Quantcast
Channel: 企業法務ナビ
Viewing all articles
Browse latest Browse all 2989

中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要

$
0
0

GBL研究所理事・CIPP/E 浅井敏雄[1]

中国では, サイバーセキュリティ法(CSL)とデータセキュリティ法(DSL)に続き個人情報保護法[2](PIPL)が施行されました[3]が, 本年11月14日, 中国サイバースペース管理局(CAC)は, CSL/DSL/PIPL(以下「三法」)に基づく行政規則案である「ネットワークデータ安全管理条例(意見募集稿)」(数据安全管理条例(征求意稿)) (以下「本条例案」)を公表しました(意見募集期限: 12月13日)[4]本条例案の内容は, 日本で言えば政令に対比し得るものですが, 三法をまとめていわば“rewrite”しかつ三法を超えるような事業者の義務をも定めたものです。従って, これが正式に成立した場合には, 日本企業の中国ビジネスにも重大な影響を及ぼし得るもので, 本稿では本条例案の各条項の要旨または三法にない本条例案独自の内容等を中心に紹介します。 なお, 以下において, 条文タイトルは筆者が付けたもの, (  )内の数字またはPIPL 31等の数字は条文番号, [  ]内の内容は筆者による補足・追記(推測を含む)です。
 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

第1章: 総則

第2章: 一般規定[個人情報・データ共通規定]

第3章: 個人情報の保護

第4章: 重要データの安全

第5章: データ越境(国外)提供安全管理

第6章: インターネットプラットフォーム運営者[IPO]の義務

第7章: (各行政機関による)監督管理

8: 法的責任/附則

 

第1章: 総則

第1条(法目的・根拠法): 三法に基づき, ネットワークデータ(個人情報を含むあらゆる電子データ(73(1))。以下単に「データ」]の処理(あらゆる処理: 73(2))を規制第2条(適用範囲・域外適用): 国内(香港・マカオ・台湾を含まない中国本土)におけるデータ処理のためのネットワークの利用とデータの安全(セキュリティ)の監督管理に適用。但し, 以下のいずれかの場合は中国国内の個人・組織[企業その他団体]のデータを処理する中国国外の活動にも適用[域外適用]。 (1) 中国国内に向け製品またはサービスを提供する目的[である場合] (2) 中国国内の個人・組織の分析・評価[を目的とする場合] (3) 中国国内の重要データの処理に関係する場合 (4) その他, 法律または行政法規で定める場合。 【筆者コメント】PIPL 3(2)の域外適用事由を拡張しかつ個人情報に限らず全てのデータに拡張。事業者(組織)間(BtoB)で交換される一般データにも適用。 第3条・4条(国のデータ政策目標/関連人材育成支援等): 内容省略 第5条(国によるデータの分類・等級保護制度の確立): 国家安全保障等に関する影響・重要性に応じ, データを一般データ/重要データ/核心データに分類異なる等級のデータに異なる保護実施[分類・等級別保護]第6条(データ処理者のデータ安全保護義務): データ処理者は, その処理するデータの安全に責任を負い, 関係法令遵守要。 (注)「データ処理者」とはデータの処理の目的および方法を自ら決定する個人・組織を意味する(73(5))。[従って, 本条例案中, 「データ処理者」が義務主体の規定は自社自身のためデータを扱う全ての企業に適用される] 第7条(国による公共データ公開): 内容省略

page top

第2章: 一般規定[個人情報・データ共通規定]

第8条(データ処理者の基本的義務: 法令遵守・違法行為へのサービス提供禁止等) : 内容省略 第9条(データ処理者の安全確保義務) : データ処理者は, ネットワーク安全等級保護に従い安全保護を強化。重要データ処理システムについては, 原則として, 等級3以上のネットワーク安全等級保護および重要データインフラ安全保護の要件を満たさなければならない。重要データおよび核心データには暗号を利用要第10条(データ処理者のその使用するネットワーク製品・サービスの脆弱性等の是正義務): 内容省略 第11条(データ処理者の緊急対応体制確立/本人への通知・当局への報告義務): データ処理者は, 同体制を確立し, データ安全事件(セキュリティインシデント)により個人または他の組織に被害が発生した場合, 3営業日以内に, その状況等を電話/SMS/インスタントメッセージ/電子メール等の手段で利害関係者[被害を受け得る個人・会社等]に通知(それができない場合公表)/犯罪の疑いある場合公安部門[警察]にも報告重要データまたは10万人以上の個人情報の漏洩等の場合以下も実施要。 (1) 事件発生後8時間以内に基本情報を各地CAC支部と主管部門に発生報告。 (2) 事件対応完了後5営業日以内に同支部と主管部門に完了報告第12条(データ処理者のデータの提供/共有/取引/処理委託に関する義務): データ処理者は, 個人情報を第三者に提供する場合または重要データの共有, 取引(交易)または処理委託を行う場合以下遵守要。 (1) 提供個人情報の目的等を本人に通知し本人の個別の同意を得ること。 (2) データの処理目的・安全保護措置等についてデータ受領者と契約・監督 (3) 関連記録5年以上保存。 (注)「個別の同意」(独同意)とは, データ処理者が特定の情報処理を行うため当該人情報の項目ごとに個別の同意を得ることを意味し, 複数の個人情報の項目または複数の処理に対する一括同意を含まない(73(8))。 【筆者コメント】 PIPL 21の個人情報処理委託についての督義務を個人情報提供重要データの共有等にも拡張。PIPLに何度も登場する「個別の同意」を定義第13条(データ処理者のネットワーク安全審査申請・報告義務) : データ処理者は以下の場合ネットワーク安全審査(网安全审查)申請要。 (1) 国家安全保障等に関するデータ資源を大量に保有するインターネットプラットフォーム運営者が国家安全保障に影響するおそれある合併・組織再編・分割を行う場合。 (2) 100万人以上の個人情報を処理するデータ処理者が中国国外で上場する場合 (3) データ処理者が香港で上場する場合であってそれが国家安全保障に影響を与えるおそれがある場合。 (4) その他国家安全保障に影響するおそれあるデータ処理。 (注)「インターネットプラットフォーム運営者」[IPO]とは, 情報公開/SNS/取引[マーケットプレイス]/支払・決済/オーディオ・ビジュアルその他のインターネットプラットフォームサービスをユーザに提供するデータ処理者を意味する(73(9))。 【筆者コメント】上記(2)は2021年6月にNY証券取引所に上場したDidi のケース等が念頭にあると思われる[5]大型インターネットプラットフォーム運営者は, 中国国外に本社/運営センター/研究開発センターを設立する場合にはCACと主管部門に報告要。 (注)大型インターネットプラットフォーム運営者」(大型互联网平台运营者)とは, ユーザ数が5,000万人以上で, 大量の個人情報または重要データを処理し, 強大な社会的動員力・市場支配力を有するインターネットプラットフォーム運営者を意味する(73(10))。[PIPL 58に登場する「重要インターネットプラットフォーム(重要互联网平台)サービスを提供し, 利用者数が膨大(巨大)なまたは事業が複雑な個人情報処理者」との関係は不明。 第14条(データ処理者の合併時報告等の義務): データ処理者が合併・組織再編・分割をし重要データまたは100万人以上の個人情報の移管を伴う場合各地主管部門に報告。また, 解散しまたは破産宣告を受けた場合各地主管部門に報告しかつデータ削除等要第15条(データ処理者の他から入手したデータの安全保護義務) : 内容省略 第16条(国家機関の政府事務データの安全保護責任): 内容省略 第17条(データ処理者の自動化ツールに関する義務): データ処理者は, データへのアクセス/データ収集のため自動化ツール[例: 検索エンジンによるウェブスクレイピング]を用いる場合, ネットワークサービスの正常機能を妨げてはならない。自動化ツールが法令等に違反してアクセス・収集する場合またはネットワークサービスの正常機能に影響を与える等の場合, アクセス・収集中止要。 第18条(データ処理者の苦情等の受付・対応義務): データ処理者は, 個人情報に関する苦情の受付・受理件数/処理状況/平均処理時間を公表要

page top

第3章: 個人情報の保護

第19条(データ処理者による処理の基本原則) : 内容省略 第20条(データ処理者の個人情報処理ルールの公表義務): データ処理者は, 最低限以下の項目を含む個人情報処理ルールを公表要。 (1) [Web/アプリ等の]製品・サービスの機能上必要な個人情報を明示し, 機能ごとに個人情報を処理する目的/用途/方法/種類/頻度・タイミング/保存場所等を列挙し, 個人情報の処理を拒否した場合の本人への影響を示すこと。 (2) 個人情報の保存期間または個人情報の保存期間を決定する方法および保存期間経過後の個人情報の処理方法。 (3) 個人が, 個人情報へのアクセス/コピー/訂正/削除/処理制限/[PIPL 45(3)に基づき本人が指定する他のデータ処理者への]転送/アカウント抹消/個人情報処理への同意撤回を行う方法および手段。 (4) 製品・サービス[アプリ・Webサイト]に組み込まれた, 個人情報を収集する全ての第三者コード・プラグイン[例: サードパーティーCookie]の名称とその収集の目的/方法/種類/頻度/タイミング/個人情報処理ルール(これらを集中して表示する等, ユーザがアクセスし易い方法で表示すること)。 (5) 個人情報を第三者に提供する場合, その目的/方法/種類/受領者に関する情報等。 (6) 個人情報安全リスクおよびこれに対する保護措置 (7) 個人情報保護に関する苦情・相談窓口および[苦情]解決方法, 個人情報保護担当者の連絡先。 【筆者コメント】上記下線部分等, PIPL 17(1)よりも要件が具体的で要記載事項も追加されている。上記の「処理制限」/「アカウント抹消」請求権はPIPLには明示されていない。 第21条(データ処理者による同意取得の方法・条件): データ処理者は個人情報処理に本人の同意が必要な場合以下に従わなければならない。 (1) [Web/アプリ等の]サービスの種類に応じ別々に同意を求め一般的な条項(概括性条款)で同意を得てはならない。 (2) 個人の生体識別/宗教・信仰/特定身分/医療・健康/金融口座/位置追跡・居場所(行踪轨迹)等の機微個人情報の処理については, 個人から個別の同意を得なければならない。 (3) 14歳未満の未成年者の個人情報の処理については, その保護者から同意を得なければならない。 (4) サービス品質向上/ユーザ体験向上/新製品開発等を理由に同意を強制してはならない。 (5) 個人の同意は誤解を招く方法, 詐欺的方法, 強制的方法で得てはならない。 (6) 異なるタイプのサービスを組合わせて同意を求める等して一括同意を誘導・強制してはならない。 (7) 本人のした同意の範囲を超えて個人情報を処理してはならない。 (8) 本人が同意しないことを明示した後に頻繁に同意を求めまたはそのサービス利用を妨げてはならない。 本人の同意の有効性について紛争が生じた場合その証明責任はデータ処理者が負う第22条(自主的に個人情報の削除を要する場合) : データ処理者は, 個人情報の処理目的達成/サービス終了/個人のアカウント抹消等の場合15営業日以内に個人情報を削除または匿名化要。 第23条(本人からの権利行使への対応) : データ処理者は, 本人からの請求後15営業日以内に対応要。対応対象にはPIPLにない処理制限の請求も含まれている。 第24条(データ・ポータビリティーの権利への対応) : データ処理者は, [PIPL 45(3)に基づく]個人情報の転送請求が以下の条件を満たす場合, 本人が指定する他のデータ処理者が当該個人情報にアクセス/収集するための移転手段を提供要。 (1) 転送を請求された個人情報が, (i)本人の同意に基づき収集された個人情報または(ii)契約の締結・履行のために必要な個人情報であること。 (2) 転送を請求された個人情報が, (i)本人に関する情報または(ii)他人に関する情報であって当該請求者が合法的かつ当該他人の意思に反することなく入手したものであること。 (3) 請求者の法的身元(合法身份)が確認できること。 第25条(本人認証用生体データ利用に関する制限): データ処理者は, 本人認証(本人確認)のために顔/歩様/指紋/虹彩/声紋等の生体情報を利用する場合, 本人にその収集に同意するよう強制するためにそれを本人認証の唯一の手段としてはならない第26条(大量処理者の追加義務) : データ処理者は, 100万人以上の個人情報を処理する場合には重要データの処理者に関する次の第4章の規定も遵守要

page top

第4章: 重要データの安全

第27条(各地区・部門による目録作成) : 各地区・部門(行政機関)は, 国の関連要件・標準に従い, 自らの地区・部門・関連産業・分野の重要データ/核心データの目録を作成しCACに報告要。 (注)本条例73条第3項に「重要データ」の定義があり, 該当データの例が列挙されており, 従来の行政規則案等と比べても最も詳細と思われる。しかし, 例えば, 「重点産業・分野の安全生産・運営に関するデータ, 重要システムの部品・機器のサプライチェーンデータ」(第5号)等, 相変わらず抽象的・広範で, また, 「その他, 国家の政治...等の安全に影響を与える可能性のあるデータ」(第7号)とのキャッチオール文言がある。更に具体的目録も各地区・部門が作成する。従って, 非常に多くのデータが重要データとされてしまうおそれがある第28条(重要データの処理者のデータ安全責任者任命・安全管理部署設置義務): 重要データの処理者は, データ安全責任者の特定/データ安全管理部署設置要データ安全責任者は, データ安全の専門知識および関係する管理業務の経験を有するデータ処理者の意思決定レベルのメンバー[役員等幹部クラス]でなければならない。 第29条(重要データ処理者の重要データ処理届出義務) : 重要データの処理者は, [その処理する]重要データ特定後15営業日以内に各地CAC支部に所定事項[内容省略]届出要。CACは関係各部門と当該届出情報を共有。 第30条(重要データ処理者の社員安全教育等の義務): 重要データ処理者は毎年役員・従業員全員に安全教育・訓練/データ安全技術者・管理者には年間20時間以上の教育・訓練実施要。 第31条(重要データ処理者の安全なネットワーク製品・サービスの調達義務) : 内容省略 第32条(重要データ処理者等の年次データ安全評価報告書提出義務/国外共有等の評価項目): (i)重要データの処理者または(ii)中国国外に上場しているデータ処理者は, 1年に1回, 自らまたはデータ安全サービス機関に委託してデータ安全評価を行い, 毎年1月31日までに, 所定項目[内容省略]を含む, 前年度データ安全評価報告書を各地CAC支部に報告要。 中国国外に重要データを提供/共有/取引/処理委託するための安全評価は所定項目[内容省略]に重点を置かなければならない。 【筆者コメント】上記の「中国国外に上場しているデータ処理者」について, 条例案起草者はおそらく中国企業であるデータ処理者が中国国外に上場しているケースを想定していると思われるが, 外国の上場企業も中国国内で直接データを処理することは当然ある(従って「データ処理者」に該当する)ところ, 現行の文言のままではこれら外国企業も含まれてしまうように思われる。 第33条(重要データ共有等に対する当局同意取得義務): データ処理者は, 重要データを共有/取引/処理委託する場合には各地主管部門の同意を得なければならない第34条(重要データインフラ運営者が調達するクラウドサービスの安全評価合格義務): 重要データインフラ運営者は, その調達するクラウドコンピューティング・サービスにつきCAC等による安全評価に合格要。

page top

第5章: データ越境(国外)提供安全管理

(注)本年10月29日には, やはり三法に基づくデータ越境移転安全評価規則(意見募集稿)」(以下「越境移転規則」)(関連記事はこちら)がCACから公表されている。本章の規定事項と同規則案のそれとは重複部分が多い(CAC内の別々のグループが起草しているのかもしれない)と思われるところ, 両者間の整合性が保たれているのかは不明第35条(データ処理者によるデータ国外提供の条件) : データ処理者は, 業務上その他の理由で中国国外にデータを提供することが真に必要性な場合, 以下のいずれかの条件を満たさなければならない。 (1) CACが行うデータ国外提供安全評価に合格すること (2) データ処理者とデータ受領者の両者が, CAC認定専門機関が実施する個人情報保護認証に合格すること。 (3) CACが作成した標準契約の規定に従い, 中国国外のデータ受領者と契約を締結し, 両当事者の権利と義務を合意すること。 (4) 法律, 行政規則またはCACが定めるその他の条件。 但し, データ処理者が, (i)個人が当事者である契約の締結・履行のためまたは(ii)個人の生命・健康・財産を保護するため, その個人の個人情報を中国国外に提供する場合を除く。 【筆者コメント】上記はPIPL 38(1)の規定によく似ている。しかし, PIPL 38は「個人情報」の国外提供に関する規定であるところ, 上記は個人情報だけでなく重要データ・核心データおよびその他一般のデータも含む全ての「データ」について, それを中国国外(本土外)に提供するためには上記いずれかの条件を満たすことを要求するものである点で異なる。特に一般データにまでこれを要求することの合理性は疑問であるが, 仮にこの条文のまま法令として成立した場合にはビジネス上非常に大きな問題が生じると思われる。 上記(1)については, PIPL 38(1)では, (i)重要情報インフラ運営者または(ii)処理する個人情報がCACの規定する数量に達した個人情報処理者(*)がPIPL 40に従い受けなければならないCACによる安全評価に限定されているところ, 上記(1)についてはこの限定はない。従って, 両者以外の一般のデータ処理者も, また, 個人情報以外のデータ一般についても上記(1)の安全評価を受け得るようにも見える。 上記(2)については, PIPL 38(1)では,個人情報を国外提供する側の中国の企業が個人情報保護認証を得ていればよいが, 上記(2)は国外のデータ受領者も同認証を得ていることが条件である。これが現実的か, また, PIPLと矛盾しないか疑問がある。 上記(3)については, PIPL 38(1)の標準契約は個人情報の国外提供に関するものであるところ, 上記(3)の標準契約は個人情報だけでなく全てのデータの国外提供に関するものである。 上記の最後の但書は, PIPLにはない, 個人情報の国外提供についての例外事由である。例えば, 中国国内の個人と日本の旅行会社間の旅行契約の締結・履行のため中国の仲介会社が日本の旅行会社に当該個人の個人情報を提供する場合がこの例外事由(a)に当たるのかもしれない。 第36条(個人情報の国外提供に関する本人への通知・同意取得義務) : 事前に本人への通知・本人の個別の同意要。但し, 個人情報収集時に個人情報の国外提供について個別の同意を得ている場合, 改めて個別の同意を得ることを要しない第37条(データの国外提供にCACによる安全評価を要する場合):  データ処理者は, 中国国内で収集・生成されたデータを中国国外に提供する場合で以下の場合に該当するときはCACが行うデータ国外提供安全評価に合格要。 (1) 国外提供データに重要データが含まれる場合。 (2) 重要データインフラ運営者または100万人以上の個人情報を処理するデータ処理者が, 個人情報を中国国外に提供する場合。 (3) CACが定めるその他の場合。 【筆者コメント】 上記の「100万人以上の個人情報を処理するデータ処理者」=前記(*)の「処理する個人情報がCACの規定する数量に達した個人情報処理者」のように見える。しかし, 前記「越境移転規則」ではこの他, 「累計で, 10万人分以上の個人情報または1万人分以上の機微個人情報を国外提供する場合」にもCACによるデータ国外提供安全評価合格を義務付けている(4(4))ので, 整合性がとれているのか疑問がある。 第38 条(条約等に基づく国外提供) : 内容省略 第39条(データ国外提供に伴う義務) : 関係する記録を3年以上保存要。他内容省略。 第40条(年次データ国外提供安全報告書提出義務): 個人情報または重要データを国外に提供したデータ処理者は, 前年における所定事項[内容省略]を含むデータ国外提供安全報告書を, 毎年1月31日までに各地CAC支部に提出要第41条(国によるデータ越境安全ゲートウェイ設置等): 国は, 中国国外から提供される情報の内, 法律・行政法規で公表・送信が禁止されている情報の流布を阻止するため, データ越境安全ゲートウェイを設置する。[いわばグレートファイヤーウォール」の法定化] 何人もデータ越境安全ゲートウェイを回避するためのプログラム・サービス等を提供・頒布してはならない。[これによりVPNの利用が更に困難化すると思われる]。 中国国内のユーザが中国国内のネットワークにアクセスする場合, そのトラフィック[送受信データ]は, 中国国外にルーティングされてはならない。[外国のサーバ経由禁止] (注)「データ越境安全ゲートウェイ」(数据跨境安全网关)とは, 国外の反動的ウェブサイトまたは有害情報へのアクセスを遮断し, 中国国外からのサイバー攻撃を防止し, 越境ネットワークのデータ送信を管理統制し, 越境サイバー犯罪を防止・捜査するための重要安全インフラを意味する(73(11)。 第42条(越境データ処理を行うデータ処理者の安全保護措置) : 内容省略

page top

第6章: インターネットプラットフォーム運営者[IPO]の義務

第43条(IPOの利用規約等公表/改訂時意見募集/当局同意取得義務) : インターネットプラットフォーム運営者[定義は前述。以下「IPO」]は, データに関するプラットフォーム利用規約/プライバシーポリシー/利用アルゴリズム等を公表要。[そのプラットフォームの]ユーザに重大な影響を与える規約等の制定・改訂を行う場合には, 事前に一般から意見募集要/1日のアクティブユーザ数が1億人を超える大型インターネットプラットフォーム運営者はCAC認定機関による評価を受けかつ各地CACの同意取得要第44条(IPOのサードパーティー製品・サービスに対する責任) : IPOは, そのプラットフォームにアクセスする第三者の製品・サービス[例: サードパーティーCookie]につきその第三者と契約を締結する等してデータ安全保護措置を要求要。第三者の製品・サービスがユーザに損害を与えた場合, ユーザは先ずIPOにその賠償を請求可。これらは移動体通信端末[スマホ等]に他社製品をプリインストールする場合にも適用第45条(インスタントメッセージサービス提供IPOによる個人的通信または非個人的通信の選択肢提供): 内容省略 第46条(IPOの不当行為禁止): IPOは以下の行為を行ってはならない。 -プラットフォームで収集・把握したユーザデータを利用しユーザに不当な価格差を設けること/プラットフォームで収集したデータを利用し公正競争阻害行為を行うこと/ユーザの意思に反しユーザのデータを処理すること/利用規約・アルゴリズム等に不合理な制限・障壁を設け, プラットフォーム参加する中小企業がプラットフォームで生成されたデータに公平にアクセスすることを制限すること等。 第47条(アプリ配信IPOの義務): アプリケーション[例: アプリ/WeChatミニプログラム]配信サービスを提供するIPOは, アプリケーション監査ルールを公開し監査実施/法令等不適合のアプリケーションは登録拒否等要第48条(公衆インスタントメッセージ提供IPOのインターオペラビリティ保証義務): IPOは, 公衆にインスタントメッセージングサービスを提供する場合, 他のサービスのためのデータ・インターフェースを提供し相互運用性をサポート要。ユーザによる他のプラットフォームへのアクセス等の制限禁止。 第49条(IPOのプッシュ型情報配信に関する義務): IPOは, 個人情報またはパーソナライズされたアルゴリズムを利用してユーザに情報を配信する場合, 当該情報の正確性・適法性につき責任を負うとともに, パーソナライズドレコメンデーションのための個人情報収集に本人の個別の同意を得ること/ユーザがそれをオフ・拒否すること/自己の個人情報を削除すること等ができるようにしなければならない第50条(国営本人認証サービス/IPOの優先利用義務): 国は, ネットワーク上の個人本人認証(个人身份认证)のための公共サービスを提供する。IPOはこれを優先的に利用要第51条(IPOが国等へのサービス提供等から得たデータの目的外利用禁止) : 内容省略 第52条(公務員等のデータ検索・利用上の義務):  内容省略 第53条(大型インターネットプラットフォーム運営者の監査実施義務): 大型インターネットプラットフォーム運営者は, 第三者に監査を委託し当該プラットフォームのデータ安全等につき毎年監査を行い結果公表要。 第54条(IPOのAI等利用の安全評価義務): IPOは, 人工知能/バーチャルリアリティ/深層合成等の新技術を利用してデータ処理を行う場合安全評価を行わなければならない。

page top

第7章: (各行政機関による)監督管理

第55条(CAC/公安部/国家安全部/各主管部門の任務・職務分担) : 内容省略 第56条(国家データ安全緊急対応体制の強化): 国は, データ安全緊急対応体制を確立・改善し,データ安全事件を同体制に組み込む。 第57条(当局の監督検査権限/データ処理者の協力義務): 関係する主管・管理監督部門は, 検査ツールを用いてまたは専門機関に委託して技術的検査可能。データ処理者は, 自社の技術システム/アルゴリズムの原理等の説明, 自社セキュリティ関連データへのアクセスの提供等の協力要。(他内容省略) 第58条(国家データ安全監査制度の確立/データ処理者の個人情報保護定期監査実施・報告義務): データ処理者は, データ安全監査専門機関に委託し, 個人情報処理関連法令遵守の定期的監査要。(他内容省略) 第59条(業界行動規範・個人情報保護業界団体等): 内容省略

page top

8: 法的責任/附則

  内容省略

page top

以 上

【注】   [1] 【本稿の筆者】 一般社団法人GBL研究所事/IAPP CIPP/E (Certified Information Privacy Professional/Europe)/UniLaw企業法務研究所代表 浅井敏雄(Facebook) [2]中国個人情報保護法(PIPL)】 (原文) 「中华人民共和国个人信息保护法」. (和訳) (1) 錦天城法律事務所「中華人民共和国個人情報保護法」2021-08-24 [但し現時点では第50条第2項の訳が抜けている]. (2) Miura & Partners - Norika Yuasa and Yuika Zhao 「個人情報保護法和訳」. (英訳) Stanford University, DigiChina "Translation:  Personal Information Protection Law of the People's Republic of China (Effective Nov. 1, 2021)." (2) China Law Translate "Personal Information Protection Law" 2021/08/20. [3] 三法の詳細は拙著「中国データ・情報関連法」参照 [4] 【「ネットワークデータ安全管理条例(意見募集稿)」の公表に関する報道】日本経済新聞「中国, ネット関連データの規制案を公表 統制を徹底へ」2021年11月14日. 新華社(中国国営通信社)XINHUANET "China seeks public opinion on internet data protection draft regulations" 2021-11-14 23 [5] 【CAC/CROによる滴滴出行(DiDi)に関する処分】 (参考) (1) Jenny Sheng, Chunbin Xu "China’s New Developments in Cybersecurity Review" July 23, 2021, JD Supra. (2) Bloomberg News 「中国のネット規制当局, 滴滴を除外するようアプリストアに命じる」 2021年7月5日. (3) 環球時報(中国共産党機関紙・人民日報系)「环时锐评: 国家要求滴滴出行下架整改为何深得人心」(滴滴アプリの除外命令に関する論説).

Viewing all articles
Browse latest Browse all 2989

Trending Articles