中国:新ネットワークセキュリティ審査弁法の制定及び日系企業への影響(下)
長島・大野・常松法律事務所
弁護士 鹿 はせる
張 玥
3 ネットワークセキュリティ審査の主管部門及び審査内容
新弁法では、審査の主管部門は国家ネットワークセキュリティ審査弁公室とされており(4条)、セキュリティ審査においては、以下の要素を審査するとされている(10条):
- ① 製品及びサービスの使用後に、基幹情報インフラが不正にコントロールされ、妨害又は破壊されるリスク
- ② 製品及びサービスの供給中断が基幹情報インフラの業務の継続性に及ぼす危害
- ③ 製品及びサービスの安全性、開放性、透明性、供給の多様性、供給ルートの信頼性及び政治、外交、貿易などによる供給中断のリスク
- ④ 製品及びサービス提供者が中国の法律、行政法規、部門の規則を遵守する状況
- ⑤ コアデータ、重要データ又は大量の個人情報が盗まれ、漏洩、毀損され、不法に利用され、影響されるリスク
- ⑥ 基幹情報インフラ、コアデータ、重要データ、又は大量の個人情報が外国政府に影響され、統制され、悪用されるリスク、及びインターネット情報安全リスク
- ⑦ その他の基幹情報インフラの安全、ネットワークの安全、データの安全を脅かすおそれのある要素
上記の通り、中国で基幹インフラ事業自体を営む日系企業は少ないものの、他方、中国の国有企業等の基幹インフラ事業者に対して、ネットワーク関連製品及びサービスを供給する日系企業は少なくないと思われる。それらの日系企業からすると、まず、今後クライアントである中国企業がセキュリティ審査を受けるリスクを想定し、日系を含む海外サプライヤーからの調達を回避する傾向となるおそれがある。また、引き続き供給できる場合であっても、中国企業がセキュリティ審査を想定し、(上記④の「製品及びサービス提供者」に該当する)日系サプライヤーに対して、製品供給を受けるに当たって中国の法律、行政法規、部門の規則を遵守する誓約書の提出等、追加の負担を求められる可能性があり、新弁法が日系企業に対するインパクトは無視できないと思われる。
なお、審査手続として、当局は申告資料を受領してから10営業日以内に、審査が必要かどうかを判断し、書面で当事者に通知する(9条)。審査の必要があると判断した場合、当局は原則としては書面通知を行った日から30営業日以内に初期審査を行った上で関連各部門に報告し(11条)、関連各部門は報告を受けてから15営業日以内に返答するとされているが(12条)、関連各部門の意見が一致しない場合は90営業日の特別審査手続に進み、案件が複雑な場合は更に延長できる(14条)。
4 処罰
新弁法20条によれば、同弁法の違反はサイバーセキュリティ法及びデータセキュリティ法の規定に従うとされている。
この点、サイバーセキュリティ法65条では、基幹情報インフラの運営者がネットワークセキュリティ審査を経ていない又はネットワークセキュリティ審査結果に反して製品・サービスを使用した場合、当局は違反事業者に対して当該製品・サービスの使用中止を命じると共に、それらの製品・サービスの購入金額の1倍以上10倍以下の過料を課し、直接責任を負う主管人員及びその他の直接責任を有する者に対して1万元以上10万元以下の過料を課すことができると定められている。
他方、基幹情報インフラの運営者以外の者が新弁法に違反した場合の責任については、ネットワークデータセキュリティ管理条例(パブリックコメント版)に規定が設けられており、データ処理者が義務を怠った場合、当局は、是正命令を行った上で、違反事業者に対して5万元以上50万元以下の過料を課し、直接責任を負う主管人員及びその他の直接責任を有する者に対して1万元以上10万元以下の過料を課すことができるとされている。更に、違反事業者が是正を怠る、又はデータセキュリティに危害を与える等重大な結果を招いた場合、当局は50万元以上200万元以下の過料を課すと共に、関連業務の停止、業務許可証又は営業許可証の取消の他、直接責任を負う主管人員及びその他の直接責任を有する者に対して5万元以上20万元以下の過料を課すことができるとされている(60条)。
5 その他
新弁法22条では、データセキュリティ審査及び外商投資安全審査に関し別途規定がある場合には、事業者は当該規定も同時に遵守すべきと規定されている。
この点、外商投資安全審査は、2021年に施行された外商投資安全審査弁法に基づくものである。
データセキュリティ審査については、現時点では未だ別途規定は施行されていないが、データセキュリティ法24条は、「国はデータセキュリティ審査制度を設ける」と規定しており、ネットワークデータセキュリティ管理条例(パブリックコメント版)13条では、データ処理者は以下のいずれかに当たる場合に、関連規定に従いネットワークセキュリティ審査を申告すべきと定められている:
- ① 国家の安全、経済発展、公共の利益に関わる大量のデータ資源を保有するインターネットプラットフォーム運営者が合併、再編、分割を実施し、国家の安全に影響を及ぼすか又はそのおそれがある場合
- ② 100万人以上の個人情報を処理するデータ処理者が海外上場を行う場合
- ③ データ処理者が香港に上場し、国家の安全に影響を及ぼすか、又は影響を及ぼす可能性がある場合
- ④ その他、国家安全保障に影響を及ぼす可能性のあるデータ処理活動を行った場合
上記要件は新弁法におけるセキュリティ審査要件とかなりの部分で重なるが、同条例における「ネットワークセキュリティ審査」が新弁法に規定されたネットワークセキュリティ審査を意味するか、同審査に加えて、別の仕組みの「データセキュリティ審査」が更に求められるかは現在明らかではなく、立法の動向を見守る必要がある。
以 上
この他のアジア法務情報はこちらから
(ろく・はせる)
長島・大野・常松法律事務所東京オフィスパートナー。2006年東京大学法学部卒業。2008年東京大学法科大学院修了。2017年コロンビア大学ロースクール卒業(LL.M.)。2018年から2019年まで中国大手法律事務所の中倫法律事務所(北京)に駐在。M&A等のコーポレート業務、競争法業務の他、在中日系企業の企業法務全般及び中国企業の対日投資に関する法務サポートを行なっている。
(Yue・Zhang)
日本長島・大野・常松律師事務所上海オフィス顧問。2016年上海交通大学法学部卒業、2020年慶応義塾大学法学研究科卒業。現在長島・大野・常松法律事務所上海オフィスの顧問として一般企業法務、M&A及び企業再編を中心に幅広い分野を取り扱っている。(※中国法により中国弁護士としての登録・執務は認められていません。)
長島・大野・常松法律事務所 http://www.noandt.com/
長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。
当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。
詳しくは、こちらをご覧ください。