中国:9月1日より施行 中国データ安全法(下)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
弁護士 鈴 木 章 史
第4 データの取扱い行為を行う主体の義務
1. 一般的な義務
データの取扱い行為の主体は、データの安全性を保障するための一般的な義務として、(i)データの安全管理制度の確立、(ii)データの安全性確保のための教育の実施、(iii)相応の技術措置とその他必要な措置の実施が必要とされる(27条1項)。なお、同27条1項は、インターネット等を利用しデータの取扱いを行う場合、ネットワーク安全等級保護制度を基礎として、データ安全保護義務を履行しなければならないと定めており、ネットワーク安全法と同趣旨の規定と考えられる。
データの取扱い行為の主体は、データセキュリティの欠陥、脆弱性などのリスクを発見した場合、直ちに復旧措置を講じなければならず、データセキュリティ事故が発生した場合は、直ちに措置を講じ、ユーザー及び関連主管部門に報告することが求められる(29条)。また、いかなる主体もデータの収集を行う場合には、適法かつ正当な方法によらなければならない(32条1項)。さらに、データの取扱い行為及びデータ新技術の研究開発に際しては、「中国の社会道徳及び倫理」への適合が要請されており(28条)、本条の運用次第では企業に重大な影響が生じるものと思われる。
2. 重要データの取扱い主体に対する追加的義務
重要データの取扱い主体は、データセキュリティの責任者と管理組織を明確にし、データの安全性を確保しなければならない(27条2項)。また、定期的にリスク評価を行い、関連主管部門への評価結果の報告も必要とされている(30条1項)。
3. 重要データの域外移転
重要情報インフラの運営者が中国国内において収集及び生成した重要データの域外移転安全管理については、ネットワーク安全法に従うものとされている(31条)。重要情報インフラの運営者は、重要データを原則として中国国内で保存しなければならず、中国国外に移転する必要性がある場合には、安全評価を行わなければならない(ネットワーク安全法第37条)。なお、重要情報インフラの運営者以外のデータの取扱い主体が、中国国内における運営で収集及び生成した重要データの域外移転については、ネットワーク情報サービス部門及び関連部門により制定される規則に従うとされ、追加的な規制の余地が示されている(31条)。
4. 中国の捜査等への協力義務等
公安機関及び国家安全機関が、国家安全の保護又は犯罪捜査のためにデータが必要な場合、国家の関連規定に従い、関連組織及び個人はこれに協力しなければならない(35条)。これは、公民及び組織に対して国家安全保障機関等に対する支援・協力義務を定めた国家安全法77条1項5号と同趣旨の規定と考えられる。センシティブな領域のデータを取り扱う事業者は特に注意が必要と思われる。
5. 外国の司法機関等へのデータ提供に関する認可
中国国内の組織、個人は、中国の主管部門の認可を得ずに、外国の司法又は執行機関に対して、中国国内に保存されているデータを提供してはならない(36条)とされている。外国の捜査機関が対象に含まれることは争いがないように思われるが、外国の裁判所に対して訴訟の証拠を提出する行為も含まれるかといった点が実務上注目されている。
第5 政務データの安全と公開に関する規定
公的部門の職務遂行過程で収集、生成されるデータである政務データのセキュリティの確保と公開は重要な政策の一つであり、近年、地方政府レベルで政務データの取扱いに関する地方性法規の制定が進んでいる。本法では政務データに関する規定が設けられており、全国的に統一した政務データの安全性確保と公開にかかる原則を規定している。
国家機関は、データの安全管理制度を確立してデータセキュリティ保護を実施し、政務データの安全を保障しなければならず(39条)、別段の法規がある場合を除き、公正、公平、公衆の便宜の原則に従って、政務データを適時に、正確に公開しなければならない(41条)。また、国は、政務データの開放リストを作成するとともに、政務データの開放プラットフォームを構築し、政務データの開放利用を推進する(42条)。
なお、国家機関は、第三者に電子政務システムの構築、保護、政務データの保存、加工を委託する場合、厳格な承認手続を経た上で、受領者によるデータセキュリティの保護義務の履行を監督しなければならない(40条)。事業上、国家機関と取引があり、何らかの政務データを取り扱う機会がある事業者は、当該承認の要否を確認する必要がある。
第6 罰則
本法の規制に違反した場合の罰則は以下のとおりである。重大な結果をもたらした場合には、高額な過料のみならず営業許可の取消しの対象とされており、一部はネットワーク安全法と比較して罰則が強化されている。行政上の罰則に加えて、民事責任及び刑事責任も別途生じうる。
対象となる行為 | 罰則の内容 |
---|---|
本法27条、29条、30条に定めるデータ安全保護義務に違反した場合(45条1項) |
|
是正を拒否した場合や大量のデータ漏洩等の重大な結果をもたらした場合
|
|
国家核心データの管理制度に違反し、国家主権、安全及び発展利益に危害を加えた場合(45条2項) |
|
31条に違反して国外に重要データを提供した場合(46条) |
|
情状が重い場合
|
|
データ取引仲介サービスに従事する主体が33条に定める義務を履行しなかった場合(47条) |
|
35条の規定に違反して、データの要請への協力を拒否した場合(48条1項) |
|
36条の規定に違反して、中国の主管機関の認可を得ずに外国の司法又は執行機構に対してデータを提供した場合(48条2項) |
|
重大な結果をもたらした場合
|
第7 まとめ
以上のように、本法はあらゆるデータの取扱い行為に関して広範に規制を課す内容となっており、特に中国と関連する事業を行っている企業としては、規制を遵守できているか適時に確認することが求められる。本項の執筆時点では、9月1日の施行以降、本法の取締り事例として注目を集めるような事例は見当たらないが、中国においてデータプロテクションは個人情報保護とともに最重要分野と考えられており、今後の取り締まりや運用の動向を注視していくことが必要といえる。
以 上
この他のアジア法務情報はこちらから
(かわい・まさのり)
長島・大野・常松法律事務所上海オフィス一般代表。2011年中国上海に赴任し、2012年から2014年9月まで中倫律師事務所上海オフィスに勤務。上海赴任前は、主にM&A、株主総会等のコーポレート業務に従事。上海においては、分野を問わず日系企業に関連する法律業務を広く取り扱っている。クライアントが真に求めているアドバイスを提供することが信条。
(すずき・あきふみ)
2005年中央大学法学部卒業。2007年慶應義塾大学法科大学院修了。2008年弁護士登録(第一東京弁護士会)。同年都内法律事務所入所。2015年北京大学法学院民商法学専攻修士課程修了。同年長島・大野・常松法律事務所入所。2021年5月より中倫律師事務所上海オフィスに出向中。主に、日系企業の対中投資、中国における企業再編・撤退、危機管理・不祥事対応、中国企業の対日投資案件、その他一般企業法務を扱っている。
長島・大野・常松法律事務所 http://www.noandt.com/
長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。
当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。
詳しくは、こちらをご覧ください。