『情報セキュリティ技術個人情報安全規範』は2018年5月1日より施行

    中国国家標準化管理委員会は『情報セキュリティ技術個人情報安全規範』(GB/T 35273-2017、以下『規範』という)を公布し、2018年5月1日より施行する。

    『規範』は推薦性国家基準であるが、2017年7月から、インターネット情報弁公室、工業情報化部、公安部などが共同で進めているプライバシー条項をめぐるプロジェクトにおいて、主に『規範(意見募集稿)』を評価審査の根拠とする。又、直近、個別企業を対象とする法執行の傾向から見れば、『規範』は実際に法執行機関の評価審査の根拠となっている。従って、企業は『規範』を重視し、『規範』の関連要求に従い、本企業のセキュリティ技術に係る個人情報を保護すべきであると思われる。

    『規範』の目玉は主に以下の通りである。

    1、『規範』では、個人情報に関する一部の法律用語を初めて定義した。例えば、『規範』では、「明示の同意」を明確にした。「明示の同意」とは、個人情報の主体が書面による声明又は肯定的な行動により、その個人情報の特定取扱について明確に授権することを指す。肯定的な行動は、個人情報の主体が積極的に声明を行い(電子版又は紙文書)、チャックマークを入力し、「同意」、「登録」、「かける」などをクリックするなどを含む。これは企業の実務規則を制定することに役立ち、又、紛争となる場合に企業の合理的な抗弁は認められる可能性が高い。

    2、『規範』では、個人情報の収集、保存、使用、委託処理、共有、譲渡、開示などに係る具体的な要求、個人情報安全事件処置の手続を明確にした。これらは企業が個人情報収集規則を制定するためのガイドラインやルールになる。

    3、『規範』では、「個人情報例」、「個人センシティブ情報判断」、「個人情報主体が同意権を選択する方法」、「プライバシーポリシーテンプレート」を参考までに規定している。