中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項
こんにちは、丸山満彦です。
「情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項」の標準案が情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260から公開され、意見募集されていますね。。。
プライバシーポリシーを表示するために4回以上のクリックを要求したらあきまへんで。。。
・2022.05.26 关于征求国家标准《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿)意见的通知
・2022.05.26 关于国家标准《信息安全技术 互联网平台及产品服务隐私协议要求》征求意见稿征求意见的通知
意見募集の標準案...
[DOC] | 信息安全技术 互联网平台及产品服务隐私协议要求 | Information security technology — Requirements of privacy policy of Internet platforms, products and services | 情報セキュリティ技術 - インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項 |
目次的なもの...
1 范围 | 1 適用範囲 |
2 规范性引用文件 | 2 引用標準 |
3 术语和定义 | 3 用語及び定義 |
4 缩略语 | 4 略語の説明 |
5 概述 | 5 概要 |
6 隐私协议的编制程序 | 6 プライバシーポリシーの作成手順 |
7 隐私协议的内容 | 7 プライバシーポリシーの内容 |
7.1 概述 | 7.1 概要 |
7.2 隐私协议的发布主体和适用范围 | 7.2 プライバシーポリシーの公表対象および適用範囲 |
7.3 隐私协议的摘要 | 7.3 プライバシーポリシーの概要 |
7.4 收集使用个人信息的规则 | 7.4 個人情報の収集と利用に関する規定 |
7.5 保障个人信息安全的规则 | 7.5 個人情報の安全保護に関する規定 |
7.6 保障个人信息主体权利的规则 | 7.6 個人情報主体の権利保護に関する規定 |
7.7 个人信息跨境流动的规则 | 7.7 個人情報の国境を越えた移動に関する規定 |
7.8 隐私协议更新的规则 | 7.8 プライバシーポリシーの更新に関する規定 |
7.9 提供联系方式 | 7.9 連絡先情報の提供 |
8 隐私协议的发布和可视化 | 8 プライバシーポリシーの公開と可視化 |
9 隐私协议的修订 | 9 プライバシーポリシーの改定 |
10 隐私协议的争议纠纷解决 | 10 プライバシーポリシーの紛争処理 |
機械翻訳をベースにしているので、原文を確認してくださいませ。。。
1 范围 | 1 適用範囲 |
本文件规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式,增加隐私协议的可读性、透明性,以及处理隐私协议相关的争议纠纷等方面的要求。 | 本書は、インターネットプラットフォームや製品サービスにおけるプライバシーポリシーの作成プロセス、具体的な内容、発行形態、プライバシーポリシーの読みやすさと透明性の向上、プライバシーポリシーに関する紛争や係争の処理などの要件について定めたものである。 |
本文件适用于规范个人信息处理者制定、发布隐私协议的过程,也适用于主管监管部门、第三方评估机构等对隐私协议进行监督、管理和评估。 | 本書は、個人情報取扱事業者によるプライバシーポリシーの策定・公表を規制するプロセス、および主務官庁や第三者評価機関などによるプライバシーポリシーの監督・管理・評価について適用される。 |
2 规范性引用文件 | 2 引用標準 |
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 | 以下の文書の内容は、本文中の参照標準により、本書の本質的な規定を構成するものである。 参考文献に日付がある場合は、その日付に対応するバージョンのみがこの文書に適用され、日付がない場合は、最新バージョン(すべての修正票を含む)がこの文書に適用される。 |
GB/T 25069—2022 信息安全技术 术语 | GB/T 25069-2022 情報セキュリティ技術用語集 |
GB/T 35273—2020 信息安全技术 个人信息安全规范 | GB/T 35273-2020 情報セキュリティ技術 個人情報セキュリティ仕様 |
3 术语和定义 | 3 用語及び定義 |
GB/T 25069—2022和GB/T 35273—2020界定的以及下列术语和定义适用于本文件。 | GB/T 25069-2022 および GB/T 35273-2020 が定義し、以下の用語および定義がこの文書に適用される。 |
3.1 | 3.1 |
个人信息 personal information | 個人情報 personal information |
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 | 電子的またはその他の手段により記録された、特定または識別可能な自然人に関するあらゆる種類の情報(匿名化後の情報を除く)。 |
[来源:GB/T 35273—2020,3.1,有修改] | [出典:GB/T 35273-2020, 3.1, 修正有]. |
3.2 | 3.2 |
敏感个人信息 sensitive personal information | 機微な個人情報 sensitive personal information |
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。 | 個人情報のうち、漏えいや不正使用により、自然人の人格的尊厳を容易に侵害し、またはその身や財産の安全を脅かすおそれがあるもの。 |
注:敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 | 注:機微な個人情報とは、生体情報、信教、特定個人情報、医療・健康、金融口座、所在情報などの情報、および14歳未満の未成年者の個人情報を指す。 |
[来源:GB/T 35273—2020,3.2,有修改] | [出典:GB/T 35273-2020, 3.2, 修正有]. |
3.3 | 3.3 |
个人信息主体 personal information subject | 個人情報主体 personal information subject |
个人信息所标识或者关联的自然人。 | 個人情報によって識別される、または個人情報に関連する自然人。 |
[来源:GB/T 35273—2020,3.3] | [出典: GB/T 35273-2020, 3.3]. |
3.4 | 3.4 |
个人信息处理者 personal information handler | 個人情報取扱責任者 personal information handler |
在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 | 個人情報処理活動において、その目的および方法を独自に決定する組織または個人をいう。 |
注:与GB/T 35273—2020中的“个人信息控制者”所指一致。 | 注:GB/T 35273-2020 の「個人情報管理者」の用語と一致する。 |
[来源:GB/T 35273—2020,3.4,有修改] | [出典:GB/T 35273-2020, 3.4, 修正有] |
3.5 | 3.5 |
同意 consent | 同意 consent |
个人信息主体对其个人信息进行处理自愿、明确作出授权的行为。 | 個人情報の主体が、自発的かつ明示的に自己の個人情報の取扱いを承認する行為をいう。 |
注:包括通过积极的行为作出授权(即明示同意),或者通过个人信息主体的行为而推定其作出授权。 | 注:積極的な行為による授権(明示的同意)、個人情報主体の行為による授権と推定されるものを含む。 |
[来源:GB/T 35273—2020,3.7,有修改] | [出典:GB/T 35273-2020, 3.7, 修正有] |
3.6 | 3.6 |
明示同意 explicit consent | 明示的同意 explicit consent |
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行处理作出明确授权的行为。 | 個人情報の主体が、自らの意思により、書面または口頭により、紙面または電子媒体で宣言すること、または自らの意思により、個人情報の処理について明示的な承認を行う行為をいう。 |
注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。 | 注:アファーマティブ・アクションとは、個人情報の主体が積極的に「同意する」「登録する」「送信する」「電話する」をチェックすること、積極的にクリックすることを指す。 "、積極的に補填・提供する、など。 |
[来源:GB/T 35273—2020,定义3.6] | [出典:GB/T 35273-2020、定義3.6] |
3.7 | 3.7 |
服务类型 service type | サービスタイプ service type |
移动互联网应用程序提供的业务功能分类。 | モバイルインターネットアプリケーションが提供するビジネス機能の分類。 |
注:常见服务类型如地图导航、网络约车、即时通信、网上购物、网络支付等。 | 注:地図ナビゲーション、オンラインカーヘイリング、インスタントメッセージ、オンラインショッピング、オンライン決済など、一般的なサービスタイプ。 |
3.8 | 3.8 |
业务功能 business function | ビジネス機能 business function |
满足用户具体使用目的的功能。 | ユーザーの特定の使用目的を満足させる機能。 |
注:一种服务类型通常包括多个业务功能。 | 注:サービスタイプは、通常、複数のビジネス機能を含む。 |
[来源:GB/T 35273—2020,3.17,有修改] | [出典:GB/T 35273-2020, 3.17, 修正有] |
4 缩略语 | 4 略語の説明 |
下列缩略语适用于本文件。 | 本書では、以下の略語を使用している。 |
App:移动互联网应用程序(mobile internet application) | アプリ:モバイルインターネットアプリケーション(mobile internet application) |
SDK:软件开发工具包(Software Development Kit) | SDK:ソフトウェア開発キット(Software Development Kit) |
5 概述 | 5 概要 |
制定、发布隐私协议是个人信息处理者遵循公开透明原则的重要体现,是保证个人信息主体知情权的重要手段,也是约束自身行为和配合监督管理的重要机制。 | プライバシーポリシーの策定と公表は、個人情報取扱事業者が従う公開性と透明性の原則の重要な表明であり、個人情報主体の情報権利を保障する重要な手段であり、自らの行動を規制し監督管理に協力するための重要なメカニズムである。 |
隐私协议应清晰、准确、完整地描述个人信息处理者的个人信息处理行为,并以便于用户阅读、理解的视角,向个人信息主体展现可能会对个人权益产生影响的重点内容。 | プライバシーポリシーは、個人情報取扱事業者の個人情報の取扱い方法を明確、正確かつ完全に記載し、個人情報主体に対する本人の権利利益に影響を及ぼす可能性のある重要な内容を、利用者が読みやすく、理解しやすい観点から提示する必要がある。 |
6 隐私协议的编制程序 | 6 プライバシーポリシーの作成手順 |
个人信息处理者在编制隐私协议时,应遵循以下程序: | 個人情報取扱事業者は、プライバシーポリシーを作成する場合、以下の手続きに従うこと。 |
a) 建立完善的个人信息安全管理体系,明确参与隐私协议编制的责任部门或责任人,以及人员职责分工,个人信息处理者的负责人应为体系建设和隐私协议编制提供足够的资源保障; | a) 健全な個人情報安全管理体制を構築し、プライバシーポリシーの作成に関わる責任部署や担当者の責任分担を明確にし、個人情報処理責任者は、体制構築とプライバシーポリシーの作成に十分な資源を提供する。 |
b) 针对产品或服务收集使用的个人信息进行分析,明确实现各服务类型所需收集的必要信息的范围,以及非必要信息之外的所打算收集使用的个人信息的范围,确保满足合法、正当、必要的要求; | b) 商品・サービスに利用するために収集した個人情報の分析を行い、各サービスを実現するために必要な情報の範囲と、不要な情報を超えて利用するために収集する個人情報の範囲を明確にし、適法性、妥当性、必要性の要件を満たすようにすること。 |
注1:此步骤应参考《常见类型移动互联网应用程序(App)必要个人信息范围》 | 注1)本ステップは、「一般的なモバイルインターネットアプリケーション(アプリ)に必要な個人情報の範囲」を参照すること。 |
c) 涉及到可能对个人信息主体权益产生重大影响的行为,事先进行个人信息安全影响评估,进一步明确对收集使用个人信息的目的、方式、范围以及权利保障措施,使其不会对个人信息主体权益产生高风险影响; | c) 個人情報主体の権利利益に重大な影響を及ぼす可能性のある行為が含まれる場合、個人情報主体の権利利益に高度の影響を及ぼさないよう、個人情報の収集・利用目的、方法、範囲、権利保護などをさらに明確にするために、個人情報の安全性への影響を事前に評価すること。 |
注2:以下事项可认为对个人信息主体权益产生重大影响:处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等。 | 注2)機微な個人情報の取扱い、自動的な意思決定への個人情報の利用、個人情報の取扱いの委託、個人情報の他の処理者への提供、個人情報の開示、個人情報の国外への提供など、個人情報主体の権利利益に重大な影響を及ぼすと考えられる事項。 |
d) 针对不同的服务类型,分别建立和维护个人信息处理情况描述表。描述表包括处理的个人信息类型、保存位置、流转需求、所涉及系统和责任主体等情况; | d) サービスの種類ごとに、個人情報の取り扱いに関する説明書を別途作成し、管理すること。 説明書には、取り扱う個人情報の種類、保管場所、フロー要件、関係するシステム、責任主体などの情報が記載される。 |
e) 建立个人信息主体权利响应机制,确保向个人信息主体提供查询、更正、删除个人信息,及撤回同意和注销账号的渠道; | e) 個人情報主体の権利に対応する仕組みを構築し、個人情報主体が個人情報の照会・訂正・削除、同意撤回・退会などの手段を確実に提供すること。 |
f) 基于a)-e)的工作内容,梳理有关信息,作为编制隐私协议的基础,根据本标准第7章内容进行编制隐私协议内容; | f) a)~e)の作業内容に基づき,プライバシーポリシー作成の基礎となる関連情報を整理し,本規格第7章の内容に従って,プライバシーポリシーの内容を作成すること。 |
g) 编制隐私协议,应采用清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义、晦涩难懂、模棱两可的语言; | g) 明確で理解しやすく、一般的な言語慣習に準拠し、標準化された図表等を使用し、曖昧で不明瞭な表現を避けたプライバシーポリシーを作成すること。 |
h) 个人信息收集使用规则发生变化时,如涉及新服务类型上线,使用目的变化等,及时更新隐私协议,并向个人信息主体主动展示,并同时向个人信息主体说明更新的理由,保证历史版本可查。 | h) 新タイプのサービスのオンライン化、利用目的の変更など、個人情報の収集および利用に関する規定に変更があった場合、プライバシーポリシーを適時に更新し、個人情報主体に積極的に表示するとともに、更新の理由を説明し、過去のバージョンを利用できるようにすること。 |
7 隐私协议的内容 | 7 プライバシーポリシーの内容 |
7.1 概述 | 7.1 概要 |
隐私协议应至少包括适用范围、摘要、收集使用个人信息规则、保障个人信息安全的规则、保障个人信息主体权利的规则、个人信息跨境流动的规则、隐私协议更新的规则等,并提供个人信息处理者的联系方式。 | プライバシーポリシーには、少なくとも適用範囲、概要、個人情報の収集と利用に関する規定、個人情報の安全保護に関する規定、個人情報主体の権利保護に関する規定、個人情報の国境を越えた流れに関する規定、プライバシーポリシーの更新に関する規定等を含み、個人情報取扱者の連絡先を提示しなければならない。 |
7.2 隐私协议的发布主体和适用范围 | 7.2 プライバシーポリシーの公表対象および適用範囲 |
隐私协议的该部分应包含个人信息处理者的身份和地址、个人信息保护负责人联系方式、隐私协议所适用的产品或服务范围、所适用的个人信息主体类型、生效及更新时间等。 | プライバシーポリシーのこの部分は、個人情報処理業者の身元と住所、個人情報保護責任者の連絡先、プライバシーポリシーが適用される製品またはサービスの範囲、適用される個人情報主体の種類、有効期限と更新期限を含むこと。 |
7.3 隐私协议的摘要 | 7.3 プライバシーポリシーの概要 |
该部分为隐私协议的重点说明,是隐私协议的一个要点摘录。目的是使个人信息主体快速了解隐私协议的主要组成部分、个人信息处理者所做声明的核心要旨。隐私协议的摘要可以至于完整隐私协议开始的部分,或以单独文件展示,隐私协议的摘要通常包括: | 本項は、プライバシーポリシーの要点をまとめたものである。 その目的は、個人情報の主体に対して、プライバシーポリシーの主要な構成要素、すなわち個人情報の処理者が行う陳述の核心的なエッセンスを簡単に提供することにある。 プライバシーポリシーの概要は、プライバシーポリシー全体の冒頭、または別の文書に記載されている。プライバシーポリシーの概要には、通常、以下の内容を含むこと。 |
a) 个人信息主体常用业务功能收集的个人信息种类; | a) 個人情報の主体が一般的な業務機能のために収集する個人情報の種類 |
b) 向第三方提供个人信息的主要场景; | b) 個人情報を第三者に提供する場合の主なシナリオ |
c) 个人信息主体行使权利的主要途径; | c) 個人情報主体が権利を行使するための主な方法 |
d) 个人信息主体投诉举报的主要渠道; | d) 個人情報の主体が苦情や報告を行うための主な手段 |
e) 其他需要个人信息主体关注的事项。 | e) その他個人情報主体の注意を要する事項 |
7.4 收集使用个人信息的规则 | 7.4 個人情報の収集と利用に関する規定 |
隐私协议的该部分内容包括: | プライバシーポリシーのこの部分には、以下の内容を含むこと。 |
a) 详细列举收集和使用个人信息的服务类型及具体的业务功能,不应使用概括性语言; | a) 個人情報が収集され使用されるサービスの種類と特定の業務機能の詳細なリストであり、一般的な言葉を使用してはならない。 |
注:此步骤应参考《常见类型移动互联网应用程序(App)必要个人信息范围》中对服务类型的划分。 | 注:このステップは、「一般的なモバイルインターネットアプリケーション(アプリ)に必要な個人情報の範囲」におけるサービスの種類の分類を参照すること。 |
b) 根据不同服务类型,分别列出各业务功能所收集的必要个人信息类型和非必要个人信息类型,并以“个人信息收集清单”的形式统一集中展示; | b) 業務機能ごとに収集する必須個人情報の種類と非必須個人情報の種類をサービスの種類ごとにリストアップし、「個人情報収集リスト」の形で統一的かつ一元的に表示する。 |
c) 描述实现特定业务功能所必需的必要个人信息类型时,应参考《常见类型移动互联网应用程序(App)必要个人信息范围》; | c) 特定のビジネス機能を実現するために必要な必須個人情報の種類を説明する場合、「一般的な種類のモバイルインターネットアプリケーション(アプリ)における必須個人情報の範囲」を参照すること。 |
d) 不应使用概括性语言综述所收集个人信息,如“我们收集您的身份等相关信息”此类描述,而应明确写明“我们收集您的姓名、电话号码、地址信息”; | d) 収集する個人情報の要約として、「本人に関する情報を収集します」といった一般的な表現ではなく、「氏名、電話番号、住所情報を収集します」と明記すること。 |
e) 收集身份证、护照、驾驶证等法定证件信息和个人生物识别信息时,应专门提醒个人信息主体此次收集活动涉及的信息,并说明处理目的、处理规则; | e) IDカード、パスポート、運転免許証、個人生体情報などの法的文書に関する情報を収集する場合、個人情報主体は、この収集活動に関わる情報、および処理の目的および規則について特に注意する必要がある。 |
f) 在“个人信息清单”中还应列明每类型个人信息被处理的方式、频次、时机,以及拒绝对该类型个人信息的处理可能对个人的影响; | f) 「個人情報のリスト」には、各タイプの個人情報の処理の方法、頻度及びタイミング、並びにそのタイプの個人情報の処理を拒否した場合に本人に与え得る影響についても明記すること。 |
g) 统一集中展示服务或产品中所嵌入的各第三方代码或插件(如SDK)的名称,各第三方代码或插件所收集的全部个人信息类型,以及所处理个人信息的目的、方式、种类、频次、时机等处理个人信息的规则; | g) サービスまたは製品に組み込まれた各第三者コードまたはプラグイン(SDKなど)の名称、各第三者コードまたはプラグインが収集するすべての種類の個人情報、および処理した個人情報の目的、方法、種類、頻度、タイミング、その他の取り扱いに関する規則を統一的かつ一元的に表示すること。 |
h) 说明个人信息在使用过程中涉及的地理区域,如个人信息存储和备份的地域,个人信息传输过程中涉及的地域范围;如果个人信息存在跨境传输情况,需单独列出或重点标识; | h) 個人情報が保存されている地域、バックアップされている地域、個人情報の移転に関わる地域など、個人情報の使用に関わる地域の説明。個人情報の国境を越えた移転がある場合は、別途記載または強調すること。 |
i) 根据个人信息的使用情况,注明不同类型个人信息预计的保存时间或个人信息存储期限的确定方法(如:自收集日期开始5年内)以及需要删除或销毁的截止日期(如:2019年12月31日或个人信息主体注销账户时); | i) 個人情報の利用目的に応じて、個人情報の種類ごとに想定される保存期間または保存期間の決定方法(例:収集日から5年以内)および削除または廃棄が必要となる期限(例:2019年12月31日または個人情報主体がアカウントを取り消すとき)の表示。 |
j) 确需改变信息收集和使用的目的,应当说明会征得个人信息主体的同意; | j) 情報の収集および使用目的を変更する真の必要性がある場合、個人情報主体の同意を得ることを明記すること。 |
k) 个人信息处理者说明是否需要共享、转让个人信息,并详细描述需要共享、转让的个人信息类型和原因、个人信息的接收方、对接收方的约束和管理准则、接收方使用个人信息的目的、个人信息共享、转让过程中的安全措施,及共享、转让个人信息是否对个人信息主体带来高危风险,并将以上内容形成“个人信息对外提供清单”; | k) 個人情報取扱事業者は、個人情報を共同利用または移転する必要があるかどうかを述べ、共同利用または移転する個人情報の種類とその理由、個人情報の受領者、受領者の制約と管理指針、受領者の個人情報の利用目的、個人情報の共同利用または移転の過程における安全対策、個人情報の共有または移転が個人情報主体の高いリスクであるかどうかを詳細に説明し、以下を形成していること。 上記を「一般に提供される個人情報の一覧表」とする。 |
l) 个人信息处理者说明是否需要公开披露个人信息,并详细描述需要公开披露的个人信息类型、原因、是否对个人信息主体带来高危风险; | l) 個人情報を公開する必要があるかどうかについての個人情報取扱業者の説明、及び公開する必要がある個人情報の種類、公開する理由、個人情報主体に高いリスクをもたらすかどうかについての詳細な説明。 |
m) 说明何种情况下个人信息处理者会不经过个人信息主体同意,共享、转让和公开披露数据,如响应执法机关和政府机构的要求、进行个人信息安全审计、保护个人信息主体避免遭受欺诈和严重人身伤害等。 | m) 法執行機関や政府機関の要請、個人情報セキュリティ監査の実施、詐欺や深刻な身体的被害からの個人情報主体の保護など、個人情報主体の同意なしに個人情報処理機関がデータを共有、転送、公開する状況についての説明。 |
7.5 保障个人信息安全的规则 | 7.5 個人情報の安全保護に関する規定 |
隐私协议的该部分内容包括: | プライバシーポリシーのこの部分には、以下の内容を含むこと。 |
a) 说明个人信息处理者对个人信息进行安全保护的措施。包括但不限于个人信息完整性保护措施,个人信息传输、存储和备份过程的加密措施,个人信息访问、使用的授权和审计机制,个人信息的保留和删除机制等; | a) 個人情報の安全性を保護するために個人情報の処理者が講じた措置の説明。 個人情報の完全性を保護するための措置、個人情報の伝送、保存およびバックアップ処理における暗号化措置、個人情報へのアクセスおよび使用に関する承認および監査の仕組み、個人情報の保持および削除の仕組み等を含みますが、これらに限定されるものではない。 |
b) 目前遵循的个人信息安全规程和此方面取得的认证。包含个人信息处理者目前主动遵循的国际或国内的个人信息安全法律、法规、标准、协议等,以及个人信息处理者目前已取得的个人信息安全相关的权威独立机构认证; | b) 現在適用されている個人情報のセキュリティプロトコルおよびこれに関して取得した認証。 個人情報処理事業者が現在積極的に遵守している個人情報セキュリティに関する国際的または国内の法令、基準、プロトコル等、および個人情報処理事業者が現在取得している個人情報セキュリティに関する権威ある第三者機関の認証等が含まれること。 |
c) 应描述提供个人信息后可能存在的安全风险; | c) 個人情報を提供することによって生じる可能性のあるセキュリティリスクを説明すること。 |
d) 应表明在发生个人信息安全事件后,个人信息处理者将承担法律责任; | d) 個人情報のセキュリティ事故が発生した場合、個人情報処理機関が法的な責任を負うことを示すこと。 |
e) 应表明在发生个人信息安全事件后,将及时告知个人信息主体。 | e) 個人情報のセキュリティ事故の発生後、個人情報主体に速やかに通知することを明記すること。 |
7.6 保障个人信息主体权利的规则 | 7.6 個人情報主体の権利保護に関する規定 |
隐私协议的该部分内容包括: | プライバシーポリシーのこの部分には、以下の内容を含むこと。 |
a) 说明个人信息主体对其个人信息拥有何种权利,内容包括但不限于:个人信息收集、使用和公开披露时允许个人信息主体选择的个人信息范围,个人信息主体所具备的查阅、复制、更正、补充、删除等控制权限,个人信息主体可以选择的通信和广告偏好,个人信息主体不再使用服务后撤回同意和注销账户的渠道、个人信息主体进行投诉举报、维权的有效渠道等; | a) 個人情報の収集、利用、公開時に個人情報主体が選択できる個人情報の範囲、個人情報主体が持つアクセス、コピー、訂正、補足、削除などの管理権、個人情報主体が選択できるコミュニケーションと広告の好み、個人情報主体がサービスを利用しなくなった後の撤回などを含むが、これだけに限らない個人情報に関する権利について説明する。 の同意とアカウント取り消しのルート、個人情報主体が苦情や報告、権利の擁護を行うための効果的なルートなどである。 |
b) 对于需要自行配置或操作(如对所使用的软件、浏览器、移动终端等进行配置和操作)以达到查阅、复制、更正、补充、删除、撤回同意等目的,个人信息处理者应对配置和操作的过程进行详细说明,说明方式易于个人信息主体理解,必要时提供技术支持的渠道(客服电话、在线客服等); | b) アクセス、コピー、訂正、補足、削除、同意撤回など、自ら設定または操作する必要がある目的(使用するソフトウェア、ブラウザ、モバイル端末などの設定や操作など)については、個人情報主体が理解しやすいように設定や操作の過程を詳細に説明し、必要に応じて技術サポートのチャンネル(顧客サービスの電話番号、オンライン顧客サービスなど)を提供すること。 |
c) 如果为个人信息主体提供隐私偏好设置的,需说明具体的设置方法; | c) 個人情報の主体に対してプライバシーに関する設定を行う場合は、その具体的な方法についての説明。 |
d) 如果个人信息主体行使权利的过程产生费用,需明确说明收费的原因和依据; | d) 個人情報主体の権利行使の過程で手数料が発生する場合、その理由と根拠を明示すること。 |
e) 如果个人信息主体提出行使权利的需求后需要较长时间才能响应,需明确说明响应的时间节点,以及无法短时间内响应的原因; | e) 個人情報主体の権利行使の要求に対し、対応に時間がかかる場合は、対応の時点と短期間で対応できない理由を明確に説明すること。 |
f) 如果个人信息主体行使权利的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露; | f) 個人情報主体の権利行使の過程で本人確認を再度行う必要がある場合は、本人確認の理由を明示し、本人確認の過程で発生する個人情報の漏洩を防ぐための適切な管理措置を講じること。 |
g) 如果个人信息处理者拒绝个人信息主体对个人信息进行查阅、复制、更正、补充、删除、撤回同意等的要求,需明确说明拒绝的原因和依据。 | g) 個人情報処理機関が、個人情報主体からの個人情報へのアクセス、コピー、訂正、補足、削除、同意撤回などの要請を拒否する場合、その理由と根拠を明示すること。 |
7.7 个人信息跨境流动的规则 | 7.7 個人情報の国境を越えた移動に関する規定 |
如果因业务需求、政府和司法监管要求存在跨境信息传输情况,需详细说明需要进行跨境传输的数据类型,以及跨境传输遵守的标准、协议和法律机制(合同等)。 | ビジネス上の必要性、政府や司法の規制要件により国境を越えた情報の転送がある場合、国境を越えて転送されるデータの種類、国境を越えた転送に従うべき標準、プロトコル、法的メカニズム(規約など)の詳細な記述をすること。 |
7.8 隐私协议更新的规则 | 7.8 プライバシーポリシーの更新に関する規定 |
隐私协议的该部分内容包括: | プライバシーポリシーのこの部分には、以下の内容を含むこと。 |
a) 涉及用户权益重大影响的隐私协议更新情形; | a) ユーザーの権利と利益に重大な影響を及ぼすプライバシーポリシーの更新の状況。 |
b) 涉及用户权益重大影响的隐私协议更新程序,包括对更新内容公开征求意见的平台、时限、对公众意见采纳情况的发布等; | b) ユーザーの権利と利益に大きく影響するプライバシーポリシーの更新手順。更新内容に関するパブリックコンサルテーションのためのプラットフォーム、期間、パブリックコメントの受付の公表を含む。 |
c) 说明使用何种方式及时通知个人信息主体。 | c) 個人情報の対象者に適時に通知するために用いた手段の説明。 |
注:通常情况下采取的通知方式如:个人信息主体登录信息系统时、更新信息系统版本并在个人信息主体使用时弹出窗口、个人信息主体使用信息系统时直接向个人信息主体推送通知、向个人信息主体发送邮件、短信等。 | 注:通常の通知方法は、個人情報主体が情報システムにログインした時、個人情報主体が情報システムを利用する際に情報システムのバージョンが更新されポップアップウィンドウが表示される時、個人情報主体が情報システムを利用する時、個人情報主体に直接通知をプッシュする時、個人情報主体に電子メールまたはSMSを送る時など。 |
7.9 提供联系方式 | 7.9 連絡先情報の提供 |
隐私协议的该部分内容包括: | プライバシーポリシーのこの部分には、以下の内容を含むこと。 |
a) 个人信息处理者需要明确给出处理个人信息安全问题相关反馈、投诉的渠道,如个人信息安全责任部门的联系方式、地址、电子邮件地址、个人信息主体反馈问题的表单等,并明确个人信息主体可以收到回应的时间; | a) 個人情報処理事業者は、個人情報保護問題に関する意見及び苦情を処理するために、個人情報保護担当部署の連絡先、住所、メールアドレス、個人情報主体が問題をフィードバックするためのフォームなどのチャンネルを明示し、個人情報主体が回答を受けられる時間を特定すること。 |
b) 个人信息处理者需给出外部争议解决机构及其联络方式,以应对与个人信息主体出现无法协商解决的争议和纠纷。外部争议解决机构通常为:个人信息处理者所在管辖区的法院、认证个人信息处理者隐私协议的独立机构、行业自律协会或政府相关管理机构等。 | b) 個人情報取扱事業者は、個人情報主体との紛争や論争が交渉によって解決されない場合、外部の紛争解決機関およびその連絡先を提供することが要求される。 外部紛争解決機関とは、通常、個人情報処理機関の管轄区域の裁判所、個人情報処理機関のプライバシーポリシーを認証する独立機関、業界の自主規制団体または関連する政府の規制機関など。 |
8 隐私协议的发布和可视化 | 8 プライバシーポリシーの公開と可視化 |
个人信息处理者在发布隐私协议时,应遵循以下规则: | 個人情報取扱事業者がプライバシーポリシーを公開する場合、以下の規則に従うこと。 |
a) 在收集个人信息前,主动提示个人信息主体阅读隐私协议,如在个人信息主体首次开启产品或服务,或首次注册账户时通过弹窗的形式提示阅读; | a) 個人情報主体が製品またはサービスを初めて開いたとき、またはアカウントに初めて登録したときに、ポップアップウィンドウを通じて、個人情報を収集する前に個人情報主体にプライバシーポリシーを読むように積極的に勧めること。 |
b) 隐私协议应长期置于个人信息主体可便捷访问的页面,不应通过置于多级目录、缩减字号、淡化颜色、不提供简体中文版等方式干扰个人信息主体获取。个人信息主体为查阅个人信息保护政策所做的点击操作,不应超过4次; | b) プライバシーポリシーは、個人情報主体が容易にアクセスできるページに常設し、多階層ディレクトリに配置したり、フォントサイズを小さくしたり、色を薄くしたり、簡体字中国語版を提供しないなど、個人情報主体のアクセスを阻害しないようにする。 個人情報の主体が個人情報保護方針にアクセスするために行うクリックの回数は、4回を超えないこと。 |
c) 产品或服务涉及多种服务类型时,仅将隐私协议用于向个人信息主体告知产品或服务个人信息处理总况的目的,不应通过要求个人信息主体同意隐私协议的形式一次性获得个人信息主体对多种服务类型的同意。 | c) 商品またはサービスに複数のサービス形態が含まれる場合、プライバシーポリシーは、商品またはサービスの個人情報主体に個人情報の全般的な取り扱いについて知らせる目的にのみ使用し、個人情報主体にプライバシーポリシーへの同意を求めることによって、複数のサービス形態に対する個人情報主体の同意を一度に取得しないこと。 |
注:如在个人信息主体仅使用一项服务类型时,其他未开启的服务类型不应收集个人信息。 | 注:個人情報の主体が1種類のサービスのみを利用する場合、開設されていない他の種類のサービスについては、個人情報を収集しないこと。 |
d) 个人信息主体逐步开启不同服务类型时,应再次主动提示个人信息主体阅读隐私协议的相关部分内容; | d) 個人情報主体が徐々に異なる種類のサービスを開く場合、個人情報主体にプライバシーポリシーの該当箇所を再度積極的に説明する。 |
e) 不应以更新隐私协议的方式强制要求个人信息主体同意收集更多的个人信息,或削减个人信息主体的各项权利; | e) 個人情報主体がプライバシーポリシーを更新することによって、より多くの個人情報の収集に同意したり、個人情報主体の諸権利を縮小することを強制されるべきではない。 |
f) 宜通过交互式选择界面体现隐私协议的摘要内容,提升隐私协议的可视化程度并保障个人信息主体自主选择的权利。 | f) プライバシーポリシーの概要内容をインタラクティブな選択インターフェースを通じて反映させ、個人情報主体が自ら選択する権利を保障し、プライバシーポリシーの可視性を高めることが望ましい。 |
9 隐私协议的修订 | 9 プライバシーポリシーの改定 |
个人信息处理者在修订隐私协议,应遵循以下规则: | 個人情報取扱事業者は、プライバシーポリシーを変更する場合、次の各号に定めるところに従うこと。 |
a) 对不涉及对用户权益重大影响的隐私协议内容修订,个人信息处理者应及时更新隐私协议,并及时通知个人信息主体。 | a) 個人情報取扱事業者は、利用者の権利利益に重大な影響を及ぼさない範囲で、プライバシーポリシーの内容を変更する場合、速やかにプライバシーポリシーを更新し、個人情報主体に速やかに通知する。 |
b) 对涉及对用户权益重大影响的隐私协议内容修订,个人信息处理者应: | b) 個人情報取扱事業者は、利用者の権利利益に重大な影響を及ぼすプライバシーポリシーの内容の変更については、次のとおりとする。 |
1) 在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见; | 1) 利用者が便利で十分な意見を表明できるように、公式ホームページと関連する個人情報保護業界団体のインターネットプラットフォームで、30営業日以上の期間、一般から意見を公募すること。 |
2) 充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督; | 2)意見の全面的な採用、プラットフォームルールやプライバシーポリシーの改定・改善、意見の受付を利用者がわかりやすい形で公開し、受付しない理由を説明し、社会的な監督を受け入れること。 |
3) 大型互联网平台应就隐私协议的修订内容应征求主要由外部成员组成的独立机构的意见和建议。 | 3) 大規模インターネットプラットフォームは、プライバシーポリシーの改訂内容について、社外メンバーを中心とした独立した組織の意見・提案を求めるべきである。 |
注:大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。 | 注:大規模インターネットプラットフォーム事業者とは、ユーザー数が5,000万人以上で、大量の個人情報や重要データを扱い、強い社会動員力を持ち、市場で優位な立場にあるインターネットプラットフォーム事業者と定義される。 |
c) 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。 | c) 1日のアクティブユーザー数が1億人を超える大型インターネットプラットフォーム運営者のプラットフォーム規則およびプライバシーポリシーの改正、またはユーザーの権益に重大な影響を与えるものは、国家インターネット情報部門が特定した第三者機関が評価し、省以上のインターネット情報部門および電気通信当局に報告して同意を得なければならない。 |
注:如有关部门就隐私协议的修订作出其他规定的,从其规定。 | 注:関係当局がプライバシーポリシーの改正について他の規定を設けている場合は、その規定に従うこと。 |
10 隐私协议的争议纠纷解决 | 10 プライバシーポリシーの紛争処理 |
个人信息处理者在收到个人信息主体关于隐私协议的反馈、投诉时,应遵循以下规则: | 個人情報処理事業者は、個人情報主体からプライバシーポリシーに関する意見・苦情を受ける場合、以下のルールに従うこと。 |
a) 在五个工作日内向个人信息主体给予清晰、明确的解释说明,并在个人信息主体要求时提供外部争议解决方式; | a) 個人情報主体に5営業日以内に明確な説明を行い、個人情報主体から要求があれば、外部の紛争解決手段を提供すること。 |
b) 向外部争议解决机构主动提供隐私协议编制过程中形成的工作记录。 | b) 外部紛争解決機関に、自らの意思でプライバシーポリシーを作成する際に作成した作業の記録を提供すること。 |
« 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた | Main | 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない »
Comments