インサイト,

中国「データ安全法」の要点解説

Current site :    中国   |   JP
オーストラリア
ベルギー
中国
中国香港特別行政区
ドイツ
イタリア
日本
シンガポール
スペイン
アラブ首長国連邦
英国
米国
グローバル

1.はじめに

昨今、デジタルイノベーションの加速化、データ取得をめぐる競争の激化など、中国のみならず世界を取り巻く環境は激しく変化し、データ主権の概念が現れており、データの安全の保護は、国の安全と経済発展に関する重要な課題となっている。各国の立法動向として、EUが「一般データ保護規則」(GDPR)、アメリカが「カリフォルニア州消費者プライバシー法」(CCPA)、日本が「個人情報保護法」(PIPA)など多くの国がデータ保護関連法令を次々と制定している。このような背景の下、中国では2018年からデータ保護の立法作業が進められ、3回の審議を経て、2021年6月10日、中国のデータ分野における基本法となる「中華人民共和国データ安全法」(以下、「データ安全法」という。中国語:数据安全法)が正式に採択され、9月1日より施行される。同法の施行により、中国のデータ保護分野は本格的に軌道に乗ったといえる。そこで、本稿においては、同法の注目すべき内容について説明するものとしたい。

2.データ安全法の注目すべき要点

(1)データ安全監督管理の調整メカニズムの確立

データの安全は多くの業界、分野と関わるため、多くの政府部門共同の監督管理が不可欠である。データ安全法は、これまでデータの安全の監督管理と法執行の実務を踏まえ、中央国家安全指導機関を新設し、国家データ安全作業調整メカニズムを確立した。中央国家安全指導機関が国家データ安全作業の意思決定及び議事調整の責任を負い、国家ネット情報部門がネットワークデータ安全監督業務を統括し、工業、電気通信、交通、金融、天然資源、衛生健康、教育、科学技術などの主管部門がそれぞれの業界、分野のデータ安全監督管理業務を担当し、公安機関、国家安全機関などがそれぞれの職責の範囲でデータの安全監督管理を担当する、というようにデータ安全監督管理業務における各部門の職責が明確化された(5条、6条)。

(2)データ分級分類保護制度の確立

データの分級分類保護について、2017年6月1日施行のインターネット安全法(中国語:網絡安全法。サイバーセキュリティ法とも呼ばれる)21条によると、ネット安全等級保護義務を履行するための重要な措置として、ネット運営者がデータに対する分類措置を講じなければならないとされている[1]。

データ安全法は、インターネット安全法の規定を一貫させ、データ分級分類保護制度の確立を定めた。インターネット安全法におけるネット運営者によるデータ分級分類保護義務の負担に対し、データ安全法においては、国がデータ分類分級保護制度を確立すると明確に定める。そのほか、データ安全法は、「経済・社会の発展に対する重要性の程度」及び「改竄、破壊又は違法な取得・濫用が行われた場合に国の安全、公共の利益又は公民、組織の合法的な利益に及ぶ損害の程度」をデータ分級分類の主要な基準と定めた。各地区、各部門は、データ分類分級保護制度に基づき、その地区、部門及び関連する産業、分野の重要データの具体的な目録を策定して、その目録に掲げられたデータに対する重点的な保護を行わなければならない(21条)。今後、ネット運営者は、国のデータ分類分級保護制度の下、各部門が制定した重要データ目録などに照らし、社内でデータ分級分類保護措置を講じ、同制度を徹底的に執行する必要がある。

(3)「国家核心データ」管理制度の確立

インターネット安全法及び過去2回のデータ安全法意見募集稿等には、「重要データ」という概念が設けられたが、意見募集に際しては、全国人民代表大会常務委員会の委員代表の一部から、国の安全、経済、国民生活に関わるデータが国家核心データに該当し、さらに厳格な管理制度を実施する必要があり、国の核心利益の損害についてはより厳格で重い処罰をしなければならず、草案の関連規定をさらに整える、という見解が提示された。

これを受けて、データ安全法は、「重要データ」の概念のほかに、初めて「国家核心データ」という新たなデータ類型を導入したうえ、国家安全、国民経済命脈、重要民生、重大な公共利益などのデータがこれに該当し、更なる厳格的な管理措置を実行しなければならないものとした(21条)。それと同時に、国家核心データに関する管理制度に違反し、国の主権、安全及び発展の利益を害する行為に対する厳格な処罰として、上限1000万元の過料、業務停止命令、営業許可証などの取消し、さらに刑事責任の追及が定められた(45条)。

もっとも、企業が関心を寄せる国家核心データの具体的な範囲とそれを列挙した目録、重要データとの区別、特別な管理措置実行の程度のいずれも、データ安全法において明確化されておらず、これらに関するさらなる詳細な立法が期待される。

(4)国家安全審査制度などの確立

データは、デジタル時代における国際競争の中核として国家安全と直結するものとなっており、そのような状況の中、欧米などの国々が国の安全の保護を掲げ、データの国外移転を制限し、安全審査を行うことが常態化してきた。

このような背景の下、データ安全法は、国の安全に影響し又はそのおそれのあるデータ取扱活動に対して国家安全審査を行うこと(24条)、国の安全及び利益の維持、国際的な義務の履行と関連する管理品目に属するデータに対して輸出管理を行うこと(25条)、及び国際間のデータ・データ開発利用技術等と関連する投資、貿易等に対しては監督管理の対等原則をもって臨むこと(26条)を明確に定めた。これらの規定は、国の安全に影響を及ぼしうるデータ移転に対して国として監督管理を強化するものであり、企業等によるデータの処理・国外移転活動に一定の影響を及ぼすことが予想される。いずれにせよ、その詳細な適用条件、判断基準、監督措置及び「ネット安全審査弁法」[2]との整合性などに関して、今後、さらなる規定の制定が待たれる。

(5)重要データの国外移転規則の整備

重要データの国外移転規則について、インターネット安全法37条は、重要情報インフラ運営者が中国における運営で収集・産出した情報を業務の必要に応じて国外に移転する必要がある場合、出国安全評価を行う必要があると定めており、その後、2017年4月11日に公布された「個人情報及び重要データ国外移転安全評価弁法(意見募集稿)」は、その評価の適用対象を一般のネット運営者に拡大している。しかし、後者は部門規則であり、しかも意見募集稿にとどまるため、実務上、多くの企業がこの評価を受ける義務の主体の確定にあたり疑問を抱えている。

データ安全法は、これらの法令の規定を踏まえてさらに明確な規制方針を示した。すなわち、重要情報インフラ運営者が重要データを国外に移転する場合、インターネット安全法の適用を受け、これに対し、重要情報インフラ運営者以外のその他データ取扱業者は、国家ネット情報部門と国務院関連部門が制定する重要データの国外移転安全管理弁法の適用を受ける(31条)。重要データと一般データとで異なる法令を適用するこのような規定は、データ分級分類制度と連動しつつ、重要データの国外移転に対する監督管理の主体をさらに明確化した。

(6)国外法律執行機関に対するデータ違法提供行為の処罰

近年、各国政府機関が国境を越えてデータを収集するケースが増えている。このような複雑な国際状況を背景として、データ安全法は、国内の組織、個人が主管部門の承認なく外国の司法又は法執行機関にデータを提供した場合、関係主管部門は、警告を発するとともに、10万元以上100万元以下の過料を併科し、直接責任を負う主管者及びその他の直接責任者を1万元以上10万元以下の過料を処することができる、と定めた(36条、48条2項)。中国国内の外商投資企業も本条の適用対象となることにつき、特に留意する必要がある。

(7)データの取扱による競争排除、制限の明確な禁止

データ安全法は、窃取又はその他違法な方法でデータを取得し、データ取扱を展開して競争を排除又はそれを制限し、あるいは個人及び組織の合法的な権益を害した場合、関連法令に従って処罰しなければならないと定める(51条)。この規定からは、データの取扱いと不正行為防止法、独占禁止法の関連規定とを明確的に結び付け、中国の主管部門がデータの安全に対して総合的な監督管理を行う傾向が窺われる。

3.おわりに

データ安全法は、インターネット安全法を基礎とし、実務において注目される問題に着目し、ネット運営者を含むデータの取扱者に対して、従来以上に厳しいデータ保護の義務を負わせるものであり、データ安全の保護に向けた中国政府の揺るぎない決意を示している。データ安全法に後続する立法として、「深セン経済特区データ条例」が7月6日に公布され、来年1月1日から施行される。同条例は、データ分野の国内初の総合的な立法として、「授権しないと使用させない」というアプリ規則を定めているほか、個人情報の恣意的な収集、「ビッグデータで常連殺し」[3]などの実務上の重要な論点・問題点に関する規則を明確に規定している。今後、関係政府機関においては、データの安全をはじめとする具体的な各種の規定も順次制定するものと予想され、データ保護の全面化を図っていく方向性にあるとのことであり、在中の外商投資企業としては、データの安全・保護に関してさらに多くの義務と責任を負うものとなるため、今後の立法動向に注意を払うことが望まれる。

インターネット安全法21条:国がネット安全等級保護制度を実施する。ネットワーク運営者は、ネット安全等級保護制度の要求に従い、次に掲げる安全保護義務を履行し、ネットワークが妨害、破壊されたり、又は授権されていないアクセスを受けたりすることがないよう保障し、ネットデータが漏洩され、又は窃取、改竄されることを防止しなければならない。……

(四)データ分類並びに重要データのバックアップ及び暗号化等の措置を講じる。……

 データ安全法に定める国家安全審査制度の一端をなすネット安全審査制度に関して、現在、2020年6月1日施行の部門規則たる「ネット安全審査弁法」の改正が行われ、7月10日に改正意見募集稿が公布されたところであるが、ネット安全審査の対象を従来の「重要インフラ運営者」から「データ取扱者」に拡大することがその改正の要点の1つとされ、これにより、データ安全法の関連規定との整合が実現するものと考えられる。

ビッグデータで常連殺しとは、ビッグデータを利用して常連ユーザーを食い物にするような行為をいい、例えば、アプリを使ってオンラインでチケットの販売・購入や交通機関、ホテル等の予約などを行うにあたり、同一の商品又はサービスであってもユーザーによって表示される値段が異なり、当該アプリを多用する常連には高額な価格提示がなされるといったケースが見受けられる。

参考資料

  • [1]

    インターネット安全法21条:国がネット安全等級保護制度を実施する。ネットワーク運営者は、ネット安全等級保護制度の要求に従い、次に掲げる安全保護義務を履行し、ネットワークが妨害、破壊されたり、又は授権されていないアクセスを受けたりすることがないよう保障し、ネットデータが漏洩され、又は窃取、改竄されることを防止しなければならない。……

    (四)データ分類並びに重要データのバックアップ及び暗号化等の措置を講じる。……

  • [2]

     データ安全法に定める国家安全審査制度の一端をなすネット安全審査制度に関して、現在、2020年6月1日施行の部門規則たる「ネット安全審査弁法」の改正が行われ、7月10日に改正意見募集稿が公布されたところであるが、ネット安全審査の対象を従来の「重要インフラ運営者」から「データ取扱者」に拡大することがその改正の要点の1つとされ、これにより、データ安全法の関連規定との整合が実現するものと考えられる。

  • [3]

    ビッグデータで常連殺しとは、ビッグデータを利用して常連ユーザーを食い物にするような行為をいい、例えば、アプリを使ってオンラインでチケットの販売・購入や交通機関、ホテル等の予約などを行うにあたり、同一の商品又はサービスであってもユーザーによって表示される値段が異なり、当該アプリを多用する常連には高額な価格提示がなされるといったケースが見受けられる。

最新記事
インサイト
中国では独禁法分野において、2021年11月18日に3つの大きな出来事があった。1つ目は、「国家市場監督管理総局独禁局」が「国家独禁局」に改められ、トップが日本でいえば副大臣クラスに相当するレベルへと格上げされる組織改編が行われた。2つ目は、「原薬の分野における独占禁止に関するガイドライン」(以下、「原薬独占禁止ガイドライン」という)が公布され、2021年11月15日より実施された。3つ目は、中国南京市の某原薬販売会社に対して市場支配的地位の濫用を理由とした処罰が行われ、約658万人民元(約1.2億円)の違法収入の没収・過料が科された。

2021/12/10

インサイト
中国の「個人情報保護法」が2021年11月1日に施行された。同法は、個人情報保護分野の「基本法」として、個人情報の取扱や個人情報越境提供に関する規制、個人の権利と個人情報取扱者の義務などについて、全面的かつ系統的に定めている。企業を含む個人情報取扱者が遵守すべき義務についても明確な規定を設けていることから、社会の大きな注目を集めている。他方、「個人情報保護法」は「基本法」としての位置づけであることから、その一部の規定について、実務上どのように取り扱うべきか詳細に定めていない。このため、その他の関連する法規、国家基準などを参考にする必要があり、一部の内容については、今後の付随的な法規、細則又は基準などによるさらなる整備が待たれる。

2021/11/03

インサイト
個人情報の保護の専門的な法律として「中華人民共和国個人情報保護法」(以下、「個保法」という)が2021年8月20日に可決・公布され、同年11月1日にその施行日を迎える。これは、同法が2018年に中国全国人民代表大会常務委員会の立法計画に組み込まれた後、3年にわたる立法作業の成果であり、その第1条は、その立法根拠として憲法を追加し、「中華人民共和国公民の人格的尊厳の不可侵」や「中華人民共和国公民の通信の自由及び秘密に対する法律的保護」など、憲法の規定を具体化・確実化するものとして重大な意義を有している。本誌2021年6月号では、2021年4月に公布された個保法の第二次審議稿(以下、「第二次審議稿」という)について紹介したが、本稿では、第二次審議稿との比較を含む個保法の要点などに関し論ずるものとしたい。

2021/09/01