「中国データセキュリティ法(草案)」解説

 2020年628日、全国人民代表大会常務委員会は、「中華人民共和国データセキュリティ法(草案)」(以下、「データセキュリティ法(草案)」と称します。)を、初回審議し、「データセキュリティ法(草案)」の全文を公表しました。202073日「データセキュリティ法(草案)」に対する意見募集が行われ、募集期間は、同年816日までとされました。 

 「データセキュリティ法(草案)」は、近年におけるデータビジネスの発展やデータ管理実務の要求に応じ、必要とされるルール造りを法律のレベルにまとめ、中国の将来のデータセキュリティ保護の分野における主要な制度的枠組みになると思われます。

 「データセキュリティ法(草案)」において、データを取り扱う日系企業にとって留意すべきポイントが多く存在するため、本文において、「データセキュリティ法(草案)」の基本を纏めてご紹介したいと思います。

 

一、立法の背景

 中国及び世界の他国におけるデジタル経済の発展により、戦略的資源としてのデータの地位がますます際立っていると思われます。データにおける主権、データの越境移転、データの貿易管理を含むデジタル時代における新たな課題が顕著化しています。

 この背景の中、データにかかる規制を中心とした基礎的な法律の制定が、デジタル経済分野における中国国家の安全を守り、中国国家の利益を確保するために必要な基礎となると考えられます。

 

 

二、「データセキュリティ法(草案)」における各行政機関の役割

 「データセキュリティ法(草案)」は、データセキュリティ関連分野の政務を担当する中央行政機関及び地方行政機関の責任及び職責を明確に規定しています。

 「データセキュリティ法(草案)」第6条及び第7条によると、「中央国家安全指導機関は、データセキュリティ業務の政策決定及び統一計画の協調に責任を負い、国家データ安全戦略及び関連する重大方針政策を研究制定し、指導実施する」、「公安機関、国家安全機関等は、本法及び関連法律、行政法規の規定に基づき、各自の職責範囲内でデータセキュリティ監督管理職責を負い、国家インターネット通信部門は、本法及び関連法律、行政法規の規定に基づき、インターネットデータの安全及び関連監督管理業務を統一的に計画、調整する責任を負う」とされています。

 すなわち、中央政府のレベルにおいては、中央国家安全指導機関、国家インターネット通信部門、公安機関、国家安全機関が、それぞれ各自の職責範囲において、データセキュリティ監督管理業務における職責を負うとされています。

 また、地方政府及び各分野の管理機関の範囲では、「データセキュリティ法(草案)」第6条により、「各地方、各部門はそれぞれの業務で発生、集計、加工されたデータとデータの安全に対して主体的責任を負う」とされています。

 更に、業界の所管範囲では、「データセキュリティ法(草案)」第6条により、「工業・電信・天然資源・衛生健康・教育・国防科学技術工業・金融業等の業界主管部門は、当該業界・当該分野のデータ安全監督管理業務に統一的に責任を負う。」とされています。

 上記の管理体制は、中央による集中的な指導力を保ちつつ、各地方、各分野の管理機関、各業界の特性に応じた施策を講じることができるように制度が設計されていると思われます。

 

 

三、適用範囲

 「データセキュリティ法(草案)」第2条及び第3条によると、「データの収集、保存、加工、使用、提供、取引、公開等を含む中国国内で展開するデータ活動については、いずれも本法の規定を適用する」と規定されています。

 また、「データセキュリティ法(草案)」は、域外適用についても規定をおいています。つまり、第2条において、「中国国外の組織及び個人がデータ活動を展開して中国の国家安全、公共利益又は公民組織及び合法的権益を損なった場合、本法に基づき責任を追及する」と規定しています。

 

 

四、データ分野における等級制度の導入及び重要データに対する重点保護

 データセキュリティ管理制度においては、「データセキュリティ法(草案)」は、データ等級分類制度を導入し、さらに重要データに対して重点的に保護するようにしています。

 中国では、「データセキュリティ法(草案)」が発表される前、既に金融、電力、衛生健康、基幹インフラストラクチャー等の重点分野に対するデータ等級別分類保護にかかる要求の基準を公表されています。さらに、「データセキュリティ法(草案)」は、「サイバーセキュリティ法」に規定されているネットワークセキュリティ等級保護の等級基準の規定を参考して、「データが改ざん、破壊、漏洩又は不法取得、不法利用される場合、国の安全、公共利益又は公民、組織の合法的権利利益にもたらす危害の程度に応じて、データに対して等級分類保護を実行する」と規定しています。

 上記規定に応じて、「データセキュリティ法(草案)」は、重要データに対し、重点に保護するための基本義務を規定しました。

 「データセキュリティ法(草案)」第25条によると、「重要データの処理者は、データセキュリティ責任者及び管理機関を設置して、データセキュリティの責任を果たさなければならない」とされています。「データセキュリティ法(草案)」第28条によると、「重要データの処理者は、関連規定に基づきリスク評価を行い、関連主管当局にリスク評価報告を送信・報告しなければならない。当該報告書には、当該組織が把握している重要データの種類、数量、データの収集、保存、加工、使用状況、直面しているデータセキュリティリスク及びその対応措置等を含まなければならない」と規定されています。

 また、重要データの対象範囲に関しては、「データセキュリティ法(草案)」は、その概念の定義を置いておらず、第19条において、各地域及び業界の主管当局に当該地域及び業界の重要データ保護目録を制定するように権限を付与しました。

 このような規定に対して、2019年に公表された「データセキュリティ管理弁法(意見募集稿)」は、重要なデータを「漏洩した場合、経済的安全、社会的安定、公衆の健康と安全に直接影響を及ぼす可能性のあるデータ」と定義しています。重要データの種類が多く、かつ広範囲であるため、法律で明確に定義を規定するより、重要データの範囲を各地域又は業界による下位規則に委ねることで、柔軟的に対応するような立法の意図が含まれると思われます。

 

 

五、データセキュリティ審査制度

 「データセキュリティ法(草案)」は、中国のデータセキュリティ審査制度を初めて規定しました。第22条においては、「国家のデータセキュリティ審査制度を確立して、国家安全に影響を与える可能性のあるデータ活動に国家安全審査を行う」と規定されています。

また、第22条後段においては、セキュリティ審査決定の最終決定権を行政機関に付与するように規定され、データセキュリティ審査における行政機関の裁量権を充実させる意図があると考えられます。

 一方、「データセキュリティ法(草案)」は、データセキュリティ審査制度の内容を明確に規定したものではなく、「国の安全に影響を及ぼす、または影響を及ぼすデータ活動」について、データセキュリティ審査を受けるという原則的な規定のみが置かれています。

 

 

六、データの国際移転に関する制度の提起

 データは、デジタル経済発展の重要な要素として、その国際間の移転が拡大されつつあります。一方、データは、中国の基礎的戦略資源であり、国家安全においても守るべきものであると考えられます。こういった背景の中に「データセキュリティ法(草案)」は、中国が国際交流に積極的に参加し、データのクロスボーダー流通を促進するように規定する一方、中国はデータ輸出管制制度、データ利用対抗措置及び国外調査データの報告認可制度とのデータの越境移転セキュリティ評価制度をも明確に提起しました。

 まず、データの越境移転を推進するため、「データセキュリティ法(草案)」第10条は、「国はデータ分野の国際交流と協力を積極的に参加し、データセキュリティ関連の国際規則と基準の制定に参与し、データのクロスボーダーの安全で自由な流通を共同で促進する」と明確に規定しています。

  1. 「データセキュリティ法(草案)」は、データ輸出管制制度を初めて提起しました。第23条において、「国際義務の履行と国家安全の維持に関連する管制物項目に属するデータに対して法に基づき輸出管理を実施する」と規定しています。この規定は、データの越境移転に伴い、データセキュリティの問題の顕著化に対応する規定であると考えられ、「中国輸出管理法」及び「データ越境移転安全評価制度」などの制度との間の関係性及び整合性が、今後我々注目すべきポイントであると考えます。
  2. 「データセキュリティ法(草案)」は、データ利用対抗措置の確立を提起しました。第24条の規定においては、「如何なる国又は地域もデータ及びデータ開発利用技術等に関連する投資、貿易において、中華人民共和国に対して差別的な禁止、制限又はその他類似の措置をとる場合、中華人民共和国は、実際の状況に基づき、当該国又は地域に対して相応の措置をとることができる」と規定されています。
  3. 「データセキュリティ法(草案)」は、国外調査データの報告認可制度を提起しました。第32条においては、「公安機関、国家安全機関は法に基づき国家安全を維持し、又は犯罪を捜査する必要があるためにデータを調査・取得する場合、国の関連規定に基づき、厳格な認可手続きを経て、法に基づき行わなければならず、関連組織、個人はこれに協力しなければならない。」と規定されているのに対して、第33条は、「国外の法執行機関が中華人民共和国国内に保存されたデータの調査を要求する場合、関連組織、個人は関連主管機関に報告しなければならず、許可を得た後に提供することができる」と規定し、外国機関が中国国内で任意に調査・証拠収集活動を行うことを禁止し、国内組織或いは個人が許可を得ずに外国の組織に証拠資料を提供してはならないことを要求しています。

 

 

七、データ取引制度の提起

 近年、中国においては、データの取引及びデータ保有者間の提携が、金融規制、信用調査、広告メディア、地図測量製図、医薬健康、環境気象などの分野で多数行われ、重要な役割を果たしていると思われます。この状況を受け、「データセキュリティ法(草案)」は、初めて法律レベルで、データの取引およびデータ取引のサービスプロバイダについて言及し、それに対する制度設計を提起しました。

 「データセキュリティ法(草案)」第3条においては、データ取引をデータ処理の一種として規定し、データの取引活動に正当な法的地位を付与したと思われます。

さらに、第17条においては、「国がデータ取引制度を確立・健全化し、データ取引行為を規範化し、データ取引市場を育成する」と規定し、第30条においては、「データ取引仲介業務に従事する機関は、データ提供者にデータの出所を説明し、取引双方の身分を審査し、相応の審査及び取引記録を保存するよう要求しなければならない」と規定しています。

 また、罰則規定としては、第43条において、「データ取引仲介機関が第30条の規定を履行していないため、不正なソースデータ取引を引き起こし、所管当局は、データ取引仲介機関に対して、修正を命じ、違法所得を没収し、罰金を徴収し、又は関連業務ライセンス、業務許可証を失効させることができる」と行政処分を科しています。この罰則には、両罰規定が置かれているため、違法行為の責任者個人に対しても、行政処分を科すことが可能となっています。

 

 

八、結び

 「データセキュリティ法(草案)」の公布は、近年における中国のデータビジネスの発展及びデータ管理実務の要求を応じ、いままでのデータ管理業務に対する総括的な立法の最初の試みであると思われます。「データセキュリティ法(草案)」は、中国全国人民代表大会が作成した優先立法すべき法案リストの上位にある部門法として、近い将来に正式に公布され、施行されると予想されます。また、「データセキュリティ法(草案)」は、中国の個人情報保護関連立法、「中国サイバーセキュリティ法」関連立法及び輸出管理関連立法と多くの側面で関連しているため、日系企業を含むデータを取り扱う企業は、今後引き続き留意すべき法律であると考えます。

 

 

参考

「中国データセキュリティ法(草案)」

http://dsj.guizhou.gov.cn/xwzx/gnyw/202007/t20200703_61330516.html

 

中国のサービス詳細はこちら