「中国法務最新トッピク」は日系企業を向けに、中国法務の視点から注目度の高い最新トピックを紹介し続けさせていただきます。
本专题将持续为日资企业提供中国法律最新热点问题的解读。本次题目为:《数据安全法》相关要点的解读。
データセキュリティー法の要点についての解説
はじめに
2021年6月10日、第13期全国人民代表大会常務委員会の第29回会議において、「中華人民共和国データセキュリティー法」(以下「データセキュリティー法」という)が採択され、2021年9月1日に施行されることになります。本稿ではデータセキュリティー法のいくつかのポイントについて紹介します。
1.本法の位置づけ
「データセキュリティー法」はすでに施行された「インターネットセキュリティー法」及び立法中の「個人情報保護法」と並行して、中国のインターネットとテータ安全領域の三つの重要な法律の一つとなっております。
「インターネットセキュリティー法」の適用範囲がインターネットの構築、運営、維持及び使用であるとされていますので、インターネット自身の安全性に重点を置かれています。一方、これと違い、「データセキュリティー法」はインターネット範囲のみではなくて、インターネット以外の範囲のデータも本法の適用範囲に含まれています。
「個人情報保護法」は、個人情報を保護するために、個人情報の処理に関する活動を規範するものです。個人利益を念頭においた「個人情報保護法」と異なり、「データセキュリティー法」の趣旨は国家安全及び社会公共利益の保護にあると思われます。
2.データの分類分級管理制度
「データセキュリティー法」21条1項前段では、「国家はデータ分類分級保護制度を設けて、経済社会発展におけるデータの重要性の程度、及び改ざん、破壊、漏洩又は違法取得・利用された場合における国家安全、公共利益又は個人・組織の適法な権益にとっての危害程度に応じてなされた分類、分級によって、データを保護する」と定めています。分類分級保護制度は、データのレベルや類型に応じて確定される柔軟な管理方法であり、この制度の確立により、データの安全性と流通性、及びデータ経済を利用する重要性との間でバランスが取れたこととなっています。しかし、同法は分類、分級の具体的な基準についての定めが設けられていません。
また、同項後段によれば、国家データ安全工作協調機制は、関連部門を協調して重要データのカタログを策定し、重要データの保護を強化します。国家安全、国民経済の生命線、国民の生活、重大の公共利益等に関わるデータは国家の中核的なデータであり、より厳格な制度で管理されるべきです。各地域、各部門は、データ分類分級保護制度に基づき、本地域、本部門及び関連業界、領域における具体的なデータの目録を作成し、この目録の対象となるデータを中心的に保護すべきです。
なお、重要データの定義について、同法は具体的な規定を設けていないが、「個人情報及び重要データ海外移転安全評価弁法(パブリックコメント募集版)」17条4項では、これを「国家の安全保障、経済の発展及び社会の公益に密接に関連するデータ」と定めています。また、「データセキュリティー管理弁法(パブリックコメント募集版)」38条5項では、より詳細な定義が示されています。同条によると、重要データとは、未公開の政府情報、遺伝健康、地理、鉱物資源等で、いざこれらの情報が漏洩されると、国家安全、経済安全、社会安定、公共健康及び安全に影響を及ぼす恐れがあるデータであると定義されています。ただ、一般的には企業の生産・運営に関わる内部管理情報や個人情報等が含まれていません。なお、この二つのパブリックコメント募集版における所定の定義は、今後の実務で重要データを認定する重要な基準となるではないかと思われます。さらに、立法作業の進めにつれ、徐々に重要データの定義が明確になっていくと言えましょう。
3.データセキュリティー審査制度
データセキュリティー審査制度は、「データセキュリティー法」24条により確立されています。同条によると、国がデータ安全審査制度を設け、国家安全保障に影響を及ぼし、またはその可能性のあるデータ活動について国家安全保障審査を行います。
2020年6月1日に施行された「インターネットセキュリティー審査弁法」(以下「審査弁法」という)により、インターネットセキュリティーについての審査制度が設けられています。同法2条は、「重要情報基礎施設運営者(以下「運営者」という)が、インターネットの商品及びサービスを購入し、国家安全に影響を及ぼし、またはその可能性がある場合、インターネットセキュリティー審査を行わなければならない」と定めています。同法9条によると、この審査の内容には、重要データが窃盗、漏洩、毀損されるリスクの有無以外は、商品及びサービスの供給の中断が重要情報基礎施設業務の連続性への危害の程度、商品及びサービスそのものの安全性、開放性、透明性、並びにそのソースの多様性等も含まれています。
すなわち、審査弁法が所定の審査主体は重要情報基礎施設運営者に限っているし、審査対象となる活動は商品、サービスの購入に限定されているのに対し、「データセキュリティー法」は、オンラインかオフラインかを問わず、国家安全に影響を及ぼし、またはその可能性がある全てのデータ活動を審査対象としており、データ活動の主体には制限がなされていません。しかし、「データセキュリティー法」は、具体的な審査の手続きについて規定を設けていません。今後、この点を他の法律・法規により明らかにする必要があると思われます。
4.データの輸出管理に関する諸制度
「データセキュリティー法」31条は、重要データの輸出に関する要求が規定されています。すなわち、重要情報基礎施設運営者が中国領域内において運営する際に収集し、または出来上がった重要データに関しての輸出安全管理は、「インターネットセキュリティー法」の規定に適用されます。その他のデータ処理者が中国領域内に運営する際に収集し、または出来上がった重要データの輸出安全に関しての管理方法については、国家インターネット・電信部門が国務院の関連部門と連携して制定するものとされています。
ところが、「データセキュリティー法」において、「インターネットセキュリティー法」においても、いずれも重要データの輸出安全に関する評価方法を明確に規定していません。したがって、データセキュリティー法の関連規定を如何に実務において適用すべきかがまだ不明です。
なお、「データセキュリティー法」25条では、「国は、国家安全利益、国際義務の履行に関わり、規制項目に属するデータについて、法律に基づいて輸出管理を行わなければならない」と定めています。すなわち、重要データのみならず、輸出規制の規定により当該データが規制対象と認められる限り、データの類型を問わず、輸出規制を行うことができます。
さらに、外国司法機関等にデータを提供することについて、「データセキュリティー法」36条では、次のように定めています。「中国の管轄機関は、関連法律及び中国の締結若しくは加盟した国際条約、協定、又は平等・互恵の原則に基づいて外国司法機関又は執行機関からのデータ提供の要請を処理する。中国の管轄期間の許可がない限り、中国領域における組織、個人は、外国司法又は執行機関に中国領域内に保管されているデータを提供してはならない。」すなわち、外国の司法又は法執行機関へのデータ提供については、データの重要性に関わらず、当局の管轄機関の許可を取得する必要があるとされています。そして、外国機関からのデータ提供の要請について、中国の管轄機関は、関連法律及び締結・加盟した国際条約・協定を判断根拠とし、これがない場合、平等・互恵という一般原則に基づき判断すべきです。
5.法律責任
「データセキュリティー法」第6章では、データ安全義務の違反についての法的責任が規定されています。例えば、同法44条によれば、「政府の主管機関が監督の際に、データ処理活動において大きな安全リスクがあると発見した場合、関係する組織や個人に聞き取り調査を行い、かかるリスクを改善・排除することを命ずることができる」と定めています。それ以外、第6章は、データ処理活動を行う組織・個人、データ取引仲介機関、国家機関、データ安全の監督を行う公務員等の主体がデータセキュリティー法に違反して負うべき責任を詳細に規定しており、犯罪に該当する場合に刑事責任を追究することも明記しています。
上記責任への罰則付き処罰について違法の内容によりますが、例えば、第45条では、データセキュリティーの保護に違反した場合、主管機関は、企業に対し5万元以上50万元以下の罰金;また是正を拒絶した又は大量データが漏れたなど重大な結果に及ぼした場合に50万元~200万元以下の罰金を処することができ、かつ業務停止、事業ライセンスの取り消しを命ずることもできます。そして、当該直接責任を負う監督者その他の直接責任者に対しても5万元以上20万元以下の罰金を処することができます。
おわりに
「データセキュリティー法」に規定される多くの制度は、まだ原則的なものに過ぎず、その解釈及び適用の方法については、これからの立法作業又は当局の関連機関のガイドラインを制定することになります。また、「データセキュリティー法」においては、中国国境を超えたデータの流通性につき肯定したものの、データの流通の安全性を強調するという点から見れば、中国国境を超えてデータの流通を行う国際的な企業のコンプライアンス面についての要求が高くなると思われます。
【執筆者】
弁護士 段潔琦
jieqi.duan@jinmao.com.cn
金茂律師事務所所属(2012年弁護士登録)。2010年に華東師範大学を卒業し法学修士学位を取得。2008年-2009年間に日本神戸大学に留学。2010年9月に当事務所入所。2012年に岩田合同法律事務所に短期研修。主に金融取引関連(ファイナンスリース、商業ファクタリング、デリバリー商品)、外商投資、会社法関連の分野に携わっている。
過去トピック(往期链接):
1.「中華人民共和国外商投資法」に伴う外資参入段階の基本的な方針について
(岩田合同法律事務所経由で配信)
https://www.iwatagodo.com/publications/uploads/file/201906_inttopic_jinmao.pdf
2.先物法(草案)におけるシングル・アグリーメント制度とネッティング制度の確立
https://mp.weixin.qq.com/s/L7pwpLRGV7_p86phKluJNg