中国:9月1日より施行 中国データ安全法(上)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
弁護士 鈴 木 章 史
はじめに
データ利用の拡大が進む社会情勢の下での国家の安全保障と経済社会の発展を目的とした中国の「データ安全法」(以下、「本法」という)が2021年9月1日より施行された。本法は、2017年6月1日に施行されたネットワーク安全法、2021年11月1日から施行される個人情報保護法とならび中国の情報安全法制の基幹法と位置づけられる。
本稿では、本法のうち中国で事業活動を行う日本企業に特に重要と考えられる規定について概説する(引用条文はいずれも本法の条文を指す。)。
第1 概要及び適用対象
本法は適用対象が非常に広い点が特徴である。本法は、「中国国内におけるデータの取扱い行為及びその安全管理」に適用される(2条1項)。「データ」とは、「電子又はその他の方法による情報の記録」(3条1項)と定義されており、企業の事業活動によって生じるあらゆる情報の記録が規制の対象となり、電子的なデータに限らず紙面上に記載される情報もデータに含まれるものと考えられる。また、規制の対象となる行為は「データの取扱い」と規定し、これには、「データの収集、保存、使用、加工、転送、提供又は公開などの行為」(3条2項)が含まれるとされ、非常に広い概念となっている。
その結果、自然人と法人、内資企業と外資企業といった区別なく、中国で事業活動を行うほぼ全ての事業主体の情報管理の全過程に適用されることになる。
なお、個人情報に関するデータの取扱いについては、関連の法律規定に従うとされており(53条)、すでに施行されているネットワーク安全法に加え、2021年11月1日より施行される個人情報保護法が適用される。その他、国家機密に関するデータの取扱い行為には国家機密保護法等の規定が(53条)、軍事データの安全保護に関しては中央軍事委員会が別途制定する規定が適用される(54条)。
本法は7章55条で構成され、主にデータ保護に関し国が採用する制度(本法第3章、本稿第3で概説)、データ活動を行う主体の義務(本法第4章、本稿第4で概説)、政務データの安全保護と公開(本法第5章、本稿第5で概説)及び罰則(本法第6章、本稿第6で概説)に関して規定されている。
第2 海外の事業主体への適用
本法は、原則として、中国国内でのデータの取扱い行為に適用されるが(2条1項)、中国国外でのデータの取扱い行為であっても、中国の安全、公共の利益又は公民、組織の合法的な権益が損なわれた場合には、法的責任を追及できる旨の規定が設けられている(2条2項)。本規定は国家の安全保障の観点が強調された規定であり、中国域外のデータの取扱いについても、中国の安全保障に関わる行為については、法的責任を追及する余地を認めたものと考えられる。例えば、中国向けの事業を行う国外事業者の中には、中国国内にはオフィスやサーバーを設けずに、中国国外のサーバーを通じて中国向けのウェブサイトを開設し、主として中国向けの事業活動を行っているケースがあるが、このようなケースにおいて、中国の安全、公共の利益又は公民、組織の合法的な権益が損なわれたと判断された場合、本条項が適用される可能性がある 。個人情報保護法においても域外適用の規定があることから、中国国外の事業者であっても、中国向けの事業を行う場合には注意が必要となる。
第3 データ保護に関する制度
本法は、国のデータ保護に関する制度として、各種制度を規定しており、事業主体はこれらの規定に基づき設けられる具体的な規制手段に服することになる。
1. データの類型・レベル別保護と重要データ・国家核心データの概念
本法は、データの類型・レベル別の保護制度を確立し、データの重要性と、データが改ざん、破壊、漏洩、不正取得又は不法利用された場合に、生じる危害の程度に応じて、データを類型・レベル別に保護する方針をとっている(21条1項)。
国家データ安全工作調整機構は、関連部門と調整して、重要データの目録を作成することとされ、重要データに該当するものについては、特別な保護・規制の対象とされる。本法においては重要データの意義は定義されていないが 、重要データに対する規制については、今後、国家データ安全工作調整機構の主導の下で各地域及び各部門によって制定される目録を参照することが必要になる(21条3項)。
さらに、国家の安全保障、国民経済のライフライン、重要な国民生活、重大な公共の利益等に関わるデータは、国家核心データとしてより厳格な管理体制の対象となると規定しており、重要データ以外に、国家核心データの概念を規定した(21条2項)。国家核心データは、本法起草段階の第一草案、第二草案では規定されておらず、本法の公布にあたって新たに盛り込まれた概念である。本法に国家核心データの定義規定はなく、その規制の範囲については今後注視していく必要がある。
2. データの安全審査制度
国の安全に影響する又はその可能性があるデータの取扱い行為については、国家安全審査が実施される(24条1項)。
ネットワーク安全法のもとで制定されたネットワーク安全審査弁法では、(i)重要情報インフラの運営者が、ネットワーク製品及びサービスを調達する際に、当該製品及びサービスの投入後に生じうる国家安全リスクを予め判断し、国家安全に影響する又は影響する可能性のある場合に自主申告によりネットワーク安全審査が行われる場合と、(ii)ネットワーク安全審査業務体制構成部門が、その判断に基づき、国家安全に影響する又は影響しうると判断したネットワーク製品及びサービスについてネットワーク安全審査が行われる場合があるとされていた。本年7月10日に公表された同弁法の修正草案では、国家安全に影響する又は影響しうるとデータの取扱い行為についてもネットワーク安全審査が行われることが追加的に規定された。これにより、ネットワーク安全法に従うネットワーク安全審査と本法におけるデータ安全審査制度は実質的に同一のものとして運用される可能性がある。また、同弁法の修正草案では、100万人以上のユーザーの個人情報を保有する運営者が中国国外に上場する場合にサイバーセキュリティ審査弁公室に報告し、ネットワーク安全審査を受けることを義務付けている。同弁法の修正草案は未施行であるが、中国最大手の配車プラットフォーマーであるDiDiがネットワーク安全審査の対象となったことは周知のとおりであり、同事業者は大量の個人情報及び自動車関連のデータを保有していることから安全審査の対象となったものと考えられる。
3. データ輸出規制制度
国家の安全と利益の維持及び国際的義務の履行に関する管理項目に属するデータに対しては、輸出規制が実施される(25条)。輸出規制品目は輸出管理法によりリスト化されており、中国から国外に持ち出されるデータが当該輸出規制品目リストに該当する場合には輸出管理法の規制の対象となる。
4. その他
国は、データ安全応急処置メカニズムを確立し、データセキュリティ事件が発生した場合、関連主管部門は緊急対応策を開始し、相応の応急処置を講じ危害の拡大を防止し、安全上の危険を除去するとともに、速やかに公衆に係る警戒情報を公表しなければならないとされており(23条)、データセキュリティ事件に対しては国家機関が対応することが規定されている。
また、データ及びデータの開発利用技術等に関する投資・貿易に関して、中国に対して差別的禁止、制限その他類似の措置を実施した国又は地域に対しては、実際の状況に応じて当該国又は地域に対して対等の措置をとることができる(26条)とされた。2021年6月に施行された反外国制裁法に基づく他国に対する制裁措置に加えて、データに関わる投資・貿易については、本法に基づく対抗措置を行うことも想定される。
(下)につづく
この他のアジア法務情報はこちらから
(かわい・まさのり)
長島・大野・常松法律事務所上海オフィス一般代表。2011年中国上海に赴任し、2012年から2014年9月まで中倫律師事務所上海オフィスに勤務。上海赴任前は、主にM&A、株主総会等のコーポレート業務に従事。上海においては、分野を問わず日系企業に関連する法律業務を広く取り扱っている。クライアントが真に求めているアドバイスを提供することが信条。
(すずき・あきふみ)
2005年中央大学法学部卒業。2007年慶應義塾大学法科大学院修了。2008年弁護士登録(第一東京弁護士会)。同年都内法律事務所入所。2015年北京大学法学院民商法学専攻修士課程修了。同年長島・大野・常松法律事務所入所。2021年5月より中倫律師事務所上海オフィスに出向中。主に、日系企業の対中投資、中国における企業再編・撤退、危機管理・不祥事対応、中国企業の対日投資案件、その他一般企業法務を扱っている。
長島・大野・常松法律事務所 http://www.noandt.com/
長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。
当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。
詳しくは、こちらをご覧ください。