「データセキュリティ管理措置」は、国家安全保障と社会公共利益を保護し、国民、法人、その他の組織の正当な権利と利益を保護することを目的としています。情報および重要なデータのセキュリティ、「中華人民共和国サイバーセキュリティ法」に基づいて制定された部門規定およびその他の法令。
内容は次のとおりです。
第 1 章 一般規定
第 1 条国家の安全、社会的および公共の利益を保護し、保護するためこれらの措置は、サイバー空間における正当な権利と利益を保護し、個人情報および重要なデータの安全を確保するために、「中華人民共和国サイバーセキュリティ法」およびその他の法令に基づいて策定されます。
第 2 条 本措置は、データの収集、保管、送信、処理、使用およびその他の活動 (以下、データ活動といいます) を実行するためのインターネットの使用、および保護、監督に適用されます。中華人民共和国領域内のデータセキュリティの管理。純粋に家族や個人的な事柄については例外が認められます。
法律および行政法規に別段の定めがある場合は、その規定が優先されます。
第3条: 国家はデータセキュリティと開発に同等の注意を払うことを主張し、データセキュリティ保護技術の研究開発を奨励し、データリソースの開発と利用を積極的に促進し、秩序ある自由な流れを確保する法律に従ってデータを管理します。
第4条: 国家は、中華人民共和国の内外から発生するデータセキュリティのリスクと脅威を監視、防御し、対処し、漏洩、盗難、改ざん、損傷、違法使用からデータを保護する措置を講じます。 、などを削除し、法律に従って処罰する データのセキュリティを危険にさらす違法および犯罪行為。
第 5 条 中央サイバーセキュリティ情報化委員会の指導の下、国家サイバーセキュリティ情報化部門は個人情報と重要データの安全保護を調整、指導、監督するものとする。
都道府県(市)以上のサイバー関係部門は、その責務に応じて、それぞれの行政区域内における個人情報および重要データの安全保護を指導監督するものとします。
第6条 ネットワーク事業者は、関連法律および行政法規の規定に従い、国家ネットワークセキュリティ標準を参照し、データセキュリティ保護義務を履行し、データセキュリティ管理責任と評価および評価システムを確立し、データセキュリティ管理責任を確立しなければならない。データ セキュリティの計画とデータ セキュリティ技術的保護の実装、データ セキュリティ リスク評価の実施、ネットワーク セキュリティ インシデントの緊急時対応計画の策定、セキュリティ インシデントのタイムリーな処理、データ セキュリティの教育とトレーニングの組織化。
関連推奨事項: 「FAQ」
第 2 章 データ収集
第 7 条 ネットワーク オペレータは、Web サイト、アプリケーション、および個人情報を収集および使用する他の製品では、収集および使用のルールを別途策定し、開示する必要があります。収集と使用のルールは、Web サイト、アプリケーション、その他の製品のプライバシー ポリシーに含めることも、他の形式でユーザーに提供することもできます。
第 8 条 収集と使用のルールは、明確、具体的、シンプル、人気があり、アクセスしやすいものであり、次の内容を強調する必要があります:
(1) ネットワーク事業者の基本情報;
(2) ネットワーク事業者の主な責任者およびデータセキュリティ責任者の氏名および連絡先;
(3) 目的、種類、数量、頻度、方法、範囲個人情報の収集・利用等に関する事項
(4) 個人情報の保管場所、期間及び有効期限後の取扱い方法
# (5) 個人情報を第三者に提供する場合の規定他者への提供;
(6) 個人情報の安全保護戦略およびその他の関連情報;
(7) 個人情報主体の同意の撤回、照会、修正、削除の方法および方法個人情報;
(8) 苦情および報告の経路および方法等;
(9) その他法律および行政法規で定められた内容。
第9条 収集と使用の規則がプライバシーポリシーに含まれる場合、それらは比較的集中して、読みやすいように明確に示される必要があります。また、ネットワーク運営者は、ユーザーが収集および使用のルールを理解し、明示的に同意した場合にのみ個人情報を収集できます。
第 10 条 ネットワーク事業者は、収集および使用の規則を厳格に遵守し、個人情報を収集または使用する Web サイトおよびアプリケーションの機能設計は、プライバシー ポリシーと一致し、同時に調整される必要があります。
第11条ネットワーク事業者は、サービス品質の向上、ユーザーエクスペリエンスの向上、的を絞った方法での情報のプッシュを理由に、デフォルトの認証、機能バンドルなどを通じて、個人情報主体に同意を強制したり、誤解を与えたりしてはなりません。 、新商品の開発等のための個人情報の収集。
個人情報主体がネットワーク製品の中核的な業務機能の動作を保証するために個人情報を収集することに同意した後、ネットワーク運営者は個人情報主体に対して中核的な業務機能サービスを提供し、上記の情報を収集しないものとします。個人情報主体の拒否または同意の撤回による情報、中核的なビジネス機能サービスの提供を拒否している間のその他の情報。
第12条 14歳未満の未成年者の個人情報を収集する場合は、保護者の同意を得なければなりません。
第13条 ネットワーク事業者は、個人情報主体が個人情報の収集を許可しているか否か、サービスの品質、価格差等を含む許可の範囲に基づいて、個人情報主体に対して差別的な措置をとってはなりません。
第 14 条 他のチャネルから個人情報を取得するネットワーク運営者は、個人情報を直接収集する場合と同様の保護責任と義務を負います。
第 15 条 ネットワーク オペレータがビジネス目的で重要なデータまたは機密の個人情報を収集する場合、地元のサイバーセキュリティおよび情報化部門に記録を提出する必要があります。届出内容には、収集・利用ルール、収集・利用の目的、規模、方法、範囲、種類、期間等が含まれますが、データの内容そのものは含まれません。
第 16 条 自動化された手段を使用して Web サイトのデータにアクセスし、収集するネットワーク オペレーターは、Web サイトの通常の運用を妨げてはなりません。そのような行為は、Web サイトの運用に重大な影響を及ぼします。自動化されたアクセスと収集のトラフィックが 1 を超える場合、 Web サイトの 1 日の平均トラフィックの 3 分の 1 に相当します。Web サイトが自動アクセス収集の停止を要求した場合、停止する必要があります。
第17条 ネットワーク事業者が業務目的で重要なデータや機密個人情報を収集する場合、データセキュリティの責任者を定めなければなりません。
データ セキュリティの責任者は、関連する管理経験とデータ セキュリティの専門知識を持つ者とし、データ活動に関する重要な決定に参加し、ネットワーク オペレーターの主要責任者に直接報告するものとします。
第 18 条 データ セキュリティの責任者は、次の責任を負うものとします。
(1) データ保護計画の策定を組織し、その実施を監督する;
(2)データ セキュリティ リスクの発生を組織化する セキュリティ リスクを評価し、是正を促す;
(3) 必要に応じて、データ セキュリティ保護とインシデント処理を関連部門およびサイバーセキュリティ部門に報告する;
(4)ユーザーからの苦情や報告を受け入れて処理します。
ネットワーク オペレータは、データ セキュリティの責任者が独立して職務を遂行できるように、必要なリソースを彼らに提供する必要があります。
第 3 章 データの処理と使用
第 19 条ネットワーク事業者は、関連する国家標準を参照し、データの分類、バックアップ、暗号化およびその他の措置を採用して、データの保護を強化するものとします。個人情報と重要なデータの保護。
第20条 ネットワーク事業者は、収集・利用規定に定められた保存期間を超えて個人情報を保管してはならない。利用者は、アカウントを解約した後、速やかに個人情報を削除しなければならない。処理後は、特定の個人と関連付けることはできない。 (匿名化処理といいます) を除き、復元することはできません。
第21条:ネットワーク運営者は、個人情報の照会、訂正、削除およびユーザーアカウントの解約の請求を受けたときは、合理的な期間と費用の範囲内で照会、訂正、削除またはアカウントの解約を行うものとします。
第22条 ネットワーク運営者は、収集および利用規定に違反して個人情報を使用してはならない。業務上やむを得ず個人情報の利用範囲を拡大する必要がある場合には、個人情報主体の同意を得る必要があります。
第23条 ネットワーク事業者は、ユーザーデータとアルゴリズムを利用してニュース情報、商業広告等をプッシュする(以下「ターゲットプッシュ」という)を利用者に提供するために「ターゲットプッシュ」という文言を明示しなければならない。 stop 対象を絞ったプッシュ情報を受信する機能。ユーザーが対象を絞ったプッシュ情報の受信を停止することを選択した場合、プッシュを停止し、収集されたユーザーデータとデバイス識別コードなどの個人情報を削除する必要があります。
ターゲットを絞ったプッシュ活動を実行するネットワークオペレーターは、法律および行政規制を遵守し、社会道徳、企業倫理、公序良俗を尊重し、誠実で信頼できる者であり、差別、詐欺、その他の行為を厳しく禁止する必要があります。
第24条 ビッグデータ、人工知能、その他の技術を使用してニュース、ブログ投稿、投稿、コメント、その他の情報を自動的に合成するネットワーク事業者は、「合成」という言葉を明確に表示する必要があり、利益や損害を求めてはなりません. 他者の利益のために情報を自動的に総合します。
第 25 条 ネットワーク運営者は、ユーザーがオンラインでの自身の行動に責任を持ち、自制心を強化するよう促し、思い出させるための措置を講じるべきであり、ソーシャル ネットワークを通じて他人が作成した情報を転送するユーザーについては、その情報に自動的にマークを付ける必要があります。そのソーシャル ネットワーク上のプロデューサー、ネットワーク上のアカウントまたは変更不可能なユーザー ID。
第26条 ネットワーク運営者は、他人の名で公開された情報の偽造、変造、流用に関する報告や苦情を受けたときは、速やかに対応し、確認後は直ちに情報の流布を停止し、削除しなければなりません。
第27条ネットワーク事業者は、個人情報を他人に提供する前に、起こり得るセキュリティリスクを評価し、個人情報主体の同意を得なければなりません。以下の場合を除きます:
(1) 明らかに個人情報主体の意向に反していない、合法的な公的ルートから収集されたもの;
(2) 主体によって自ら開示された個人情報イニシアチブ;
(3) ) 匿名化後;
(4) 法執行機関が法律に従って職務を遂行するために必要;
(5) のために必要国家安全保障、社会公共利益、個人情報主体の生命の安全を守ります。
第 28 条 重要なデータを海外で公開、共有、取引、または提供する前に、ネットワーク オペレータは、起こり得るセキュリティ リスクを評価し、承認を得るために所管の業界規制当局に報告するものとし、所管の業界規制当局は、それが明らかな場合には、 、州のサイバーセキュリティおよび情報化部門によって承認される必要があります。
個人情報の海外提供には関連法規が適用されます。
第29条国内ユーザーが国内インターネットにアクセスする場合、そのトラフィックは海外にルーティングされないものとします。
第 30 条 ネットワーク運営者は、自社のプラットフォームに接続されているサードパーティ アプリケーションに対するデータ セキュリティ要件と責任を明確にし、サードパーティ アプリケーション運営者に対してデータ セキュリティ管理を強化するよう促し、監督する必要があります。サードパーティのアプリケーションでデータ セキュリティ インシデントが発生し、ユーザーに損失が生じた場合、ネットワーク オペレータに過失がないことを証明できない限り、ネットワーク オペレータは責任の一部または全部を負うものとします。
第 31 条: ネットワーク オペレータが合併、再編、または破産した場合、データ受信者はデータ セキュリティの責任と義務を負うものとします。データの受信者がいない場合は、データを削除する必要があります。法律および行政法規に別段の定めがある場合には、その規定が優先するものとします。
第 32 条: ネットワーク事業者は、市場予測、統計情報、個人および企業の信用、その他の情報を公開するために自由に使えるデータ リソースを分析および利用し、国家安全保障、経済運営、社会の安定に影響を与えたり、正当な権利を侵害したりしてはならない他人の権利と利益。
第 4 章 データ セキュリティの監督と管理
第 33 条: ネットワーク情報部門は、その職務を遂行する際に、ネットワーク オペレータのデータ セキュリティ管理責任が完全に履行されていないことを発見します。ネットワーク事業者の主たる責任者を所定の権限と手順に基づき事情聴取し、是正を促すべきである。
第 34 条 国は、ネットワーク事業者がデータ セキュリティ管理認証およびアプリケーション セキュリティ認証に自発的に合格することを奨励し、検索エンジン、アプリケーション ストアなどに対して、認証に合格した推奨アプリケーションを明確に識別して優先することを奨励します。
国家サイバーセキュリティ・情報化部門は、国務院市場監督管理部門と連携して、国家ネットワークセキュリティ審査・認証機関を指導し、データセキュリティ管理認証とアプリケーションセキュリティ認証を組織する。
第35条 個人情報の漏えい、毀損、滅失等のデータセキュリティ事故が発生した場合、またはデータセキュリティ事故の危険性が著しく増大した場合、ネットワーク事業者は、直ちに是正措置を講じ、速やかに電話連絡しなければならない。 、テキストメッセージ、個人情報の対象者に電子メールまたは手紙で通知し、必要に応じて業界監督当局およびサイバーセキュリティおよび情報化部門に報告します。
第 36 条 国務院の関連管轄当局が国家安全保障、社会管理の保護の義務を遂行するために、法律および行政法規の規定に従ってネットワーク事業者に対し、保有する関連データの提供を要求する場合、経済規制など、ネットワーク事業者が提供する必要があります。
国務院の関連管轄当局は、ネットワーク事業者が提供するデータの安全保護に責任を負い、その職務の遂行に関係のない目的でデータを使用してはならない。
第37条 ネットワーク運営者が本措置の規定に違反した場合、関連部門は関連法律および行政法規の規定に従い、状況に応じて公開露出、不法収益の没収、業務停止などの措置を講じるものとする。関連事業の停止、是正のための事業停止またはウェブサイトの閉鎖、関連営業許可の取り消しまたは営業許可の取り消しおよびその他の罰則があり、犯罪が構成された場合には、法律に従って刑事責任が追及されます。
第5章 附則
第38条 この措置における次の用語の意義
(1) ネットワーク事業者とは、ネットワーク所有者をいう。 、管理者、ネットワーク サービス プロバイダー。
(2) ネットワークデータとは、ネットワークを通じて収集、保存、送信、処理、生成されるさまざまな電子データを指します。
(3) 個人情報とは、電子的またはその他の手段によって記録され、単独または他の情報と組み合わせて自然人の個人識別を識別できるさまざまな情報を指します。これには、氏名、生年月日が含まれますがこれらに限定されません。 、および自然人の身分証明書番号、個人生体情報、住所、電話番号など
(4) 個人情報主体とは、個人情報に特定または関連付けられた自然人を指します。
(5) 重要データとは、未公開の政府情報、大規模人口、遺伝的健康、地理、データなど、一度漏洩すると国家安全保障、経済安全保障、社会の安定、公衆衛生と安全に直接影響を与える可能性のあるデータを指します。鉱物資源など重要なデータには通常、企業の生産および運営情報、内部管理情報、個人情報などは含まれません。
第 39 条: 国家機密情報およびパスワードの使用を伴うデータ活動は、関連する国内規制に従って実施されるものとします。
第 40 条: この措置は、年、月、日に発効するものとします。
以上がデータのセキュリティ管理対策はどのようなものですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。