- 2024年 11月 21日
はじめに
2020年6月28日、第13期全国人民代表大会常務委員会第20回会合が開催され、中国データセキュリティ法(草案)(中国名「中华人民共和国数据安全法(草案)」)が提出され審議が行われた。本法は、2020年7月3日から8月16日まで対外的に意見が募集されている。今後施行された場合には、2017年に施行されている「サイバーセキュリティ法」や、今後起草が見込まれる「個人情報保護法」などとともに中国国内のデータ関連法規の中で重要な役割を果たすものと考えられる。
全体構成
データセキュリティ法は、全体では7章51条からなり、構成は以下の通りである。
第1章 総則 【第1条-第11条】
第2章 データセキュリティと発展 【第12条-第18条】
第3章 データセキュリティ制度 【第19条-第24条】
第4章 データセキュリティの保護義務 【第25条-第33条】
第5章 行政が保有するデータのセキュリティと公開 【第34条-第40条】
第6章 法的責任 【第41条-第48条】
第7章 附則 【第49条-第51条】
立法目的、適用対象、域外適用、用語の定義
データセキュリティ法はデータセキュリティの保障、データ開発利用の促進、国民・組織の合法的権益の保護、国家主権、安全などを目的として制定されており、中華人民共和国境内(香港、マカオ、台湾を除く中国本土内)におけるデータ処理(収集、保存、加工、使用、提供、取引、公開等)において適用されるとされている。そのデータ処理によって中国の国家安全、中国の公共利益、中国国民の合法的な権益を損なう恐れがある場合には規制の対象となり、海外企業が不正な手段によって中国国内から中国国民の情報を収集し、不正に使用するといったケースも規制対象となると解される。 また、データセキュリティ法における適用対象としては、対象が電子データだけでなく、すべての電子的又は非電子的形態の情報に対する記録とされている点も特徴である。サイバーセキュリティ法における規制対象のデータはサイバー空間におけるデータのみであるが、この点では適用対象は拡大されている。 尚、データセキュリティ法においては、「データ」、「データ処理」、「データセキュリティ」などの用語については定義が示されている一方で、サイバーセキュリティ法などでも登場する「重要データ」についての定義についてはデータセキュリティ法でも示されていない。
(1)立法目的 データセキュリティを保障し、データの開発利用を促進し、国民、組織の合法的権益を保護し、国家主権、安全及び発展の利益を擁護するため。(第1条)
(2)適用対象 中華人民共和国境内におけるデータ処理において、この法律を適用する。中華人民共和国境内の組織、個人がデータ処理を実施し、中華人民共和国の国家安全、公共の利益又は国民、組織の合法的な権益を損なう場合には、法に基づき法的責任を追及する。(第2条) いかなる国又は地域もデータとデータの開発・利用技術等に関わる投資、貿易において中華人民共和国に対し差別的な禁止、制限又はその他の類似措置を講じた場合には、中華人民共和国は実情に基づき当該国又は地域に対し相応の措置を講じることができる。(第24条)
(3)用語の定義
・データ すべての電子的又は非電子的形態の情報に対する記録をいう。
・データ処理 データの収集、保存、加工、使用、提供、取引、公開等の行為をいう。
・データセキュリティ 必要な措置を講じることにより、データが効果的に保護されること及び合法的な利用を保障し、かつ安全な状態を持続させる能力をいう。(第3条)
データセキュリティリスクの早期警戒および緊急対応措置
データセキュリティ法では、データの重要度及び改ざん、破壊、漏洩によって生じうる国家安全などへの危害の程度に応じて、国はデータの格付け・分類をして保護するとしている。またデータセキュリティリスクの早期警戒や、緊急対応制度、データセキュリティに対する審査制度、データの越境転送規制についても仕組みの確立や規制を行うとしている。
(1)データに対する格付け分類とデータ保護 国は経済社会の発展におけるデータの重要度、及びひとたび改ざん、破壊、漏えい又は不正取得、不正利用に遭った場合の国家安全、公共の利益又は国民、組織の合法的な権益にもたらす危害の程度に基づき、データに対し格付け・分類をして保護するものとする。 各地域、各部門は国の関連規定に基づき管轄地域、部門、業界の重要データ保護リストを確定し、リストに組み入れられたデータを重点的に保護する。(第19条)
(2)データセキュリティリスクの早期警戒 国は集中的・統一的な、効果が高く、権威あるデータセキュリティのリスク評価、報告、情報共有、監視・早期警戒体制を構築し、データセキュリティのリスク情報の取得、分析、検討・判断、早期警戒を強化する。(第20条)
(3)データセキュリティ緊急対応制度 国はデータセキュリティ緊急対応措置の仕組みを確立する。データセキュリティインシデントが発生した場合には、関係主管部門が法に基づき緊急時対応策を実行し、相応の緊急対応措置を講じて、セキュリティの潜在的な危険を除去し、危害の拡大を防止し、かつ速やかに社会に向け公衆に関わる注意喚起情報を発表しなければならない。(第21条)
(4)データセキュリティ審査制度 国はデータセキュリティ審査制度を構築し、国家安全に影響し又は影響し得るデータ処理に対し安全審査を行う。法に基づき下した安全審査決定を最終決定とする。(第22条)
(5)データ越境転送規制 国は国際的な義務の履行と国家安全の維持に関わる規制品目に該当するデータに対し、法に基づき越境転送規制を実施する。(第23条)
企業に求められる主なデータセキュリティ保護義務
データセキュリティ法はデータ処理を行う企業や組織に対し、データセキュリティ管理制度の構築・整備し、セキュリティ保護を求めている。また特に重要データの処理者においては、データセキュリティ責任者と管理機関を設定し、データセキュリティの保護責任を具体化することも求めている。 また、セキュリティ対策、インシデント報告体制の確立、データ収集・使用に際しての合法性を求める一方、重要データの処理者については、規定に基づきデータ処理に対しての定期的なリスク評価実施と関係主管部門へのリスク評価報告提出を求めている。
(1)データセキュリティ管理制度の構築・整備 データ処理を実施するにあたっては、法律、行政法規の規定及び国家規格の強制的な要求事項に基づき全過程データセキュリティ管理制度を構築、整備し、データセキュリティ教育研修を調整、実施し、相応の技術的措置及びその他の必要な措置を講じ、データセキュリティを保障しなければならない。 重要データの処理者はデータセキュリティ責任者と管理機関を設定し、データセキュリ ティ保護の責任を具体化しなければならない。(第25条)
(2)公衆道徳と倫理 データ処理の展開及びデータの新技術の研究開発は経済社会の発展を促進し、国民の幸福を増進し、公衆道徳と倫理に適合することに有益でなければならない。(第26条)
(3)セキュリティ対策、インシデント報告体制 データ処理の展開にあたっては、リスク監視を強化し、データセキュリティホール、脆弱性等のリスクを発見したときは、直ちに救済措置を講じなければならない。 データセキュリティインシデントが発生したときは、規定に基づき速やかにユーザーに通知し、かつ関係主管部門に報告しなければならない。(第27条)
(4)定期的なリスク評価と主観部門への報告(重要データ処理者) 重要データの処理者は規定に基づきそのデータ処理に対し定期的にリスク評価を実施し、かつ関係主管部門にリスク評価報告を提出しなければならない。 リスク評価報告には当該組織が把握する重要データの種類・数量、データの収集、保存、加工、使用の状況、直面するデータセキュリティリスク及びその対応措置等を含めなければならない。(第28条)
(5)データ収集、使用に際しての合法性 いかなる組織、個人もデータ収集は合法的で正当な方法を用いなければならず、傍受又はその他の違法な手段によりデータを取得してはならない。法律、行政法規にデータを収集、使用する目的、適用範囲について規定がある場合には、法律、行政法規に定める目的及び適用範囲内においてデータを収集、使用しなければならず、必要な限度を超えてはならない。(第29条)
(6)データ取引仲介サービス業者に関するデータの出所の確認と取引記録保存 データ取引仲介サービスに従事する機関が取引仲介サービスを提供するとき、データ提供者に対してデータの出所を説明し、取引双方の身分を審査し、かつ審査、取引記録を保存するよう求めなければならない。(第30条)
(7)オンラインデータ処理サービス専門業者の事業認可 オンラインデータ処理等のサービスを専門に提供する事業者は、法に基づき事業許可を取得し、又は届け出なければならない。具体的な方法は国務院電気通信主管部門が関係部門と共に制定する。(第31条)
法的責任
データ処理においてのセキュリティ保護義務違反や、データ取引仲介機関がデータの出所確認と取引記録保存に違反した場合、オンラインデータ処理サービス専門業者に関しての届け出違反などに対しては行政罰規定があり、その重大度に応じて、是正命令、違法所得の没収、過料、営業許可の取り消しなどが科される。尚、過料については他の関連法と同じように、当該組織だけでなく直接責任を負う主管者又はその他の直接責任者に対しても科されることが特徴である。また当法規定に違反し、他者に損害を与えた場合には、法に基づき民事責任を負い、治安管理違反の処罰対象行為を構成する場合には、法に基づき治安管理処罰を与えることなども記載されている。
(1)データセキュリティ保護義務違反に対する罰則 データ処理を実施する組織、個人が本法第25条、第27条、第28条、第29条に定めるデータセキュリティ保護義務を履行せず、又は必要なセキュリティ措置を講じていない場合には、関係主管部門が是正を命じ、警告を与え、1万元以上10万元以下の過料を併せて科すことができる。直接責任を負う主管者に対しては5,000元以上5万元以下の過料を科すことができる。是正を拒絶し、又は大量のデータ漏えい等の重大な結果を引き起こした場合には、10万元以上100万元以下の過料に処する。直接責任を負う主管者及びその他の直接責任者に対しては1万元以上10万元以下の過料に処する(42条)。
(2)データ取引仲介機関がデータの出所確認と取引記録保存に違反した場合の罰則 データ取引仲介機関が本法第30条に定める義務を履行せず、違法データの取引に至った場合には、関係主管部門が是正を命じ、違法所得を没収し、違法所得の1倍以上10倍以下の過料に処する。違法所得がない場合には、10万元以上100万元以下の過料に処し、かつ関係主管部門が関連業務許可証を取り消し、又は営業許可証を取り消すことができる。直接責任を負う主管者及びその他の直接責任者に対しては1万元以上10万元以下の過料に処する。(第43条)
(3)オンラインデータ処理サービス専門業者に関しての届け出違反など 許可を得ず、又は届出をせず本法第31条に定める業務に無断で従事した場合には、関係主管部門が是正を命じ、又は取り締まり、違法所得を没収し、違法所得の1倍以上10倍以下の過料に処する。違法所得がない場合には、10万元以上100万元以下の過料に処する。直接責任を負う主管者又はその他の直接責任者に対しては1万元以上10万元以下の過料に処する。(第44条)
(4)データ処理を通じて国家安全、公共利益などを損なう場合 データ処理を通じて国家安全、公共利益を脅かし、又は国民、組織の合法的な権益を損なう場合には、関連法、行政法規の規定に基づき処罰する。(第47条)
(5)他社に損害を与えた場合 この法律の規定に違反し、他者に損害を与えた場合には、法に基づき民事責任を負う。この法律の規定に違反し、治安管理違反の処罰対象行為を構成する場合には、法に基づき治安管理処罰を与える。犯罪を構成する場合には、法に基づき刑事責任を追及する。(第48条)
データセキュリティ法が施行された場合に考えられる中国在住の日本企業への影響
先に施行されている国家安全法、サイバーセキュリティ法とデータセキュリティ法では、上下関係はなく同列に位置づけられる法律である。データセキュリティ法の規制対象には、セキュリティ確保、セキュリティ対策、インシデント報告体制などが含まれ、サイバーセキュリティ法や等級保護制度などと重複する部分も見受けられる。対応を行うに当たっては最低限サイバーセキュリティ法や等級保護制度への対応が行えていることが前提となる。一方で、対象データはサイバー空間におけるデータだけでなく紙などの媒体の情報も含まれること、国際義務の履行と国家安全の維持に関わる規制品目に該当するデータに対しての越境転送規制、重要データの定期的なリスク評価と主観部門への報告など、新たな規制内容も含まれる。もし企業がサイバーセキュリティ法や等級保護制度、に関するコンプライアンス体制を確立しているのであれば、新たに枠組みは拡大させる必要がある。当データセキュリティ法は、現時点では草案ではあるものの、文章化され審議され意見募集されていることを考慮すると、当局の施行を行う意図が感じられる。中国においては、今後、個人情報保護法の立法も計画されており、データ保護法制の整備は活発化している。データセキュリティ法についても施行される可能性を考慮した上で、前もって必要な対策を立てておくことが望ましい。
注:日本語訳はIIJによる参考訳