「中国データセキュリティ法」におけるデータの越境規制

「中国データセキュリティ法」におけるデータの越境規制

執筆:パラリーガル 劉 藶(LIU LI)

 

現在、貿易取引、技術交流、情報共有などの国際的な経済活動が拡大しており、国境を越えたデータの流通が活発になっていると考えられます。 しかし、特に多国籍企業が取り扱うデータには、個人情報だけではなく、商品情報、支払情報、物流データ、地理的位置などの非個人的な情報も含まれており、その中の一部に国家の安全、公共の安全に関する情報が含まれている可能性があります。

2021年9月1日、「中国データセキュリティ法」(正式名:「中华人民共和国数据安全法」、以下「本法」という。)が施行され、データの越境流通を促進(本法第11条)する上で、データの越境安全管理(本法第31条)、所管機関による承認(本法第36条)、法定責任(本法第46条)について規定されています。

本稿は、主に「中国データセキュリティ法」におけるデータの越境規制について解説いたします。本法の草案段階の内容については『「中国データセキュリティ法(草案)」解説』の記事の中で解説していますので、併せてご確認ください。

 

 

1.規制を受けるデータの主体

(1)国の安全、公共の安全に損害をもたらすおそれがあるデータ処理者

原則上、本法は中国領域内のデータ処理者のみに適用されますが、国外のデータ処理者が行うデータ処理活動が中国の国家安全、公共の利益又は公民、組織の適法な権益を損なった場合、国の関係部門は本法に基づき、その法的責任を追及することができるとされています。

 

(2)重要情報インフラの運営者

本法第31条は、重要情報インフラの運営者が中国国内において収集、生成した重要情報の越境安全管理については、「中国インターネット安全法」が適用されると規定されています。

 

「中国インターネット安全法」第31条では、「重要情報インフラ」とは、「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政等の重要な業界及び分野、並びにその他の機能が破壊され、喪失し、又はデータが漏洩すると国の安全、国の経済と人民の生活、公共の利益に重大な危害が及ぶおそれがある国の施設」と規定されています。

また、「重要情報インフラ安全保護条例(意見募集稿)」(2017年7月10日公布)第18条においては、「重要情報インフラ」の範囲を以下のようにまとめられています。(下記に該当する可能性のある企業は、注意を要します!)

  1. 政府機関及びエネルギー、金融、交通、水利、衛生医療、教育、社会保険、環境保護、公共事業等の業界・分野の企業
  2. 電信ネットワーク、ラジオ・テレビネットワーク、インターネット等の情報ネットワーク、並びにクラウドコンピューティング、ビッグデータその他大型公共情報ネットワークを提供する企業
  3. 国防科学技術工業、大型設備、化学工業、食品・薬品等の業界・分野の科学研究生産企業
  4. ラジオ局、テレビ局、通信社等の新聞企業
  5. その他の重点企業

「重要情報インフラ」の運営者は、通常の「インターネット運営者」よりも高度な安全保護義務を負い、かつ個人情報及び重要情報の国内保存義務及び国外移転の際の安全評価義務等が課されます(「中国インターネット安全法」第37条)。

 

(3)その他のデータ処理者

その他のデータ処理者が中国国内における運営過程で収集、生成した重要情報の越境安全管理については、ネットワーク情報部門及び国務院関連部門と共同で制定する。

本法における「データ処理」とは、データの収集・保存・利用・加工・転送・提供・開示等と規定されており(本法第3条)、上記行為を行う者は「データ処理者」となります。

 

 

2.規制を受けるデータの対象

(1)規制項目にあるデータ

中国の国の安全及び利益の維持、国際義務の履行に関連する規制項目にあるデータに該当する場合は、法に基づき輸出規制を実施されます(本法第25条)。

 

(2)重要データ

本法は、国境を超えるすべてのデータに対して規制するのではなく、企業が中国国内の運営中に収集及び生成した重要データについて越境安全管理を実施するとします。「重要データ」の具体的な範囲について明確な規定はされていませんが、国家データセキュリティ調整機構により制定される「重要データ目録」にリストされたデータが該当するとされています(本法第21条)。

現在、本法の関連法律、特に核心となる「重要データ目録」」がまだ出ておりませんが、2017年に公布された「データの越境移転安全評価ガイドライン(意見募集稿)」の付録A(「重要データ識別ガイド」)では、関係部門は既に業種ごとの重要データの範囲を定められています。しかし、「重要データ識別ガイド」はまだ正式に公表されていません。今回、本法で「重要データ目録」の作成が提起されているため、近い将来、重要データに対する保護のさらなる強化が必要になると想定されます。

 

 

3.規制を受けるデータの範囲:越境

「中国データ越境移転安全評価ガイドライン(意見募集稿)」では、「データ越境」は、インターネット運営者が中国国内において収集、生成した電子的な個人情報及び重要データを、中国国外の機構、組織、個人に提供する単独の又は連続的な活動とされています。また、「提供する」は、ネットワーク運営者が直接提供又は業務展開、サービス・製品の提供等の方法を通じてデータを開示する行為と定義しています。

本法第36条は、中国国内の組織又は個人は、中国国内において保存されているデータを外国の司法又は執行機関に提供する前に、主管機関に報告し、承認を得なければならないと規定しています。

 

 

4.法的責任(本法第46条)

中国の関係主管部門は、本法第31条の規定に違反し、重要データを中国国外に提供した者に対して是正を命じ、警告を発し、10万元以上100万元以下の罰金を科すことができ、直接に責任を負う担当者及びその他の直接責任を負う者にも10万元以上100万元以下の罰金に処せられます。情状が重大な場合には、100万元以上1,000万元以下の罰金を科し、関連事業の停止を命じ、関連事業ライセンス又は営業許可証を取り消すことができ、直接に責任を負う担当者及びその他の直接責任を負う者にも10万元以上100万元以下の罰金に処せられます。

 

 

最後に

「データセキュリティ法」の施行により、将来、中国におけるデータの越境移転に対する監督管理の方向性が明確にされたことに伴い、越境データへの適切な保護を図ることはますます重要になっています。企業が中国において特定の重要データを越境移転させる際には規制を受けることを把握することが重要です。

 

 

中国のサービス詳細はこちら