ベトナムは、インターネットの発展と応用速度が世界で最も速く、人口の約 80% がインターネットを利用している国の一つであり、人口の 3 分の 2 の個人データが、さまざまな形式と詳細レベルでサイバースペースに保存、投稿、共有、収集されています。
ベトナムは2022年と2023年に、数千GBのデータと数十億の個人情報の売買に関わる5件の刑事事件を起訴した。これは、研究と国際法の参照に基づいて、個人データ保護に関する法律を改善することが急務であることを示しています。
個人情報保護に関する国際法
 |
| GDPR は、現在世界で最も厳格な個人情報保護メカニズムを構築する、大きな法的前進であると考えられています。 |
欧州連合(EU)一般データ保護規則(GDPR) 。 GDPR は、現在世界で最も厳格な個人情報保護メカニズムを構築する大きな法的前進とみなされており、EU 市民の個人データを処理するすべての組織と企業に適用されます。
GDPR は、企業に対して全面的に均一な制裁を適用します。具体的には、軽微な違反の場合は売上高の2%または1,000万ユーロまでの罰金、重大な違反の場合は売上高の4%または2,000万ユーロまでの罰金となります。 GDPR に違反した企業は、罰金に加えて、データの処理を強制的に停止されたり、GDPR に違反して処理されたデータを削除されたりするなど、その他の制裁を受ける可能性もあります。
EU の個人データ保護機関は、EU データ保護監督機関 (EDPS) です。これは、経験豊富な弁護士、IT 専門家、管理者などがメンバーとなっている独立機関です。
その主な機能は、EU の機関および組織における個人データの処理を監督し、個人データに関連する事項について助言することです。 GDPR では、各国の個人データ保護委員会 (フランス、アイルランドなど) やデータ保護監督機関 (フィンランド、ラトビアなど) などの個人データ保護機関を各加盟国に設立することも義務付けられています。
EU は EDPS とともに、加盟国の国家データ保護当局の代表者と EU の代表者で構成され、個人データ保護問題に関する主要な独立諮問機関として機能し、EU 全体で GDPR の一貫した適用を担当する欧州データ保護委員会 (EDPB) も設立しました。
GDPR は、物質的および非物質的の両方において、非常に抑止力のある制裁を規定しています。さらに、EU の個人データ保護機関は委員会/コミッショナー モデルに従って実施されるため、組織が個人データ保護規制に違反した場合に制裁を課す広範かつ独立した権限を持ち、個人データの処理について独自に評価および決定することができます。
2021年に制定された中国の個人情報保護法(PIPL)は、中国初の包括的な国家レベルの個人情報保護法と考えられています。個人情報保護法は、個人データ/個人情報とは特定の個人を識別する、または特定する情報であり、中国国内の狭い範囲の個人を対象としているという、比較的統一された見解をとっています(個人情報保護法第4章第1条)。同時に、より具体的なデータグループに関する当事者の権利と義務に関する規制を確立するために、機密性の高い個人データの問題に関する規制が制定されています。
PIPL に基づく個人データ権利の侵害に対する制裁は、強制的な是正、違法な収入の没収、サービスの停止、営業許可または事業許可の取り消し、最高 5,000 万元または組織の前年度年間収益の 5% の罰金など、非常に厳しいものとなっています。さらに、違反は国家社会信用システムに基づく処理単位の「信用ファイル」にも記録される可能性があります。
さらに、処理単位が組織や個人の権利や利益を侵害した場合、損害を賠償する責任を負います。こうした違反に対する刑事罰も中国刑法で具体的に規定されており、情報秘密保持の責任者に対してはより重い刑事責任を規定し、財産没収という形式を追加し、最高刑として終身刑を規定している。
シンガポールの個人データ保護法(PDPA)は2012年に可決されました(2020年に改正)。シンガポールの法律では、個人データ保護の権利と、特定の状況下で組織が適切な目的のために情報を収集、使用、開示する必要性を認めています。
PDPA では、データ侵害に対して厳しい罰金も規定されています。違反者には罰金または懲役が科せられます。罰金は行為の性質と重大性に応じて異なり、2,000~100,000シンガポールドル(16億ベトナムドンに相当)の罰金、または12か月以下、重大であれば3年以下の懲役が含まれます1。法律に違反した代理店や企業には、年間売上高の最大10%の罰金が科せられる場合があります。
PDPA の実施を確実にする上で重要な役割を果たす機関は、個人データ保護委員会 (PDPC) です。これは、個人や組織に対して、個人データの処理に関連する情報や文書の提供を要求したり、違反に対して罰金を課したり、その他の措置で対処したりする権限を持ち、大きな権限と幅広い執行能力を持つ専門機関です。
違反の検出、対処、制裁の適用において独立して積極的に活動する専門機関であるシンガポール個人データ保護委員会の設立も、シンガポールにおける個人データ保護の効果的な施行の条件の 1 つです。
ベトナムの個人情報保護法の改善に関する提言
現在、ベトナムには、憲法、法典(4)、法律(39)、条例(1)、政令(2)、通達/共同通達(4)、大臣決定(1)など、さまざまな文書に規定されている、個人情報保護の問題に直接関連する69の法的文書があります。
これらの文書は、基本的に、主体のプライバシーを確保するという原則を推進する方向で個人データ保護の問題に取り組んでいますが、主体の権利と義務、情報処理、個人データの保護方法などの問題に言及し、個人データに関連する情報についてはさまざまな規制があります。ベトナムの個人情報保護を規制する法律はいくつかの注目すべき成果を達成しており、特に2023年4月17日、政府は個人情報保護に関する政令第12/2023/ND-CP号を発行しました。これは、我が国でこの問題を規制する別の文書です。これらの法的文書により、個人データ保護のための法的根拠が確立されました。データ主体と処理当事者の権利を明記し、個人データ保護違反に対する制裁を規定し、個人データ保護の専門機関を公安省傘下のサイバーセキュリティおよびハイテク犯罪防止局として特定します...
 |
| ベトナムはサイバー空間からの多くのリスク、課題、危険に直面しており、特に個人情報やデータの漏洩や流用は国民や社会に多くの悪影響を及ぼしています。 |
しかし、これらの文書の実際の実施においては、現在の個別の法的文書は法令レベルにとどまっており、個人情報保護の重要性を満たしていない、多くの内容が現在一般的に規制されており不明瞭であるため、それぞれの具体的なケースに対する具体的な指示が不足している、制裁がまだ軽く抑止力が十分でないなど、多くの限界も明らかになっています...
このような状況に直面して、ベトナムにおける個人情報保護に関する法律の継続的な改善は、他国の経験に基づいて研究する必要がある課題となっています。具体的には:
まず、個人情報保護に関する法律を制定します。第 4 次産業革命の文脈では、地域および国家規模で 80 か国が個人データを保護するための個別の法的文書を発行しています。ベトナムは、EU、中国、シンガポールのような、個人データを保護するための基本的な問題と原則を特定するデータプライバシー法など、データに関する一般的な専門法を早急に研究し、公布する必要がある。現在、我が国のこの問題に関する法文書は用語の使用と内容の規制の両方において一貫性がないため、個人データに関する個別の法律の公布は、個人データを保護するための重要な法的根拠となるでしょう。
第二に、個人データの侵害に対する制裁を、違反の性質と重大性に応じて、より厳しいものに改正および補足します。我が国における個人情報の侵害に対する制裁には、行政、民事、刑事の制裁が含まれますが、一般的には極めて軽いものであり、抑止効果は高くありません。現在も主な方法は行政違反に対する制裁を適用することですが、多くの法令にかなり低い罰金を定めた規制が散在しており、最高額は個人で1億VND、組織で2億VNDです。
個人情報の行政違反が引き起こす損害は、物質的な損害だけでなく、名誉や尊厳に対する損害も含まれます。行政処分に加え、個人情報の侵害に対する刑事処分は、現行刑法第159条および第288条のプライバシーおよび情報技術・ネットワークセキュリティ分野の規制にのみ反映されており、懲役刑は7年以下、罰金は10億VND以下と比較的軽いものとなっている。この罰金は、EUの2000万ユーロ、シンガポールの100万シンガポールドル、あるいは中国の終身刑と比較すると、まだ非常に低く、多くの違反行為に見合っていない。
同時に、大規模なデータ取引、データを侵害するシステムの構築、マーケティングサービス業務における違反行為など、現在法律で言及されていない多くの行為群を規制する必要があります。
3つ目は、ベトナムの個人情報保護機関をモデルにすることです。現在、公安省傘下のサイバーセキュリティ・ハイテク犯罪対策局が個人情報保護の専門機関となっている。国際規制を参考に、個人情報保護法の施行、検査、審査、ガイドラインや勧告の発行、違反があった場合の制裁の実施などを担当する独立した個人情報保護機関の設立を検討することができます。
EU やシンガポールのこれらのモデルを参考にして、個人の権利の保護とネットワーク セキュリティの確保のバランスを取りながら、個人データ保護法を効果的に施行することができます。
個人データの保護は、特に統合の文脈に置かれた場合、個人データの監視と収集活動が大規模に行われ、この問題を規制するベトナムの法制度がまだ構築され完成している最中である場合、単純な問題ではありません。
この問題に関する国際法をベトナムの実際の状況を参考にして研究することは、国際法に準拠し、効果的に施行される包括的な個人データ保護のための法的枠組みを早期に構築するのに役立つでしょう。
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
[広告2]
ソース
コメント (0)