「自動車データ安全管理に係る若干の規定(意見募集本稿)」に対するリーグの寸評
2021. 5. 25
「自動車データ安全管理に係る若干の規定(意見募集本稿)」に対するリーグの寸評
現在、自動車の知能化及び電子化のレベルが向上するに伴い、車載探知機が収集できるデータの種類と量が増加しており、個人情報に関わる自動車データに対する大衆の関心も増大して来ている。係る状況下、個人情報及び重要データに対しての保護を強化し、自動車データ処理活動を規範化するために、中国国家インターネット弁公室は2021年5月12日、「自動車データ安全管理に係る若干の規定(意見募集本稿)」(以下は「規定」という)を公布した。「規定」の公布は知能自動車の発展を管理、規範化することにあり、これは、自動車データの安全、規則遵守に対する監督管理部門の決意の表れである。
本稿が企業にとって当該規定において注目すべき重点内容を速やかに理解するための一助になることを願っている。
一、運営者、個人情報、重要データ等の定義を明確にした(第三条)
「規定」では、運営者が自動車の設計、生産、サービス企業あるいは機構であると明確に定義しており、それには自動車製造企業、部品及びソフト提供者、販社、修理機構、ネット予約タクシー企業、保険会社等が含まれている。
個人情報には、車の持ち主、運転手、乗客、通行人等の個人情報、及び個人の身分を推測でき、または個人の行為を記録できる各種情報が含まれる。
重要データには以下の内容を含む:
(一)軍事管理区、国防科学工業等、国家の秘密にかかわる機構、県級以上の共産党政治機関等重要、且敏感なエリアにおける人の流れと車両の流れに関するデータ
(二)国が公布した地図より精度が高い測量データ
(三)自動車充電網の運行データ
(四)道路上の車両種類、車両交通量等に関するデータ
(五)顔、声、ナンバープレート等、車外のオーディオ、ビデオに関するデータ
(六)国家インターネット情報部門及び国務院の関連部門が明確にしている国家安全、公共利益に影響があるデータ
【A&Z】
「規定」においては、インターネット予約タクシー企業、保険会社等は自動車データの核心的運営者に属さないが、規定の適用範囲に該当するため、関連企業が自動車データに接触、処理する際には、同様に規定に従う必要がある。企業による知能自動車のデータの取集及び商業価値の発掘には、多くのコンプライアンス上の需求が潜んでいると考えられる。
また、個人情報及び重要データの定義について注意する必要があるのは、個人情報の定義に関わる範囲が極めて広範囲であり、重要データとは主に国家の安全及び公共利益に関わる情報を指しており、監督管理機構による国家の安全に対する重視を示している。企業は定義の内容に基づき、収集するデータが重要データに該当するかどうかを判断し、且規定の要求に従い、データを適切に処理しなければならない。
二、運営者による個人情報及び重要データの処理に係る原則を明確にした(第六条)
「規定」では、運営者が個人情報及び重要データを処理する場合に、下記の原則を堅持することを提唱した。
(一)車内処理の原則:必要な時以外、車外に情報提供しない。
(二)匿名化処理の原則:車外に提供する必要がある場合、出来る限り匿名化をおこなうと共に敏感な情報は適正に処理する。
(三)最低限の保存期間:提供する機能サービスの分類に基づき、データの保存期限を確定する。
(四)精度範囲の適用:提供する機能サービスによるデータに対しての精度要求に基づき、カメラ、レーダー等のカーバー範囲、解像度を確定する。
(五)取集しないことを黙認する原則:必要な時以外、運転する際に収取しない状態とし、運転手による同意授権は当該運転に対してのみ有効となる。
【A&Z】
「規定」によると、個人情報と重要データの処理原則は主に「最小」、「必要」を示している。企業は、匿名化及び敏感な情報を適切に処理し、保存期限を短縮し、データ取集設備のカーバー範囲及び解像度を控え、データを収集する前に運転手の同意を取得する等のデータ処理に関する変化に注意する必要がある。
三、運営者がデータを収集する場合、適合しなければならない要求を明確にした(第八条)
運営者が敏感な個人情報を収集し、または車外に提供する場合、それには車両の位置、運転手あるいは乗客のビデオとオーディオ、及び法律違反運転の根拠となるデータ等が含まれるが、以下の要求に適合しなければならない。
(一)運転手あるいは乗客にサービスを直接提供することを目的とする(安全運転の強化、運転協力、ナビゲーション、娯楽等を含む)。
(二)取集しないこと黙認し、収集するたびに運転手の同意授権を取得する必要があり、運転終了に伴い運転手が運転席から離れた後は、当該授権が無効になる。
(三)車内のディスプレイあるいは音声等の方式を通じて、運転手及び乗客に敏感な個人情報を収集していることを告知する。
(四)運転手は随時、都合よく取集を終止することができる。
(五)車の持ち主が取集された敏感な個人情報を都合よくチェックすることを承認する。
(六)運転手が運営者に対し、情報の削除を要求した場合、運営者は2週間内に削除しなければならない。
【A&Z】
本条は、運営者によるデータ収集の目的、収集しないことに対する黙認、授権、告知方式、終止、チェック、削除期限について規定している。車内のディスプレイあるいは音声等の方式を通じて、運転手及び乗客に敏感な個人情報の収集を告知することが可能であるが、将来「個人情報保護法」が発効した後に増えていく訴訟に対応するために、企業は「告知-同意」について、どのように履歴を残すかをさらに注意する必要があると考えられる。また、他の業界企業の情報保護規定もその2週間の削除期限を参照する可能性があるため、他の業界の企業も敏感な個人情報削除期限に注意する必要があると考えられる。
四、データ出国に係る安全評価制度(第十二、十三、十四、十五、十八条)
「規定」では、運営者は出国安全評価時に明確にした目的、範囲、方式及びデータ類型、規模等の関連基準を超えて、海外に個人情報あるいは重要データを提供してはいけないと明確にしている。
国家インターネット情報部門と国務院の関連部門は、連携して海外に提供する個人情報あるいは重要データの種類、範囲等に対し、抜き取り検査を行う。運営者は明文化された、確認可能な方式で関連情報を明示しなければならない。
【A&Z】
政府部門が個人情報及び重要データの越境伝送に対し、抜き取り検査を行い、且「明文化された、確認可能」な方式で明示することを要求しているが、基本的に企業の商業秘密には触れていない。企業の商業秘密に関わる場合でも、政府部門は取得した商業秘密に対し、秘密保持を実施する。それでも企業は商業秘密やデータの安全について、懸念がある場合、関連データの越境伝送を極力回避して頂きたい。
本稿が企業にとって当該規定において注目すべき重点内容を速やかに理解するための一助になることを願っている。
一、運営者、個人情報、重要データ等の定義を明確にした(第三条)
「規定」では、運営者が自動車の設計、生産、サービス企業あるいは機構であると明確に定義しており、それには自動車製造企業、部品及びソフト提供者、販社、修理機構、ネット予約タクシー企業、保険会社等が含まれている。
個人情報には、車の持ち主、運転手、乗客、通行人等の個人情報、及び個人の身分を推測でき、または個人の行為を記録できる各種情報が含まれる。
重要データには以下の内容を含む:
(一)軍事管理区、国防科学工業等、国家の秘密にかかわる機構、県級以上の共産党政治機関等重要、且敏感なエリアにおける人の流れと車両の流れに関するデータ
(二)国が公布した地図より精度が高い測量データ
(三)自動車充電網の運行データ
(四)道路上の車両種類、車両交通量等に関するデータ
(五)顔、声、ナンバープレート等、車外のオーディオ、ビデオに関するデータ
(六)国家インターネット情報部門及び国務院の関連部門が明確にしている国家安全、公共利益に影響があるデータ
【A&Z】
「規定」においては、インターネット予約タクシー企業、保険会社等は自動車データの核心的運営者に属さないが、規定の適用範囲に該当するため、関連企業が自動車データに接触、処理する際には、同様に規定に従う必要がある。企業による知能自動車のデータの取集及び商業価値の発掘には、多くのコンプライアンス上の需求が潜んでいると考えられる。
また、個人情報及び重要データの定義について注意する必要があるのは、個人情報の定義に関わる範囲が極めて広範囲であり、重要データとは主に国家の安全及び公共利益に関わる情報を指しており、監督管理機構による国家の安全に対する重視を示している。企業は定義の内容に基づき、収集するデータが重要データに該当するかどうかを判断し、且規定の要求に従い、データを適切に処理しなければならない。
二、運営者による個人情報及び重要データの処理に係る原則を明確にした(第六条)
「規定」では、運営者が個人情報及び重要データを処理する場合に、下記の原則を堅持することを提唱した。
(一)車内処理の原則:必要な時以外、車外に情報提供しない。
(二)匿名化処理の原則:車外に提供する必要がある場合、出来る限り匿名化をおこなうと共に敏感な情報は適正に処理する。
(三)最低限の保存期間:提供する機能サービスの分類に基づき、データの保存期限を確定する。
(四)精度範囲の適用:提供する機能サービスによるデータに対しての精度要求に基づき、カメラ、レーダー等のカーバー範囲、解像度を確定する。
(五)取集しないことを黙認する原則:必要な時以外、運転する際に収取しない状態とし、運転手による同意授権は当該運転に対してのみ有効となる。
【A&Z】
「規定」によると、個人情報と重要データの処理原則は主に「最小」、「必要」を示している。企業は、匿名化及び敏感な情報を適切に処理し、保存期限を短縮し、データ取集設備のカーバー範囲及び解像度を控え、データを収集する前に運転手の同意を取得する等のデータ処理に関する変化に注意する必要がある。
三、運営者がデータを収集する場合、適合しなければならない要求を明確にした(第八条)
運営者が敏感な個人情報を収集し、または車外に提供する場合、それには車両の位置、運転手あるいは乗客のビデオとオーディオ、及び法律違反運転の根拠となるデータ等が含まれるが、以下の要求に適合しなければならない。
(一)運転手あるいは乗客にサービスを直接提供することを目的とする(安全運転の強化、運転協力、ナビゲーション、娯楽等を含む)。
(二)取集しないこと黙認し、収集するたびに運転手の同意授権を取得する必要があり、運転終了に伴い運転手が運転席から離れた後は、当該授権が無効になる。
(三)車内のディスプレイあるいは音声等の方式を通じて、運転手及び乗客に敏感な個人情報を収集していることを告知する。
(四)運転手は随時、都合よく取集を終止することができる。
(五)車の持ち主が取集された敏感な個人情報を都合よくチェックすることを承認する。
(六)運転手が運営者に対し、情報の削除を要求した場合、運営者は2週間内に削除しなければならない。
【A&Z】
本条は、運営者によるデータ収集の目的、収集しないことに対する黙認、授権、告知方式、終止、チェック、削除期限について規定している。車内のディスプレイあるいは音声等の方式を通じて、運転手及び乗客に敏感な個人情報の収集を告知することが可能であるが、将来「個人情報保護法」が発効した後に増えていく訴訟に対応するために、企業は「告知-同意」について、どのように履歴を残すかをさらに注意する必要があると考えられる。また、他の業界企業の情報保護規定もその2週間の削除期限を参照する可能性があるため、他の業界の企業も敏感な個人情報削除期限に注意する必要があると考えられる。
四、データ出国に係る安全評価制度(第十二、十三、十四、十五、十八条)
「規定」では、運営者は出国安全評価時に明確にした目的、範囲、方式及びデータ類型、規模等の関連基準を超えて、海外に個人情報あるいは重要データを提供してはいけないと明確にしている。
国家インターネット情報部門と国務院の関連部門は、連携して海外に提供する個人情報あるいは重要データの種類、範囲等に対し、抜き取り検査を行う。運営者は明文化された、確認可能な方式で関連情報を明示しなければならない。
【A&Z】
政府部門が個人情報及び重要データの越境伝送に対し、抜き取り検査を行い、且「明文化された、確認可能」な方式で明示することを要求しているが、基本的に企業の商業秘密には触れていない。企業の商業秘密に関わる場合でも、政府部門は取得した商業秘密に対し、秘密保持を実施する。それでも企業は商業秘密やデータの安全について、懸念がある場合、関連データの越境伝送を極力回避して頂きたい。
