中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12
こんにちは、丸山満彦です。
中国で自動車データセキュリティの管理に関する規定に関する意見募集が行われていました。個人データと重要データの取り扱いについてですめ。
重要なデータは、国の機密情報、公開されているよりも精度の高い地図データ、車両充電ネットワークの運用に関するデータ、道路上の車両の種類、流れについてのデータ、顔、声、ナンバープレートを含む音声・画像データ等となっていますね。。。
色々と参考になります。。。
● 中共中央网络安全和信息化委员会办公室(中国共産党中央委員会ネットワークセキュリティ・情報化対策室)
・2021.05.12 国家互联网信息办公室关于《汽车数据安全管理若干规定(征求意见稿)》
| 汽车数据安全管理若干规定 | 自動車データセキュリティの管理に関する規定 |
| 第一条 为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,制定本规定。 | 第1条 この規定は、個人情報および重要なデータの保護を強化し、自動車のデータ処理活動を規制し、国家の安全および公共の利益を守るために、「ネットワークセキュリティに関する中華人民共和国法」およびその他の法令に基づいて制定される。 |
| 第二条 运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。 | 第2条 事業者は、自動車の設計、製造、販売、運用、保守管理の過程において、中華人民共和国の領域外で個人情報や重要なデータを収集、分析、保管、送信、照会、利用、削除、提供(以下、総称して処理と呼ぶ)する場合には、関連法令および本規定の要求に従うものとする。 |
| 第三条 本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。 | 第3条 この規定でいう事業者とは、自動車メーカー、部品・ソフトウェア提供者、ディーラー、修理機関、オンラインカー会社、保険会社など、自動車の設計・製造・サービスを行う企業または機関をいう。 |
| 本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。 | ここでいう個人情報とは、自動車の所有者、運転者、ライダー、歩行者などの個人情報のほか、個人を推定したり、個人の行動を記述したりするさまざまな情報を含む。 |
| 本规定所称重要数据包括: | この規定で言及されている重要なデータは以下の通りです。 |
| (一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据; | (1) 軍政地域、国防科学工業などの国家機密に関わるユニット、県レベル以上の党・政府機関など、重要で敏感な地域の人や車の流れに関するデータ |
| (二)高于国家公开发布地图精度的测绘数据; | (2) 国が公開している地図の精度よりも高い地図データ |
| (三)汽车充电网的运行数据; | (3) 車両充電ネットワークの運用に関するデータ |
| (四)道路上车辆类型、车辆流量等数据; | (4) 道路上の車両の種類、車両の流れなどのデータ |
| (五)包含人脸、声音、车牌等的车外音视频数据; | (5) 顔、声、ナンバープレートなどを含む車外の音声・映像データ |
| (六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。 | (6) その他、国家インターネット情報部および国務院の関連部門が指定する、国家安全保障や公共の利益に影響を与える可能性のあるデータ |
| 第四条 运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。 | 第4条 事業者が個人情報または重要なデータを取り扱う目的は、適法かつ具体的で明確であり、自動車の設計、製造、サービスに直接関連するものでなければならない。 |
| 第五条 运营者应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务。 | 第5条 事業者は、法律に基づき、ネットワークセキュリティレベルの保護システムを実施し、個人情報や重要データの保護を強化し、ネットワークセキュリティの義務を果たさなければならない。 |
| 第六条 倡导运营者处理个人信息和重要数据过程中坚持: | 第6条では、個人情報や重要なデータを取り扱う際に、事業者が遵守すべきことを定めています。 |
| (一)车内处理原则,除非确有必要不向车外提供; | (1) 車両内処理の原則:必要な場合以外は車両外に提供しないこと。 |
| (二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理; | (2) 匿名化処理の原則:車両外に提供することが必要な場合には、可能な限り匿名化および無感応化を行うこと。 |
| (三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限; | (3) 最小保存期間の原則:提供される機能的サービスのサブタイプに応じてデータの保存期間を決定すること。 |
| (四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率; | (4) 精度範囲適用の原則、提供する機能的なサービスに必要なデータの精度に基づいて、カメラやレーダーなどのカバー率、解像度を決定すること。 |
| (五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。 | (5) デフォルト非取得の原則:必要な場合を除き、デフォルトの状態では各運転に対してデータを取得しないこと、運転者の同意承認は個々の運転に対してのみ有効であること。 |
| 第七条 运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息: | 第7条 事業者は、個人情報を取扱う際には、取扱説明書、車載表示パネルその他の適切な手段を用いて、利用者の権利利益を取り扱う責任者の有効な連絡先と、収集するデータの種類(車両位置、生体特性、運転習慣、音声・映像等)を通知し、以下の情報を提供するものとします。 |
| (一)收集每种类型数据的触发条件以及停止收集的方法; | (1) データの種類ごとの収集のトリガーとなる条件と収集を停止する方法 |
| (二)收集各类型数据的目的、用途; | (2) 収集するデータの種類ごとの目的と使用方法。 |
| (三)数据保存地点、期限,或者确定保存地点、期限的规则; | (3) データ保持の場所と期間、または保持の場所と期間を決定するための規則。 |
| (四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。 | (4) 車内の個人情報を削除したり、車外に既に提供されている個人情報の削除を依頼するための方法論的手順。 |
| 第八条 运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求: | 第8条 車両の位置情報、運転者または同乗者の音声・映像、運転違反の判断材料となるデータなど、車両外の機微な個人情報を事業者が取得・提供する場合は、以下の要件に従うものとする。 |
| (一)以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等; | (1) 運転の安全性向上、運転支援、ナビゲーション、エンターテイメントなど、運転者や乗員に直接サービスを提供する目的であること。 |
| (二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效; | (2) デフォルトでは収集を行わず、その都度ドライバーの同意を得てオーソリゼーションを行い、このオーソリゼーションは運転終了後(ドライバーが運転席を離れた時)に自動的に失効すること。 |
| (三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息; | (3) 機密性の高い個人情報が収集されていることを、車内の表示パネルや音声などで運転者や乗員に知らせること。 |
| (四)驾驶人能够随时、方便地终止收集; | (4) ドライバーがいつでも自分の都合で回収を終了できること。 |
| (五)允许车主方便查看、结构化查询被收集的敏感个人信息; | (5)車両の所有者が、収集されている機密性の高い個人情報を容易に閲覧し、構造化してアクセスできるようにすること。 |
| (六)驾驶人要求运营者删除时,运营者应当在2周内删除。 | (6)運転者が事業者に対して削除を求めた場合、事業者は2週間以内に削除すること。 |
| 第九条 运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。 | 第9条 事業者は、法令により本人の同意を必要としない旨が定められている場合を除き、個人情報を収集する際には、本人の同意を得なければならない。 実際には実現が難しく(例:カメラを通して車外の音声・映像情報を取得する)、どうしても提供する必要がある場合には、自然人が写っている画像のうち、個人を特定できるものを削除したり、その画像の顔などを部分的に輪郭化するなど、匿名化や減感度化を行うこと。 |
| 第十条 仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。 | 第10条 運転者の指紋、声紋、顔、心拍数などの生体情報は、利用者の利便性や車両の電子・情報システムのセキュリティ向上のためにのみ取得することができ、生体情報の特徴を表す代替手段を提供しなければならない。 |
| 第十一条 运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。 | 第11条 重要なデータを扱う事業者は、その種類、規模、範囲、保持する場所と期限、使用方法、第三者への提供の有無などを、国家インターネット情報局および関連部門に事前に報告するものとする。 |
| 第十二条 个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。 | 第12条 個人情報や重要なデータは、法律に基づいて領域内で保管され、国外で提供する必要がある場合は、国家インターネット情報局が管理するデータ出口セキュリティ評価に合格しなければならない。 |
| 我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。 | 中国が締結している、あるいは他の国や地域、国際機関と締結している条約や協定に、個人情報の海外提供に関する明確な規定がある場合には、中国が留保を宣言している規定を除き、その規定を適用する。 |
| 第十三条 运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。 | 第13条 事業者は、個人情報または重要なデータを中国国外に提供する場合には、両者が合意した目的、範囲、方法に従って、受領者によるデータの使用を明確にし、監督し、データのセキュリティを確保するための有効な手段を講じなければならない。 |
| 第十四条 运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。 | 第14条 事業者は、個人情報または重要なデータを国外で提供する場合、関係するユーザーからの苦情を受け付けて処理し、ユーザーの正当な権利利益または公共の利益を損なった場合には、法律に基づき相応の責任を負うものとする。 |
| 第十五条 运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。 | 第15条 事業者は、アウトバウンドセキュリティアセスメントで定めた目的、範囲、方法、データの種類・規模を超えて、個人情報や重要データを国外に提供してはならない。 |
| 国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。 | 国家インターネット情報局は、国務院の関連部門と連携して、国外で提供された個人情報や重要データの種類や範囲を抜き打ちで確認し、事業者はそれらを明示的かつ可読性の高い方法で表示する。 |
| 第十六条 科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。 | 第16条 科学研究者や商業提携者が領域内に保存されている個人情報や重要なデータの使用を照会する必要がある場合、事業者はデータのセキュリティを確保し、損失を防止するための効果的な措置を講じるものとし、車両の位置、バイオメトリック特性、運転者または同乗者のオーディオおよびビデオ、違法な運転違反を判断するために使用できるデータなどの重要なデータや機密データの照会および使用を厳しく制限するものとする。 |
| 第十七条 处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门,内容包括: | 第17条 10万人以上の対象者が関わる個人情報を取り扱う事業者、または重要なデータを取り扱う事業者は、毎年12月15日までに省のインターネット情報部門および関連部門に対して、以下のような年間のデータセキュリティ管理を報告しなければならない。 |
| (一)数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式; | (1) データセキュリティの責任者およびユーザーの権利と利益に関する事項を取り扱う責任者の名前と連絡先 |
| (二)处理数据的类型、规模、目的及必要性; | (2) 取り扱うデータの種類、大きさ、目的および必要性 |
| (三)数据的安全防护和管理措施,包括保存地点、期限等; | (3) データの安全保護および管理措置(保管場所および保管期間を含む) |
| (四)与境内第三方共享数据情况; | (4) 領域内の第三者とのデータの共有 |
| (五)数据安全事故及处理情况; | (5) データセキュリティインシデントとその処理 |
| (六)与个人信息和数据相关的用户投诉及处理情况; | (6)個人情報・データに関するお客様からの苦情とその対応 |
| (七)国家网信部门明确的其他数据安全情况。 | (7) 国家インターネット情報局が指定するその他のデータセキュリティ状況。 |
| 第十八条 如果存在向境外提供数据的情况,运营者应当在本规定第十七条基础上,报告以下情况: | 第18条 事業者は、データが国外で提供される場合、本規定第17条に基づき、以下の情報を報告するものとします。 |
| (一)接收者的名称和联系方式; | (1) 受取人の名前と連絡先 |
| (二)出境数据的类型、数量及目的; | (2) 送出データの種類、数量および目的 |
| (三)数据在境外的存放地点、使用范围和方式; | (3) 国外でのデータの使用場所、範囲および方法 |
| (四)涉及向境外提供数据的用户投诉及处理情况; | (4) 国外へのデータ提供に伴うユーザーからの苦情とその対応 |
| (五)国家网信部门明确的向境外提供数据需要报告的其他情况。 | (5) その他、国外でのデータ提供に関する報告が必要な状況として、国家インターネット情報局が指定した場合 |
| 第十九条 国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,运营者应当予以配合。 | 第19条 国家インターネット情報局は、国務院の関連部門と連携して、データ処理状況に基づいて事業者のデータセキュリティ評価を行うものとし、事業者はこれに協力する。 |
| 参与安全评估的机构和人员不得披露评估中获悉的运营者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。 | セキュリティ評価に関わる機関および担当者は、評価で知り得た事業者の商業機密や未公開情報を開示してはならず、また評価で知り得た情報を評価以外の目的で使用してはならない。 |
| 第二十条 运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。 | 第20条 事業者が本規定に違反した場合、国家インターネット情報局および関連部門は、中華人民共和国ネットワークセキュリティ法の関連規定およびその他の法令に基づき、罰則を科すものとする。 犯罪に該当する場合は、法律に基づいて刑事責任が追及される。 |
| 第二十一条 本规定自2021年 月 日起施行。 | 第21条 この規定は、2021年◯月◯日以降に施行する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。
・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事
・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定
・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中
・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム
・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案
・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案
・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書
・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)
・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)
・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け
・
Comments