2月に施行される個人情報保護ガイドライン：8つの原則をどう実践するか

12月24日、第11期全国人民代表大会常務委員会第30回会議で「ネットワーク情報保護強化に関する決定（草案）」の説明が行われた。この草案では、国民の個人情報の保護、ジャンク電子情報の管理、オンラインIDの管理などの面で規定が設けられたと理解されている。

記者はまた、工業情報化部などが起草した「情報セキュリティ技術公共および商業サービス情報システムにおける個人情報保護ガイドライン」（以下、「ガイドライン」）が2013年2月に施行されることを知った。制度的な観点から規制する「草案」に対し、「ガイドライン」は技術面や情報システム面から規制します。

「これまでも、ネットワークセキュリティの監視を求める声が頻繁に上がっていた。今回の法案成立は、人々がネットワークセキュリティにますます注目していることを示すものだ」知的財産権の専門家で、著名なIT弁護士の趙展玲氏は記者団に対し、ネットワークセキュリティの問題は第3四半期以降に明らかになったとし、2011年12月にはインターネットユーザー情報の漏洩事件で、ネットワークセキュリティが再び脚光を浴びたと語った。

テクノロジーとシステムが連携

今年11月5日に正式発表された「ガイドライン」は、収集、処理、移転、削除の4つの段階を通じて個人情報の取り扱いについて詳細な規定を定めている。例えば、個人情報を収集する際には、「個人情報主体に分かりやすい方法で、個人情報主体に対して明確な通知や警告を行う必要がある。」処理段階では、「収集段階で通知された利用目的に違反せず、通知の範囲を超えて個人情報を処理しない」必要があります。転送プロセスでは、個人情報が個人情報の受信者以外の個人、組織、機関に知られることはありません。削除の段階で、個人情報主体が正当な理由により個人情報の削除を要求した場合、当該個人情報は適時に削除されます。個人情報を削除すると、法執行機関が捜査や証拠収集を行う際に適切な保管やブロック措置を講じる能力に影響を及ぼす可能性があります。

また、ガイドラインでは、「明確な目的、最低限の充足、公開、本人の同意、品質保証、セキュリティ、誠実な履行、明確な責任」など、個人情報保護に関する8つの原則が挙げられており、それぞれの原則について詳細に説明されている。このうち、「必要最小限」の原則とは、「処理目的に関連する最小限の情報を処理し、処理目的が達成された後は、できるだけ短時間で個人情報を削除する」というものです。

「ガイドラインの公開と個人の同意という2つの原則は、個人の知る権利を強調している。どの段階であっても、個人情報の主体者の権利は尊重されなければならない」と趙展玲氏は述べた。

「ガイドラインは、企業が個人情報を取り扱う際にどのような原則に従うべきかについての指針を提供する総合的な技術標準です。」ガイドラインの主な編集者であり、中国ソフトウェアテストセンターの研究員である劉涛氏によると、中国ソフトウェアテストセンターはすでに国家発展改革委員会からいくつかの標準プロジェクトを引き継いでおり、個人情報保護に関するいくつかの実施規則を起草する予定であるという。 「次のいくつかの標準により、ガイドラインのさまざまなフレームワーク標準が徐々に改善される可能性があります。」

この人権訴訟では個人情報の保護についても言及された。草案では、インターネットサービスプロバイダーが固定電話や携帯端末などの利用者のネットワーク接続手続きを取り扱う際に、利用者に情報公開サービスを提供し、利用者との契約締結時に実在する本人情報の提供を求めることを規定している。商業目的の電子メッセージは、受信者の同意または要請なしに、電子メッセージの受信者の携帯電話または個人の電子メール アドレスに送信することはできません。

「人権事件は制度的観点から規制されており、『ガイドライン』は技術と情報システムの観点からの監督を提案している」と劉涛氏は記者団に述べ、この基準は実施の指針として使われるものであり、それ自体に法的効力はないと語った。しかし、管轄当局の促進を通じて、基準の実施、推進、施行を改善することができます。

安全な境界

インターネット上では、ユーザーのインスタントメッセージアカウント、ソーシャルネットワークアカウント、電子メールのパスワードなど、ほとんどすべてが「盗まれ」ており、すべてのインターネットユーザーは「裸」の状態になっています。

それだけでなく、携帯電話も個人情報漏洩の新たな「被害地域」となっている。 Qihoo 360 セキュリティ センターの「2011 年中国モバイル セキュリティ状況レポート」によると、2011 年に Android 携帯電話プラットフォームに 4,722 個の新しいマルウェアとトロイの木馬が追加され、498 万人以上が感染し、モバイル インターネット セキュリティの攻防戦の主戦場となった。

悪意のある推論に加えて、ユーザーのプライバシーを盗むことも、携帯電話向けトロイの木馬の主な危険の 1 つになっています。一部のトロイの木馬は、ユーザーのテキスト メッセージ、通話記録、位置情報、電話で実行されているプログラムなどのユーザーのプライバシー情報を収集し、ソフトウェア サーバーにアップロードして、すべてのキー操作を秘密裏に記録します。

個人情報の漏洩は産業チェーンを形成しており、漏洩経路が複数あり、範囲が広く、程度が深いという特徴があります。 「トロイの木馬を吊るす」、「鶏を捕まえる」、「手紙をロンダリングする」などの一連の専門技術と厳格なプロセス調整および代理システムを通じて、ますます多くの個人情報が露出されました。個々のユーザーは情報漏洩に対して我慢することしかできず、何もできません。

法案は、「国家は国民の個人識別が可能で、国民のプライバシーに関わる電子情報を保護する。いかなる組織や個人も、国民の個人電子情報を他の違法な手段で盗んだり入手したり、国民の個人電子情報を他人に販売したり違法に提供したりしてはならない」と明確に規定している。

「個人情報の漏洩は非常に深刻であり、全国人民代表大会常務委員会の立法によって直接規制されています。そうすれば、有効性のレベルは最高になり、影響はより大きくなり、個人情報保護の立法制度はより完全なものになります。」趙占玲氏は、現在、個人情報漏洩事件では、刑法第7次改正に基づいて刑事責任を追及するほか、立法を通じて民事訴訟を起こすこともでき、行政罰を課すこともできると述べた。この法案が可決されれば、将来の訴訟の法的根拠として利用される可能性がある。

これまでは、専門性の欠如、事後対応、法整備の不備などにより、個人情報の不正利用を根本的に防止することは困難でした。しかし、刑法第 7 次改正、不法行為責任法、さらには改正された住民身分証明書法などの法律は運用が難しい。個人情報保護法は大きな期待を集めていたが、2003年に起草が始まって以来、正式な立法プロセスに入っていない。

「草案」で言及する価値があるのは、かなり早い時期から導入されてきた実名制に関連するオンライン ID 管理です。 「バックグラウンド ID 管理方式を実装できる」とは、フォアグラウンドでの匿名とバックグラウンドでの実名管理を実装できることを意味します。バックグラウンドの「発言」を実名に変更した後、この前提の下で、ユーザーは実名に対応する仮想ユーザー名を使用してフォアグラウンドで情報を公開できます。

「フロントでは匿名、バックでは実名という方法は、ネット上の水軍に対抗するにはあまり効果的ではないかもしれない。Weiboは実名登録を推奨しているが、実名認証は実施していない。ファンを増やす企業は、登録すべきID番号をまだたくさん見つけることができる」と趙展玲は考えている。

華南師範大学コンピュータサイエンス学部の副学部長であるShan Zhilong氏は、本紙の記者とのインタビューで、実名制を確実に実施するためには完全なメカニズムを確立する必要があると語った。まず、いくつかの独立したウェブサイトがセキュリティ評価を実施し、ウェブサイトの管理、セキュリティ対策、セキュリティ投資、技術者のレベルなどに基づいてウェブサイトのセキュリティ レベルを判断する必要があります。

多数のユーザーを抱える企業にとっては、実名制導入のプレッシャーはさらに大きくなるでしょう。実名制に必要な保護メカニズムが実装されていない場合、実名認証は不可能になります。フォーラムやWeiboなどの商品は影響力が大きく、世論の中心になることも多いため、実名登録が義務付けられて情報が漏洩した場合、該当企業は一切責任を負えません。

シャン・ジーロン氏の見解では、企業は企業責任を果たす必要がある。「インターネット企業の情報はますます正確になっています。企業としては、自らの企業壁を構築する必要があります。」

原題：2月に施行される個人情報保護ガイドライン：8つの原則をどう実践するか

キーワード: 個人情報、保護ガイドライン、2 月、実施、8 つの項目、実施方法、12 月、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化