GBL研究所理事・CIPP/E 浅井敏雄[1]
【目 次】
(各箇所をクリックすると該当箇所にジャンプします)
はじめに
本年(2021年)6月10日, 中国の全人代常務委員会は「中华人民共和国数据安全法」(以下「中国データセキュリティ法」または「本法」という)を成立させました。 同法は, 本年4月26日の記事「LINE事件と中国におけるガバメントアクセス規定」で紹介した「総合的国家安全観」(経済・情報等も含む国家安全保障概念)(4)に基づく一連の法令の一つであるとともに, 中国の国家データセキュリティー戦略(5)・ビッグデータ戦略(14(1))等の根拠法であると言うことができます(括弧内数字は本法の条文番号。以下同じ)。 本法は, 中国国内で行われる全てのデータ(情報)の処理(扱い)に適用されます(2(1))。また, 中国国外におけるデータの処理であっても, 中国の国家安全保障/公共の利益/公民・組織の合法的権益を害するものは, 本法に従いその法的責任が追及される(域外適用)(2(2))旨規定されています[2]。 本法は, 国(中国政府)等の政策上の責務等を定める他, 第4章のデータ安全保護義務は中国国内でデータを処理する全ての者に適用されます。 従って, 日本企業の中国拠点(子会社等)は勿論, その日本企業自体も本法の適用を受ける可能性があります。 そこで, 本稿では, 特に日本企業に関係する部分を中心にその概要を解説します。なお, 本法の条文内容については, Covington & Burling LLP.による本法の英語仮訳等[3]を参考としました。なお, 以下において[ ]内は筆者の補足等です。法目的・定義・執行機関
1.本法の目的 本法の目的は, データ(数据)の処理活動(以下単に「処理」という)の規制/データの安全確保/データの開発・利用促進/個人・組織の合法的権益保護/国家の主権・安全保障・発展利益の保護とされています(1)。 本法の第4条では, 総合的国家安全観(总体国家安全观)を遵守しデータに関する安全保障能力を高めなければならない旨規定されています。この総合的国家安全観に基づく法令としては, 既に, 「サイバーセキュリティ法」(サイバー空間の国家安全保障)および同法に基づく「公安機関インターネットセキュリティー監督検査規定」(公安機関によるシステム侵入テストが可能)並びに「国家情報法」(国家による諜報活動の強化。産業スパイ活動も含まれ得る)があります(前記LINE事件の記事参照)。これらが, サイバー/データセキュリティ分野における主に攻撃面の根拠法であるとすれば, 本法は主に防御面の根拠法と位置付けることが可能かもしれません。 また, 本法では, 前述の通り, 国家のデータセキュリティー戦略(5)およびビッグデータ戦略(14(1))立案責務も規定されており, 中国がデータ活用分野でも世界の主導的立場を目指していることが反映されています。 2.「データ」等の定義 本法において以下の通り定義されています。 ・「データ」(数据)とは, 電子的またはその他の形態の情報の記録をいう(3(1))。- 従って, 電子・紙を問わず全ての情報ということになり, サイバーセキュリティー法や, 近く成立すると予想される中国の個人情報保護法と重複適用されると思われます。 ・「データの処理」(数据处理)には, データの収集/保存/使用/加工/移転/提供/公開等を含む(3(2))。- 要するにデータに関する全ての処理を意味します。 ・「データセキュリティ」(数据安全)とは, 必要な措置を講じることにより, データが有効に保護され, 合法的に使用可能な状態を保証し, かつ, 安全な状態を継続的に保証する能力があることをいう(3(3))。 3.本法の執行機関 本法上, (i) 中央国家安全保障指導機関(中央国家安全领导机构)が, 国家のデータセキュリティの意思決定・調整等を行うこと, (ii) 同機関が国家データセキュリティー調整機構(国家数据安全工作协调机制)[おそらく官庁間の調整組織]の構築等を行うこと, (iii)国家ネットワーク情報部門(国家网信部门)が本法その他の関連法令に従い, データセキュリティの包括的調整・関連規制に責任を負うことが規定されています。 従って, この(iii)の部門が本法の実務的執行機関であり, 具体的には, サイバーセキュリティー法の執行機関(同法8条「国家网信部门」)とされている, Cyberspace Administration of China (「CAC」) (国家互联网信息办公室)が本法の実務的執行機関ではないかと思われます。国のデータ安全保障責務
・データ分類・等級保護制度の確立(21) 国は, 各データの経済・社会的重要性, 改ざん・破壊等による国家安全保障等への影響度等に応じ, 同制度を確立・実施する。 国家データセキュリティー調整機構は重要データ(重要数据)目録を制定する。 国家安全保障/国民経済の生命線等に関わるデータは「国家核心データ」(国家核心数据)とし, より厳格な管理を行う。 ・データセキュリティー緊急対応体制の確立(23) 国は, 同体制を確立する。インシデント発生時, 関係管轄部門(当局)は, 法律に従い, 緊急対応計画実行・公衆への警告情報提供等を行う。- このインシデントとしては, 外国からの大規模サイバー攻撃・反撃等も想定されているのではないかと思われます。 ・データセキュリティー審査制度の確立(24) 国は, 同制度を確立し, 国家安全保障に影響を与えまたはそのおそれあるデータ処理について国家安全審査を行う。同審査の決定はこれを最終決定とする。 ・データ輸出管理規制の実施(25) 国は, 国家の安全・利益保護等に関連するデータについて, 法律[「中国輸出管理法」と思われる。こちらの記事参照]に従い輸出規制を行う。 ・外国による制裁への対抗(26) 中国は, データおよびデータ利用技術等に関する投資・貿易について中国に対し差別的禁止等の措置をとる国・地域に対し,対抗措置をとることができる。- 本年6月10日成立の「反外国制裁法」[4]と同趣旨のものと思われます。組織・個人のデータ安全保護義務
・データ処理上の義務(27) データの処理[をする者]は, セキュリティー管理システムの構築・改善/教育・訓練/セキュリティ確保のための技術的措置その他必要な措置を講じなければならない。 ネットワークを利用した処理活動は, ネットワーク安全等級制度(网络安全等级保护制度)[サイバーセキュリティー法(21)上のものと思われる]に基づきかかる義務を履行しなければならない。 ・セキュリティインシデント報告義務(29) データの処理[をする者]は, リスクモニタリング/セキュリティー上の欠陥・脆弱性即時是正/セキュリティインシデントへの即時対応/関係管轄部門(当局)への報告を行わなければならない。 ・重要データ処理者の追加的義務 重要データを処理する者は以下の事項を行わなければならない。 (i) データセキュリティーの責任者および管理組織の任命・設置(27(2))。 (ii) 規則に従い, データ処理リスク評価を定期的に実施し, 関係部門にその報告書を提出すること(30(1))。 - ここで, 「重要データ」(重要数据)とは, サイバーセキュリティー法に出てくる「重要数据」と同じ意味と思われますが, 同法・本法いずれにも定義はありません。 但し, 2019年5月28日公表の「データ安全管理弁法(パブコメ用草案)」(数据安全管理办法(征求意见稿))(Covington仮英訳はこちら)(38(5))によれば, 『「重要データ」とは, 未公開政府情報・大規模人口・遺伝的健康・地理・鉱物資源[に関する情報]等, それが漏洩した場合, 国家安全保障, 経済安全保障, 社会の安定, 国民の健康・安全に直接影響を与える可能性のあるデータを意味する』とされています。 従って, 前記の通り, 本法第21条に従い, 国家データセキュリティー調整機構が, これに該当するものとして, 重要データの目録を作成・制定するということだと思われます。 ・データの国外移転に関する義務(30) ①重要情報インフラ運営者は, 中国国内での運営中に収集・生成した重要データの中国国外への移転に関し, サイバーセキュリティー法[37]の規定に従う。[原則中国国内での保存(いわゆる「データローカライゼーション」)] ②重要情報インフラ運営者以外のデータ処理者は, 国外移転に関し, 国家ネットワーク情報部門および国務院の関連部門が策定する規則にわなければならない。 - 上記①,②の国外移転の具体的条件等に関するサイバーセキュリティー法の下位法令はいまなお未成立です。但し, 個人情報の中国国外への移転については「中国個人情報保護法」第2次草案(原文, 英訳)(近く正式成立が予想されている)の第3章に規定があるので, これが適用されることになるものと思われます。 ・全ての組織・個人の義務 如何なる組織・個人も, データを収集する場合, 合法的かつ正当な方法によらなければならず, 窃取その他違法な手段で取得してはならない(32(1))。 ・データ取引仲介者の義務(33) データ取引の仲介を行う者は, 当該仲介サービス提供に際し, データ提供者に当該データの出所の説明を求め, 当該取引の当事者双方の身元を審査・確認し, 審査および取引の記録を作成・維持しなければならない。 ・公安機関等への協力義務(35) 公安機関または国家安全保障機関が, 国家安全の維持または犯罪捜査のためデータを入手する必要がある場合, 関係組織・個人は, これに協力しなければならない。 - これも, いわゆる「ガバメントアクセス」を許容・強制する規定で, LINE事件で問題となり(前記LINE事件の記事参照), また, EUのGDPRに基づく個人データの域外移転で問題となります(「GDPR新SCC最終版公表について(概要と全訳)」の「新SCCの特徴」-3参照)。 ・外国の司法・執行機関からのデータ提出要求に関する義務(36) 中国国内の組織・個人は, 中国の管轄部門の承認なく, 中国内に保存されているデータを外国の司法機関または法執行機関に提供してはならない。- 例えば, 日本企業が中国子会社の保有する情報を日本の裁判所・検察警察等に提出・提供しようとする場合, この制限が適用される可能性があると思われます。法執行・制裁
関係管轄部門は, 関係組織・個人に対し, データ処理に起因する高度リスクの是正・除去措置を命じることができる(44)。 管轄部門は, 本法違反に対し, データの種類・重要性と違反の内容に応じ, 是正命令/罰金(5万~1,000万元)/直接等(個人)への罰金(違反内容により1万~100万元)/事業停止・閉鎖・関連許可・ライセンス取消し等を命じることができる(45~)。本法施行日・企業の対応
本法の施行日は, 2021年9月1日とされています(55)。中国の他の法令と同様, 本法にも用語(例:重要データ, 国家核心データ)や具体的条件が不明な規定が多く, 企業としては, 直ちに具体的対応策を講じることは困難かもしれません。本法施行までに本法の具体的実施下位法令が制定される可能性も, サイバーセキュリティー法の下位法令と同様, 必ずしも高くないかもしれません。 しかしながら, 米中摩擦等を背景に, 中国政府が本法について厳しい執行を開始することは十分にあり得るので, いずれにしろ, 企業としては今後の進展に注視し必要に応じ具体的措置をとる必要があります。以 上
【注】 [1] 【本稿の筆者】 一般社団法人GBL研究所理事/IAPP CIPP/E (Certified Information Privacy Professional/Europe)/UniLaw 企業法務研究所代表 浅井敏雄(Facebook) [2] 【本法が域外適用される場合】 例えば, 日本企業が中国から入手したまたは移転を受けたデータ(個人情報を含む)がハッキングにより流出した場合等が考えられる。 [3] 【参考資料】 Yan Luo, Zhijing Yu and Vicky Liu “China Enacts Data Security Law" June 11, 2021, COVINGTON & BURLING LLP. [4] 【反外国制裁法】 (参考) Nancy Fischer他 “China Passes Sweeping Anti-Foreign Sanctions Law” June 16, 2021, JDSupra. この資料によれば, 反外国制裁法は, 外国が国際法等に反し, 自国法により, (i)中国封じ込め・抑圧, (ii)中国国民・組織に対する差別的制限, (iii)内政干渉等を行ったと判断された場合に, 中国政府が対抗制裁措置をとるための包括的な根拠法であると説明されている。