中国サイバーセキュリティ法に基づく取締りの継続的な強化

2017年6月1日、中国は、サイバーセキュリティ及びデータ・プライバシーに関する従来の法規制を包括的な規制に統合するサイバーセキュリティ法を施行しました。同法施行以来現在に至るまで、中国当局はその執行に力を入れ続けており、同法に違反した多くの企業が処罰されています。

とりわけ、以下の義務に違反した企業に対して処罰が課されています。
①個人情報の収集及び利用に関するポリシーの公表
②収集される個人情報の種類の特定
③データの収集または利用に先立つ同意の取得
④データ主体の個人情報の開示、訂正、削除請求において合理的な条件を採用し、その方法をデータ主体に通知すること
⑤デフォルトでの同意、一括同意または強制同意によらないで、データ主体の同意を取得
⑥個人情報の適切な保護のために必要な安全対策の実施

以下では、重要な法執行の傾向を示す重要事例を紹介します。

2017年：サイバーセキュリティ法施行後まもなく、中国当局は、Tencent Holdings Limited、Sina Corporation、Baidu, Inc.などの大手企業に対して注目すべき調査を実施しました（詳細については、中国の新サイバーセキュリティ法による取締りをご参照下さい）。

2018年：同年8月、上海通信局は、20社に対して、ユーザが登録解除を行う手段を適切に設けていないとして、是正を命じました。同年12月、中華人民共和国工業情報化部(以下「MIIT」といいます。)は、Suzhou Tongcheng E-dragon Network Technology Co., Ltd.の代表者に対し、WeChatプラットフォーム上のプログラムについて取調べを行いました。MIITは、サイバーセキュリティ法等に基づき、同プログラムは、個人情報の収集・利用に関する方針を適切に公表せず、利用者の同意を得ずに、中国鉄道株式会社のロイヤルティプログラムに利用者のアカウントをリンクさせたと判断しました。同社は、利用者の知る権利と選択の自由を正当に保護するよう是正を命じられました。

2019年：同年2月、MIITは、一括同意によりインターネットアプリを販売していたとして、40個のアプリについて警告しました。同年4月、広東省通信局は、Guangzhou UC Network Technology Co., Ltd. (PPアシスタント開発)、Guangdong Pacific Internet Information Service Co., Ltd. (PCオンライン)などの企業を取り調べ、個人情報の保護ができていないアプリを削除しました。広東省通信局は、山西郵政公社、北京新文化通信株式会社、北京郵政公社などの企業に対し、20個のアプリについて、(i)アカウント登録ページに利用規約及びプライバシーポリシーが表示されていないこと、(ii)ユーザのモバイルサービスプロバイダーからパスワード及び検証コードにアクセスすることを会社に許可する隠された条項をプライバシーポリシーに組み込んでいること、(iii)収集される個人情報の種類を特定しないことなどの理由から、警告を発しました。

2019年7月：MIITは、個人情報の収集・利用ルールの公表、データ収集前の同意取得、個人情報の訂正方法の利用者への通知を怠ったことを理由に、Beijing Changyou Times Digital Co., Ltd.、Beijing Tianying Jiuzhou Network Technology Co., Ltd.、Beijing Cat Eye Culture Media Co., Ltd.など18社に対し、アプリを削除し、是正命令を発しました。また、モバイルアプリであるBuding Xiao Dai、Jiu Miao Dai、Mai Ya Daiに対しても、個人情報の収集・利用に先立ち、ユーザの同意を得ていないことを理由に命令を発しました。

今後も、中国当局は、個人情報の保護や取締りに積極的に取り組むことが予想されます。各企業は、プライバシーポリシー及びその実施手順を確実に法令に遵守させるために、これらを定期的かつ徹底的に見直す必要があります。

本コメンタリーは、中国のサイバーセキュリティに関心を有する日本企業にとって有用な情報ですので、紹介する次第です。詳細は、Jones Day Commentaries “China Cybersecurity Law Continues to Bring Enforcement Crackdown”（オリジナル英語版）をご参照下さい。