中国:新ネットワークセキュリティ審査弁法の制定及び日系企業への影響(上)
長島・大野・常松法律事務所
弁護士 鹿 はせる
張 玥
2021年12月28日に、中国の国家ネットワーク情報弁公室(中国語:国家互联网信息办公室)は、国家発展改革委員会、証券監督管理委員会等の13部門と連名で、2020年に制定されたネットワークセキュリティ審査弁法(以下「旧弁法」という。)に代えて、「ネットワークセキュリティ審査弁法」(中国語:网络安全审查办法。以下「新弁法」という。)を制定し、2022年2月15日から施行すると公表した。新弁法制定の直接の引き金となったのは、昨年日本でも広く報じられたDiDiの米国上場問題であるが、内容は昨年に成立したデータセキュリティ法(中国語:数据安全法)、個人情報保護法等一連の中国のデータプロテクション法制の一角をなすものであり、以下に述べるように日系企業への影響も決して無視できないと考えられることから、本稿で概要を解説する。
1 立法の経緯及び位置づけ
2017年から施行された中国サイバーセキュリティ法(中国語:网络安全法)35条では、「基幹情報インフラ(中国語:关键信息基础设施)の運営者は、ネットワーク関連製品とサービスを購入し、国家安全に影響を与える可能性がある場合、国家ネットワーク情報部門及び国務院の関連部門によるセキュリティ審査を経るものとする」と規定していたため、同セキュリティ審査の具体的な手続を定めた旧弁法が制定されていた。
昨年(2021年)7月2日、中国ネットワークセキュリティ審査弁公室(中国語:国家网络安全审查办公室)は、6月末に米国のニューヨーク証券取引所に上場したばかりの中国配車アプリの最大手DiDiに対して、国家安全上の懸念があるとして、国家安全法、サイバーセキュリティ法に基づき、旧弁法による調査を行うと発表し、中国国内のアプリ新規ダウンロードを禁止するなどの措置を講じた。しかし、この時同年6月に制定されたばかりのデータセキュリティ法は未だ施行前であり(その後9月1日施行)、サイバーセキュリティ法に基づき制定・施行されていた旧弁法には、中国企業による海外上場の際にセキュリティ審査を行うことの明確な根拠規定が欠けていた。
そのため、従来の①基幹情報インフラ関連のセキュリティ審査関連規定をアップデートし、更に今後も予想される②中国企業の海外上場案件[1]に対する審査の規定を整備するために、同年7月10日に公布されたパブリックコメント版を経て正式に制定されたのが新弁法であり、今年2月の施行に伴い旧弁法は廃止されることとなる。
そのため、新弁法は国家安全法、サイバーセキュリティ法、データセキュリティ法及び基幹情報インフラ安全保護条例(中国語:关键信息基础设施安全保护条例)の下位法令に位置づけられる(1条)。このうち、基幹情報インフラ安全保護条例も2021年9月1日に施行されたばかりの中国行政法規であるが、新弁法の役割である①基幹情報インフラ関連のセキュリティ審査との関係で重要な法令であり、下記2で言及する。
2 審査の適用対象
新弁法の下で、企業側で主体的にネットワークセキュリティ審査の申告が必要とされるのは、以下の場合である:
- ① 基幹情報インフラの運営者がネットワーク製品及びサービス(中国語:网络产品和服务)の供給を受ける際、国家安全に影響を及ぼし、又はそのおそれがある場合(5条)
- ② 100万人以上のユーザーの個人情報を保有するネットワークプラットフォーム(中国語:网络平台运营者)運営者が海外上場を行う場合(7条)
上記のうち、②は正にDiDiの米国上場類似の場合を想定したケースであり、旧弁法の穴を埋めるものである。「ネットワークプラットフォーム運営者」の定義は明確ではないが、同様にサイバーセキュリティ法等の下位法令として立案中の「ネットワークデータセキュリティ管理条例(中国語:网络数据安全管理条例)(パブリックコメント版)」では、「インターネットプラットフォーム運営者(中国語:互联网平台运营者)」が、「ユーザーのために情報の発信、社交、取引、支払、視聴等のインターネットプラットフォームサービスを提供するデータ処理者」と定義されており、類似する概念であると考えられる。いずれにしても、上場を目指す規模の中国企業であれば、「100万人以上のユーザーの個人情報を保有するプラットフォーム運営者」の要件は通常満たすものと思われ、当該企業が海外上場を申請するためには、まず国内でセキュリティ審査を経るべきことが明確化された。
この点、中国国内では、「海外」上場に香港上場も含まれるかという点が議論されており、上記ネットワークデータセキュリティ管理条例では「海外上場」と「香港上場」が区別されていることから、含まれないという意見が有力である。もっとも、新弁法では当局は「国家安全に影響を及ぼす又はそのおそれがあるネットワーク製品、データ処理活動」があると認める場合は、職権で調査を開始できるとされていることから(16条)、区別の実益は、企業が自主的に申告を行うか否かに留まる。
これに対して、①は従来の旧弁法を引き継いだ規定となっているが、文言上の要件がいずれも抽象的であり、どういった場合に審査対象となるか、更に検討が必要となる。新弁法では、「ネットワーク製品及びサービス」とは、「コアとなるネットワーク設備、重要通信製品、高性能コンピューターとサーバー、大容量保存設備、大型データベースとアプリケーション、ネットワークセキュリティ設備、クラウドサービス、及びその他の基幹情報インフラの安全、ネットワークセキュリティ、データ安全に重要な影響があるネットワーク製品及びサービス」を指すとされている(21条)。
ここで、「基幹情報インフラ」の定義について、昨年制定された基幹情報インフラ安全保護条例を参照する必要がある。同条例2条では同施設は「公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術産業等の重要な産業分野における重要なネットワーク設備又は情報システムであり、破損、機能喪失又はデータ流出が発生した場合に国家の安全、国民生活、公共の利益を著しく損なう可能性があるもの」を意味すると定義されている。新弁法と併せて読めば、列挙されているインフラ事業を営む企業がネットワーク設備投資をする際には、広くネットワークセキュリティ審査を申告する必要が無いか検討することが必要になるであろう。
中国では原則としてそれらのインフラ事業は国有企業が行っているため、日系企業がセキュリティ審査の当事者となるケースはそれほど多くないと予想されるが、列挙された産業のうち、外資企業の進出が認められている銀行等の金融機関は、「基幹情報インフラ」の運営者に当たる可能性がある。
もっとも、上記の通り、基幹情報インフラ安全保護条例において「基幹情報インフラ」を「重要なネットワーク設備又は情報システムであり、破損や機能喪失、データ流出が発生した場合に国家の安全、国民生活、公共の利益を著しく損なう可能性があるもの」と限定しているため、例えば単なる金融機関の支店であり、保有する個人情報が少ないといった事情があれば、「基幹情報インフラ」に該当しないとの整理も可能と思われる。基幹情報インフラ安全保護条例8条から11条では、同インフラに関する認定ルールが定められており、原則として管理監督当局が認定した上で運営者に通知すると定められているため、中国で事業を展開する日系企業は、まず自身が基幹情報インフラの運営者と認定されていないか、認定されるおそれがないか、確認が求められるであろう。
(下)につづく
この他のアジア法務情報はこちらから
(ろく・はせる)
長島・大野・常松法律事務所東京オフィスパートナー。2006年東京大学法学部卒業。2008年東京大学法科大学院修了。2017年コロンビア大学ロースクール卒業(LL.M.)。2018年から2019年まで中国大手法律事務所の中倫法律事務所(北京)に駐在。M&A等のコーポレート業務、競争法業務の他、在中日系企業の企業法務全般及び中国企業の対日投資に関する法務サポートを行なっている。
(Yue・Zhang)
日本長島・大野・常松律師事務所上海オフィス顧問。2016年上海交通大学法学部卒業、2020年慶応義塾大学法学研究科卒業。現在長島・大野・常松法律事務所上海オフィスの顧問として一般企業法務、M&A及び企業再編を中心に幅広い分野を取り扱っている。(※中国法により中国弁護士としての登録・執務は認められていません。)
長島・大野・常松法律事務所 http://www.noandt.com/
長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。
当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。
詳しくは、こちらをご覧ください。