中国「データ安全法」の要点解説

1．はじめに

昨今、デジタルイノベーションの加速化、データ取得をめぐる競争の激化など、中国のみならず世界を取り巻く環境は激しく変化し、データ主権の概念が現れており、データの安全の保護は、国の安全と経済発展に関する重要な課題となっている。各国の立法動向として、EUが「一般データ保護規則」（GDPR）、アメリカが「カリフォルニア州消費者プライバシー法」（CCPA）、日本が「個人情報保護法」（PIPA）など多くの国がデータ保護関連法令を次々と制定している。このような背景の下、中国では2018年からデータ保護の立法作業が進められ、3回の審議を経て、2021年6月10日、中国のデータ分野における基本法となる「中華人民共和国データ安全法」（以下、「データ安全法」という。中国語：数据安全法）が正式に採択され、9月1日より施行される。同法の施行により、中国のデータ保護分野は本格的に軌道に乗ったといえる。そこで、本稿においては、同法の注目すべき内容について説明するものとしたい。

2．データ安全法の注目すべき要点

（1）データ安全監督管理の調整メカニズムの確立

データの安全は多くの業界、分野と関わるため、多くの政府部門共同の監督管理が不可欠である。データ安全法は、これまでデータの安全の監督管理と法執行の実務を踏まえ、中央国家安全指導機関を新設し、国家データ安全作業調整メカニズムを確立した。中央国家安全指導機関が国家データ安全作業の意思決定及び議事調整の責任を負い、国家ネット情報部門がネットワークデータ安全監督業務を統括し、工業、電気通信、交通、金融、天然資源、衛生健康、教育、科学技術などの主管部門がそれぞれの業界、分野のデータ安全監督管理業務を担当し、公安機関、国家安全機関などがそれぞれの職責の範囲でデータの安全監督管理を担当する、というようにデータ安全監督管理業務における各部門の職責が明確化された（5条、6条）。

（2）データ分級分類保護制度の確立

データの分級分類保護について、2017年6月1日施行のインターネット安全法（中国語：網絡安全法。サイバーセキュリティ法とも呼ばれる）21条によると、ネット安全等級保護義務を履行するための重要な措置として、ネット運営者がデータに対する分類措置を講じなければならないとされている[1]。

データ安全法は、インターネット安全法の規定を一貫させ、データ分級分類保護制度の確立を定めた。インターネット安全法におけるネット運営者によるデータ分級分類保護義務の負担に対し、データ安全法においては、国がデータ分類分級保護制度を確立すると明確に定める。そのほか、データ安全法は、「経済・社会の発展に対する重要性の程度」及び「改竄、破壊又は違法な取得・濫用が行われた場合に国の安全、公共の利益又は公民、組織の合法的な利益に及ぶ損害の程度」をデータ分級分類の主要な基準と定めた。各地区、各部門は、データ分類分級保護制度に基づき、その地区、部門及び関連する産業、分野の重要データの具体的な目録を策定して、その目録に掲げられたデータに対する重点的な保護を行わなければならない（21条）。今後、ネット運営者は、国のデータ分類分級保護制度の下、各部門が制定した重要データ目録などに照らし、社内でデータ分級分類保護措置を講じ、同制度を徹底的に執行する必要がある。

（3）「国家核心データ」管理制度の確立

インターネット安全法及び過去2回のデータ安全法意見募集稿等には、「重要データ」という概念が設けられたが、意見募集に際しては、全国人民代表大会常務委員会の委員代表の一部から、国の安全、経済、国民生活に関わるデータが国家核心データに該当し、さらに厳格な管理制度を実施する必要があり、国の核心利益の損害についてはより厳格で重い処罰をしなければならず、草案の関連規定をさらに整える、という見解が提示された。

これを受けて、データ安全法は、「重要データ」の概念のほかに、初めて「国家核心データ」という新たなデータ類型を導入したうえ、国家安全、国民経済命脈、重要民生、重大な公共利益などのデータがこれに該当し、更なる厳格的な管理措置を実行しなければならないものとした（21条）。それと同時に、国家核心データに関する管理制度に違反し、国の主権、安全及び発展の利益を害する行為に対する厳格な処罰として、上限1000万元の過料、業務停止命令、営業許可証などの取消し、さらに刑事責任の追及が定められた（45条）。

もっとも、企業が関心を寄せる国家核心データの具体的な範囲とそれを列挙した目録、重要データとの区別、特別な管理措置実行の程度のいずれも、データ安全法において明確化されておらず、これらに関するさらなる詳細な立法が期待される。

（4）国家安全審査制度などの確立

データは、デジタル時代における国際競争の中核として国家安全と直結するものとなっており、そのような状況の中、欧米などの国々が国の安全の保護を掲げ、データの国外移転を制限し、安全審査を行うことが常態化してきた。

このような背景の下、データ安全法は、国の安全に影響し又はそのおそれのあるデータ取扱活動に対して国家安全審査を行うこと（24条）、国の安全及び利益の維持、国際的な義務の履行と関連する管理品目に属するデータに対して輸出管理を行うこと（25条）、及び国際間のデータ・データ開発利用技術等と関連する投資、貿易等に対しては監督管理の対等原則をもって臨むこと（26条）を明確に定めた。これらの規定は、国の安全に影響を及ぼしうるデータ移転に対して国として監督管理を強化するものであり、企業等によるデータの処理・国外移転活動に一定の影響を及ぼすことが予想される。いずれにせよ、その詳細な適用条件、判断基準、監督措置及び「ネット安全審査弁法」[2]との整合性などに関して、今後、さらなる規定の制定が待たれる。

（5）重要データの国外移転規則の整備

重要データの国外移転規則について、インターネット安全法37条は、重要情報インフラ運営者が中国における運営で収集・産出した情報を業務の必要に応じて国外に移転する必要がある場合、出国安全評価を行う必要があると定めており、その後、2017年4月11日に公布された「個人情報及び重要データ国外移転安全評価弁法（意見募集稿）」は、その評価の適用対象を一般のネット運営者に拡大している。しかし、後者は部門規則であり、しかも意見募集稿にとどまるため、実務上、多くの企業がこの評価を受ける義務の主体の確定にあたり疑問を抱えている。

データ安全法は、これらの法令の規定を踏まえてさらに明確な規制方針を示した。すなわち、重要情報インフラ運営者が重要データを国外に移転する場合、インターネット安全法の適用を受け、これに対し、重要情報インフラ運営者以外のその他データ取扱業者は、国家ネット情報部門と国務院関連部門が制定する重要データの国外移転安全管理弁法の適用を受ける（31条）。重要データと一般データとで異なる法令を適用するこのような規定は、データ分級分類制度と連動しつつ、重要データの国外移転に対する監督管理の主体をさらに明確化した。

（6）国外法律執行機関に対するデータ違法提供行為の処罰

近年、各国政府機関が国境を越えてデータを収集するケースが増えている。このような複雑な国際状況を背景として、データ安全法は、国内の組織、個人が主管部門の承認なく外国の司法又は法執行機関にデータを提供した場合、関係主管部門は、警告を発するとともに、10万元以上100万元以下の過料を併科し、直接責任を負う主管者及びその他の直接責任者を1万元以上10万元以下の過料を処することができる、と定めた（36条、48条2項）。中国国内の外商投資企業も本条の適用対象となることにつき、特に留意する必要がある。

（7）データの取扱による競争排除、制限の明確な禁止

データ安全法は、窃取又はその他違法な方法でデータを取得し、データ取扱を展開して競争を排除又はそれを制限し、あるいは個人及び組織の合法的な権益を害した場合、関連法令に従って処罰しなければならないと定める（51条）。この規定からは、データの取扱いと不正行為防止法、独占禁止法の関連規定とを明確的に結び付け、中国の主管部門がデータの安全に対して総合的な監督管理を行う傾向が窺われる。

3．おわりに

データ安全法は、インターネット安全法を基礎とし、実務において注目される問題に着目し、ネット運営者を含むデータの取扱者に対して、従来以上に厳しいデータ保護の義務を負わせるものであり、データ安全の保護に向けた中国政府の揺るぎない決意を示している。データ安全法に後続する立法として、「深セン経済特区データ条例」が7月6日に公布され、来年1月1日から施行される。同条例は、データ分野の国内初の総合的な立法として、「授権しないと使用させない」というアプリ規則を定めているほか、個人情報の恣意的な収集、「ビッグデータで常連殺し」[3]などの実務上の重要な論点・問題点に関する規則を明確に規定している。今後、関係政府機関においては、データの安全をはじめとする具体的な各種の規定も順次制定するものと予想され、データ保護の全面化を図っていく方向性にあるとのことであり、在中の外商投資企業としては、データの安全・保護に関してさらに多くの義務と責任を負うものとなるため、今後の立法動向に注意を払うことが望まれる。