中国:データ安全法(草案)の公表(下)
長島・大野・常松法律事務所
弁護士 鈴 木 章 史
3. 国のデータ保護に関する制度
本草案では、国のデータ保護制度に係る規定も設けられており、事業主体を直接の名宛人とした規定ではないが、事業主体はこれらの規定に基づき設けられる法令の具体的な規制に服することになると考えられる。
国は、国の安全に影響する又は影響を与える可能性があるデータ活動に対して、国家安全審査を実施する(22条1項)。国家安全審査の対象となる「国の安全に影響する又は影響を与える可能性があるデータ活動」とは、具体的にどのようなデータ活動が該当するのか、また、国家安全審査としてどのような審査が行われるのか(ネットワーク安全法に基づき、重要インフラ運営者がネットワーク製品及びサービスの調達に際して国家安全に影響する恐れがある場合に実施される国家安全審査との関係や相違)について、今後引き続き注視する必要がある。
また、国は、国際義務の履行と国家安全の維持に関する管理項目に属するデータに対して法に基づき輸出規制を実施する(23条)。中国では、現在、輸出管理法の制定が進められているところ[1]、管理項目の対象範囲等に関しては同法及びその関連法令の規定を参照することになる。なお、ネットワーク安全法において、重要インフラ運営者は、中国国内で収集・生成した個人情報及び重要データを国外移転する場合には安全評価を行う義務が定められており、これに関連してデータ安全管理弁法と個人情報越境安全評価弁法の意見募集稿が公表されている。これらネットワーク安全法に基づく情報の国外移転に係る規制との相違点や適用関係について今後明確化されることが望まれる。
国は、データ安全応急処置メカニズムを確立し、データセキュリティ事件が発生した場合、関連主管部門は緊急対応策を開始し、相応の応急処置を講じると共に、安全上の危険を除去、危害の拡大を防止し、速やかに公衆に係る警戒情報を公表しなければならない(21条)。
4. 政務データの安全と公開に関する規定
公的部門の職務遂行過程で収集、生成されるデータである政務データのセキュリティの確保と公開は重要な政策の一つであり、近年、いくつかの地方政府において政務データの取り扱いに関する地方性法規が制定されている。本草案では政務データに関するまとまった規定が設けられており、全国的に統一した政務データの安全性確保と公開にかかる原則を規定している。
国家機関は、データの安全管理制度を確立してデータセキュリティ保護を実施し、政務データの安全を保障しなければならず(36条)、別段の法規がある場合を除き、公正、公平、公衆の便宜の原則に従って、政務データを適時に、正確に公開しなければならない(38条)。また、国は、政務データの開放リストを作成すると共に、政務データの開放プラットフォームを構築し、政務データの開放利用を推進する(39条)。
なお、国家機関は、第三者に政務データの保存、加工を委託する場合、又は第三者に政務データを提供する場合、厳格な承認手続を経た上で、受領者によるデータセキュリティの保護義務の履行を監督しなければならない(37条)。事業上、国家機関と取引があり、何らかの政務データを取り扱う機会がある事業者は、今後当該承認の要否を確認する必要がある。
5. 罰 則
データ活動を行う主体がその義務(本稿(上)2.で概説)に違反した場合、主管部門は、是正命令、警告を与えることができ、1万元以上10万元以下の罰金を課すことができる。また、直接責任を負う担当者に対して、5千元以上5万元以下の罰金を課すこともできるとされており、直接義務を負う事業者に加えて担当者個人に対して罰金が課される可能性があることには注意を要する。是正の拒否や大量のデータ漏洩等の重大な結果をもたらした場合、当該主体に10万元以上100万元以下の罰金、直接責任を負う担当者等に1万元以上10万元以下の罰金を課すこともできるとされている(42条)。
データ取引仲介サービスに従事する主体が義務を履行せず不正な出所のデータ取引を行った場合及びオンラインデータの処理等のサービスを専門に提供する主体が許認可を取得又は届出を行わなかった場合、主管部門は、是正命令、違法所得の没収、関連許認可又は営業許可の取消し、違法所得の10倍以下の罰金(違法所得がない場合は10万元以上100万元以下の罰金)を課すことができる。直接責任を負う担当者等に対しても1万元以上10万元以下の罰金を課すことができるとされている(43条、44条)。
なお、以上の行政上の罰則に加えて、民事責任が発生しうることはもちろん、刑事責任も別途生じうる。
6. 海外事業者への責任追及
前述のとおり、本草案は、原則として中国国内でのデータ活動に適用されるが(2条1項)、中国国外の組織、個人が行うデータ活動により、中国の安全、公共の利益又は公民、組織の合法的な権益が損なわれた場合、当該国外の主体の法的責任を追及できる旨の規定が設けられている(2条2項)。本草案の適用範囲に関する議論は本稿(上)1.概要に記載のとおりであるところ、本規定は国家の安全保障の観点が強調された規定であり、中国国内のデータ活動ではないと解釈される場合でも、中国の安全保障に関わるデータ活動については本規定により何らかの法的責任が追及される余地があることになると考えられる。
以 上
[1] 2020年7月3日に草案の第二稿が公表され、8月16日まで公衆からの意見募集の手続が行われていた。