モノのインターネット(IoT)、クラウドコンピューティング、ビッグデータなどの新たなテクノロジーの開発と統合により、企業はますます多くのデータ・個人情報を取り扱うこととなり、クラウドストレージサービスの普及及びサイバー攻撃の高度化・巧妙化によって、情報漏洩のリスクも格段に高まっている。
自動車業界に視点を向けると、電気自動車の車室内サービスは高度なデジタル化が進み、提供するコンテンツの多様化によりユーザー体験は劇的に向上している。一方、電気自動車メーカーが取り扱うデータが膨大化する中、サイバーリスクの脅威は無視できない課題となっている。2022年末、中国の某有名電気自動車メーカーがサイバー攻撃を受け、ユーザー個人情報の大量流出が発生した。同社は情報等の流出について謝罪するとともに、ハッキング事件の経緯と脅迫を受けている事実について説明を行ったが、ユーザーへの具体的な影響や解決方法についても明らかにすべきであったとの声が上がり、これを契機として、情報漏洩時に企業がとるべき対応措置や法的責任をめぐる議論が展開された[1]。当該事件は、電気自動車メーカーが抱えているデータコンプライアンスリスクを我々に強く意識させる象徴的な一例であったといえよう。
本稿では、電気自動車メーカーがサイバー攻撃を受け大量の個人情報等が漏洩する事態となった場合の対応措置、法的責任、ユーザーとの契約の注意点など幾つかのリーガルポイントを検討していく。
Ⅰ 情報漏洩等インシデント発生時の対応措置
情報漏洩等インシデントが発生した場合の対応措置について、サイバーセキュリティ法、データ安全法及び個人情報保護法(以下、これらの法律を総じて「データ法」という。)は、明確な規定を設けている。データ法の下、データ取扱者又は個人情報取扱者たる企業(以下、データ取扱者及び個人情報取扱者を総じて「データ取扱者等」という)は、直ちに被害の拡大防止、監督管理部門への報告、ユーザーへの通知といった行動をとることが義務づけられている。これについて、以下詳述する。
1. 直ちに対応策を講じる義務
中国民法典及びデータ法は、情報漏洩等インシデントが発生し、又はそのおそれがある場合、ネットワークサービスプロバイダー、データ取扱者等において直ちに対応策等を講じなければならないと定めている。
まず、被害の拡大を防止する措置が必要となる。例えばサーバーの一時停止、セキュリティ脆弱性の点検・修復、データへのアクセスの切断、漏洩したデータが他のプラットフォームで流布されている場合におけるその運営事業者への削除要請などが挙げられる。
再発防止策としては、技術面及び管理面におけるデータ漏洩原因の特定、防止措置の点検及び脆弱点の改善のほか、事件発生後の迅速な対応を可能とする応急処置マニュアルの見直し及び模擬訓練、責任者及び担当者を明確化する組織機構の整備又は見直し、担当者の教育等も不可欠である。
また、事件発生後においては、内部調査、監督管理部門への報告、監督管理部門の査察調査及び利害関係者との紛争などに備え、事件発生の原因、漏洩データの状況、技術及び管理面におけるサイバーセキュリティ保障措置の整備状況、対応措置の状況、被害状況等について迅速に情報を整理し、証拠を収集することが極めて重要である。
2.監督管理部門への報告義務
情報漏洩等のインシデントが発生したとき、データ取扱者等は、監督管理部門への報告及びユーザーへの通知の要否といった問題に直面する。この点について、データ法には明確な要求が定められている。
サイバーセキュリティ法25条及びデータ安全法29条は、ネットワークの安全を害する事件及びデータ安全を脅かす事件が発生した場合におけるネットワーク運営者の関連主管部門への報告義務を定めている。個人情報保護法57条は、個人情報の漏洩、改竄若しくは紛失が発生し、又はそのおそれがあるとき、個人情報取扱者は個人情報保護管理部門への通知義務を負うと定めている。
これらの報告及び通知が求められるのは、監督管理部門において事業者が適切な救済措置を実施しているか否かを適時に監督し、かつ、被害の規模と程度を把握するためである。事件が国又は公共の利益に影響を及ぼす程度に至ったときは、事業者は、政府又は公共機関による相応の対策・措置に協力しなければならない。後述するように、その過程では、事件の当事者に対するサイバーセキュリティ審査が行われる可能性もある。
なお、データ法は、監督管理部門への報告義務をトリガーする具体的基準を設けていない。情報漏洩等のインシデントが発生したものの、ユーザー等への影響又は損害がほとんどない場合でも監督管理部門への報告義務が発生するのかという疑問が生ずるが、これについては国家基準の規定が一定の参考となる。
国家推奨基準である「情報安全技術 サイバーセキュリティ等級保護基本要求」(GB/T22239-2019)は、ネットワーク運営者のシステム等級を1級から5級に分け、いずれの等級の運営者にも、安全事件発生時における安全管理部門への速やかな報告を推奨している。また、システムの等級ごとに、報告及び処置の手順、現場処理、事件報告、修復作業の範囲及び方法、担当者の職責等をそれぞれ明確化することを求めている。もっとも、あくまで国家推奨基準にすぎないため、これらの実行は企業側のケースバイケースの裁量に委ねられていると解される。情報漏洩の具体的状況と原因からみて、ユーザー等に影響又は損害を与えるおそれが極めて小さいときは、監督管理部門への報告をしなくとも現実的なコンプライアンスリスクは低いといえる。ユーザー等に対する影響又は損害の程度を判断し難い場合は、監督管理部門への報告又は事前相談を行ったほうが無難であろう。
3.公安局への報告義務
情報システムへの侵入又はデータの漏洩は、犯罪又は治安管理に危害を及ぼす事件に伴って発生するケースが多い。
中華人民共和国刑法(以下「刑法」という)253条の1、285条及び286条によると、データの漏洩と関連する犯罪には、個人情報侵害罪、コンピュータ情報システム不法侵入罪、コンピュータ情報システムデータ不法取得罪、コンピュータ情報システム不法制御罪、コンピュータ情報システム破壊罪等がある。データ漏洩事件がこれらの犯罪と関わり、又はそのおそれがあるとき、事業者は、24時間以内に公安機関に報告しなければならない[2]。
他方、中華人民共和国治安管理処罰法29条は、データ漏洩と関連する治安管理違法事件として、(1)国の規定に違反して、コンピュータ情報システムに侵入し、損害を与えるもの、(2)国の規定に違反して、コンピュータ情報システムの機能に対する削除、修正、追加又は妨害を行い、コンピュータ情報システムの正常な作動を不能にするもの、(3)国の規定に違反して、コンピュータ情報システムにおいて保存、処理又は伝送が行われるデータ又はアプリケーションに対する削除、修正又は追加を行うもの、(4)コンピュータウイルス等の破壊的なプログラムを故意に作成し、又は伝播して、コンピュータ情報システムの正常な作動に影響を与えるもの、など定めている。これらの違法行為は、その情状又は影響が刑事訴追の基準に達しない場合には、治安管理に危害を及ぼす違法行為として処理される。情報漏洩等インシデントがこれらの行為と関わり、又はそのおそれがある場合、事業者は24時間以内に公安機関に報告しなければならない[3]。
4.ユーザーへの通知義務
データ法は、監督管理部門又は公安局に対する既述の報告義務のほか、ユーザーへの通知・告知もデータ取扱者等の義務として定めている。
サイバーセキュリティ法42条及びデータ安全法29条は、個人情報の漏洩、毀損、紛失をはじめとするインシデントが発生した場合における速やかなユーザーへの告知義務を定めている。また、個人情報保護法57条によると、個人情報の漏洩、改竄若しくは紛失が発生し、又はそのおそれがある場合、個人情報取扱者は個人への通知をしなければならず(ただし、個人情報取扱者が措置を講じて情報の漏洩、改竄又は紛失による損害の発生を効果的に回避することができる場合を除く)、個人情報保護管理部門が損害発生のおそれを認めたときは、個人情報取扱者をして個人への通知をさせることができる。
具体的な通知内容については、個人情報保護法57条が次のように定めている。
① 漏洩、改竄若しくは紛失が発生し又はそのおそれがある情報の種類、原因及び発生しうる損害
② 個人情報取扱者が講じた救済措置及び個人が講じうる損害軽減の措置
③ 個人情報取扱者への連絡方法
ユーザーに対する通知は、メール、手紙、電話又はプッシュ通知のほか、ユーザー各人への通知が実際に困難である場合には、その他合理的かつ有効な公示の方法によって行うことが考えられる。
また、この通知の目的は、個人情報主体たるユーザーの知る権利を確保すること及びユーザーが自救措置を速やかに講じて二次的損害の発生を防ぐことにある。
データ取扱者等においては、以上の報告・通知の各義務をすべて履行した後、事件の当事者として、事件の発生につき自己に過失がなかったことを立証しなければならず、その立証ができないときは相応の法的責任を追及される可能性がある。
Ⅱ データ取扱者等の法的責任
1.報告・通知義務違反の行政責任
個人情報の漏洩、毀損、紛失等が発生した場合における監督管理部門への報告義務及びユーザーへの通知義務の未履行は、サイバーセキュリティ保障義務、データセキュリティ保障義務、個人情報保護義務といった安全保障義務への違反と解釈することができる。したがって、報告・通知義務違反に特化した罰則はなくとも、安全保障義務違反に対するデータ法上の罰則が適用可能と考えられる。その詳細については、安全保障義務違反の責任に関する後述の説明を参照されたい。
これに対し、コンピュータ情報システム関連の犯罪又は治安管理法違反が行われた場合に公安局への速やかな報告を怠る行為は、警告、システム稼働停止及び是正改善命令といった行政処罰の対象とされている[4]。
自動車企業が情報漏洩等のインシデント発生時の報告又はユーザーへの通知をしなかったために処罰された事例は、公開情報を調べた限り見受けられない。業種は異なるが、過去の金融業においては、サイバーセキュリティ安全事件発生時に適時報告の義務を履行しなかったために業界主管部門により罰せられるケースが多発していた。例えば、某銀行が重要情報システムに生じた突発事件について報告を怠ったために北京銀行保険監督管理局により40万元の過料に処された事例、某銀行が重要情報システムに生じた突発事件について報告を怠り、さらにインターネットポータルサイトにおける機微情報を漏洩したために中国銀行保険監督管理委員会により420万元の過料に処された事例、某証券会社が重大情報安全事件について報告を怠ったために現地の証券監督管理局により警告が発せられ、内部統制の強化等が命じられた事例がある。なお、これらの事例はいずれも金融業の監督法規に基づいて処罰がなされたもので、データ法の規定がその根拠となったわけではない。
2.安全保障義務違反の責任
(1)刑事責任と企業コンプライアンス不起訴制度
刑法286条の1は、ネットワークサービスプロバイダーが法律又は行政法規に定める情報ネットワーク安全管理義務を履行せず、主管部門から是正命令を受けたにもかかわらず、その是正を拒み、かつ、次のいずれかの状況に該当する場合には、「情報ネットワーク安全管理義務履行拒否罪」として、3年以下の懲役若しくは拘留と罰金を併科し、又は罰金を単科するものと定めている。
① 違法な情報を大量に伝播させた場合
② ユーザーの情報を漏洩させ、重大な結果が生じた場合
③ 刑事事件の証拠を滅失させ、その情状が重大な場合
④ その他情状が重大な場合
このうち②の「ユーザーの情報を漏洩させ、重大な結果が生じた場合」の意味について、「情報ネットワーク不法利用、情報ネットワーク犯罪活動幇助等の刑事事件の処理における法律適用に係る若干の問題に関する最高人民法院及び最高人民検察院の解釈」によれば、ユーザーの行動履歴、通信内容、信用又は財産に関する情報500件以上の漏洩、宿泊、通信記録、健康、取引など身体又は財産の安全に影響を及ぼしうる情報5000件以上の漏洩、これら以外のユーザー情報5万件以上の漏洩、人の死亡、重傷、精神の異常、拉致等の深刻な結果の発生、重大な経済的損害の発生、社会秩序の著しい攪乱などをいうものとされている。
データ・情報漏洩等のインシデントが発生した場合において、監督管理部門に命じられた是正措置の実行などの対応を適時にしなかったときは、これらの規定に基づいて刑事責任を問われるおそれがあるため、注意を要する。
なお、中国においては、企業の刑事事件に対するコンプライアンス不起訴の制度が2020年に試験導入されている。この「企業コンプライアンス不起訴」とは、検察機関による主導の下、一定の要件を充足する企業犯罪について、コンプライアンス体制の整備を当該企業に促し、実際に体制の整備がなされた後、専門機関がこれを評価し、合格判定の場合に当該企業を不起訴処分とする制度をいう。刑事訴訟法にはその明確な法的根拠が定められていないものの、最高人民検察院の「企業コンプライアンス試験的改革の実施に関する行動計画」が2021年3月に、「犯罪被疑企業のコンプライアンスに対する第三者監督評価体制の導入に関する指導意見(試行)」(以下「指導意見」という)が2021年6月に公布され、地方においても関連する通達が相次いで発せられている。特に、この指導意見により、弁護士、公認会計士、税理士などの専門家で構成される第三者監督評価機関が企業側のコンプライアンス体制の改善状況を評価し、その評価結果を検察機関が起訴又は不起訴を決定する際の重要な参考とする第三者監督管理制度が確立された。これを導入した各地の事例をみると、一般に、責任者に対する自由刑が最高でも3年以下の軽微な犯罪が運用の対象とされている。上海の某ネットワーク技術会社による2022年のデータ侵害事件をはじめとして、データ関係の犯罪への活用実績も蓄積されつつあり、安全保障義務違反により成立する犯罪にも適用の余地がある。
(2)行政責任
データ取扱者等が自己に発生したデータ漏洩等のインシデントについて監督管理部門へ報告した後には、これを受けた監督管理部門において、データ取扱者等のサイバーセキュリティ及びデータセキュリティ状況について検査を行うことが想定される[5]。これに関し、サイバーセキュリティ法49条2項は、監督管理部門が行う監督検査に対してネットワーク運営者が協力義務を負うことを定めており、個人情報保護法64条は、個人情報保護管理部門が職務を遂行する過程で個人情報安全事件の発生を発見した場合には、個人情報取扱者の法定代表者若しくは主要責任者と面談を行い、又は個人情報取扱者をして、専門機関に依頼し個人情報取扱い活動に対する監査を実施させることができること、個人情報取扱者においてはその要求に従って関連措置を講じ、改善を行い、リスクを解消しなければならないことを定めている。
このような検査の結果、データ取扱者等による安全保障義務の履行が不十分であったと判明したときは、相応の責任が追及される。
例えば、サイバーセキュリティ法59条によると、ネットワーク運営者がサイバーセキュリティ保護義務を履行せず、主管部門から是正命令若しくは警告を受けたにもかかわらず是正をせず、又はサイバーセキュリティへの危害を発生させた場合には、一定額の過料に処される。また、個人情報保護法66条によると、個人情報取扱者が個人情報の取扱いにあたり法定の個人情報保護義務を履行しなかったときは、警告、違法所得の没収、サービスの停止又は中止、過料[6]、営業許可の取消しのほか、直接責任を負う主管者その他直接責任者に対する過料並びに一定期間における董事、監事、高級管理職及び個人情報保護責任者への就任禁止などに処するものとされている。
したがって、データ取扱者等が情報漏洩等のインシデント発生時の行政責任を避けるためには、それについて自己に過失がなく、法定の安全保障義務を十分に履行したことを証明する必要がある。
(3)民事責任
個人情報保護法69条は、個人情報取扱者が個人情報の取扱いに際して個人情報に係る権利・利益を侵害して損害を発生させ、自己の無過失を証明しえないとき(すなわち過失推定の原則)は、損害賠償等の権利侵害責任を負わなければならないと定めている。もっとも、第三者たるハッカーの攻撃等によりデータ漏洩が発生し、そのためにユーザーが損害を受けた場合には(例えば、漏洩した個人情報が悪用され、ユーザーに経済的損害が生じた場合など)、第三者の違法行為による損害であるため、個人情報保護法に基づく個人情報取扱者への責任追及が困難となることも考えられる。
この点に関し、一部の裁判例[7]においては、データ漏洩に起因する個人情報侵害事件についても、安全保障義務に違反した事業者の権利侵害責任[8]に関する民法典の規定に照らして処理しうるとの判断が示されている。すなわち、「第三者の行為により他人に損害が生じたときは、第三者が権利侵害の責任を負い、この場合において、事業者、管理者又は主催者が安全保障義務を尽くしていなかったときは、相応の補充責任を負う。事業者、管理者又は主催者は、補充責任を果たした後、第三者に求償することができる。」と定める民法典1198条2項の規定が、サイバー空間の権利侵害行為にも適用しうるものと認められた。したがって、ユーザーの個人情報の漏洩により当該ユーザーに損害を与えた場合において、データ取扱者等がサイバーセキュリティ又はデータセキュリティの保障義務を十分に尽くしたことの証明に失敗したときは、そのデータ漏洩の発生が第三者のハッカー攻撃等に起因するものであっても、安全保障義務違反に基づく賠償責任を問われる可能性が高い。
その一方で、個人情報の漏洩のみをもってユーザーの損害発生が肯定されるのか、という疑問も残る。損害の発生についてはユーザー個人が立証責任を負うが、単なるデータの漏洩にとどまる事件において、損害の発生及びこれと個人情報取扱者による侵害行為との因果関係を立証することは現実的に難しい。
Ⅲ ユーザーとの契約における免責条項
2022年5月、中国江蘇省の消費者権益保護委員会が電気自動車メーカー14社のユーザーとの契約及びプライバシーポリシーに対してチェックを行った結果、多数の問題点が指摘され、一時注目を集めた。例えば、メーカーの責任を免除する条項として、「第三者のコンピューターシステムに対する攻撃、コンピューターシステムへのウイルスの侵入、政府統制等、サービスの一時停止その他ネットワークの正常な運用に影響を及ぼす不可抗力事由が発生し、これにより個人データの漏洩、紛失、盗用、改ざん等が発生した場合において、当社は、その一切の責任を負わない」といった内容が定められ、その合理性が疑問視された。
ユーザーとの契約は、一般に、事業者が一方的に作成した定型契約である。民法典497条は、定型条項が無効となる事由として、(1)相手方に身体的損害又は故意若しくは重過失による財産的損害をもたらしていること、(2)定型条項を提供した一方の当事者が不合理に自己の責任を免除若しくは減軽し、相手方の責任を加重し、又は相手方の主要な権利を制限していること、(3)定型条項を提供した一方の当事者が相手方の主要な権利を排除していること、を定めている。それゆえ、自動車企業とユーザーとの契約に、自動車企業の責任を「不合理に免除又は軽減」する内容が含まれる場合には、その条項が無効となるおそれがある。
現代社会において、サイバー攻撃やウイルス侵入からデータの安全を絶対的に保証することは現実的に困難である。このような状況の下、重要な課題となるのは、データ安全事件が発生した場合に事業者の責任の「合理的な減免」がどこまで認められるか、である。事業者が適法に個人情報を取り扱っていなかった場合(例えば事業者がユーザーの同意なくその個人情報を収集して保存していたところ、ハッカーがシステムに侵入したためにその漏洩が生じた場合)や、法定の安全保障義務を十分に履行していなかった場合(例えば事業者がサイバーセキュリティ等級保護義務を履行していなかったため、コンピュータウイルスに感染しデータの毀損・漏洩を招いた場合など)に免責が認められることは困難であろう。
Ⅳ 安全保障義務の具体的な内容
データ法は、サイバーセキュリティ、重要データ及び個人情報の安全保障義務について詳細な規定を定めている。しかし、ここでは紙幅の制限ゆえ、その詳細な説明は割愛し、安全保障義務に関する具体例として次のデータ漏洩事件を紹介する[9]。
事例1[10]
これは、航空券購入の過程で顧客情報の漏洩が発生し、そのために当該顧客が第三者による詐欺の被害を受けたとして航空会社及び代理店に損害賠償を請求した事案である。本件においては、被告側の航空会社及び代理店が法に基づいて安全保障義務を履行したか否かが争点となった。裁判所は、航空券代理店に対しては安全保障義務を果たしていないとして顧客の損害の80%の負担を命じた一方、航空会社に対しては安全保障義務の十分な履行があったとして責任を負わないものとする判決を下した。本件においては、航空会社が安全保障義務を履行するために講じた次の措置が注目される。
・データコンプライアンス管理制度及び手順の確立、厳格な安全管理体制の整備
・国際情報安全管理体系認証の取得、情報安全領域における企業の信頼性の保障措置、企業秘密漏洩リスクの低減措置
・サイバーセキュリティ等級保護の評価の実施及び情報システム安全等級保護届出証明の取得
・有力なサイバーセキュリティ研究機関又はサービス機関による情報セキュリティに関する支援
・発注情報システムにおけるデータの匿名化の実施
・データ保存セキュリティに関する特別な認証制度の実施
事例2[11]
これは、某オンライン旅行情報サービス会社のアプリを利用して航空券を購入した顧客が、出発当日に詐欺グループからのメッセージを受信して金銭を詐取される被害に遭い、そこでオンライン旅行情報サービス会社に対しては同社が安全保障義務を十分に履行していなかったことを、支払サービスを提供したオンライン支払サービス会社に対しては同社が実名制を採用せず、顧客に対するリスク提示義務を履行していなかったことを理由として両社を訴えた事案である。オンライン旅行情報サービス会社は、自社による安全保障義務の十分な履行を裏づける証拠として次のものを提出したが、裁判所はその主張を受け入れず、原告に対する経済的損害の賠償と謝罪を命じた。
・インターネットプラットフォームのプライバシーポリシーのうち情報安全及び保護に関する部分(情報安全保障体系の構築、「ISO27001情報セキュリティマネジメントシステム規格認証」及び「PCI-DSS Payment Card Industry Data Security Standard Certification」等の取得
・データ処理に係るセキュリティ保護対策の実施
・情報・データにアクセス可能な従業員に対する管理・教育
・「企業信用格付証明書」及び「インターネット信義誠実模範単位」(注:模範事業者としての認定を証する文書)の取得
・「機密情報取扱規範」V1.の制定
・「機密情報セキュリティ管理規程」V1.5の制定
裁判所は、オンライン旅行情報サービス会社による安全保障義務の履行を否定した理由について、「被告会社は、本件注文書にアクセス可能な従業員の範囲、機微情報へのアクセス記録、モニタリング状況、操作ログ、内部及び外部における情報伝送の承認状況などについて、立証ができていない。また、同社は、事件発生当時、航空券取消の虚偽情報をユーザーに配信して金銭を詐取する詐欺事件が多発しその報道が頻繁になされていたにもかかわらず、航空券注文書といった重要情報に対し、内部における暗号化伝送を要する2級からそれを要しない1級へと管理の格下げを行っていた。さらに、アプリの画面やSMSのメッセージにおいて、航空券詐欺への注意を喚起する十分なリスク提示もしていなかった」と論じている。
以上2つの事例で被告会社が立証しようとした安全保障義務の内容は、まさにデータ法が求める安全保障義務を具現化したものとなっている。それぞれの内容は、データ取扱者が自らの過失の不存在を証明するために最も基本となる立証事項である。また、事例2におけるように、実際にデータ漏洩が発生したケースでは、裁判所や当局により、安全保障義務の履行内容に対する細かなチェックがそれぞれの事案に着目して行われる。情報安全保障体系や信用格付け証明といった外部の認証機関が発行した証明書を取得し、あるいは情報管理規程の整備、従業員の育成教育など大まかな安全保障の制度を整備していても万全でないこともある。これらの事件は、取り扱うデータの機微性・重要性に基づいてその分類を適切に行い、それぞれの業務の特徴及び作業の流れに沿って技術・管理両面の実践レベルで体制を整えるなど、細かな作業に地道に取り組むことの必要性を示唆している。
おわりに
電気自動車の普及に伴い、膨大な個人情報の収集・共有・使用・移転等が自動車メーカー、システム開発者、部品メーカー、コンテンツプロバイダー、プラットフォーム運営者など様々な業者間で行われているが、この業界のサプライチェーンの長さゆえ、サイバーセキュリティをめぐるコンプライアンスリスクもますます深刻化することが懸念される。
自社だけでなく、サプライチェーンの何らかの部分において情報漏洩等のインシデント発生のおそれがないか常に点検するとともに、対応策の細かな見直しを行うことが求められる。インシデントが発生したときはこれを軽視せず、全体の安全体制について厳密なチェック及び速やかに整備・改善を行い、より深刻な事態に発展させないための対応を常に心掛けることが望まれる。
以上
※本稿は、みずほ銀行China Business Monthly2023年4月号に掲載されています。
https://www.mizuhobank.co.jp/corporate/world/info/cndb/economics/monthly/pdf/R512-0162-XF-0105.pdf
[注釈]
[1] https://www.tfcaijing.com/article/page/304e533531786e446d69745379474a7742662b3456773d3d
https://finance.sina.com.cn/nextauto/hydt/2022-12-21/doc-imxxkviv6379549.shtml
[2] 中華人民共和国コンピュータ情報安全保護条例14条。
[3] 前注参照。
[4] 中華人民共和国コンピュータ情報安全保護条例20条。
[5] 安全事件の発生時にこの検査が常に行われるか否かは、法律規定の文言上判然としない。
[6] 是正を拒んだときは、100万元以下の過料、直接責任を負う主管者その他直接責任者に対する1万元以上10万元以下の過料、情状が重大な場合には、5000万元以下又は前年度売上高の100分の5以下の過料、直接責任を負う主管者その他直接責任者に対する10万元以上100万元以下の過料となる。
[7] 北京市朝陽区人民法院(2018)京0105民初36658号。
[8] 不法行為に基づく責任を指す。
[9] これら2件は、いずれも個人情報保護法施行前の事件であるが、事業者が講じるべき安全保障義務の具体的な内容を理解する上で参考価値を有する。
[10] (2018)粤0306民初23342号民事判決。
[11] (2018)京0105民初36658号民事判決。
