「中国サイバーセキュリティ法」要点解説(2)

「中国サイバーセキュリティ法」要点解説(2)

中国律師(Not admitted in Japan)李 昱昊

 

「中国サイバーセキュリティ法」要点解説(1)へ

 

 

■6.個人情報及び重要データの国内保存と国外移転規制について

「サイバーセキュリティ法第37条」は、「重要情報インフラストラクチャー運営者は、中華人民共和国国内での運営において収集及び発生した個人情報及び重要データを、中華人民共和国国内で保存しなければならない。業務の必要により、確かに国外に提供する必要がある場合は、国家インターネット情報部門が国務院の関係部門と共に制定した規則に従って安全評価を行わなければならない。法律、行政法規に別途規定がある場合は、それに従う。」と規定しています。

 

1)規制の背景

クローバル経済・貿易が深化する中、グローバル企業や中国企業によるデータの越境移転が増えています。これらのデータの中には中国の国家安全・経済発展・公共利益に影響を与える重要なデータも存在しているため、データ移転に関するセキュリティ問題は、中国の国家安全と密接に関連する大きな課題として捉えられています。このような背景の中で「サイバーセキュリティ法」は、初めてデータの保存及び越境移転に関する法律として制定されました。
しかし、サイバーセキュリティ法において、データの国内保存及び国外移転規制について定めているものは「サイバーセキュリティ法第37条」の規定のみであり、施行規則等はまだ制定されていないため、実務における運用に大きな不確実性をもたらしています。
本稿は、サイバーセキュリティ法と意見募集稿段階の関連施行規則およびガイドラインの規定に基づく解説であり、今後の施行規則等の制定の動向及び実務の運用動向に留意が必要です。

 

 

2)安全評価の対象事業者

「サイバーセキュリティ法第37条」は、個人情報及びデータの国外移転に対して安全評価義務を課しており、まず当該安全性評価が義務づけられる対象事業者を明確にする必要があります。しかし「サイバーセキュリティ法第37条」の文言では、「重要情報インフラストラクチャー運営者」(※1)が義務の対象となっているのに対し、「サイバーセキュリティ法」の施行規則である「安全評価弁法(意見募集稿)」(※2)においては、「ネットワーク運営者が中華人民共和国領域内で収集し、発生させた個人情報および重要データは、中国国内に保管するものとする。ネットワーク運営者は事業に必要となる場合であって、国外に提供する必要がある場合には、本弁法の規定に従って安全評価を実施しなければならない。」と規定しています。つまり「安全評価弁法(意見募集稿)」は、「重要情報インフラストラクチャーの運営者」を「ネットワーク運営者」まで拡大し、安全評価義務者の対象を広く定めました。
「安全評価弁法」の正式版は、上記意見募集稿と同じ内容となる可能性がありますので、正式版制定後「ネットワーク運営者」の全部が安全評価の義務者に含まれることにもなりえます。

 

 

3)安全評価対象の個人情報及び重要データ

「サイバーセキュリティ法第37条」の規定によれば、「重要情報インフラストラクチャー運営者は、中華人民共和国国内での運営において収集及び発生した個人情報及び重要データ」の国外移転について、安全評価を行わなければならないとされています。
「サイバーセキュリティ法」の定義によると、「個人情報」とは、電子データその他の方式により記録され、単独又はその他の情報と組み合わせて自然人の個人身分を識別することができる各種情報を指します。またこれには、自然人の氏名、生年月日、身分証番号、個人の生物識別情報、住所、電話番号等が含まれますが、これらに限りません。
「重要データ」に関しては、サイバーセキュリティ法上に明文規定が存在しませんが、「安全評価弁法(意見募集稿)」においては、「重要データとは、国の安全保障、経済発展、社会的公益に密接に関連するデータを指し、具体的な範囲は、関連する国の基準及び重要なデータの特定のためのガイドラインの定めによる。」と規定しています。当該ガイドライン(※3)は、まだ意見募集本稿の段階にありますが、重要データの該当性の判断に関して重要な参考となると考えられています。
さらに「安全評価弁法(意見募集稿)」の規定(※4)によれば、以下の個人情報及び重要データに関して、ネットワーク運営者は産業管理当局又は監督当局に対し安全評価の申請をしなければならない、とされています。

 

①50万人以上を含む、又は累計で50万人以上を含む個人情報

②データ量が1,000GBを超える場合

③原子力施設、化学・生物、国防軍需産業、人口・健康等分野のデータ、大型プロジェクト活動、 海洋環境及び機微な地理的情報データ等を含む場合

④重要情報インフラのシステムの脆弱性、セキュリティ防御等のネットワーク安全情報を含む場合

⑤重要情報インフラの運営者が国外に個人情報及び重要データを提供する場合

⑥その他国の安全及び社会公共の利益に影響を及ぼす可能性があり、業種主管部門又は監督管理部門が評価を行うべきと認める場合

 

 

4)国外移転が禁止される個人情報及び重要データ

「安全評価弁法(意見募集稿)」の規定(※5)によれば、以下の場合においては、個人情報及び重要データの国外移転が禁止されるとされています。

 

①個人情報の国外移転において個人情報主体の同意を得ておらず、又は個人の利益を損なう可能性がある場合

②重要データの国外移転により国の政治、経済、科学技術、国防等の安全にリスクがもたらされ、国の安全に影響し、社会公共の利益を損なう可能性がある場合

③その他国のネットワーク情報部門、公安部門、安全部門等の関連部門が国外移転してはならないと認める場合

この規定を読むだけでは、国外移転が禁止されている3種類の個人情報及びデータの具体的な範囲を明確にすることは困難です。まず「個人情報」については本人同意を得ているかは判断しやすいですが、個人の利益を損なう可能性がある場合という判断基準は不明確です。また、②の「国の政治、経済、科学技術、国防等の安全にリスクがもたらされ、国の安全に影響し、社会公共の利益を損なう可能性」の判断も困難であるため、主管当局に大きな裁量が与えられており、実務上、企業の判断の不確実性を高めることになりかねません。

 

 

5)罰則

「サイバーセキュリティ法第66条」は、「重要情報インフラストラクチャー運営者が本法第37条の規定に違反して、国外でネットワークデータを保存する、又は国外にネットワークデータを提供した場合は、関連の主管部門が是正を命じ、警告を行い、違法所得を没収し、5万元以上50万元以下の過料を科し、関連業務の一時停止、営業停止・粛正、ウェブサイトの閉鎖、関連の業務許可の取消し又は営業許可の取消しを命じることができる。直接責任を負う主管者及びその他直接の責任者に対しては、1万元以上10万元以下の過料を科する。」と罰則を規定しています。
また、国外データ移転行為は、刑事責任を発生させる可能性もあります。すなわち「刑法」において、「情報ネットワークセキュリティ管理義務の履行拒否罪」(※6)が規定されており、これによれば「ネットワークサービスプロバイダは、法令及び行政規則に規定された情報ネットワークセキュリティ管理義務を履行せず、監督当局が是正措置を命じたにもかかわらず、是正を拒否した場合であって、以下のいずれかに該当する場合、3年以下の懲役、刑事拘留若しくは管制、または単独若しくは同時に罰金に処せられる。」とされています。

 

①大量の不正な情報を送信させた場合

②利用者情報を漏えいさせ、重大な結果を生じさせる場合

③刑事事件に関する証拠を紛失させ、その情状が重い場合

④その他情状が重い場合

 

 

(※1)
当シリーズ前編「中国サイバーセキュリティ法」要点解説(1)参照

(※2)
2017年4月11日に公表された「個人情報及び重要データ国外移転安全評価弁法(意見募集稿)」(《个人信息和重要数据出境安全评估办法(征求意见稿)》)

(※3)
2017年8月25日に公表された「「データの国外移転に関する評価ガイドライン(意見募集稿)」

(※4)
「安全評価弁法(意見募集稿)」第9条

(※5)
「安全評価弁法(意見募集稿)」第11条

(※6)
「中華人民共和国刑法」第286条の1を参照。罪名中国語の原文は「拒不履行信息网络安全管理义务罪」となります。

 

ECのサービス詳細はこちら

中国のサービス詳細はこちら