中国国内で取得した情報・データの国外移転制限について(上)
長島・大野・常松法律事務所
弁護士 鹿 は せ る
中国では、2017年6月1日に「インターネット安全法」(原題「网络安全法」、別名サイバーセキュリティ法ともいう)が施行された。同法の重要な構成部分は中国国内で取得した個人情報及び重要データ(以下「情報等」という)の国外への移転制限であり、具体的には、同法37条が「基幹情報基礎施設の運営者が中国国内の運営により取得した個人情報及び重要データは中国国境内で保存しなければならない。業務の必要上国外への提供が必要となる場合には、国家インターネット情報部門及び国務院関連部門が制定する方法による安全評価を経る必要がある。法律及び行政法規で別途定めがあるときはそれに従う。」と規定している。
1. 保存の主体
インターネット安全法の法文上、情報等の移転が制限される主体はあくまで「基幹情報基礎施設の運営者」であり、それなりに限定された範囲のように読める。
しかし、パブリックコメント募集中である「個人情報及び重要データの国外移転の安全評価管理弁法」案(原題「个人信息和重要数据出境安全评估办法」。以下「評価弁法」という)及び「情報安全技術及びデータの国外移転安全評価ガイドライン」(原題「信息安全技术 数据出境安全评估指南」、以下「ガイドライン」という)の法案が公開された途端、その定義にこだわる意義はほぼ失われた。
評価弁法では、中国国内で取得した情報等の国内保存義務を負う主体は「ネットワーク運営者」に拡張され(2条)、ガイドラインでは「ネットワーク運営者」につき、「ネットワークの所有者、管理者およびネットワークサービスの提供者」という広範な定義が置かれているため(3.1)、一定の規模で中国国内で事業を展開する外資企業は、ほぼこの範囲に含まれることとなるだろう。
2. 保存の対象
原則中国国内で保存すべきとされ、国外移転が制限される情報等は、「ネットワーク運営者が中国国内での運営中に取得及び作成した個人情報及び重要データ」である(評価弁法2条)。
個人情報とは、自然人を特定できる情報(名前、生年月日、身分証明書番号等、単独及びそのほかの情報と合わせて特定できる場合も含む)を意味する(ガイドライン3.3)。
重要データとは、「中国国内で収集又は作成されたデータのうち、国家機密に関わらないものの、国家の安全、経済発展及び公共の利益に密接に関連するデータ」(原始データのほか派生データも含まれる)を意味する(ガイドライン3.5)。ガイドラインでは、業種別に、重要データの該当性について例示列挙されており(例えば、鉄鋼業については、重要地域・企業の生産規模、設備、スケジュール、大口顧客の購入情報、先端製品に関する情報、市場予測情報等が重要データに含まれるとされている)、それらは一定の参考になると思われるが、それでも外延は明確ではなく、今後の実務判断の蓄積が待たれるところである。もっとも、政府によって適法に開示された情報は、重要データに該当しないと規定されている(同3.5注2)。
(下)につづく