◇SH3322◇中国:データ安全法(草案)の公表(上) 鈴木章史(2020/09/28)

未分類
アジア法務情報(長島・大野・常松法律事務所)中国

中国:データ安全法(草案)の公表(上)

長島・大野・常松法律事務所

弁護士 鈴 木 章 史

 

 2020年7月3日、中国全国人民代表大会常務委員会は、データ利用の拡大が進む社会情勢の下での国家の安全保障と経済社会の発展を目的とした「データ安全法」の草案(以下「本草案」という。)を公表し、パブリックオピニオンの募集を開始した[1]。本草案は意見募集稿であるため、今後修正される可能性があり、正式公布までに内容が変更される可能性はあるが、今後の規制動向を事前に把握することは有用と考えられる。以下では本草案のうち特に重要と考えられる規定について概説する(引用条文はいずれも本草案の条文を指すものとする。)。

 

1. 概 要

 本草案は、データ保護に係る国の方針及び制度(本稿3.で概説)、データ活動を行う主体の義務(本稿2.で概説)、政務データの安全保護と公開(本稿4.で概説)及び罰則(本稿5.で概説)に関する規定により構成されている。

 本草案において「データ」とは、「電子又は非電子の形式による情報の記録」(3条1項)と定義されている。また、規制の対象となるデータを取り扱う行為を「データ活動」と規定し、「データ活動」とは、「データの収集、保存、加工、使用、提供、取引又は公開などの行為」(3条2項)を指すとしている。本草案は、「中国国内におけるデータ活動」に適用されるとされており(2条1項)、自然人と法人、内資企業と外資企業といった区別なく、中国で事業活動を行うほぼ全ての事業主体に適用されることになる。また、このように本草案の適用範囲は極めて抽象的に規定されているため、いかなる事業が「中国国内におけるデータ活動」として、本草案の規制が及ぶかについては明らかではない点が多い。特に、中国向けの事業を行う事業者の中には、中国国内にはオフィスやサーバーを設けずに、中国国外のサーバーを通じて中国向けのウェブサイトを開設し中国向けの事業活動を行っているケースがある。このような場合、中国の消費者の個人情報を含む中国国内のデータを取り扱うことになり、規制の趣旨を考えると本草案の規制の対象となる可能性があるように思われるが、この点に関しては必ずしも規定上は明確ではなく、引き続き今後の議論及び実務の動向を注視することが望まれる。

 本草案は、データの保護及び安全に関する基本法であり抽象的な内容にとどまるため、規制の具体的内容や実務上の運用に係る指針については、別途定められる関係法令やガイドラインに従うことになる。したがって、本草案への対応や事業活動に与える影響に関しては、今後制定される関係法令やガイドラインも確認する必要がある。

 また、中国では2017年にネットワーク安全法が施行されており、ネットワークの安全保護を目的として、ネットワーク運営者や重要インフラ運営者に対する規制が導入されている。2021年1月に施行予定の民法典には、個人情報の取り扱いに関する規定が設けられており、あらゆる主体が個人情報の保護義務を負うことになる。本草案はこれらの規制と重なり合う部分が多いと考えられるところ、それぞれ異なる目的の法令であるため重畳的に適用されるのかという点を含めその適用関係の理解については、これら関連する規制の動向を把握することも必要となる。

 

2. データ活動を行う主体の義務

(1) 一般的な義務

 データ活動を行う主体は、データの安全性を保障するための一般的な義務として、(i)データの安全管理制度の確立、(ii)データの安全性確保のための教育の実施、(iii)相応の技術措置とその他必要な措置の実施が必要とされる(25条1項)。データ活動を行う主体は、データセキュリティの欠陥、脆弱性などのリスクを発見した場合には、直ちに復旧措置を講じなければならず、データセキュリティ事故が発生した場合は、直ちにユーザー及び関連主管部門に報告しなければならない(27条)。いかなる主体もデータの収集を行う場合には、合法、正当な方法によらなければならず、データを盗み取ったり、その他不法な方法で取得したりしてはならない(29条1項)。

(2) 重要データの処理者に対する追加的義務

 本草案は重要データという概念を用いて、重要データの処理者に対して、追加的な義務を課している。本草案は、データの重要性や国家の安全、公共の利益及び公民、組織の合法的権益に生じる危害の程度に応じて、データに対しレベル別の保護を行うとしており(19条1項)、重要データという概念も当該レベル別の保護の考え方に沿ったものと考えられる。もっとも、当該レベル別の詳細や重要データの定義に関する規定は設けられておらず、ネットワーク安全法上に定められている「重要データ」との相違の有無も含めて、未だ明らかではない点が多い。

 重要データの処理者は、データセキュリティの責任者と管理機構を設置し、データの安全性を確保しなければならない(25条2項)。重要データの処理者は、そのデータ活動に対して、定期的にリスク評価を行い、関連主管部門にリスク評価の結果を報告しなければならず(28条1項)、当該リスク評価報告には、当該主体の有する重要データの種類及び数量、データの収集、保存、加工及び使用の状況、直面するデータセキュリティ上のリスク及びその対策等が含まれなければならない(28条2項)。

(3) その他の特別な義務

 以上の規制とは別に、データ取引仲介サービスに従事する主体については、データ取引仲介サービスを提供する際に、データの提供者にデータの出所に関する説明を要求し、取引主体双方の身分を審査するとともに、審査及び取引の記録を残さなければならない(30条)。また、オンラインデータ処理等のサービスを専門に提供する主体は、国務院電信主管部門等による別途の定めに基づき、許認可の取得又は届出を行わなければならない(31条)。

 

(下)に続く

[1] 当該パブリックオピニオンに基づく公衆からの意見募集の手続は、2020年8月16日付で締め切られている。

 

タイトルとURLをコピーしました