概要

「データセキュリティ法」は、2020年7月3日に一回目のパブリックコメントを募集してから、2021年4月29日には二回目の審議稿を公表し、三回目の審議と読会を経て、最終的に2021年6月10日に正式に審議可決され、2021年9月1日から施行された。本稿では、「データセキュリティ法」の幾つかの重点内容に注目し、企業コンプライアンスの視点から、本法が企業データ取扱活動に与える実質的な影響を分析し、且つかかるコンプライアンス上の助言を行うものである。

 本文

 「データセキュリティ法」は、データセキュリティについて集約し、個別に反映したデータ分野の基礎となる法律として、国が戦略及び計画の次元からデータの保護と応用を重視していることを際立たせているだけでなく、企業がより慎重に、法令を遵守したうえでデータを取り扱う必要があることを意味している。

本稿では、本法の「管轄範囲」、「データ分類等級別制度」、「データ越境伝送及び輸出規制」、「データ国家セキュリティ審査」、「データセキュリティ保護義務」というコンプライアンス上の着眼ポイントを重点的に分析することで、企業が立法精神を理解し、コンプライアンス義務を整理することを支援し、且つコンプライアンス上の助言をそれぞれ行う。

■　国内と国外という二重管轄の確立

デジタル経済が全世界で急速に発展するに伴い、各国はいずれもデータに関する立法を積極的に推進しており、且つ国外企業の管轄及び国外の法執行等について規定している。このようなデータ競争の国際的環境の下、「データセキュリティ法」では、同様に国内と国外での二重管轄の原則を明確にし、且つ初めて「域外適用管轄権」を明確にしている。

まず、「データセキュリティ法」では、「中華人民共和国領域内でデータ取扱活動及びその安全監督管理を実施する場合、本法を適用する」ことを明確にしているが、これは、国外企業の中国領域内におけるデータ取扱活動は、いずれも監督及び管理を受けることを意味する。

次に、「データセキュリティ法」では、「中華人民共和国領域外でデータ取扱活動を行い、中華人民共和国の国家安全、公共の利益又は国民、組織の適法権益を損なう場合、法に依拠して法的責任を追及する」ことも定めており、これは、「データセキュリティ法」の管轄権は、直接に国外にまで拡大されたことを意味する。

そして、「データセキュリティ法」は、国外からの司法機構又は法執行機構からのデータの提供要求に対しては「平等互恵」の姿勢を採ることを強調しており、国内の組織や個人は、中華人民共和国主管機関の許可なく、外国司法機構又は法執行機構に対し中華人民共和国領域内で保存されているデータを提供してはならないことを明確にした。これは、国外からの「域外適用管轄権」に対する「対抗」手段だとも言える。

■　データ分類等級別制度を構築し、重要データの保護を強化する

「データセキュリティ法」において定められている分類等級別制度には、主に以下の3つの特徴がある。

1. トップダウン型の立法方式を採用している

「サイバーセキュリティ法」^[1]、「科学データ管理弁法」^[2]等で定められている「企業/機構はデータの分類等級分けを自主的に行う」のとは異なり、「データセキュリティ法」では、国家レベルでトップダウン型のデータ分類等級別制度を構築する^[3]という要求を初めて明確にしている。すなわち、国が[4]データ分類等級分けの主体となる。これは、データ分類等級分けが、より厳格な監督管理に直面することを意味する。

2. ３つの等級のデータの分類方法の確立

「データセキュリティ法」では、経済社会の発展におけるデータの重要性、及びデータが改ざん、漏洩された場合の危害の度合いに応じて、データを３つのレベルに分けるとしているが、そのうちのその他のデータ、重要データ及び国の基幹データ[5]の中で、「国の基幹データ」という概念に初めて言及している。

3. 「重要データ」を基幹とすることを強調する

重要データの定義について、「データセキュリティ法」では明確にされていないが、現在の立法の動きを見る限りでは、今後公布される「データセキュリティ管理弁法」[6]等の規定の中で解決されるものと考えられ、また、「データセキュリティ法」の中で、「国が重要データ目録を構築する」、「各地区及び各部門は重点データの詳細目録を作成する」とのように、重要データの立法の最高次元での設計及び手配がなされている点からみても、それぞれの業界ごとに、各自の特性に合わせて重要データについて相応の定義を行っていく[7]はずである。

新たな形式でのデータ等級別分類制度の構築は、データの監督管理、とりわけ重要データの監督管理に関する国の決意が伝わってくる。企業の立場から見た場合、「重要データの定義」の更なる立法に注目しながら、これまで公布された関連規定、特に業界内(意見募集稿を含む)の関連規定を参照して、自社が取り扱うデータが重要データに係る可能性があるかどうかを整理し、評価することができる。重要データのを取り扱う必要がある場合には、かかる対応措置を積極的に推進し、実行に移していかなければならない。例えば、データセキュリティの責任者及び管理機構を明確にし、データセキュリティ保護責任を貫徹すること、そのデータ取扱活動について定期的にリスク評価を行い、且つかかる主管部門にリスク評価報告書を提出すること、重要データの動的保護要求を踏まえて、重要データの目録を定期的に更新すること等である。

■　データの越境伝送及び輸出規制に注目する

データ越境伝送及び輸出規制に関する内容は、「データセキュリティ法」第25条、第26条、第31条及び第35条で集中して規定されており、「攻防一体」の立法方式を採用している。すなわち、中国に対する外国の技術データ開放制限及び貿易における不当な扱いに対しては対等な対抗措置を採るとともに、国外向けのデータ伝送及びデータ資源の輸出には規制を加えるというものであり、詳細を下表にまとめる。

内容	条項の摘要	簡潔な解説
対等な対抗措置	● その他の国又は地域において、データに関する投資、貿易等の方面において、中国に対し、不当な禁止、限制措置を講じる場合、中国は、対等な対抗措置を講じる。（第26条）	● 国内企業が国際競争において公正な競争の機会を得られるよう、「データセキュリティ法」は、データ越境移転において、対等な対抗措置という原則を確立し、域外保護の司法主権を示した。
重要データの国外移転	● 重要情報インフラストラクチャー運営者が収集し生成した重要データの国外移転には、「サイバーセキュリティ法」を適用する。その他データ取扱者が収集し生成した重要データの国外移転管理については、国家インターネット情報部門が国務院関連部門と共同で制定する。（第31条）	● 重要情報インフラストラクチャー運営者は、「サイバーセキュリティ法」の規定を遵守し、遅滞なくセキュリティ評価を実施しなければならない[8]。 ● 一方、その他のデータ取扱者に対しては、「データセキュリティ法」では、具体的な規制措置を打ち出していない。2017年に公布された「個人情報及び重要データ国外移転セキュリティ評価弁法（意見募集案）」におけるセキュリティ評価の状況を参照すると同時に、今後インターネット情報弁公室が公布する具体的な管理弁法に注視したほうがよい。
データ輸出規制	● 国は、国際義務の履行及び国家安全、利益の維持に関連する、規制対象品目に該当するデータに対し、法に依拠して輸出規制を実施する。（第25条） ●	● 規制対象は、重要データに限定されていないことから、理論的には、如何なる類型のデータも対象になり得る。すなわち、輸出規制の規則に基づき、当該データが規制対象品目に該当すると判断されれば、輸出規制を実施することができる。 ● データ輸出規制措置には、国外移転一律禁止、国外移転部分的禁止、国外移転条件付き禁止等が含まれる可能性がある。
越境法執行におけるデータの調査・取得	● 中華人民共和国主管機関の承認を得ずに、国外法執行機構又は司法機構に国内データを提供してはならない。 （第36条）	● 特に、多国籍企業にとっては、国外監督管理機構による直接法執行に直面する際に、国外監督管理機構が求めるデータを直接提供してはならないことにご留意頂きたい。

とりわけ多国籍企業にとっては、データ越境伝送及び輸出規制は、特別に関心を払うべき事項である。現在、データ越境伝送、輸出規制の具体的な実施細則はまだ制定されておらず、データ越境伝送そのものの定義も不透明な点があるものの、企業は、2017年に公布された「個人情報及び重要データ国外移転セキュリティ評価弁法（意見募集案）」を参考にしながら、「サイバーセキュリティ法」における重要データ国外移転に関する保存及びセキュリティ評価規定を参照し、企業内部の重要データの国外移転計画等について事前に内部の自己点検を行い、必要な準備等をしておくことができる。

■　国によるデータセキュリティ審査に警戒する

2020年6月1日に施行された「サイバーセキュリティ審査弁法」では、主に重要情報インフラストラクチャー運営者によるネットワーク製品及びサービスの調達について、「サイバーセキュリティ」審査責任が打ち出された。「データセキュリティ法」では、「データセキュリティ」に対する国の審査責任をさらに打ち出している[9]。

立法上の整合性等を考慮してのことだと思われるが、「データセキュリティ法」の公布直後、「サイバーセキュリティ審査弁法」も直ちに改正作業を開始し[10]、「データ取扱者によるデータ取扱活動の実施」もサイバーセキュリティ審査の対象に組み込まれている。これもデータを対象とするセキュリティ審査制度の構築に向けた準備作業であることは明らかである。なお、先頃国家セキュリティ審査弁公室がサイバーセキュリティ審査を開始した「滴滴出行（ＤｉＤｉ）」、「貨車帮」、「BOSS直聘」等の会社が、いずれも大量のデータを取扱う企業であることを踏まえると、これも国がデータセキュリティ審査を重視していることをさらに浮き彫りにしている。

「データセキュリティ法」の公布に伴い、データセキュリティ審査は、企業コンプライアンス作業における重点的に注目し且つ貫徹すべきコンプライアンス義務となった。企業は、国が行うデータセキュリティ審査が企業の正常な経営活動に影響を与えてしまうことのないよう、独自のデータセキュリティ審査メカニズムを早急に構築しなければならない。

■　データセキュリティ保護義務を貫徹する

データセキュリティの保障は、「データセキュリティ法」の大きな立法目的であるため、企業は、全プロセスデータセキュリティ管理制度を構築し、整備し、データセキュリティ教育トレーニングを組織、実施し、データセキュリティを保障するために、相応の技術措置及びその他必要な措置を講じることが求められる。インターネットなどの情報ネットワークを利用してデータ取扱活動を取り扱う企業については、とりわけ「サイバーセキュリティ等級保護制度をベースに、上述のデータセキュリティ保護義務を履行しなければならない」ことを強調しておきたい。サイバーセキュリティについて、中国は、既に「等保2.0（ネットワークセキュリティ等級保護2.0国家基準）段階」に入っており、保護対象者が受けた被害の危害程度に応じて、保護対象者をシステム等級の確定、システム届出、建設是正、等級測定評価、監督検査という5つの段階に分けることになる。

「データセキュリティ保護義務の貫徹」は、企業にとっては、１つの責任又は負担であるとも言えるが、もしも企業が、データセキュリティ保護上の主観的能動性を積極的に発揮し、データセキュリティ保護を企業の経営管理、製品又はサービス上の際立った優位性であるとしてとらえたならばば、企業による独自のデータ競争優位性の形成に資するはずである。

■　終わりに

「データセキュリティ法」は、国のデータセキュリティ制度の構築に資するものであり、「サイバーセキュリティ法」及び間もなく施行される「個人情報保護法」とともに、中国のデータ及び情報セキュリティ保護の法的枠組みを概ね構成するものである。企業（重要情報インフラストラクチャー運営者及びその他データ取扱業務に係る企業を含む）は、いずれも企業内部のデータセキュリティ管理制度を実行に移し、企業のデータセキュリティ保護義務を履行していかなければならない（特に、重点データ及び国の基幹データの保護を強化しなければならない）。越境データ伝送を取り扱う企業は、今後の具体的な規則の公布に注視し、重要データの国外移転計画等について内部で自己点検し、動態モニタリングと継続的な改善を行っていかねばならない。

（作者：里兆法律事務所 丁志龍 王佳柔）

[1] 「サイバーセキュリティ法」第21条：国は、サイバーセキュリティ等級保護制度を実施する。ネットワーク運営者は、サイバーセキュリティ等級保護制度の要求に基づき、次の各号に掲げる安全保護義務を履行し、ネットワークが干渉、破壊又は無許可アクセスを受けないよう保障し、データの漏えい又は窃取、改ざんを防止しなければならない。

…  …..

（四）データの分類、重要データのバックアップ及び暗号化等の措置を講じる。

[2] 「科学データ管理弁法」（国弁発[2018]17号）第20条：法人組織は、科学データについて等級分け、分類を行い、科学データの秘密レベル及び秘密保持期限、公開条件、公開対象及び審査許可手順等を明確にし、要求に従って科学データ開放目録を公布し、オンラインダウンロード、オフライン共有又はカスタマイズサービス等の方式を通じて、社会へ開放・共有するものとする。

[3] 「データセキュリティ法」第21条：国は、データの種類別及び等級別保護制度を構築し、経済社会の発展におけるデータの重要性、およびデータが改ざん、破壊、漏洩、または不正アクセスや不正使用された場合に、国家安全、公共の利益、または個人や組織の適法権益にもたらされる危害の程度に応じて、データの種類別及び等級別保護を実施するものとする。…

[4] 実際は、「国家データセキュリティ作業調整メカニズム」である。

[5]　国の安全、国民経済命脈、重要な国民生活、重大な公共利益等に係るデータをいう。

[6] 「データセキュリティ管理弁法（意見募集案）」第38条：重要データとは、ひとたび漏えいされた場合に、国の安全、経済の安全、社会の安定、公共の健康及び安全に直接影響を及ぼし得るデータをいう。例えば、未公開の政府情報、広大な面積における人口、遺伝子の健康、地理、鉱産資源等。重要データには、通常、企業生産経営及び内部管理情報、個人情報等が含まれない。

[7] 現在、工業分野（「工業データ等級別分類ガイドライン（試行）」）、交通分野（「自動車データセキュリティ管理若干規定（試行）」）及び基礎電信分野（「基礎電信企業重要データ識別ガイドライン」）においては、いずれも重要データに関する立法活動がある。

[8]「サイバーセキュリティ法」第37条: 重要情報インフラストラクチャー運営者が中華人民共和国国内での運営において収集、発生した個人情報及び重要データは、国内で保存しなければならない。業務上の必要により、確かに国外に提供する必要がある場合には、国家インターネット情報部門が国務院関連部門と共同で制定する弁法に基づき、セキュリティ評価を行わなければならない。法律、行政法規に別段の規定がある場合、その規定に従う。

[9]「データセキュリティ法」第24条：国は、データセキュリティ審査制度を構築し、国の安全に影響し又は影響し得るデータ取扱活動について国家セキュリティ審査を行う。

[10]「サイバーセキュリティ審査弁法（改正案意見募集案）」第2条：重要情報インフラストラクチャー運営者（以下「運営者」という）がネットワーク製品及びサービスを調達し、データ取扱者（以下「運営者」という）がデータ取扱活動を実施することにより、国の安全に影響を与える、又は影響を与えるおそれがある場合、本弁法に基づき、サイバーセキュリティ審査を行うものとする。