概要

2020年6月に、全国人民代表大会常務委員会において「データセキュリティ法（案）」（以下「『データセキュリティ法』」という）について審議が行われ、2020年7月3日には社会に向けてパブリックコメントが募集された。「データセキュリティ法」は、主にデータの分類別及び等級別の保護、データセキュリティ審査制度、データの越境移転に対する監督管理、データセキュリティのコンプライアンス義務等の内容に係るものである。本稿では、これらについて簡潔に紹介する。

本文

■「データセキュリティ法」の適用範囲

「データセキュリティ法」第2条によると、「データセキュリティ法」は中国領域内で展開されるデータ活動に適用され、特定の状況下では中国領域外の組織、個人にも適用され、域外効力を有するとされている（詳細は下表を参照）。

項目	概要	考察ポイント
規制主体	■   原則：中国領域内の組織、個人 ■   例外： 中国領域外の組織、個人（中国の国家安全、公共の利益又は公民、組織の適法な権益を損なう場合）	■   原則上、「データセキュリティ法」は領域内の主体のみに適用されるが、領域外の主体が行うデータ活動が中国の利益を損なった場合、国の関係部門は「データセキュリティ法」に基づき、その法的責任を追及することができるとされている。
規制客体	■   データ活動。即ち、データの収集、保存、加工、使用、提供、取引、公開等の行為。 ■   データとは、いずれか電子的又は非電子的方式による、情報に対する記録をいう。	■   データの概念は極めて広いものであり、「サイバーセキュリティ法」、「個人情報安全規範」によって保護される個人情報及び重要データに限らない。 ■   データ活動は、中国領域内の組織及び個人の業務実施、日常生活に必要不可欠な節目となっているため（例えば、メールやWeChatの受発信、書類の送付はいずれもデータ活動に該当する）、「データセキュリティ法」の適用範囲が極めて広く、領域内の全ての組織及び個人の日常活動をほぼ網羅している。

■　データの分類別及び等級別の保護

「データセキュリティ法」第19条では、国はデータの経済社会の発展における重要度、及びひとたび改ざん、破壊、漏えい又は不法に取得、不法に利用された場合に国の安全、公共の利益又は公民、組織の適法な権益にもたらされる危害の程度に応じて、データについて分類別及び等級別の保護を実施すると定めらている。「データセキュリティ法」が公布されるまでは、中国では、個人情報、金融情報、重要データについて、分類別保護を原則採用しており、詳細を下表に整理する。

項目	概要
個人情報	■   「個人情報安全規範」によると、個人情報を機微な個人情報と非機微個人情報に分けられる。 ■   機微な個人情報とは、ひとたび漏えい、不法提供、濫用された場合に人身及び財産の安全に危害をもたらすおそれがあり、個人の名誉、心身、健康に対し損害又は不利な待遇等を極めて受けやすい個人情報（例えば、本人証明書番号、フィジカルヘルス情報等）をいう。非機微個人情報とは、機微な個人情報以外の個人情報をいう。 ■   機微な個人情報は、より厳格な収集及び保存上の要求を遵守しなければならない[1]。
個人金融情報	■   「個人金融情報保護技術規範」では、個人金融情報の機微度の高い順からC3、C2、C1という3種類に分けられる。 ■   C3類の情報は主にユーザー認証情報（例えば、銀行カードのパスワード等）である。C2類の情報は主に特定の個人金融情報主体の身元及び金融状況を識別できる個人金融情報、並びに金融商品とサービスに用いられる重要情報（例えば、銀行口座番号、入出金明細等）である。C1類の情報は主に機構内部の情報資産であり、金融業機構の内部で使用する個人金融情報（例えば、口座開設機構等）をいう。 ■   C2、C3類の個人金融情報に係る収集、伝送、保存、共有の要求はさらに厳格なものである[2]。
重要データ	■   「サイバーセキュリティ法」は初めて「重要データ」という概念を持ち出し、重要情報インフラ運営者が中国領域内に収集し発生した重要データは領域内で保存するものとし、どうしても国外へ提供する必要がある場合には、セキュリティ評価を実施するよう求めている。但し、「サイバーセキュリティ法」では、重要データの具体的な範囲は明確にされていない。 ■   通常、重要データとは、ひとたび漏えいされた場合、国の安全、経済の安全、社会の安定、公共の健康と安全に直接、影響を与え得るデータをいう（例えば、未公開の政府情報、広大な面積における人口、遺伝子の健康、地理、鉱産資源等）[3]。

今回、「データセキュリティ法」は重要データに着目しており、各地域、各部門が本地区、本業種の重要データ保護リストを定め、リスト収載のデータを重点的に保護することを明確にした。2017年に公布された推奨性国家標準である「データの越境移転セキュリティ評価ガイドライン（意見募集案）」付録A（「重要データ識別ガイドライン」）では、関係部門はすでに業種ごとに、重点業種内の重要データの範囲を定めている。しかし、重要データの分類が非常に複雑であるためか、「重要データ識別ガイドライン」正式版はまだ公布されていない。今回、「データセキュリティ法」は重要データの識別問題を再び提起しており、中国が国の安全、公共の利益においてデータの重要性を重視し、将来、重要データに対する保護をさらに強化していくことの現れである。

■　データセキュリティ審査制度

「データセキュリティ法」第22条では、国がデータセキュリティ審査制度を構築し、国の安全に影響を与え、又は与える恐れのあるデータ活動について国の安全審査を実施すると定めているが、データセキュリティ審査の具体的な意味及び手順は明確にされていない。この先どのように審査が行われるかは、細則の公布が待たれる。

■　データの越境移転に対する監督管理

データの越境移転は、従来から企業が関心を払っているホットなテーマであり、「サイバーセキュリティ法」では、個人情報及び重要データの越境移転についてセキュリティ評価制度[4]を講じることを提起している。今回、「データセキュリティ法」第10条、第23条及び第33条はマクロ的な立場から、将来、中国におけるデータの越境移転に対する監督管理の方向性を明確にした（詳細は下表を参照のこと）。このことから、中国は自由なデータ流動化を引続き推し進めていきながらも、データの流動化が制限なく行われるわけではなく、特定の分類のデータを越境移転させる際には規制を受けることになるのがわかる。

監督管理の方向性	具体的な内容
データの越境移転の推進	■   国は、データ分野における国際交流と連携を積極的に行い、データセキュリティに係る国際ルール及び基準の制定に参加し、越境移転するデータの安全且つ自由な流動を促す。
データ輸出の規制	■   国際義務の履行及び国の安全の維持に係る規制物質のデータに該当する場合、国は法に依拠し輸出規制を実施する。
領域外の法執行機関によるデータの取り寄せ	■   領域外法執行機関が中国領域内で保存されるデータの取り寄せを求める場合、関連組織、個人は係る主管機関へ報告し、許可を得てからでなければ提供することができない。

■　データセキュリティのコンプライアンス義務

上記の通り、「データセキュリティ法」の適用範囲が極めて広く、ほぼすべての企業に適用される。「データセキュリティ法」第25条、第27条及び第29条によると、領域内の組織及び個人がデータ活動を行う際には、以下の義務を遵守しなければならない。

●適法、正当な方式によりデータを収集すること。窃取、又はその他不法な方式によりデータを入手してはならない。

●全過程にわたるデータセキュリティ管理制度を構築し、健全化すること

●データセキュリティに関する教育研修を実施すること。

●然るべき技術的措置及びその他必要な措置を講じて、データセキュリティを保障すること。

●リスクモニタリングを強化すること。データセキュリティに脆弱性、バグ等のリスクが発見された場合、直ちに対策を講じること。

●データセキュリティ事件が発生した場合、速やかにユーザーに通知し、且つ係る主管部門へ報告すること。

●重要データ処理者は、データセキュリティ責任者及び管理機構を設置し、リスク評価を定期的に実施し、且つ主管部門へ報告すること。

終わりに：

今回の「データセキュリティ法」は、これまでに「サイバーセキュリティ法」により確立された、個人情報及び重要データに重点を置いて保護する原則を一変させ、全種類の情報を保護範囲に組み入れたが、将来、「データセキュリティ法」と「サイバーセキュリティ法」、起案中の「個人情報保護法」等の法律との整合性をどのように取っていくのかは、まだ明確にされていない。現段階では、企業は引き続き「サイバーセキュリティ法」、「個人情報安全規範」等の制度に従い、個人情報処理活動の規範化及び保護に取り組み、企業の個人情報保護義務を遂行しなければならない。

（里兆法律事務所が2020年8月25日付で作成）

 

[1] 具体的には弊所ニュースレターで紹介した「新版『個人情報安全規範』と『個人金融情報保護技術規範』を簡潔に比較し分析する」を参照のこと（LeeZhao Newsletters_Issue 681_20200609-20200615）。

[2] 脚注1と同じ。

[3] 現行有効の法規では、重要データの定義はまだ定められておらず、当該定義の出典は「データセキュリティ管理弁法（意見募集案）」第38条である。

[4] 「サイバーセキュリティ法」第37条：重要情報インフラ運営者が中華人民共和国領域内での運営過程で収集し発生した個人情報及び重要データは、領域内で保存しなければならない。業務上の都合からどうしても国外へ提供する必要がある場合、国のインターネット情報部門、国務院の関係部門が共同で制定した弁法に従ってセキュリティ評価を実施しなければならない。法律、行政法規に特段の規定がある場合、その規定に従う。