APPは顔認識を強制しますか?アカウントをキャンセルできませんか？国は行動を起こしている

現在、インターネット上では個人のプライバシー情報の漏洩が頻繁に発生しています。アプリは多くの場合、ユーザーに認証を強制し、そうでなければ使用できません。「顔認証が許可されていない場合は、自分のコミュニティゲートに入ることさえできない」という状況さえあります。今後は、これらの問題に対処する際に従うべきルールが設けられるでしょう。

中国サイバースペース管理局は11月14日、「ネットワークデータセキュリティ管理規則（意見募集稿）」（以下、「意見募集稿」という）に関する意見募集通知を発行した。これは、データセキュリティ保護能力の構築を強化し、法に基づいてデータの秩序ある自由な流通を確保し、法に基づいてデータの合理的かつ有効な使用を促進することを目的としている。

個人情報はどのように扱われるべきでしょうか？

コメント募集草案では、データ処理者は、個人がサービスに必要な個人情報以外の情報の提供を拒否したことを理由に、サービスの提供を拒否したり、個人のサービスの通常の使用を妨害したりしてはならないと規定されています。

写真は「ネットワークデータセキュリティ管理規則（意見募集案）」のスクリーンショットです。

「意見募集草案」では、個人情報の処理に関する同意はサービスの種類に応じて個別に個人から求める必要があり、同意を得るために一般的な用語を使用すべきではないことも指摘されており、個人の生体認証、宗教的信念、特定の身元、健康状態、金融口座、居場所などのセンシティブな個人情報の処理には、個人の個別の同意を得る必要がある。

「14歳未満の未成年者の個人情報を処理する場合、保護者の同意を得る必要があります。サービス品質の向上、ユーザーエクスペリエンスの向上、新製品の開発などを理由に、個人情報の処理に同意するよう個人に強制してはなりません。誤解を招く、詐欺、強制などにより個人の同意を得てはなりません。さまざまな種類のサービスをバンドルしたり、一括して同意を申請したりすることにより、大量の個人情報に同意するように個人を誘導または強制してはなりません。個人が明確に同意しない意思を表明した後、頻繁に同意を求めたり、サービスの正常な使用を妨害したりしてはなりません。」

また、ユーザーがサービスの終了またはアカウントのキャンセルを要求した場合、データ処理者は15営業日以内に個人情報を削除するか匿名化するものとします。

注目すべきは、一部のアプリやコミュニティ プロパティでは、これまでユーザーに顔認識を強制していたことがあることです。 「意見募集草案」では、データ処理業者が個人の身元認証に生体認証を使用する場合、必要性と安全性に関するリスク評価を実施すべきであり、顔、歩き方、指紋、虹彩、声紋などの生体認証を個人の身元認証の唯一の方法として使用し、個人に個人の生体認証情報の収集に同意するよう強制してはならないと指摘している。

これらは企業ではできないことだ

意見募集草案では、個人情報の処理に関する規則を提案するほか、データ処理者に対するさまざまな要件も定めており、データ処理活動を行う個人または組織は、データを違法に販売または他者に提供してはならないこと、盗難やその他の違法な手段でデータを取得してはならず、他者の名誉、プライバシー、著作権、その他の法的権利を侵害してはならないことを指摘している。

[[435931]]

データ画像。ユーザーはアプリ上で顔認識を実行しています。写真：中国新聞社の牛静氏

「前項に規定する行為を他人が行っていることを知り、または知るべき個人または組織は、当該行為に対し、技術サポート、ツール、プログラム、広告宣伝、代金決済その他のサービスを提供してはならない。」

データ処理者は、データの漏洩、盗難、改ざん、破壊、紛失、または不正使用からデータを保護し、データセキュリティインシデントに対応し、データを標的として利用する違法行為や犯罪行為を防止し、データの完全性、機密性、および可用性を維持するものとします。

「意見募集草案」は、「重要なデータや10万人以上の個人情報の漏洩、破損、紛失などのデータセキュリティ事故が発生した場合、データ処理者は、事故発生後8時間以内に、関係するデータの量と種類、起こり得る影響、すでに講じられた、または講じる予定の処分措置など、事故の基本情報を市レベルのインターネット情報部門と関係主管部門に報告しなければならない」と指摘している。

さらに、「意見募集稿」では、インターネット上の一部の「クローラー」を規制しています。自動化ツールが法律、行政法規、業界の自主規制条約に違反してデータにアクセスして収集したり、ネットワークサービスの正常な機能に影響を与えたり、知的財産権など他人の正当な権利や利益を侵害したりした場合、データ処理者はデータへのアクセスと収集を停止し、対応する是正措置を講じる必要があります。