概要：

「データ越境流動の促進と規範化についての規定」が2024年3月22日に正式に発布された。重要データと重要情報インフラ運営者は、本規定における1組の基幹的概念であり、データの安全を確保しながら、データの越境流動を促進するうえでの重要な仕切りを構築している。重要データと重要情報インフラの概念を比較しながら本規定を理解することは、中国のデータ越境流動関連法規の正確な適用を促すうえで有益である。

本文：

半年近い意見募集期間を経て、「データ越境流動の促進と規範化についての規定」が2024年3月22日に正式に発布、施行された。「データ越境流動の促進と規範化についての規定」は、「データ越境安全評価弁法」、「個人情報越境標準契約弁法」などの規定の基礎の上に、中国データ越境流動の規制事項と措置に対して最適化と調整を行い、企業のデータコンプライアンス義務を大幅に軽減し、中国の企業ビジネス環境をさらに向上させ、中国データ越境流動規制ガイドラインの重要な変革を具現化している。

「データ越境流動の促進と規範化についての規定」は、すべてのデータ取扱者がいずれも重要データを正確に識別し、申告しなければならないことを明確に要求し、且つ重要情報インフラ運営者が国外にデータを提供する際に負うべき義務と責任を特別に定めている。これにより、企業が重要情報インフラ運営者として認定された場合には、重要情報インフラ運営者と重要データ取扱者としての特別なデータ取扱義務を同時に負うことになり、もしも企業が重要情報インフラ運営者として認定されていなければ、重要データ取扱者になる可能性があり且つ重要情報インフラ運営者である取引相手、パートナーなど（「取引相手」と略称する）からのデータにとりわけ注意を払い、適切に取扱う必要がある。重要情報インフラは重要情報インフラ運営者の識別の前提であり、且つ重要データの識別ともある程度において一致しており、本文では、重要データ、重要情報インフラに関する現行の法律規定を整理することにより、企業が重要データと重要情報インフラ運営者を効果的に識別することを助け、それによってデータセキュリティコンプライアンス義務がよりよく履行されることを目的としている。

一、重要データと重要情報インフラの相互作用

当初、「サイバーセキュリティ法」は重要情報インフラ運営者が重要データを取扱い、国外に提供する際の特別な義務[1]のみを定めており、重要情報インフラ運営者以外のデータ取扱者の重要データに対する保護義務は定めていなかった。2021年に公布された「データセキュリティ法」は、国務院の関係部門とともに他のデータ取扱者が収集し、生成した重要データに適用する越境安全管理弁法を制定する権限を国家インターネット情報部門に与え、立法面でその穴を埋めた。その後、国家インターネット情報弁公室が2022年に公布した「データ越境安全評価弁法」は、すべてのデータ取扱者（重要情報インフラ運営者以外の他のデータ取扱者を含む）が国外に重要データを提供する際にはデータ越境安全評価を行う必要があることを明確にした。

「データ越境安全評価弁法」は初めて「重要データ」に対して定義を行い、それは一旦改ざん、破壊、漏洩又は不法取得、不法利用などがなされると、国家の安全、経済の運営、社会の安定、公共の健康と安全などに危害を及ぼし得るデータであることを明確にした。本定義から、重要データは、国家の安全、公共の利益に対する特別な保護を強調しており、これは重要情報インフラの保護されている法益とも一致していることがわかる。「重要情報インフラ安全保護条例」（「安全保護条例」と略称する）第2条によると、「重要情報インフラ」とは、公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術産業などの重要な業界と分野における、また、その他破壊、機能喪失、データ漏洩が発生すると、国家の安全、国家の経済と人々の暮らし、公共の利益に深刻な危害を及ぼし得る重要なネットワーク施設、情報システムなどをいうとしている。

上記の定義によると、重要情報インフラは国家の重要な業界と分野に係るため、その関連するデータの多くは国家の安全、公共の利益に重要な影響を与え、重要データの重要な出処の1つを構成している。しかし、重要情報インフラ運営者が取扱うすべてのデータは必ずしも全部が重要データとは限らず、その中の国家の安全、公共の利益の保護に係るデータだけが重要データとなり、例えば、重要情報インフラのサイバーセキュリティ保護を体現し、重要情報インフラに対するサイバー攻撃の実施に使用することのできる関連データ等である。また、重要データの定義は特定の重要な業界や分野に限定されるものではなく、結果的意味から関連する法益に対しての特別な保護をより強調している。そのため、非重要情報インフラ運営者も重要データを保有している可能性があり、例えば、歴史文化遺産を記録しているデータ、国際貿易における特定品目の生産と取引を記述しているデータなどである。

二、重要データと重要情報インフラの識別

国家データセキュリティ政策は、重要情報インフラのセキュリティ保護と重要データのセキュリティ制御を2大注目ポイントとしている。これは、重要情報インフラ運営者と重要データ取扱者がより厳格なセキュリティ保護義務と監督管理要求が課されていることを意味している。しかし、前述したように、重要情報インフラ運営者と重要データ取扱者は互換性のある概念ではなく、区別して取扱う必要があり、下表は、比較し整理することで、重要情報インフラと重要データの識別認定、主体義務などの視点から、新たな識別の観点を提供するよう試みるものである。

	重要情報インフラ	重要データ
認定部門	係る業界と分野の主管部門、監督管理部門は、業界内の重要情報インフラを認定する責任を負い、且つ認定結果は国務院公安部門に報告しなければならない[2]	各地域、各部門は本地域、本部門及び係る業界、分野の重要データの具体的なリストを作成し、[3]重要データの取扱者は、その重要データを識別した後の15営業日以内に区を設置する市級のインターネット情報部門に届出なければならない
係る業界/分野	公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業などの重要な業界と分野	国家政治、国土、軍事、経済、文化、社会、科学技術、生態、資源、核施設、海外利益、生物、宇宙、極地、深海など
法益（法によって保護される利益）	国家の安全、公共の利益	国家の安全、公共の利益[4]
運営者/取扱者の特別義務	運営者は、専門的なセキュリティ管理機構を設置し、当該機構の責任者と重要な部署の人員に対し安全バックグラウンドチェックを行わなければならない	取扱者は、データセキュリティ責任者と管理機構を明確にし、データセキュリティ保護責任を遂行しなければならない
	運営者は、自ら又はデータセキュリティサービス機構に委託して、重要情報インフラに対して、毎年少なくとも1回のサイバーセキュリティ検査とリスク評価を行い、発見されたセキュリティ問題を遅滞なく是正し、保護作業部門の要求に従って状況を報告しなければならない	取扱者はデータ取扱活動に対して定期的にリスク評価を行い[5]、主管部門にリスク評価報告書を報告しなければならない
	運営者が国外に重要データと個人情報を提供する場合、所在地の省級インターネット情報部門を通じて国家インターネット情報部門にデータ越境安全評価を申告しなければならない	取扱者が国外に重要データを提供する場合、所在地の省級インターネット情報部門を通じて国家インターネット情報部門にデータ越境安全評価を申告しなければならない
	運営者は合併、分割、解散などの状況が発生する場合、保護作業部門に遅滞なく報告し、要求に応じて重要情報インフラに対処し、安全を確保しなければならない	取扱者は合併、再編、分割などの状況が発生する場合、データ受領者はデータセキュリティ保護義務を引き続き履行し、且つ区を設置する市級の主管部門に報告しなければならない[6]
	重要情報インフラに重大なサイバーセキュリティ事件が発生し、又は重大なサイバーセキュリティ上の脅威が発見された場合、運営者は保護作業部門、公安機関に報告しなければならない	重要データの漏洩、破損、紛失などのデータセキュリティ事件が発生した場合、データ取扱者は以下の義務を履行しなければならない。（一）セキュリティ事件が発生してから8時間以内に区を設置する市級のインターネット情報部門と関係主管部門に事件の基本情報を報告する。（二）事件の処理が終わってから5営業日以内に区を設置する市級のインターネット情報部門と関係主管部門に調査評価報告書を提出する[7]
	運営者がネットワーク製品やサービスを購入する際に秘密保持措置を施し、国家の安全に影響を与える可能性がある場合は、安全審査を通過しなければならない	重要データを取扱うシステムは、原則として3級以上のサイバーセキュリティ等級保護[8]と重要情報インフラセキュリティ保護要求を満たさなければならない[9]

（備考：上記の内容はおおよそ整理したにすぎず、企業が関連事項を取扱う際には現行の有効な監督管理規定に全面的に注意を払う必要がある。）

上表での分析から、重要情報インフラリストの非公開性と認定通知制に基づき、取引相手から自主的に開示されない限り、企業は取引相手が重要情報インフラ運営者に属するかどうかを正確に判断することは難しい。代替案としては、重要情報インフラ認定規則から識別することができる。「重要情報インフラ確定ガイドライン（試行）」に基づき、重要業務、重要業務を支える情報システム又は工業制御システム、重要業務の情報システム又は工業制御システムへの依存度又は発生し得る損失という3つの方面から判断することができる。これについては、簡便で操作しやすいという視点から、企業は「重要情報インフラ確定ガイドライン（試行）」において開示された重要業務参考リストに基づいて取引の中で大凡の判断を行い、上表にいう重要情報インフラに関わる業界/分野における重要業務を回避することができる。

重要情報インフラが主管部門から告知されるのとは異なり、データ取扱者は主管部門から重要データとして告知された状況に加え、関連規定に基づき重要データを自主的に識別し、申告する義務を負っている。これについては、重要データリストがすでに発布されている業界/分野に対し、企業は既存のリストに照らして適用する必要がある。重要データリストがまだ発布されていない業界/分野に対しては、企業はまず業界/分野の角度から判断し、公共通信、公共経済、党・政府・軍事業界などにはなるべく触れないようにするのがよい。また、重要データは一般的に上述の業界/分野内の技術情報であり、コア業務に関するデータなどが含まれる。注目すべきは、2024年3月15日、国家標準GB/T 43697-2024「データセキュリティ技術　データ分類・等級付け規則」が発布されたことである。本国家標準の付録Gでは、重要データ識別ガイドラインを打ち出し、企業が重要データを識別するうえでのさらなる一般的な方法論を提供している。

三、重要データと重要情報インフラ運営者のデータ取扱義務

以上の分析から、重要データは国家の安全と公共の利益に係るデータの類型として、その取扱者は特別なデータ取扱義務を負っている。重要情報インフラ運営者はある種の特別なデータ取扱者として、当該運営者は重要情報インフラから生成される重要データの保護に注目するだけでなく、この特別な立場に与えられたセキュリティ保護義務を確実に履行しなければならない。例えば、重要データのほか、重要情報インフラ運営者として認定された企業が国外に個人情報を提供する場合には、データ越境安全評価も申告しなければならない。ただし、重要情報インフラ運営者以外の企業に対しては、「データ越境流動の促進と規範化についての規定」において個人情報の取扱量に基づき、それぞれ異なるセキュリティ要求が設定されている。[10]

（作者：里兆法律事務所 裴德宝、陳暁鳴、陳昕　2024年4月12日）

 

[1] 「サイバーセキュリティ法」第37条、重要情報インフラ運営者が中華人民共和国国内での運営中に収集し、生成された個人情報と重要データは国内に保存しなければならない。業務上の必要により、国外に提供する必要がある場合は、国家インターネット情報部門が国務院の関係部門とともに制定した弁法に基づいて安全評価を行わなければならない。法律、行政法規に別途規定がある場合は、その規定に従う。

[2] 現在、国は公開ルートで重要情報インフラリストを公表しておらず、通知を受けた運営者自身だけがそれを知っている。

[3] 現在、自動車及び基礎電信業界（チャイナテレコム、チャイナユニコム、チャイナモバイル、チャイナブロードネット）などのごく少数の業界だけがその業界分野の重要データの範囲を明確にしている。全体的に、重要データの範囲はあいまいである。しかし、「データ越境流動の促進と規範化についての規定」第2条に基づき、関連部門、地域から重要データとして告知せず、又は公布されていない場合、データ取扱者は重要データとして申告する必要はない。本規定は監督管理の実際の現状に合致し、企業に対しまだ明確になっていない重要データに対応するための取扱上の一定の余地を与えるものである。

[4] 「自動車データセキュリティ管理についての若干規定（試行）」と「工業情報化分野のデータセキュリティ管理弁法（試行）」において、いずれも重要データとは、「ひとたび改竄、破壊、漏洩又は不法取得、不法利用されると、国家の安全、公共の利益又は個人、組織の合法的権益に危害を及ぼし得るデータ」を指すとされ、上述の概念においては重要データが個人又は組織の合法的権益に影響を与える可能性に言及しているが、実務運用上は、組織自ら又は公民の個人の合法的権益に影響を与えるだけのデータは一般的に重要データとして扱われていない。

[5] 重要データ取扱者がリスク評価を実施するための期限要求について、現在の「工業情報化分野のデータセキュリティ管理弁法（試行）」及び「ネットワークデータセキュリティ管理条例（意見募集案）」では、重要データ取扱者が自ら又はデータセキュリティサービス機構に委託して、毎年1回データセキュリティ評価を実施すべきことを提唱しており、後者は更に取扱者が毎年1月31日までに前年度のデータセキュリティ評価報告書を区を設置する市級のインターネット情報部門に提出しなければならないことを明確に提唱している。

[6] 「ネットワークデータセキュリティ管理条例（意見募集案）」第14条（前記規定はまだ正式な有効文書が発布されていないため、当該義務要求は企業の参考までに供するものである）

[7] 「ネットワークデータセキュリティ管理条例（意見募集案）」第11条（前記規定はまだ正式な有効文書が発布されていないため、当該義務要求は企業の参考までに供するものである）

[8] 「情報セキュリティ技術　サイバーセキュリティ等級保護基本要求」によると、第3級セキュリティ要求は非銀行機構に対する国家の最上級認証であり、「監督管理等級」に該当し、国家情報セキュリティ監督管理部門が監督、検査、認証を行う。

[9] 「ネットワークデータセキュリティ管理条例（意見募集案）」第9条第2項及び「情報セキュリティ技術　重要データ取扱セキュリティ要求（意見募集案）」第4.1条（前記規定はまだ正式な有効文書が発布されていないため、当該義務要求は企業の参考までに供するものである）

[10] 「データ越境流動の促進と規範化についての規定」第7条、データ取扱者は国外にデータを提供し、以下の条件のいずれか1つを満たす場合、所在地の省級インターネット情報部門を通じて国家インターネット情報部門にデータ越境安全評価を申告しなければならない。…（二）重要情報インフラ運営者以外のデータ取扱者は国外に重要データを提供し、又は同年1月1日から累計100万人以上の個人情報（機微な個人情報を含まない）又は1万人以上の機微な個人情報を国外に提供する場合。第8条、重要情報インフラ運営者以外のデータ取扱者が同年1月1日から累計10万人以上、100万人未満の個人情報（機微な個人情報を含まない）又は1万人未満の機微な個人情報を国外に提供する場合、法に基づいて国外受領者と個人情報越境標準契約を締結し、又は個人情報保護認証を通過しなければならない。