AerialPerspective Works via Getty Images
中国が、ユーザーデータ保護法(PIPL)案を可決したと新華社が伝えています。PIPLは、企業がユーザーデータをどのように収集、処理、保護するかについての包括的なルールを定めるもので、欧州のGDPR(一般データ保護規則)に相当する法律です。
この法律では、データの最小化(データ収集を特定の目的に必要な情報のみに限定すること)が規定されています。また、個人情報の使用方法をユーザーがコントロールできるようにすることも義務付けられており、例えばユーザーにはターゲティング広告を拒否する選択肢などが得られるとのこと。Reutersによると、PIPLでは「企業は明確かつ合理的な目的のもとで個人情報を取り扱わなければならず、取得する情報は目的のために必要最小限な範囲に限定される」とのこと。
また、この法律には第三国へのデータ転送に関しても規定があり、GDPRに定められるデータ保護責任者 (DPO) 的ポストを設置して、プライバシー保護の堅牢性について定期的な監査が行われるとされます。
中国ではPIPLの他にもデータセキュリティ関連の法律(DSL)が可決され9月1日から施行されることになっており、これらは企業が持つ経済的価値と「国家安全保障との関連性」に応じてデータを管理するための明確な枠組みを定めようという動きで、この点においてPIPLは欧州市民の情報を扱うあらゆる企業に適用されるGDPRとは異なっているようです。
中国がこうした法律を用意するのは、巨大化してきた国内テクノロジー企業への規制を強めるためと考えられます。中国最大のEC企業アリババは今年4月に、その支配的立場を乱用した廉で、182億2,800万元(2916億4800万円:当時)の行政処罰を科せられました。またネット配車サービスのDiDiも7月、ニューヨーク証券取引所への新規株式公開(IPO)をおこなった直後に、中国サイバースペース管理局(CAC)がユーザーのプライバシーを侵害した疑いがあるとして調査に入ったことが伝えられ、その出足を大きくくじかれています。また8月7日にはWeChatの”Youth Mode”が児童保護法に違反しているとして、テンセントが提訴されています。
PIPLは2021年11月1日に発効するため、企業がこの法律に対応するための猶予は2か月ほどしか余裕がありません。
(Source:Xinhua。Via CNBC。Engadget日本版より転載)
