2020年10月21日,全国人民代表大会法務委員会は「オンラインカジノ アプリ保護法(草案)」(以下、「」という)を公開審査した。“オンラインカジノ アプリ”) コメントを求める。草案は近年のデータ コンプライアンス慣行に対応している,国際的な経験から学ぶ,国の状況に沿った、将来を見据えた新しい規制の道筋を立てる,これは、我が国が国際的なデータ保護に関する議論システムの中で地位を占めるための基礎を築くことにもなります。企業向け,オンラインカジノ アプリ保護強化の傾向が明らかになった,データ コンプライアンスは、企業の競争力向上を支援する重要な推進力となる。最も懸念される次の 8 つの典型的な問題が議論の対象として選択されます。
一、オンラインカジノ アプリ場合、「同意」原則のみを使用できますか??
長い間,法的義務を果たすために必要な場合を除く,個人の同意を得ることがオンラインカジノ アプリ唯一の法的根拠。経済的および社会生活の複雑さと個人情報処理のさまざまな状況を考慮する,草案は、個人の同意以外に基づく個人情報の法的処理を規定しています,つまり: 契約の締結または履行に必要、法的義務または義務を履行するために必要、自然人の生命、健康、財産の安全を保護するために必要、公共の利益のために合理的な範囲内でオンラインカジノ アプリ。
それでも,「情報に関する同意」は依然としてオンラインカジノ アプリ処理規則の中核である,既存の国内法規制システムに広く導入されています。草案では「情報に関する同意」ルールが大幅に改善および更新されています,コンプライアンスのエコシステムに大きな影響を与えることは間違いありません。
(1) 広範な通知義務。よくある誤解は、通知は同意に基づいてオンラインカジノ アプリための前提条件にすぎないということです。草案には明確に規定されています,オンラインカジノ アプリ前の個人情報処理者,すべて目立つようにしなければなりません、明確でわかりやすい情報が前提条件です,通知する必要がある事項を詳細にリストアップします。
(2) 同意は十分に伝えられる必要があります,自発的かつ明確な意思表示。「自発的」とは、個人の自由意志に基づく意思表示を意味します。部門が従業員のオンラインカジノ アプリ場合,従業員が「認可同意書」に署名したとしても、「自発的」要件を満たさない可能性があります,部隊と従業員の地位が同等ではないため。「個人情報セキュリティ仕様書」と組み合わせる, 「明示的」とは、アクティブな宣言を含むことを意味します,つまり、書くことによって、口頭またはその他の方法で行われた言語的内容を含む自発的な声明;アファーマティブ・アクションも含めるべき,積極的にチェック、「同意する」を積極的にクリックするなどの積極的な行動。ただの沈黙,つまり、消極的な不作為,法的規定がない場合、当事者が同意する場合、または取引慣行と一致する場合は、「明確」とみなされるべきではありません。
(3) 新たなコンセプトの創出: 別途合意。草案では「個人の同意」の具体的な意味が説明されていない,「個人の同意」を必要とするさまざまな特定のシナリオのみを規定,つまり: オンラインカジノ アプリために第三者に提供する、個人情報の公的処理、公共の場所に画像撮影および個人識別装置を設置する、機密の個人情報の処理と海外への個人情報の提供。わかりました,「個人の同意」は、一般的な「任意」よりも任意です。、「より高い基準に明示的に同意する」,シーンごとにトリガーする必要があります、個別の表示により個人に通知し、明示的な同意を得た。GDPR ルールの明示的な同意を参照してください。同意に関するガイダンスでは、次のように説明されています,"より標準的な技術的手法を使用することをお勧めします,ユーザーの真の承認を確認するため,たとえば、検証手順を追加する,ユーザーの同意を得た後、リンクまたは SMS 認証方法を使用して再度確認するようユーザーに依頼します。」。
個人情報は、個人が当事者である契約の締結または履行に必要な場合にも処理される場合があります。これは画期的な設定です,適切に使用すると、ビジネス シナリオでオンラインカジノ アプリ際に非常に便利になります。この記事を適用する際の中心的な問題は、「必要」をどのように理解するかです,草案ではこれについて詳しく規定されていない。GDPR との比較,今後の実務においては、「契約の履行」について厳格な解釈を採用すると判断します。具体的に,「必要」とは、契約の形成および履行中に個人にサービスを提供するために不可欠な処理行為を指します,契約の規定や条件の表現に限定することはできません。たとえば,消費者が e コマース プラットフォームの販売者に商品を自宅に直接送ってもらいたい場合,販売者による消費者の住所情報の処理は、商品の売買契約を履行するために必要であるとみなされる場合があります;ただし、消費者が商品を特定の速達ポイントに送ることを選択した場合,販売者が他の法的根拠を取得しない限り,そうでない場合、契約履行の目的で消費者の住所情報を処理できません。
二、機密オンラインカジノ アプリには正確には何が含まれます,なぜ別のセクションなのか?
草案はオンラインカジノ アプリ保護の「リスクパス」の考慮を反映しています,つまり、オンラインカジノ アプリの処理行為を規制する際の優先順位の区別、大きいものを捕まえて小さいものは手放す,企業は、それに応じてコンプライアンス リソースを合理的に割り当てる必要もあります。機密オンラインカジノ アプリの取り扱いに関する規則に関する別のセクションが証拠の 1 つです。
個人情報処理業者は、特定の目的で必要な場合にのみ機密の個人情報を処理できます。「情報提供の同意」義務,オンラインカジノ アプリについて、個人にさらに通知する必要があります,法律に従って個人の個別の同意を取得するか、書面による同意を取得します。たとえば,自動販売機で買い物をしたり、エクスプレス ロッカーから荷物を受け取るときに、本人確認や支払いに顔認識が使用されます,個人の生体認証として、顔は機密性の高い個人情報です。現時点では,自動販売機またはエクスプレス ロッカーのオペレーターによる自分の顔情報の処理に個人が個人的にかつ故意に同意した場合,それは可能ですか?特定の目的のための条件にもかかわらず,しかし、買い物や宅配便の受け取りのためだけに顔を収集する十分な必要性を証明するのは困難,言われても説明するのは難しい。その反対,空港でセキュリティチェックを通過する際の個人の顔認識は公共の安全を目的としています,十分な必要性,したがって、シーン内の顔情報の処理は個人の同意に基づいたものではありません,個別の同意を得る必要はありません。しかし,オンラインカジノ アプリを個人に通知する義務は免除されません。
草案における機密オンラインカジノ アプリの範囲には、一般的な定義と非網羅的なリストのみが含まれています。実際に,「オンラインカジノ アプリセキュリティ仕様」の表 B を参照してください.1「個人の機密情報」の例,草案にある個人の生体認証、医療健康、すべての金融口座カテゴリには参照値があります。注目すべき点,人種、民族、宗教的信念が機密オンラインカジノ アプリとして草案に含まれています。伝統的に,中国人はこの種の情報にはあまり敏感ではありません,私たちは幼い頃からさまざまな形式で民族を記入するよう求められてきました。社会の進歩と多様性とともに,企業はオンラインカジノ アプリを扱う際、国内と国際の両方の視点を持つ必要がある,さまざまな民族グループを完全に尊重、宗教、政治、文化的背景。
三、自動化された意思オンラインカジノ アプリとは,関連する規制は当社に影響を及ぼしますか??
草案では、法的レベルでの自動化された意思決定について初めて言及,そしてそれに豊かな意味合いを与える,その結果、ビッグデータを使用するほぼすべての企業がある程度の規制の対象となる。具体的に,自動化された意思決定とは、個人の行動習慣に影響を与えるためにオンラインカジノ アプリを使用することを指します、趣味または経済、健康、信用状況など,コンピュータプログラムによる自動分析、評価と意思決定の活動。
「オンラインカジノ アプリセキュリティ仕様」は GDPR 規則に従います,自動化された意思決定の特徴の 1 つは、その決定がオンラインカジノ アプリ主体の権利と利益に重大な影響を与える可能性があることであることを指摘してください。たとえば,個人の信用とローンの限度額を決定できる、面接選考の意思決定は自動意思決定です;ユーザー インターフェースでユーザーの特定の状況に基づいて別の製品を推奨したり、デフォルトの並べ替えを行ったりすることは、自動的に決定されるものではありません。草案は、自動化された意思決定が個人の権利と利益に重大な影響を与えなければならないという要件を突破しています,意思決定プロセスの自動化に重点を置く;しかし同時に定められている,自動化された意思決定が個人の権利に重大な影響を与える場合,個人は処理者に説明を要求する権利を有します,そして自動化された手段のみによる意思決定に反対する権利。
これに基づく,自動化された意思決定に関する規制は、情報社会のあらゆる階層に広く影響を及ぼします,特に人工知能の応用シナリオ。オンラインカジノ アプリ処理者は、自動化された意思決定のコンプライアンスに特に注意を払う必要があります,例: プライバシー ポリシーなどを通じて,自動化された意思決定の存在を個人に知らせる、基本的な動作ロジックと個人への影響;データとアルゴリズムの定期的なテストを通じて,意思決定のための基本データの正確性と関連性を確保する,そして意思決定アルゴリズムの解釈可能性と無差別性;オプションを閉じることにより、手動レビューとその他の方法,個人が自動化された機械の意思決定に完全に従わないようにする。
4、公開オンラインカジノ アプリ際にコンプライアンスのリスクはありますか,特に個人情報が政府によって開示された場合?
長い間,公開されているオンラインカジノ アプリの処理は、ほとんどの状況において安全策とみなされます,特にオンラインカジノ アプリが公式ルートを通じて開示される場合。民法適用後,この草案は、公開されているオンラインカジノ アプリの処理に関する境界も定めています,そしてまた一歩。
民法は個人情報処理の免除事由を定めている,自然人によって開示された情報または法的に開示されたその他の情報の合理的な処理を含む,自然人が明示的に拒否する場合、または情報の処理がその人の重大な利益を損なう場合を除く。規制草案,開示された個人情報について,個人情報処理業者は、開示目的に関連した合理的な範囲内でオンラインカジノ アプリ場合があります,しかし,処理活動が個人に重大な影響を与える場合,依然として個人に通知し、同意を得る必要があります。「個人に重大な影響を与える」ことは、「重大な個人的利益を損なうこと」よりも明らかに簡単である,公開個人情報の取り扱いに対する草案の慎重なアプローチを示す。
草案が導入されるずっと前,これに関連する司法上の考え方が司法実務において変化している。公開アカウント「プライバシー ガード」を運営するサザン メトロポリス デイリーの報道による,北京インターネット法廷の裁判官の見解は、企業によるデータの再利用において次のことを示しています,公開データは重要なカテゴリです,権利者による自己開示を含む、政府によるオンラインカジノ アプリ開示または司法上の開示。判決文を例に挙げます,以前の裁判所の判決では、判決文書が信頼できるオンラインカジノ アプリ源でした,再利用時にコンテンツが一貫している限り、一般的にはそう考えられています,不正な使用はありません,侵害にはなりません。しかし,最新の有効な判定では、審判の結果が異なっています,オンラインカジノ アプリ公開を検討する一方で、公開オンラインカジノ アプリの再利用が権利者の保護に値する重要な利益を侵害する可能性がないかどうかも検討します。
五、オンラインカジノ アプリの国境を越えた提供には評価が必要かどうか,評価後も個人の同意が必要かどうか?
草案では、オンラインカジノ アプリの国境を越えた提供は別の章に記載されています,法律を見るのに十分、これに関する規制レベルの懸念。全体,送信対象者の ID に応じて,オンラインカジノ アプリ処理業者は規制上の評価に合格する必要がある場合があります、または規制評価から取得できます、専門機関の認定、契約締結時に選択,特殊な状況(国際司法支援または行政法執行支援のために海外でオンラインカジノ アプリを提供する必要がある場合など)では、法律に従うものとします、処理に関する行政規制。とにかく,通知義務や同意義務は放棄できません。具体的な懸念事項は次のとおりです:
(1) 重要な情報インフラストラクチャ事業者向けの要件草案、国家サイバースペース部門によって指定された量までオンラインカジノ アプリ個人情報処理業者,個人情報を本当にエクスポートする必要がある場合,国家サイバースペース部門が主催するセキュリティ評価 (つまり、規制評価) に合格する必要があります。これらの規制は、中華人民共和国サイバーセキュリティ法 (「サイバーセキュリティ法」) 第 37 条における国境を越えたセキュリティ評価の適用範囲を拡大します,重要な情報インフラストラクチャのオペレーターを除く,個人情報をある程度処理する人も遵守する必要があります;同時に,「個人情報の海外移転の安全性評価に関する措置(意見募集案)」と比較して、規制評価の適用基準が引き上げられました。
(2) 比較規制評価、専門機関による認定、または他の法的条件を満たす,海外の受取人と契約を結ぶのが、出国するための最も敷居の低い方法のようです。規制草案,「海外の受取人と契約を結ぶ,両当事者の権利と義務に関する合意,また、そのオンラインカジノ アプリ処理活動がこの法律に定められたオンラインカジノ アプリ保護基準を満たしていることを監督します。」。しかし,GDPR の「標準契約条項」モデルを参照,特に米国と EU 間のプライバシー シールド協定が無効になった場合,裁判所は、標準契約条項が依然として EU の個人データを EU 国外に移転するための有効なメカニズムであることを確認,ただし、企業は個人データを受け取る国の法律と個人データ転送シナリオをケースバイケースで評価する必要があります。
(3) GDPRとの比較,草案は国または地域ベースの「十分性の決定」モデルを採用していない,同じグループ内の異なる事業体間の国境を越えた提供については、個別のルールは設定されていません。わかりました,フレームワークの評価は多くの場合、多数のケース評価に基づいています,評価経験の成果を抽出。同じビジネス モデルまたは同じグループ内のオンラインカジノ アプリのエクスポート パターンは、多くの場合似ています,標準化された評価システムを確立すると、コンプライアンス コストを大幅に削減できます。
6、オンラインカジノ アプリの権利と義務に関してこの草案にはどのような画期的な点がありますか、革新?
草案はオンラインカジノ アプリに関する権利と義務のシステムを確立します。これらの内容は企業実務で取り上げられています,しかし、これまでは法的レベルでは完全に規制されていませんでした。個人の権利に関して,情報の個人的な楽しみ、決定権,見る、複製権,訂正、補足、削除する権利,そして説明を求める、承認を申請する権利。オンラインカジノ アプリ処理者の義務に関して,オンラインカジノ アプリ処理者は、必要な技術的および管理的措置を講じる必要があります、オンラインカジノ アプリ保護責任者の設置、定期的なコンプライアンス監査の実施、事前リスク評価、オンラインカジノ アプリが漏洩した後は、速やかに是正し、通知する必要があります。議論に値する 2 つの点の単純な選択:
(1) オンラインカジノ アプリの違法収集や契約違反を個人の削除権行使の前提条件としているサイバーセキュリティ法との比較,草案はオンラインカジノ アプリの削除の条件を拡大,同意された保存期間が終了したか、処理目的が達成された場合を含む,プロセッサーは製品またはサービスの提供を停止します,個人による同意の撤回,オンラインカジノ アプリの処理は違法または契約違反,またはその他の法的状況。GDPR と CCPA の比較,どちらも削除に対する特定の例外を規定しています,たとえば、法的義務を果たすため、システムのセキュリティを維持する、保証訴訟、言論の自由を行使する、科学研究などの公益目的。草案には例外はありません,ただし、法定保存期間は終了していません、またはオンラインカジノ アプリを削除することが技術的に困難な場合,オンラインカジノ アプリの処理を停止するという選択。
(2) さらに,この草案では、オンラインカジノ アプリ処理業者に対し、漏洩を発見した場合には関連部門に通知するよう義務付けています,ただし、情報漏洩による損失を効果的に回避できる人向け,個人への通知義務の免除。しかし,データ セキュリティ インシデントは、厳格な基準に従ってほぼ毎日発生しています,正確な定義のない一般的な通知義務により、企業は意思決定が困難になる可能性があります,同時に、処理業者や規制当局の負担が不必要に増加します。
7、中国は将来、オンラインカジノ アプリ処理の違法行為に対して治外法権を行使する可能性もある?
草案には、管轄範囲内で国内の自然人のオンラインカジノ アプリ中国国外でのいくつかの活動も含まれます,商品またはサービスの提供原則をベンチマークし、GDPR に基づく原則を実際に監視することで、部分的に予備判断を行うことができます。「国内の自然人に商品またはサービスを提供する目的」,実際には、個人情報処理業者が中国の個人に商品またはサービスを「意図的に」提供しているかどうかが考慮される場合があります。"分析用、領域内の自然人の行動の評価」は処理の目的に基づいています,個人情報を使用した行動分析に重点を置く、評価活動;監視の原則は行動の観点からのもの,監視動作が必要であり、その後の悪用も含まれる。この二つは似ています,ユーザーのポートレートや関連するターゲットを絞ったプッシュなど、消費者の習慣分析は典型的なシナリオです。
治外法権の規定に加えて,また、この法律が適用される海外のオンラインカジノ アプリ処理業者は、国内に専門機関または指定代理人を設立する必要があります,関連機関または代表者に関する情報を管轄当局に提出する。出発点は法執行機関の把握ポイントを設定することである,域外管轄権の効果的な実施を確保する。
8、オンラインカジノ アプリ主体の法律違反の代償はどれくらい,関連する違法行為に対する捜査と処罰はどの程度強化されるか?
草案はオンラインカジノ アプリの違法な処理に対する行政罰を包括的に規定している、民事賠償と刑事責任,特に第 62 条では、最高 5,000 万元または前年売上高の 5% という高額の罰金を課しています,GDPR 基準の 2,000 万ユーロまたは前年度の全世界売上高の 4% に匹敵,オンラインカジノ アプリの処理を規制する中国の決意を宣言。
違法行為に対する捜査と処罰の激しさを予測するのは困難,ただし、この草案では、オンラインカジノ アプリ保護の義務を負う部門に法執行を行う権限が完全に与えられています,違法なオンラインカジノ アプリ処理活動の証拠がある機器を含む、アイテム,押収または拘留される可能性があります。押収された、差し押さえは行政上の強制措置です,原則として法律でのみ定められる。「中華人民共和国証券法」第 170 条は、証券監督機関による証券取引の記録を規定しています、証券口座などの金融情報の差し押さえと差し押さえ,この草案では、管轄当局が事件を処理する際にオンラインカジノ アプリを押収する権限を与えられています、差し押さえの権利,オンラインカジノ アプリの監督過程における行政執行措置を法的拘束力のあるものにする。
北京 ICP オンラインカジノ アプリ 05019364-1