; (四) 新しいAPPが店頭に並ぶ前に、個人情報処理活動の標準的な監査を実施し、本規定の実施後1ヶ月以内に、すでに店頭に並んでいるAPPの補足的な監査を完了し、監査結果に応じて更新またはクリーンアップを行うこと。
(五)建立APP开发运营者信用积分、风险APP名单、平台信息共享及签名验证等管理机制; (五) APP開発者・運営者のクレジットスコア、リスクAPPリスト、プラットフォーム情報の共有、署名認証などの管理メカニズムを確立すること。
(六)按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题APP上报、响应和处置工作; (六) 監督・規制当局の要求に応じて報告の仕組みを改善し、問題のあるAPPの報告、対応、処分において監督・規制当局とタイムリーに協力すること。
(七)设置便捷的投诉举报入口,及时处理公众对本平台所分发APP的投诉举报; (七) 便利な苦情・報告ポータルを設置し、本プラットフォームで配信されるAPPに関する一般ユーザーからの苦情・報告を迅速に処理するこ。
(八)国家规定的其他个人信息保护义务。 (八) その他国が定める個人情報保護義務
第十条 APP第三方服务提供者应当履行以下个人信息保护义务: 第10条 APP第三者サービス提供者は、以下の個人情報保護義務を負う。
(一)制定并公开个人信息处理规则; (一) 個人情報の取り扱いに関する規則を策定し、公開すること。
(二)以明确、易懂、合理的方式向APP开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容,其个人信息处理活动应当与公开的个人信息处理规则保持一致; (二) APP開発者および運営者に対して、個人情報の処理目的、処理方法、処理タイプ、保存期間を明確に、理解しやすく、合理的な方法で開示し、その個人情報処理活動が開示された個人情報処理規則と一致すること。
(三)未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为; (三) 利用者の同意を得ずに、または合理的なビジネスシナリオがない場合に、勝手にウェイクアップコール、インボケーション、アップデートなどの行為を行わないこと。
(四)采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知APP开发运营者; (四) 個人情報を保護するために、適切な管理手段や技術的手段を講じ、セキュリティリスクや個人情報の処理ルールの変更が見つかった場合には、適時にAPP開発事業者に更新して通知すること。
(五)未经用户同意,不得将收集到的用户个人信息共享转让; (五) 利用者の同意なしに、利用者から収集した個人情報を共有および譲渡しないこと。
(六)国家规定的其他个人信息保护义务。 (六) その他、国が定める個人情報保護義務。
第十一条 移动智能终端生产企业应当履行以下个人信息保护义务: 第11条 モバイル・インテリジェント・ターミナル製造者は、以下の個人情報保護義務を果たす。
(一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利; (一) 端末の権限制御メカニズムを改善し、権限管理の抜け穴を適時に塞ぎ、センシティブな行動の記録容量を継続的に最適化・標準化し、利用者の権限申請・通知を率先して促進すること。
(二)建立终端启动和关联启动APP管理机制,为用户提供关闭自启动和关联启动的功能选项; (二) 端末起動と関連起動のAPP管理機構を確立し、利用者に自己起動と関連起動をオフにする機能オプションを提供すること。
(三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态; (三) 個人情報許可の使用状況を継続的に最適化すること。特に、録音、写真、ビデオなどの機密性の高い許可の使用状況に関する顕著な警告メカニズムにより、利用者が個人情報許可の使用状況を適時かつ正確に理解できるようにすること。
(四)建立重点APP关注名单管理机制,完善移动智能终端APP管理措施; (四) 主要なAPP懸念リスト管理メカニズムを確立し、モバイル・スマート端末のAPP管理対策を改善すること。
(五)对预置APP进行审核,持续监测预置APP的个人信息安全风险; (五) プリインストールされたAPPを見直し、プリインストールされたAPPの個人情報セキュリティリスクを継続的に監視すること。
(六)在安装过程中以显著方式告知用户APP申请的个人信息权限列表; (六) APPが申請する個人情報の許可の一覧を、インストールの過程で目立つように利用者に通知すること。
(七)完善终端设备标识管理机制; (七) 端末機器識別の管理機構の改善
(八)国家规定的其他个人信息保护义务。 (八) その他国が定める個人情報保護義務
第十二条 网络接入服务提供者应当履行以下个人信息保护义务: 第12条 ネットワーク接続サービス提供者は、以下の個人情報保護義務を果たすものとする。
(一)在为APP提供网络接入服务时,登记并核验APP开发运营者的真实身份、联系方式等信息; (一) APP向けのネットワーク・アクセス・サービスを提供する際には、APP開発事業者の本当の身元、連絡先、その他の情報を登録し、確認すること。
(二)按照监督管理部门的要求,依法对违规APP采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益; (二) 監督・管理部門の要求に従い、利用者の個人情報やその他の正当な権利・利益を侵害し続けることを防ぐために、法律に基づいて問題のあるAPPへのアクセスを停止するなどの必要な措置をとること。
(三)国家规定的其他个人信息保护义务。 (三) その他国が定める個人情報保護義務
第十三条 从事APP个人信息处理活动的相关主体,应当加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求;采取加密、去标识化等安全技术措施,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险;需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。 第13条 APPの個人情報処理活動に従事する関連事業者は、人員の教育・訓練を強化し、個人情報保護のための内部管理システムを構築し、ネットワークのセキュリティレベルの保護と緊急時の計画およびその他のシステム要件を実施しなければならない。暗号化、非識別化およびその他のセキュリティ技術的措置を採用して、不正アクセスや個人情報の漏洩、または盗難、改ざん、削除などのリスクを防止しなければならない。 利用者の真の身元情報を認証する必要性は、国が構築した市民の身元認証インフラが提供するオンラインの市民の身元確認および認証サービスを通じて行われるものとする。
第十四条 任何组织和个人发现违反本规定行为的,可以向监督管理部门或者中国互联网协会、中国网络空间安全协会投诉举报,监督管理部门和相关组织应当及时受理并调查处理。 第14条 本規定に違反する行為を発見した組織または個人は、監督管理部門または中国インターネット協会、中国サイバースペースセキュリティ協会に苦情と報告を行うことができ、監督管理部門および関連組織は速やかに受理し、調査・対処するものとする。
从事APP个人信息处理活动的相关主体应当自觉接受社会监督。 APPの個人情報処理活動に従事する関係者は、社会的な監視を意識的に受け入れなければならない。
第十五条 根据公众投诉举报情况和监管中发现的问题,监督管理部门可以对存在问题和风险的APP实施个人信息保护检查。 第15条 監督管理部門は、一般からの苦情や報告、監督で発見された問題に応じて、問題やリスクのあるAPPに対して個人情報保護検査を実施することができる。
从事APP个人信息处理活动的相关主体应当对监督管理部门依法实施的监督检查予以配合。 APPの個人情報処理活動に従事する関連主体は、法律に基づいて監督管理部門が実施する監督・検査に協力しなければならない。
第十六条 发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施: 第16条 個人情報処理活動に従事する関連主体がこの規定に違反していることが判明した場合、監督管理部門はそれぞれの職務に応じて以下の処分を行うことができる。
(一)责令整改与社会公告。对检测发现问题APP的开发运营者、APP分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。 (一)注文の修正と社会的発表 問題のあるAPP開発者や運営者、APP配信プラットフォーム、サードパーティのサービスプロバイダや関連する対象者の検出は、タイムリーに隠れた危険性を排除するために5営業日以内に修正を必要とする、修正を提案し、修正を完了しない場合は、公示する。
(二)下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的APP在40个工作日内不得通过任何渠道再次上架。 (二)オフラインでの処理 5営業日経過しても修正を拒否したり、修正後も問題がある場合、関連機関は処分するよう求めることがある。繰り返し問題を起こす場合、技術的な対立やその他の重大な違反があった場合は、直接リストから削除される。削除されたアプリは、40営業日以内にいかなる手段によっても再びリストにのせてはならない
(三)断开接入。下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。 (三) アクセスの遮断 アプリが停止された後も必要な修正が完了していない場合は、接続を切断するなどの必要な措置を講じる。
(四)恢复上架。被下架的APP完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。 (四) 棚の復元 棚から降ろされたAPPは、技術的・管理的メカニズムの修正・改善を完了し、自主規制の約束をした後、リストから降ろす要請をした監督・管理部門にリストから降ろす再開を申請することができる。
(五)恢复接入。被断开网络接入的APP完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。 (五) アクセスを回復する。 ネットワークから切り離されたAPPが修正を完了した後、切り離し要求を行った監督・管理部門にアクセスの回復を申請することができる。
(六)信用管理。对相应违规主体,可纳入信用管理,实施联合惩戒。 (六) クレジット管理 対象者の対応する違反行為は、信用管理、共同規律の実施に含めることができる。
第十七条 对整改反复出现问题的APP及其开发运营者开发的相关APP,监督管理部门可以指导组织APP分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。 第17条 関連するAPPによって開発されたAPPとその開発事業者の繰り返し発生する問題を是正するために、監督と管理部門は、統合、配布、プレインストールとリスクのヒントのインストールで組織APPの配布プラットフォームとモバイルインテリジェント端末の生産企業を導くことができる、状況は禁止措置を取るために深刻である。
第十八条 从事APP个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任。 第18条 APPの個人情報処理活動に従事する者は、個人情報の権利利益を侵害した場合、関連規定に基づき処罰され、犯罪を構成する場合は、公安機関が刑事責任を負うものとする。
第十九条 监督管理部门应当对履行职责中知悉的用户个人信息予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。 第19条 監督・管理部門は、職務上知り得た利用者の個人情報を秘密にし、開示、改ざん、破壊してはならず、また、販売したり、他人に不正に提供してはならない。
第二十条 本规定自 年 月 日起施行。 第20条 この規定は、1月から施行する。
附件2 付録2
关于《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的起草说明 モバイル・インターネット・アプリケーションの個人情報保護管理に関する中間規定(ドラフト・フォー・コメント)」について
一、起草背景 I. ドラフトの背景
近年来,我国个人信息保护力度不断加大,但APP个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,部分环节仍存漏洞,个人信息保护面临诸多问题和挑战。党中央、国务院高度重视APP个人信息保护治理工作,党的十九届五中全会明确提出,维护人民根本利益,保障国家数据安全,加强个人信息保护。国家互联网信息办公室、工业和信息化部、公安部、市场监管总局持续深入开展APP违法违规收集使用个人信息治理工作,工业和信息化部连续两年开展APP侵害用户权益专项整治行动,社会反映热烈,取得阶段性明显成效。 近年、中国の個人情報保護は増加していますが、APPの個人情報収集・利用のルール、目的、方法、範囲はまだ不明確であり、一部のリンクにはまだ抜け穴があり、個人情報保護は多くの問題と課題に直面しています。 党中央委員会と国務院は、APP個人情報保護のガバナンスを非常に重視しており、中国共産党第19期中央委員会第5回全体会議では、人民の基本的利益を保護し、国家データの安全を守り、個人情報保護を強化することを明確に提案しました。 国家サイバースペース管理局、工業情報化部、公安部、市場規制総局は、APPの違法・不規則な個人情報の収集・使用に対する綿密なガバナンスを継続的に実施し、工業情報化部は2年連続でユーザーの権利を侵害しているAPPの特別な是正措置を実施しており、社会から温かい評価を受け、段階的に明らかな成果を上げています。
考虑到APP治理是一项具有长期性、复杂性的系统治理工作,有必要将近年来成熟的经验做法和管理措施转换为制度性规范文件。同时,为强化APP个人信息保护管理的系统性、整体性和协同性,在总结专项治理工作经验基础上,起草形成了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。 APPガバナンスが長期的かつ複雑な体系的なガバナンス作業であることを考慮すると、近年の成熟した経験による実践と管理手段を制度的な規範文書に変換する必要があります。 同時に、APP個人情報保護の体系的、全体的、相乗的な管理を強化するために、特別なガバナンス作業の経験をまとめることを前提に、「モバイルインターネットアプリケーションの個人情報保護管理に関する暫定規定(パブリックコメント用ドラフト)」(以下、パブリックコメント用ドラフト)を起草・形成し、社会からのパブリックコメントを求めました。
二、关于起草的主要情况和把握要点 II.主な状況と起草のポイント
《征求意见稿》在国家互联网信息办公室的统筹指导下,由工业和信息化部会同公安部、市场监管总局联合制定完成。起草过程中,就重点问题组织有关单位和专家学者进行了专题研究,并听取了百度、阿里巴巴、腾讯、字节跳动、美团、拼多多、京东、滴滴、新浪微博、快手、小米、华为、OPPO、vivo、360、捷兴信源、梆梆等主要互联网企业、终端企业和安全企业的意见建议。 パブリックコメント用ドラフトは、国家サイバースペース管理局の全体的な指導のもと、工業・情報技術部、公安部、市場規制総局が共同で策定し、完成させたものです。 草案作成の過程では、関連部門や専門家・学者を組織して重要課題のテーマ別研究を行い、Baidu、Alibaba、Tencent、Byte Jump、Meituan、Predo、Jingdong、Drip、Sina Weibo、Racer、Xiaomi、Huawei、OPPO、Vivo、360、Jiexing Xinyuan、Bang Bangなどの主要なインターネット企業、端末企業、セキュリティ企業の意見や提案を聴取しました。
制定过程中,重点把握“三个坚持”:一是坚持以人民为中心的发展思想。贯彻党的十九届五中全会要求,落实以人民为中心的发展思想,坚持人民利益至上,严格规范APP个人信息处理活动,增强人民群众安全感和获得感。二是坚持问题导向。立足前期专项治理工作基础,聚焦用户投诉举报反映强烈的突出问题,将近两年来已经成熟的经验做法和管理措施制度化,为规范APP个人信息处理活动提供可靠制度保障。三是坚持落实主体责任。明确细化了APP开发运营者、分发平台、第三方服务提供者等主体在APP个人信息处理活动中应当履行的主体责任义务。 策定の過程では、「3つの主張」を把握することに重点を置いています。まず、人を中心とした開発思想を堅持すること。 中国共産党第19期中央委員会第5回全体会議の要求を実施し、人民中心の発展理念を実行し、人民の利益を第一に考え、APP社の個人情報処理活動を厳格に規制し、人民の安心感とアクセスを高めること。 第二に、問題志向を貫くこと。 事前の特別なガバナンス作業の基盤に基づき、ユーザーからの苦情や報告書に反映された未解決の問題に焦点を当て、過去2年間に成熟した経験と管理措置を制度化し、APP社の個人情報処理活動を規制するための信頼できる制度的保証を提供しています。 第三に、主な責任の履行を遵守すること。 APP開発者・運営者、配信プラットフォーム、第三者サービス提供者、その他の主体がAPPの個人情報処理活動において果たすべき主な責任と義務が明確化され、洗練されています。
三、关于《征求意见稿》的主要内容 第三に、「コメント募集のためのドラフト」の主な内容です。
《征求意见稿》共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了APP开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求,主要内容如下: 意見募集のためのドラフト」には20の条文が含まれており、適用範囲や規制対象の定義、「インフォームド・コンセント」と「必要最小限」という2つの重要な原則の確立、APP開発者および運営者、配信プラットフォーム、第三者サービスプロバイダー、端末メーカー、ネットワークアクセスサービスプロバイダーの責任の明確化などが盛り込まれています。 主な内容は以下の通りです。
一是界定适用范围和明确监管主体。在适用范围方面,《征求意见稿》明确了在中华人民共和国境内开展的APP个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。在监管主体方面,《征求意见稿》明确了APP个人信息保护的联合工作机制,国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局健全完善APP个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,各部门在各自职责范围内负责APP个人信息保护和监督管理工作。(第一条至第五条) まず、適用範囲を明確にし、監督対象を明確にすること。 適用範囲については、「意見募集稿」では、中華人民共和国の領域内で行われるAPPの個人情報処理活動が本規定に準拠することを明確にしています。 個人情報の処理活動について、法律や行政規則に別の規定がある場合は、その規定を適用します。 規制機関の面では、「コメントのための草案」は、APP個人情報保護の共同作業メカニズムを明確にし、国家サイバースペース管理局は、工業情報化省、公安省、市場規制総局と連携して、APP個人情報保護の共同作業メカニズムの監督と管理を改善し、政策基準や仕様などの関連作業を調整して推進し、各部門はAPP個人情報保護に責任を持つ分野と 監督・管理業務。 (第1条から第5条まで)
二是明确“知情同意”“最小必要”两项重要原则。《征求意见稿》“知情同意”规定,从事APP个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,并明确了“六项应当”要求。“最小必要”规定,从事APP个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动,并提出了“六项不得”要求。(第六条和第七条) 2つ目は、「インフォームド・コンセント」と「必要最小限」という2つの重要な原則を明確にすることです。 インフォームド・コンセント」案では、APPの個人情報処理活動を行う者は、個人情報処理のルールをユーザーにわかりやすい言葉で伝えなければならず、ユーザーは十分な説明を受けた上で自発的かつ明確な意味づけをしなければならないと規定し、「6つのshall」を明確にしています。 "6つの条件 "も明記されています。 必要最小限」とは、APPの個人情報処理活動は、明確で合理的な目的を持ち、必要最小限の原則に従わなければならず、ユーザーの同意を得た範囲を超えて、またはサービスのシナリオに関係のない個人情報処理活動を行ってはならないと規定し、「六は、してはならない」を前面に押し出しています。 "6つの要件 "が定められています。 (第6条、第7条)
三是规范关键环节主体责任义务。《征求意见稿》对APP治理的全链条、全主体、全流程予以规范,规定了APP开发运营者、APP分发平台、APP第三方服务提供者、移动智能终端生产企业和网络接入服务提供者在APP个人信息保护方面的具体义务。(第八条至第十二条) 第三に、主要なリンクの主な責任と義務が規定されています。 意見募集の草案は、APPのガバナンスの一連の流れ、対象、プロセスを規制し、APPの開発者および運営者、APPの配信プラットフォーム、APPの第三者サービス提供者、モバイル・インテリジェント端末メーカー、ネットワーク・アクセス・サービス提供者のAPPの個人情報保護に関する具体的な義務を規定しています。 第8条から第12条)。
四是细化违规处置流程和具体措施。《征求意见稿》明确从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确具体时间期限要求。特别提出,对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的APP,将对其进行直接下架;且下架后的APP在40个工作日内不得通过任何渠道再次上架的管理要求。此外,监督管理部门将指导APP分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。(第十六和第十七条) 4つ目は、違反行為の処理のプロセスと具体的な手段を明確にすることです。 コメント用ドラフトでは、個人情報処理活動に従事する関連主体が要件に違反した場合、通知と是正、社会への公表、オフラインでの処分、アクセスの遮断、信用管理のプロセスに従って順次処分されることを明記し、具体的な期間要件を定めている。 特に、要求された修正が完了していないか、繰り返し問題が発生しているか、技術的な対立を起こしているか、その他の重大な違反を犯しているAPPは、直接棚上げされることが提案されています。また、棚上げされたAPPは、管理要求から40営業日以内に、どのような経路であっても再び棚上げされることはありません。 また、監督管理部門は、APP配信プラットフォームやモバイルインテリジェント端末メーカーに対し、統合、配信、プレインストール、設置の際にリスクプロンプトを実施し、状況が深刻な場合は禁止措置を取るよう指示します。 (第16条、第17条)
此外,《征求意见稿》还对违反本规定行为的法律责任、保密义务等作了规定。(第十八和第十九条) また、「Draft for Comments」では、これらの規定に違反した場合の法的責任や守秘義務についても定めています。 第十八条、第十九条)。

|

« 軍隊がサイバーセキュリティとどう向き合うのかという話かもしれませんが、これは企業でも同じだろうと思うので、参考になるかもですね。。。 | Main | NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 軍隊がサイバーセキュリティとどう向き合うのかという話かもしれませんが、これは企業でも同じだろうと思うので、参考になるかもですね。。。 | Main | NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価 »