220721_滴滴に対するサイバーセキュリティ審査に関する行政処罰決定(日本語試訳)

この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。

国家インターネット情報弁公室は滴滴グローバル有限公司に対して法律に基づいてサイバーセキュリティ審査に関する行政処罰の決定を下した

2022年07月21日

サイバーセキュリティ審査の結論と発見された問題と手がかりに基づいて、国家インターネット情報弁公室は法律に基づいて滴滴グローバル有限公司の違法行為の疑いについて立件調査を行った。調査の結果、滴滴グローバル有限公司の「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」に違反した違法行為は事実が明確で、証拠が確実で、経緯が深刻で、性質は悪質であることが判明した。

7月21日、国家インターネット情報弁公室は「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」「行政処罰法」等の法律法規に基づいて、滴滴グローバル有限公司に対して人民元80.26億元の罰金を科し、滴滴グローバル有限公司の董事長兼CEOの程維、総裁の柳青に対してそれぞれ人民元100万元の罰金を科した。

(中国語原文)
http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm

国家インターネット情報弁公室の関連責任者による、滴滴グローバル有限公司に対して法律に基づいてサイバーセキュリティ審査に関する行政処罰の決定についての記者質問への回答

2022年07月21日

国家インターネット情報弁公室は7月21日、滴滴グローバル有限公司(以下「滴滴公司」と略称する)に対し、法律に基づいてサイバーセキュリティ審査に関する行政処罰の決定を下した。国家インターネット情報弁公室の関連責任者は事件に関する問題について記者の質問に回答した。

一、質問:事件の背景と調査の経緯を簡単に紹介してください。

回答:2021年7月、国家データ安全リスクを防止し、国家安全を維持し、公共利益を保障するため、「国家安全法」「サイバーセキュリティ法」に基づき、サイバーセキュリティ審査弁公室は「サイバーセキュリティ審査弁法」に基づき滴滴公司に対してサイバーセキュリティ審査を実施した。

サイバーセキュリティ審査の結論と発見された問題と手がかりに基づいて、国家インターネット情報弁公室は法律に基づいて滴滴公司の違法行為の疑いについて立件調査を行った。期間中、国家インターネット情報弁公室は調査・問い合わせ、技術証拠収集を行い、滴滴公司に関連証拠資料の提出を命じ、本件証拠資料に対して徹底的に検証・分析し、滴滴公司の意見を十分に聴取し、滴滴公司の合法的権利を保障した。調査の結果、滴滴公司が「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」に違反した違法行為は事実が明確で、証拠が確実で、経緯が深刻で、性質が悪質であり、厳正・厳重に処罰しなければならないことが判明した。

二、質問:滴滴公司にはどのような違法行為がありましたか。

回答:調査の結果、滴滴公司には16件の違法事実があることが判明し、主に8つの分野にまとめられた。第一に、ユーザーの携帯電話内のアルバムのスクリーンショット情報1196.39万件を違法に収集したこと。第二に、ユーザーのクリップボード情報、アプリケーションリスト情報83.23億件を過度に収集したこと。第三に、乗客の顔識別情報1.07億件、年齢層情報5350.92万件、職業情報1633.56万件、家族関係情報138.29万件、「自宅」と「会社」のタクシー乗車場所情報1.53億件を過度に収集したこと。第四に、乗客が代行運転サービスを評価する際、アプリのバックグラウンド実行時、携帯電話がオレンジレコーダ装置(滴滴公司が提供する携帯アプリ)に接続する際の正確な位置(経緯度)情報1.67億件を過度に収集したこと。第五に、運転手の学歴情報14.29万件を過度に収集し、運転手の身分証明書番号情報5780.26万件をテキスト形式で保存したこと。第六に、乗客に明確な通知なしに、乗客の移動意図情報539.76億万件、常駐都市情報15.38億件、オフサイトビジネス/オフサイト観光情報3.04億件を分析したこと。第七に、乗客がライドシェアサービスを利用する際に無関係な「電話アクセス権限」を頻繁に請求したこと、第八に、ユーザー装置情報等19項目の個人情報処理目的を正確、明確に説明していないことであった。

これまで、サイバーセキュリティ審査では、滴滴公司には国家安全に深刻な影響を与えるデータ処理活動が存在していること、および監督管理部門の明確な要求の履行を拒否し、表面的には従っているが、裏では違反しており、悪意を持って監督管理を回避したこと等、その他の違法問題が判明した。滴滴公司のこの違法な運営は、国家の重要な情報インフラとデータセキュリティに深刻なセキュリティリスクをもたらすものであり、国家安全にかかわるため、法律に基づいて公表されない。

三、質問:本件の違法主体はどのように認定されたましたか。

回答:滴滴公司は2013年1月に設立され、国内関連の業務ラインは主にネット予約車、ライドシェア車、二輪車、自動車製造等であり、関連製品には滴滴移動アプリ、滴滴オーナーアプリ、滴滴ライドシェアアプリ、滴滴企業版アプリ等41種類のアプリを含む。

滴滴公司は国内各業務ラインの重要事項に対して最高の意思決定権を有し、制定された企業内部制度・規範は国内の各業務ラインにすべて適用され、かつ実施状況に対して監督管理責任を負う。当該公司は滴滴情報及びデータセキュリティ委員会、その下に設置された個人情報保護委員会、データセキュリティ委員会を通じて、ネット予約車、ライドシェア等の業務ラインに関する行為の意思決定、指導、監督管理に参画し、各業務ラインの違法行為は当該公司の統一的な意思決定と配置の下で具体的に実施された。これにより、本件の違法行為の主体は滴滴公司と認定された。

滴滴公司の董事長兼CEOの程維、総裁の柳青は、違法行為に対して主管責任を負う。

四、質問:滴滴公司に対するサイバーセキュリティ審査に関する行政処罰の決定を下す主な根拠は何でしょうか。

回答:今回の滴滴公司に対するサイバーセキュリティ審査に関する行政処罰は、通常の行政処罰とは異なり、特殊性がある。滴滴公司の違法行為は経緯が深刻で、サイバーセキュリティ審査の状況と結合し、厳正・厳重に処罰されなければならない。第一に、違法行為の性質から見ると、滴滴公司は関連法律法規の規定と監督管理部門の要求に従って、サイバーセキュリティ、データセキュリティ、個人情報保護の義務を履行せず、国家サイバーセキュリティ、データセキュリティを無視し、国家サイバーセキュリティ、データセキュリティに深刻なリスクと隠れた危険性をもたらし、かつ監督管理部門が是正を命じた状況においても、未だ全面的に徹底的な是正を行わず、性質は極めて悪質である。第二に、違法行為の継続期間から見ると、滴滴公司の関連違法行為は早ければ2015年6月に始まり、現在まで7年間続き、2017年6月に実施された「サイバーセキュリティ法」、2021年9月に実施された「データセキュリティ法」、2021年11月に実施された「個人情報保護法」に違反し続けている。第三に、違法行為の危害から見ると、滴滴公司は違法手段を通じてユーザーのクリップボード情報、アルバム中のスクリーンショット情報、家族関係情報等の個人情報を収集し、ユーザーのプライバシーを著しく侵害し、ユーザーの個人情報の権益を著しく侵害している。第四に、個人情報を違法に処理した件数から見ると、滴滴公司は個人情報を違法に処理した件数が647.09億件に達し、その数が膨大で、その中には顔識別情報、正確な位置情報、身分証明書番号等の多種類の機密個人情報が含まれている。第五に、個人情報を違法に処理する状況から見ると、滴滴公司の違法行為は複数のアプリに関連しており、個人情報の過度な収集、機密個人情報の強制収集、アプリの頻繁な権利請求、個人情報の処理告知義務の未履行、サイバーセキュリティ・データセキュリティの保護義務の未履行等多様な状況に及んでいる。

滴滴公司の違法行為の性質、持続期間、危害及び状況を総合的に考慮し、滴滴公司に対してサイバーセキュリティ審査に関する行政処罰の決定を下す主な根拠は「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」「行政処罰法」等の関連規定である。

五、質問:次のサイバー法執行の主な方向性と分野は何でしょうか。

回答:ここ数年来、国は絶えずサイバーセキュリティ、データセキュリティ、個人情報の保護を強化しており、相前後して「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」「重要情報インフラセキュリティ保護条例」「サイバーセキュリティ審査弁法」「データ越境セキュリティ評価方法」等の法律法規を公布した。サイバーセキュリティ及び情報化部門は法律に基づいてサイバーセキュリティ、データセキュリティ、個人情報保護等の分野の法執行に力を入れ、法執行機関のインタビュー、是正を命じ、警告、批判の通報、罰金、関連業務の一時停止を命じ、業務是正の休業、ウェブサイトの閉鎖、廃棄、責任者の処分等の処罰措置を通じて、法律に基づいて国家サイバーセキュリティ、データセキュリティを危害し、公民の個人情報を侵害する等の違法行為を取り締まり、国家サイバーセキュリティ、データセキュリティと社会公共の利益を効果的に保護し、国民の合法的権益を協力に保障する。同時に、典型的な事例の公表を強化し、強大な勢いと強力な抑止力を形成し、一つの事件の調査・処分することによって、周りに警告の影響を与えるようにし、インターネット企業が法律に基づいて規則に則って運営するよう教育・指導し、企業の健全で規範の秩序ある発展を促進する。

(中国語原文)
http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm