中国 自動車データのセキュリティ管理に関する一定の規定（試行）が公表されていますね。。。at 2021.08.16

こんにちは、丸山満彦です。

中国の５つの部局（国家インターネット情報局、国家発展改革委員会、工業情報化部、公安部、交通運輸部）が共同で自動車のセキュリティに関する規定（試行）を公表していますね。。。

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2021.08.20	国家互联网信息办公室等五部门发布《汽车数据安全管理若干规定（试行）》	国家サイバースペース管理局をはじめとする5つの部門が「自動車データのセキュリティ管理に関する一定の規定（試行）」を発表
2021.08.20	国家互联网信息办公室有关负责人就《汽车数据安全管理若干规定（试行）》答记者问	国家サイバースペース管理局の担当者が、「自動車データのセキュリティ管理に関する一定の規定（試行）」に関する記者の質問に答える。
2021.08.16	汽车数据安全管理若干规定（试行）	自動車データのセキュリティ管理に関する一定の規定（試行）

記者発表

国家互联网信息办公室等五部门发布《汽车数据安全管理若干规定（试行）》	国家サイバースペース管理局をはじめとする5つの部門が「自動車データのセキュリティ管理に関する一定の規定（試行）」を発表
近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。国家互联网信息办公室有关负责人表示，出台《规定》旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。	先日、国家サイバースペース管理局、国家発展改革委員会、工業情報化部、公安部、交通運輸部が共同で「自動車データのセキュリティ管理に関する一定の規定（試行）」（以下、「規定」）を発表し、2021年10月1日から施行されることになりました。 国家サイバースペース管理局の関連担当者は、本規定の導入は、自動車データの取扱業務を規制し、個人や組織の正当な権利と利益を保護し、国家安全と社会公共の利益を守り、自動車データの合理的な開発と利用を促進することを目的としていると述べています。
随着新一代信息技术与汽车产业加速融合，智能汽车产业、车联网技术的快速发展，以自动辅助驾驶为代表的人工智能技术日益普及，汽车数据处理能力日益增强，暴露出的汽车数据安全问题和风险隐患日益突出。在汽车数据安全管理领域出台有针对性的规章制度，明确汽车数据处理者的责任和义务，规范汽车数据处理活动，是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要，也是维护国家安全利益、保护个人合法权益的需要。	新世代の情報技術と自動車産業の融合が加速し、スマートカー産業や車両ネットワーク技術の急速な発展、自動運転支援に代表される人工知能技術の普及、自動車のデータ処理能力の向上に伴い、自動車データのセキュリティ問題やリスクハザードの顕在化がますます顕著になってきています。 自動車データのセキュリティリスクを防止・解決し、法律に則った自動車データの合理的かつ効果的な利用を保護し、国家安全保障上の利益を守り、個人の正当な権利・利益を保護するためには、自動車データのセキュリティ管理の分野に的を絞った規制を導入し、自動車データ取扱事業者の責任と義務を明確にし、自動車データ取扱業務を規制することが必要です。
《规定》倡导，汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则，减少对汽车数据的无序收集和违规滥用。	規定では、自動車データ取扱事業者が自動車データ取扱業務を行う際に、自動車データの無秩序な収集や悪用を減らすために、「車両内処理」、「デフォルト非収集」、「精度範囲適用」、「機微性低減処理」の原則を遵守することを提唱しています。
《规定》明确，汽车数据处理者应当履行个人信息保护责任，充分保护个人信息安全和合法权益。开展个人信息处理活动，汽车数据处理者应当通过显著方式告知个人相关信息，取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息，汽车数据处理者还应当取得个人单独同意，满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。	規定では、自動車データ取扱事業者が個人情報保護の責任を果たし、個人の安全と正当な権利および利益を十分に保護することを明確にしています。 自動車データ取扱事業者は、個人情報の処理を行うにあたり、本人に分かりやすい方法で情報を提供し、本人の同意を得るなど、法令や行政規定に定められた事項を遵守します。 機微な個人情報を取り扱うためには、自動車データ取扱事業者は、本人の個別の同意も得なければならず、取扱目的の限定、収集状況の表示、収集の中止、または法律、行政規定、義務的な国内基準などの他の要件に従うなどの特定の要件を満たす必要があります。 自動車データ取扱事業者は、運転の安全性を高める目的と十分な必要性がある場合にのみ、指紋、声紋、顔、心拍数などのバイオメトリクス情報を収集するものとします。
《规定》强调，汽车数据处理者开展重要数据处理活动，应当遵守依法在境内存储的规定，加强重要数据安全保护；落实风险评估报告制度要求，积极防范数据安全风险；落实年度报告制度要求，按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的，汽车数据处理者应当落实数据出境安全评估制度要求，不得超出出境安全评估结论违规向境外提供重要数据，并在年度报告中补充报告相关情况。	規定では、自動車データ取扱事業者が、法律に基づき重要データを国内で保管するという要件を遵守し、重要データのセキュリティ保護を強化すること、リスク評価・報告システムの要件を実施してデータセキュリティリスクを積極的に防止すること、年次報告システムの要件を実施して年次の自動車データセキュリティ管理を期限内に積極的に報告することを強調しています。 業務上の必要性から重要なデータを国外に提供する必要がある場合、自動車データ取扱事業者は、データ出口セキュリティ評価システムの要件を実施し、出口セキュリティ評価結論を超えて法律に違反して重要なデータを国外に提供してはならず、また、年次報告書に関連情報を補足しなければなりません。
《规定》提出，国家有关部门依据各自职责做好汽车数据安全管理和保障工作，包括开展数据安全评估、数据出境事项抽查核验、智能（网联）汽车网络平台建设等工作。对于违反本规定的汽车数据处理者，有关部门将依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚。	本規定では、関連する国家機関がそれぞれの責任に基づいて自動車データのセキュリティを管理・保護することを提案しています。これには、データセキュリティ評価の実施、データ出口事項のランダムなチェックと検証、インテリジェント（インターネットに接続された）自動車のネットワークプラットフォームの構築などが含まれます。 この規定に違反した自動車データ取扱事業者に対しては、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、その他の法律および行政法規の規定に基づき、関連部門が罰則を科します。
国家互联网信息办公室有关负责人指出，汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与。省级以上网信、发展改革、工业和信息化、公安、交通运输等有关部门在汽车数据安全管理过程中，将加强协调和数据共享，形成工作合力。	国家サイバースペース管理局の担当者は、自動車データのセキュリティ管理には、政府、自動車データ取扱事業者、個人など複数の主体が参加する必要があると指摘しています。 インターネット情報、開発・改革、産業・情報技術、公安、交通など、省レベル以上の関連部門は、自動車データのセキュリティ管理の過程で、連携とデータの共有を強化し、相乗効果を発揮します。

 

Q&A

国家互联网信息办公室有关负责人就《汽车数据安全管理若干规定（试行）》答记者问	国家サイバースペース管理局の担当者が、「自動車データのセキュリティ管理に関する一定の規定（試行）」に関する記者の質問に答える。
近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》）。国家互联网信息办公室有关负责人就《规定》相关问题回答了记者提问。	先日、国家サイバースペース管理局、国家発展改革委員会、工業情報化部、公安部、交通運輸部が共同で「自動車データのセキュリティ管理に関する一定の規定（試行）」（以下、「規定」という。）を発表しました。 国家サイバースペース管理局の担当者が、本規定に関する記者の質問に答えました。
问：请简要介绍《规定》出台的背景？	Q：本規定導入の背景を簡単に紹介してください。
答：出台《规定》主要基于以下两方面的考虑：一是防范化解汽车数据安全风险的实践需要。汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域，汽车数据处理能力日益增强、汽车数据规模庞大，同时暴露出的汽车数据安全问题和风险隐患也日益突出。比如，汽车数据处理者超越实际需要，过度收集重要数据；未经用户同意，违规处理个人信息，特别是敏感个人信息；未经安全评估，违规出境重要数据等。因此，亟需加强汽车数据安全管理，防范化解上述安全问题和风险隐患。二是保障汽车数据依法合理有效利用的客观需要。《网络安全法》、《数据安全法》对数据安全、个人信息保护作了基本规定。在汽车数据安全管理领域出台有针对性的规章制度，明确汽车数据处理者的责任和义务，规范汽车数据处理活动，有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。	A：「規定」の導入は、主に以下の2つの検討に基づいています。第1に、実務上のニーズである自動車データのセキュリティリスクの防止と解決です。 自動車産業は、国民経済、機器製造、金融、交通、生産、生活など多くの分野に関わっており、自動車のデータ処理能力は増加しており、また、自動車データの規模は巨大である一方、自動車データのセキュリティ問題やリスクの顕在化もますます顕著になっています。 例えば、自動車データ取扱事業者は、実際の必要性を超えて重要なデータを過剰に収集したり、利用者の同意を得ずに個人情報、特に機微な個人情報を扱ったり、セキュリティ評価を行わずに重要なデータを終了したりします。 そのため、自動車データのセキュリティ管理を強化し、上記のようなセキュリティ上の問題やリスクの危険性を予防・解決することが急務となっています。 第2に、法律に従って自動車データの合理的かつ効果的な使用を保護するための客観的な必要性です。 ネットワークセキュリティ法やデータセキュリティ法では、データセキュリティや個人情報保護に関する基本的な規定が設けられています。 自動車データのセキュリティ管理の分野に的を絞った規制を導入し、自動車データ取扱事業者の責任と義務を明確にし、自動車データ取扱業務を規制することは、法律に則った自動車データの合理的かつ効果的な利用を促進し、自動車産業の健全かつ秩序ある発展に寄与するものです。
此外，还要说明的是，《规定》定位于若干规范要求，聚焦汽车领域个人信息和重要数据的安全风险，就若干重点问题作出规定。	また、自動車分野における個人情報や重要データのセキュリティリスクに着目し、いくつかの重要事項を規定している点も、本規定の位置付けを示しています。
问：《规定》中所称汽车数据和汽车数据处理活动是指什么？	Q: 規制で言及されている自動車データおよび自動車データ取扱業務とは何ですか？
答：《规定》中所称汽车数据，是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据；所称汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，涉及汽车数据处理的全生命周期。《规定》还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。	A：本規定でいう自動車データとは、自動車の設計、製造、販売、使用、運用、保守における個人情報や重要なデータを含むものであり、本規定でいう自動車データの処理とは、自動車データの収集、保管、使用、処理、送信、提供、開示を含み、自動車データの処理の全ライフサイクルを含みます。 また、本規定では、個人情報、機微な個人情報、重要なデータ、自動車データにおける自動車データ取扱事業者の意味と種類をさらに明確にしています。
问：《规定》明确了汽车数据处理者开展汽车数据处理活动应当符合哪些一般要求？	Q: 規定では、自動車データ取扱事業者が自動車データ取扱業務を行う際に満たすべき一般的な要件を明確にしていますか？
答：《规定》明确了汽车数据处理者开展汽车数据处理活动的一般要求。主要包括：一是处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。三是应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。	A: この規定は、自動車データ取扱事業者が自動車データ取扱業務を行うための一般的な要件を明確にしています。 その主な要件は以下の通りです。第1に、自動車データの処理は、合法的、正当的、具体的かつ明確であり、自動車の設計、製造、販売、使用、操作およびメンテナンスに直接関連するものでなければなりません。 第2に、自動車データ取扱業務を行うためにインターネットやその他の情報ネットワークを使用する場合、ネットワークのセキュリティレベルの保護などのシステムを導入し、自動車のデータ保護を強化し、法律に基づいてデータセキュリティの義務を果たす必要があります。 第3に、苦情と報告のルートを確立し、便利な苦情と報告の入り口を設置し、利用者の苦情と報告をタイムリーに処理することです。
问：《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持哪些原则？	Q: 自動車データ取扱事業者が自動車データ取扱業務を行う際に遵守すべき原則を教えてください。
答：《规定》制定过程中，坚持安全和发展并重，倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用，鼓励汽车数据依法合理有效利用，促进汽车行业健康有序发展。	A: 本規則の制定過程において、安全と発展の両立を堅持し、自動車データ処理業者が自動車データ処理活動を行う際に、「車両内処理」、「デフォルト非収集」、「精度範囲適用」、「機微性低減処理」の原則を遵守することを提唱し、自動車データの無秩序な収集や不正使用を減らし、法律に則った自動車データの合理的かつ有効な利用を促し、自動車産業の健全で秩序ある発展を促進しています。
问：为了使汽车数据处理者更好地履行个人信息保护责任，《规定》明确了哪些具体要求？	Q: 自動車データ取扱事業者が個人情報保護の責任をよりよく果たせるようにするために、規定ではどのような具体的な要件が明確にされていますか？
答：《规定》明确了处理个人信息、敏感个人信息的具体要求。针对个人信息，一是告知义务，汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。二是征得同意义务，汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。三是匿名化要求，因保证行车安全需要，无法征得个人同意采集到个人信息且向车外提供的，应当进行匿名化处理。针对敏感个人信息，在履行告知、征得个人单独同意等义务基础上，汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息，明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。	A: 本規定では、個人情報および機微な個人情報の取り扱いに関する具体的な要件を明確にしています。 第1に、個人情報については、通知義務があり、個人情報を取り扱う自動車メーカーは、取り扱う個人情報の種類、収集の背景、収集を中止する方法などを通知しなければならないとされています。 第２に、同意取得の義務ですが、自動車データ取扱事業者は、個人情報を取り扱う場合、またはその他の法律や行政法規で定められた状況に従う場合には、本人の同意を得なければなりません。 第3は匿名化要件で、運転の安全性を確保する必要性から、個人情報を収集して車外に提供することに本人の同意が得られない場合は、処理を匿名化しなければなりません。 機微な個人情報については、通知義務および本人の個別の同意を得る義務に基づき、自動車データ取扱事業者は、取扱目的の限定、収集状況の表示、本人による収集の中止を容易にするなどの具体的な要件も満たさなければならないとしています。 個人の生体情報については、自動車データ処理業者が収集する前に、運転の安全性を高める目的と十分な必要性があることが明らかになっています。
问：为了规范重要数据处理活动，《规定》明确了哪些具体要求？	Q: 重要なデータ取扱業務を規制するために、規定ではどのような具体的な要件が明確にされているのですか？
答：《规定》明确了处理重要数据的具体制度。一是风险评估报告制度，汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。二是出境安全评估制度，重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。三是抽查核验制度，国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项，汽车数据处理者应当予以配合。四是年度报告制度，汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况。五是年度补充报告制度，向境外提供重要数据的汽车数据处理者应当补充报告相关情况。	A：重要なデータを処理するための具体的なシステムを規定しています。 第１はリスクアセスメントの報告システムで、自動車データ取扱事業者は、重要なデータ取扱業務を行うために、リスクアセスメントの規定に従って実施され、省、自治区、中央インターネット部門と関連部門の下に直接市町村にリスクアセスメント報告書を報告しなければなりません。 第２はアウトバウンドのセキュリティ評価システムで、重要なデータは、法律に従って国内に格納する必要があり、ビジネスのニーズのために本当に国外に提供する必要がある場合は、国務院の関連部門と連携して状態のネットワーク情報部門が実施するセキュリティ評価を受ける必要があります。 第3は無作為検証と検証システムで、国家サイバースペース管理局は国務院の関連部門と連携して、無作為検証によって自動車データの域外移転評価に関連する事項を検証しますが、自動車データ取扱事業者はこれに協力する必要があります。 第4は年次報告制度で、自動車データ取扱事業者は、毎年12月15日までに、省、自治区、中央政府直轄市および関連部門に年次自動車データセキュリティ管理を報告しなければなりません。第５は年次補足報告制度で、外国に重要なデータを提供している自動車データ取扱事業者は、関連する報告を補足する必要があります。
问：关于汽车数据安全监督管理和保障，《规定》还明确了哪些具体措施？	Q：その他、自動車データのセキュリティの監督・管理・保護に関する具体的な施策について、規定で定められているものはありますか？
答：除了上述报告、评估、抽查核验等监督管理措施以外，《规定》还明确国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责，可根据处理数据情况对汽车数据处理者进行数据安全评估；明确国家加强智能（网联）汽车网络平台建设，开展智能（网联）汽车入网运行和安全保障服务等，协同汽车数据处理者加强智能（网联）汽车网络和汽车数据安全防护。	A：本規定では、上記の報告、評価、無作為検証などの監督管理措置に加えて、国家サイバースペース管理局、国務院の発展改革部門、工業情報化部、公安部、交通運輸部などの関連部門が、その職務に基づいて、データ処理状況に応じて自動車データ取扱事業者のデータセキュリティ評価を行うことができることを明らかにし、国家がインテリジェント（ネット接続）自動車のネットワークプラットフォームの構築を強化し、インテリジェント（ネット接続）自動車の評価を実施することを明らかにしています。 また、国がインテリジェント（ネット接続）車両ネットワークプラットフォームの構築を強化し、インテリジェント（ネット接続）車両ネットワークの運用および安全保証サービスなどを実施し、車両データ処理業者と協力してインテリジェント（ネット接続）車両ネットワークおよび車両データのセキュリティ保護を強化することも明らかになっています。
问：违反《规定》如何追究法律责任？	Q: 規定に違反した場合、どのように法的責任を追及するのですか？
答：《规定》明确汽车数据处理者违反本规定的，由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚；构成犯罪的，依法追究刑事责任。	A：本規定では、これらの規定に違反した自動車データ処理業者は、ネットワークセキュリティ法、データセキュリティ法、その他の法律および行政法規の規定に基づき、ネットワーク情報、産業・情報技術、公安・交通など、省レベル以上の関連部門により処罰されること、また、犯罪に該当する場合は、法律に基づき刑事責任が調査されることを明確にしています。

 

規定については、こちら...

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部：導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.21 中国 意見募集「深圳経済特区における人工知能産業振興条例（案）」

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画（2021-2023）」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法（インターネット情報サービスの運営に関する措置）の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ　中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正　商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

 

 

　仮訳です。。。ざっと概要を理解する程度の目的でつかってくださいませ。。。正確に理解したい時は、やはり中国語と日本語に精通した法律家に確認をしてくださいませ。。。

汽车数据安全管理若干规定（试行）	自動車データのセキュリティ管理に関する一定の規定（試行）
令	令
第7号	第7号
《汽车数据安全管理若干规定（试行）》已经2021年7月5日国家互联网信息办公室2021年第10次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意，现予公布，自2021年10月1日起施行。	自動車データのセキュリティ管理に関する一定の規定（試行）」は、2021年7月5日に開催された2021年国家サイバースペース管理局第10回会議で検討・採択され、国家発展改革委員会、工業情報化部、公安部、交通運輸部の同意を得て、ここに公布され、2021年10月1日に施行される。
国家互联网信息办公室主任 庄荣文	国家サイバースペース管理局 局長 庄荣文
国家发展和改革委员会主任 何立峰	国家発展改革委員会 事務局長 何立峰
工业和信息化部部长 肖亚庆	工業情報化部 部長 蕭亜慶
公安部部长 赵克志	公安部 部長 趙克志
交通运输部部长 李小鹏	交通運輸部 部長 李暁鵬
2021年8月16日	2021年8月16日
汽车数据安全管理若干规定（试行）	自動車データのセキュリティ管理に関する一定の規定（試行）
第一条 为了规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规，制定本规定。	第1条 本規定は、自動車データの取扱業務を規制し、個人および組織の正当な権利および利益を保護し、国家安全保障および社会公共の利益を守り、自動車データの合理的な利用を促進するために、ネットワークセキュリティに関する中華人民共和国法、データセキュリティに関する中華人民共和国法、その他の法律および行政法規に基づいて策定される。
第二条 在中华人民共和国境内开展汽车数据处理活动及其安全监管，应当遵守相关法律、行政法规和本规定的要求。	第2条 中華人民共和国の領域内での自動車データ取扱業務の実施およびそのセキュリティ監督は、関連する法律、行政法規および本規定の要件を遵守する。
第三条 本规定所称汽车数据，包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。	第3条 この規定でいう自動車データには、個人情報を含むデータと、自動車の設計、製造、販売、使用、運用、保守の過程における重要なデータが含まれる。
汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。	自動車データの取扱いとは、収集、保管、使用、処理、送信、提供および開示などである。
汽车数据处理者，是指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。	自動車データ取扱事業者とは、自動車メーカー、部品・ソフトウェアサプライヤー、ディーラー、メンテナンス会社、旅行サービス会社など、自動車データ取扱業務を行う組織を指す。
个人信息，是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。	個人情報とは、電子的またはその他の方法で記録された、特定または識別可能な自動車の所有者、運転者、乗員、車外者などに関するあらゆる種類の情報で、匿名化処理後の情報を除く。
敏感个人信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。	機微な個人情報とは、漏洩したり不正に利用されたりすると、所有者、運転者、乗員、車外者などへの差別や、個人や財産の安全に重大な危害を及ぼす可能性がある個人情報のことで、車両の軌跡、音声、映像、画像、生体情報などの情報が含まれる。
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括：	重要なデータとは、改ざん、破壊、漏洩、不正アクセス、不正使用されると、国家安全保障、公共の利益、または個人や組織の正当な権利や利益を危険にさらす可能性がある以下のデータを指す。
（一）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；	(1) 軍政地域、国防科学工業部門、県レベル以上の党・政府機関など、重要かつ機密性の高い地域の地理的情報、人員の流れ、車両の流れなどのデータ。
（二）车辆流量、物流等反映经济运行情况的数据；	(2) 車の流れや物流などの経済活動を反映したデータ
（三）汽车充电网的运行数据；	(3) 車両充電ネットワークの運用に関するデータ
（四）包含人脸信息、车牌信息等的车外视频、图像数据；	(4) 顔情報、ナンバープレート情報などを含む車外の映像・画像データ
（五）涉及个人信息主体超过10万人的个人信息；	(5) 10万人を超える個人情報主体に関わる個人情報
（六）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。	(6) その他、国家ネットワーク情報部門および国務院の開発・改革、産業・情報技術、公安、交通などの関連部門の判断により、国家安全保障、公共の利益、または個人や組織の合法的な権利・利益を危険にさらす可能性のあるデータ。
第四条 汽车数据处理者处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。	第4条 自動車データ取扱事業者による自動車データの処理は、合法的、正当的、具体的かつ明確であり、自動車の設計、製造、販売、使用、運用および保守に直接関連するものでなければならない。
第五条 利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。	第5条 自動車データ取扱業務を行うためにインターネットその他の情報ネットワークを使用する場合は、ネットワークのセキュリティレベルの保護などのシステムを導入し、自動車のデータ保護を強化し、法律に基づいてデータセキュリティの義務を果たさなければならない。
第六条 国家鼓励汽车数据依法合理有效利用，倡导汽车数据处理者在开展汽车数据处理活动中坚持：	第6条 国は、法律に従って自動車データを合理的かつ効果的に利用することを奨励し、自動車データ取扱事業者が自動車データ取扱業務を行う際に以下の事項を遵守しなければならない。
（一）车内处理原则，除非确有必要不向车外提供；	(1) 車両内処理の原則、本当に必要なとき以外は車外に提供しない。
（二）默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；	(2) デフォルト非収集の原則、運転者が自分で設定しない限り、デフォルトでは各運転の収集は行われない。
（三）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；	(3) 精度範囲適用の原則、提供される機能的なサービスが必要とするデータの精度に応じて、カメラやレーダーなどのカバー範囲や解像度を決定しなければならない。
（四）脱敏处理原则，尽可能进行匿名化、去标识化等处理。	(d) 機微性低減処理の原則、可能な限り匿名化、非識別化などの処理を行う。
第七条 汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式，告知个人以下事项：	第7条 自動車データ取扱事業者による個人情報の取扱いは、取扱説明書、車内表示パネル、音声、自動車の使用に関するアプリケーションなどのわかりやすい手段を用いて、以下の事項を本人に通知しなければならない。
（一）处理个人信息的种类，包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等；	(1) 取り扱われる個人情報の種類（車両の軌跡、運転習慣、音声、映像、画像、生体情報の特徴など）。
（二）收集各类个人信息的具体情境以及停止收集的方式和途径；	(2) さまざまな種類の個人情報が収集される具体的な状況と、収集を中止する方法および手段
（三）处理各类个人信息的目的、用途、方式；	(3) 各種個人情報の取扱目的、用途、方法について
（四）个人信息保存地点、保存期限，或者确定保存地点、保存期限的规则；	(4) 個人情報の保管場所と保管期間、または保管場所と保管期間を決定するための規定
（五）查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径；	(5) 自分の個人情報の閲覧、複写、車両内の個人情報の削除、および車両外ですでに提供された個人情報の削除を要求する方法と手段
（六）用户权益事务联系人的姓名和联系方式；	(6) 利用者の権利・利益に関する事項の連絡先の名称と連絡先
（七）法律、行政法规规定的应当告知的其他事项。	(7）その他、法律や行政法規で定められた通知すべき事項。
第八条 汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。	第8条 自動車データ取扱事業者による個人情報の処理は、本人の同意を得るか、または法律や行政法規で定められたその他の事情に従うものとする。
因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。	運転の安全を確保するために、車外で個人情報を収集し、車外で提供することについて本人の同意が得られない場合は、自然人が写っている画像のうち特定できるものを削除したり、画像中の顔情報を部分的に輪郭を変えたりするなどの匿名化処理を行う。
第九条 汽车数据处理者处理敏感个人信息，应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求：	第9条 自動車データ取扱事業者による機微な個人情報の処理は、以下の要件、または法律、行政規定、強制的な国内基準などのその他の要件に準拠する。
（一）具有直接服务于个人的目的，包括增强行车安全、智能驾驶、导航等；	(1) 運転の安全性の向上、知的運転、ナビゲーションなど、個人に直接役立つことを目的としたもの。
（二）通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响；	(2) 必要性と本人への影響を、取扱説明書、車内表示パネル、音声、車の使用に関わるアプリケーションなどで目立つように知らせること。
（三）应当取得个人单独同意，个人可以自主设定同意期限；	(3) 本人の同意を得るものとし、本人が同意期間を設定できること。
（四）在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利；	(4) 運転の安全性を確保することを前提に、本人による収集の中止を容易にするため、収集状況を適切に表示すること。
（五）个人要求删除的，汽车数据处理者应当在十个工作日内删除。	(5) 本人が削除を要求した場合、自動車データ取扱事業者は10営業日以内に削除すること。
汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。	自動車データ処理装置は、指紋、声紋、顔、心拍などの生体特徴情報を収集する前に、運転の安全性を高める目的と十分な必要性を持っている。
第十条 汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。	第10条 自動車データ取扱事業者は、重要なデータ取扱業務を行う場合、規定に従ってリスクアセスメントを行い、リスクアセスメント報告書を中央政府直轄の省・自治区・市のインターネット情報部門および関連部門に提出しなければならない。
风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。	リスクアセスメント報告書には、処理された重要なデータの種類、量、範囲、保管場所および期間、使用方法、実施されたデータ取扱業務および第三者への提供の有無、直面したデータセキュリティリスクおよびその対策などを記載する。
第十一条 重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。	第11条 重要なデータは、法律に基づいて領域内に保存されなければならず、業務上の必要性から国外で提供する必要がある場合は、国務院の関連部門と連携して国家ネットワーク情報部門が実施するセキュリティ評価に合格しなければならない。 重要なデータとしてリストアップされていない個人情報を含むデータのアウトバウンドセキュリティ管理には、法律および行政法規の関連規定が適用される。
我国缔结或者参加的国际条约、协定有不同规定的，适用该国际条约、协定，但我国声明保留的条款除外。	中国が締結または発効した国際条約または協定に異なる規定がある場合には、中国が留保を宣言した規定を除き、当該国際条約または協定が適用される。
第十二条 汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。	第12条 自動車データ取扱事業者による重要データの外国への提供は、アウトバウンドセキュリティアセスメントで定められた目的、範囲、方法、種類、規模を超えてはならない。
国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项，汽车数据处理者应当予以配合，并以可读等便利方式予以展示。	国家ネットワーク情報部門は、国務院の関連部門と連携し、抜き打ち検査等により、前項に定める事項を検証し、自動車データ取扱事業者はこれに協力し、可読性等の便宜を図るために表示するものとする。
第十三条 汽车数据处理者开展重要数据处理活动，应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况：	第13条 重要なデータ取扱業務を行う自動車データ取扱事業者は、毎年12月15日までに、中央政府のネットワーク情報部門および関連部門の直轄の省・自治区・市に、自動車データのセキュリティ管理に関する以下の年次情報を提出しなければならない。
（一）汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；	(1) 自動車データのセキュリティ管理責任者および利用者の権利関係の窓口の名前と連絡先。
（二）处理汽车数据的种类、规模、目的和必要性；	(2）自動車データの種類、規模、目的、および取り扱いの必要性
（三）汽车数据的安全防护和管理措施，包括保存地点、期限等；	(3) 保管場所および保管期間を含む、自動車データのセキュリティ保護および管理措置
（四）向境内第三方提供汽车数据情况；	(4) 自動車データの地域内の第三者への提供
（五）汽车数据安全事件和处置情况；	(5) 自動車データのセキュリティ事故と対応
（六）汽车数据相关的用户投诉和处理情况；	(6) 自動車データに関する利用者からの苦情と苦情への対応
（七）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。	(7) 国務院の工業情報化部、公安部、交通運輸部など国務院の関連部門と連携して、国家ネットワーク情報部門が指定するその他の自動データセキュリティ管理状況。
第十四条 向境外提供重要数据的汽车数据处理者应当在本规定第十三条要求的基础上，补充报告以下情况：	第14条 重要なデータを外国に提供する自動車データ取扱事業者は、本規定第13条の要件に基づき、以下の情報を報告により補足する。
（一）接收者的基本情况；	(1) 受信者の基本情報
（二）出境汽车数据的种类、规模、目的和必要性；	(2) アウトバウンド自動車データの種類、規模、目的および必要性
（三）汽车数据在境外的保存地点、期限、范围和方式；	(3) 自動車データが国外に保管される場所、期間、範囲、方法
（四）涉及向境外提供汽车数据的用户投诉和处理情况；	(4) 自動車データの国外提供に伴う利用者からの苦情とその対応
（五）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。	(5) その他、自動車データの国外提供に関連して報告が必要な情報で、国のネットワーク情報部門が工業情報化部、公安部、交通運輸部など国務院の関連部門と連携して指定したもの。
第十五条 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责，根据处理数据情况对汽车数据处理者进行数据安全评估，汽车数据处理者应当予以配合。	第15条 国のネットワーク情報部門および国務院の発展改革、工業情報化部、公安部、交通運輸部などの関連部門は、その職務に基づき、データ処理状況に応じて自動車データ取扱事業者のデータセキュリティ評価を行い、自動車データ取扱事業者はこれに協力しなければならない。
参与安全评估的机构和人员不得披露评估中获悉的汽车数据处理者商业秘密、未公开信息，不得将评估中获悉的信息用于评估以外目的。	セキュリティ評価に携わる機関および担当者は、評価で知り得た自動車データ取扱事業者の商業秘密や未公開情報を開示してはならず、また評価で知り得た情報を評価以外の目的で使用してはならない。
第十六条 国家加强智能（网联）汽车网络平台建设，开展智能（网联）汽车入网运行和安全保障服务等，协同汽车数据处理者加强智能（网联）汽车网络和汽车数据安全防护。	第16条 国は、インテリジェント（ネット接続）車両のネットワークプラットフォームの構築を強化し、インテリジェント（ネット接続）車両のネットワーク運用及びセキュリティ保証サービス等を実施し、自動車データ取扱事業者と協力して、インテリジェント（ネット接続）車両ネットワーク及び自動車データのセキュリティ保護を強化する。
第十七条 汽车数据处理者开展汽车数据处理活动，应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。	第17条 自動車データ取扱事業者は、自動車データ取扱業務を行うための苦情および報告のルートを確立し、便利な苦情および報告の入口を設置し、利用者の苦情および報告をタイムリーに処理しなければならない。
开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的，汽车数据处理者应当依法承担相应责任。	自動車データ取扱業務が利用者の正当な権利・利益または公共の利益に損害を与えた場合、自動車データ取扱事業者は法律に基づき相応の責任を負うものとする。
第十八条 汽车数据处理者违反本规定的，由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚；构成犯罪的，依法追究刑事责任。	第18条 自動車データ取扱事業者が本規定に違反した場合、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法及びその他の法律・行政法規の規定に基づき、省レベル以上のインターネット情報・産業情報技術・公安・交通の関連部門により処罰され、犯罪に該当する場合は法律に基づき刑事責任が追及される。
第十九条 本规定自2021年10月1日起施行。	第19条 この規定は、2021年10月1日から施行する。