中国で個人情報保護法が施行されましたが、北京政府はモバイルアプリケーションの開発者に対してアプリケーションの本来の範囲を超えて不要なユーザー情報を収集する侵入型のデータスラーピングコードを削除するよう要請しました。
新しい個人情報保護法は、昨年秋に起草され、今年初めの3月に承認され、2021年5月1日に施行されました。
この法律は、アプリやWebサイトはその主な機能を実現するために厳密に必要なユーザー情報のみを収集しなければならないというシンプルな原則に従っています。
収集したデータのうちアプリやWebサイトの機能を実現するために使用されないものは不要とみなされ、中国政府はGDPRのように最大5,000万元(777万ドル=7億円)または企業の年間売上高の5%という巨額の罰金を科すことができるようになります。
中国のサイバー空間管理局(CAC)は3月、ハイテク企業の対策としてアプリがどのような情報を収集することが許されるか、39のカテゴリーに基づいたガイドラインを発表しています。
モバイル・インターネット・アプリケーションに必要な個人情報の範囲に関する規定
第1条 モバイルインターネットアプリケーション(アプリ)による個人情報の収集を規制し、市民の個人情報のセキュリティを保護するため、中華人民共和国のネットワークセキュリティ法に基づき、本規定を策定する。
第2条 モバイル・インテリジェント・ターミナル上で動作するアプリのうち、利用者の個人情報を収集する動作を有するものは、本規定に従うものとします。 法律、行政規則、部門規則、規範文書に別段の定めがある場合は、その規定に従う。
アプリには、モバイル・インテリジェント端末にあらかじめインストールされ、ダウンロードしてインストールされたアプリケーション・ソフトウェアと、アプリケーション・ソフトウェアのオープン・プラットフォーム・インターフェースに基づいて開発され、ユーザーがインストールせずに利用できるアプレットが含まれます。
第3条 この規定でいう必要な個人情報とは、本アプリの基本機能サービスを正常に運営するために必要な個人情報であり、これがないと本アプリは基本機能サービスを実現できません。 具体的には、サービスを提供する側のユーザーの個人情報を除いた、消費側のユーザーの個人情報を指します。
第4条 アプリは、ユーザーが必要のない個人情報の提供に同意しないことを理由に、基本機能サービスの利用を拒否することはできません。
第7条 この規定は、2021年5月1日から施行する。
- 地図ナビゲーション:位置情報、出発地、到着地
- タクシー・ライドハイリング:電話番号、支払い情報、位置情報(出発地、到着地、乗客のピックアップ場所)
- インスタントメッセージング:電話番号、連絡先リスト
- オンラインコミュニティ、ブログ、フォーラム:電話番号
- オンライン決済:電話番号、氏名、IDタイプ、ID番号、ID有効期間、銀行カード番号
- オンラインショッピング:電話番号、名前、住所、支払い情報
- 食品の配達:電話番号、名前、住所、支払い情報
- 郵便・宅配:差出人の氏名、IDの詳細、住所、電話番号+受取人の氏名、住所、連絡先番号+配達物の名称、性質、数量
- 交通機関の発券:乗客の種類、氏名、ID番号、電話番号、出発地、目的地、出発時刻、列車番号/船舶番号/便名、座席の種類/クラス、座席番号(ある場合)、ナンバープレートの番号、ナンバープレートの色
- オンラインデート:電話番号、性別、年齢、婚姻状況
- 仕事探しと採用:電話番号、履歴書
- オンラインでの貸し出し:電話番号、借り手の名前、IDの種類と番号、IDの有効期間、銀行カード番号
- 家の賃貸・販売:電話番号、住所、地域・家の種類、希望価格・家賃
- 中古車販売:登録者の電話番号、購入者の氏名と身分証明書の詳細、販売者の氏名と身分証明書の詳細、車両の運転免許証番号、車両識別番号
- オンライン診察:ユーザーの電話番号、患者の名前、IDの種類と番号、予約した病院と診療科、病状の説明
- 旅行:旅行者の名前、IDの詳細、電話番号、目的地、旅行時間、連絡先など
- ホテルサービス:ユーザー名、電話番号、連絡先、ホテル名、チェックイン・チェックアウト時間
- オンラインゲーム:電話番号
- 学習・教育:電話番号
- 地域生活、家事、家の装飾、地域サービスの売買:電話番号
- 女性の健康:個人情報なしでサービスを利用できること
- 自動車サービス、カーシェアリング、レンタカー、自転車シェアリング:電話番号、身分証明書の詳細、運転免許証の詳細、支払い情報、位置情報
- 投資および財務管理:氏名、電話番号、身分証明書の詳細、身分証明書のコピー、口座情報、カード情報
- モバイルバンキング:氏名、電話番号、身分証明書の詳細、身分証明書のコピー、口座の詳細、カードの詳細、送金時には受取人の氏名、銀行口座、カードの詳細
- 電子メール、クラウドストレージ:電話番号
- 遠隔会議:電話番号
- ウェブキャスティング:個人情報なしでサービスを利用できること
- オンラインオーディオまたはビデオストリーミング:個人情報なしでサービスを利用できること
- ショートビデオ:個人情報なしでサービスを利用できること
- ニュース:個人情報なしでサービスを利用できること
- スポーツ・フィットネス:個人情報なしでサービスを利用できること
- ブラウザ:個人情報なしでサービスを利用できること
- キーボードアプリ:個人情報なしでサービスを利用できること
- サイバーセキュリティ:個人情報なしでサービスを利用できること
- 電子書籍:個人情報なしでサービスを利用できること
- 画像編集:個人情報なしでサービスを利用できること
- App Store:個人情報なしでサービスを利用できること
- 実用的なツール(カレンダー、翻訳機、電卓など):個人情報なしでサービスを利用できること
- 娯楽とチケット:ユーザーの電話番号、座席の詳細、パフォーマンスの詳細、支払い情報
同日、CACはユーザー情報を過剰に収集していることが確認できた33のアプリケーション(キーボードアプリ15種、地図ナビゲーションアプリ17種、インスタントメッセージングクライアント1種)をリストアップしました。
最近、アプリによる違法な取得、過剰な収集、過剰な権利の主張などの個人情報の侵害現象が国民に強く反映されていることを受けて、国家インターネット情報局は、中華人民共和国ネットワークセキュリティ法、アプリによる個人情報の違法・不法な収集と使用の判定方法などの法律や関連規定に基づき、国民に多く利用されているいくつかのアプリの入力方法、地図ナビゲーションなどの共通タイプのテストを実施するために組織しました
中華人民共和国情報技術局は、一般的に使用されているいくつかの種類のアプリの個人情報の収集と使用についてテストを行いました。
さらに1週間後の5月10日にはサイバーセキュリティアプリ36本、オンラインレンディングアプリ48本の計84本のアプリも追加発表しています。
そして2021年5月20日CACは3度目の警告を発表し、これまでで最も大規模なものでショートビデオアプリ19件、ウェブブラウザ34件、求職アプリ51件、一般的なユーティリティアプリ1件など、105件のアプリがリストアップされました。
北京に照準を合わせられた大手企業
2回目の警告ではTencentとBaiduが注目されましたが、今日の北京の発表では、TikTokとMicrosoft(LinkedInアプリ)があることが話題になっています。
CACは、警告に記載されているすべてのアプリメーカーに対し、データを盗むコードを削除するか、または高額の罰金を科すよう15日間の猶予を与えています。
今回の警告は、中国のハイテク産業に対する政府の幅広い取り締まりの一環として行われたものです。
中国の多くのハイテク企業は自由なデータ収集によって数十億ドル規模の巨大企業となり中国の厳しい管理と指導から独立できると徐々に考え始めていますが、中国共産党はこの傾向を排除しようとしているようです。
さらに近年では中国企業が収集したデータの多くがネット上に流出したり、ハッカーに盗まれたりすることも多くなっています。
こうした膨大な量の流出データは外国の安全保障情報機関にとってオペレーショナル・セキュリティ(OpSec)の財源となるため中国公安部もこの法律の起草プロセスに関与しています。
Comments