概要

「ネットワークデータセキュリティ管理条例」（以下「条例」と略称する）の草案は2021年にパブリックコメントを募集した後、3年近くにわたり研究と検討が重ねられ、2024年9月24日に正式に発布され、2025年1月1日から施行される。条例は、アプリガバナンス、データ越境などの分野における監督管理部門の監督管理経験を吸収し、規範性文書に散在するコンプライアンスに関する要求を行政法規の次元へと昇格させた。企業は、条例に基づき自身のネットワークデータ取扱活動のコンプライアンスを見直す必要がある。

本文

条例は、「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」を上位法としての拠り所とし、監督管理部門のデータコンプライアンス監督管理活動における経験を踏まえ、上位法の原則的規定を詳細化し、個人情報保護、重要データセキュリティ、ネットワークデータ越境セキュリティ管理などの面からいくつかの要求を打ち出している。本文では、外資企業が特に注目すべき内容について簡潔に考察する。

一、条例の適用範囲

条例は、ネットワークデータの取扱活動に適用される。ここでの「ネットワークデータ」とは、ネットワークを通して取扱い、生成される各種の電子データをいう。現在、企業には基本的にいずれもネットワークを通してデータを取扱う行為（Workdayによる人的資源管理、アプリによる消費者へのサービスの提供など）が存在することを考慮すると、ほぼすべての企業のネットワークデータ取扱行為に条例が適用されることになると考えられる。

特に注意すべきなのは、条例は原則として中国国内で展開されるネットワークデータ取扱活動に適用されるのだが、中国国外で中国国内の自然人の個人情報を取扱う活動が「個人情報保護法」第3条第2項で定める状況に該当する場合（例えば、国内の自然人向けの製品やサービスの提供を目的としたもの、国内の自然人の行為を分析し評価することなど）にも、条例が適用されるということである。また、中国国外でネットワークデータ取扱活動を展開し中国の国家安全、公共利益又は公民、組織の合法的権益を損なう場合も、条例に依拠して法により法的責任が追及される。そのため、外資企業も国外の関係する企業のネットワークデータ取扱行為が条例の適用範囲に該当するかどうかに注意を払わなければならない。

二、個人情報保護に関する新たな要求

まず、アプリ分野の実際の監督管理において、監督管理部門はアプリ運営事業者に対し「収集済の個人情報リスト」「第三者と共有する個人情報リスト」（以下「ダブルリスト」と併称する）の作成要求を次々と打ち出しており、今回の条例ではダブルリストの作成要求を個人情報取扱規則（即ち、プライバシーポリシー）を制定することで法に依拠して個人に告知を行うすべてのネットワークデータ取扱活動にまで拡張している。条例では「リスト等の形式」と表記されているが、ダブルリストを優先して採用するよう求められる可能性が高いと考えられる。

次に、条例は個人情報主体の個人情報移転請求権について詳細化し定めている。しかし、この権利の実現は、各ネットワークデータ取扱者が採用する技術基準が互換性を備えているかどうかにも大きく左右され、互換性がない場合には、個人情報移転請求権を如何にしてよりよく保障するかが実務の中で絶えず模索されていかなければならない課題となるであろう。

また、条例は、ネットワークデータ取扱者が定期的に個人情報保護コンプライアンス監査を自ら又は専門機関に委託して実施しなければならないという要求にも改めて言明している。2024年10月、中国サイバーセキュリティ審査認証及び市場監督管理ビッグデータセンターは全国初となる個人情報保護コンプライアンス監査士認証を実施した。11月、全国サイバーセキュリティ標準化技術委員会は北京で「データセキュリティ技術―個人情報保護コンプライアンス監査要求」という国家標準の試験的試みを実施し、36社を標準応用対象の最初の試行組織に選定した。これらの動きは、「個人情報保護コンプライアンス監査管理弁法（意見募集案）」がもう間もなく正式に発布される可能性が高いことを示すものであり、企業はできるだけ早期に個人情報保護コンプライアンス監査を実施するための準備をしておくのがよい。

最後に、条例では1,000万人分以上の個人情報を取扱うネットワークデータ取扱者は、条例第30条、第32条における重要データを取扱うネットワークデータ取扱者（以下「重要データ取扱者」と略称する）への要求を遵守しなければならないと定めており、具体的には次の部分の内容を参照していただきたい。

三、重要データ取扱者の義務

条例の規定によると、重要データ取扱者は、ネットワークデータセキュリティ責任者及びネットワークデータセキュリティ管理機構を設置しなければならないとされている。そのうち、ネットワークデータセキュリティ責任者は、一定の業務資格を満たす必要があり、即ち、ネットワークデータセキュリティの専門知識と係る管理業務の職歴を有し、且つ重要データ取扱者の経営陣側メンバーとして就任していなければならない。同時に、特定の種類、規模の重要データを取り扱う重要データ取扱者は、ネットワークデータセキュリティ責任者と重要なポジションの人員に対しセキュリティ背景審査を行わなければならない。

また、条例では、重要データ取扱者が合併、分割、解散、破産などにより重要データセキュリティーに影響を与え得る場合、ネットワークデータセキュリティーを保障するための措置を講じ、重要データの取扱案、受領者の名称又は氏名と連絡方式などを主管部門に報告しなければならないとも定めており、監督管理部門の重要データ監督管理における注目ポイントをさらに体現したものとなっている。

外資系企業にとっては、取扱うネットワークデータが重要データに関わる可能性がやや低く、所属業界において重要データリストが公布されておらず、且つ主管部門からの企業が重要データ取扱活動に関わることに関する通知を受け取っていない状況においては、ひとまずは重要データコンプライアンス問題について過度に注目する必要はない。しかし、前述したように、企業が取扱う個人情報の件数が1,000万人分以上に達すると、上述の重要データ取扱者の義務を負う必要が出てくるため、企業には自身が取扱う個人情報の件数を持続的にモニタリングするよう勧めたい。

四、データ越境移転の注目ポイント

2022年から2023年にかけて発布された「データ越境移転安全評価弁法」「個人情報越境移転標準契約弁法」「個人情報保護認証実施規則」では、中国のデータ及び個人情報越境移転の3パターンのコンプライアンス手段（即ち、データ越境移転安全評価、個人情報越境移転標準契約の届出、個人情報保護認証）を詳細化している。2024年に発布された「データ越境流動の促進及び規範化に関する規定」では、前述のコンプライアンス手段の採用を免除するいくつかの状況を定めており、企業のデータ越境活動に利便を提供したものとなっている。2024年に各自由貿易区が公布したデータ越境「ポジティブリスト」「ネガティブリスト」も区内企業のデータ越境に関するコンプライアンス義務をさらに軽減している。

条例は、上述の規定を統合した上で、「法定職責又は法定義務を履行するために、確かに国外に個人情報を提供する必要がある場合」という義務・責任の免除状況を新たに追加しているが、「法定職責又は法定義務」の定義については現時点では更なる説明はされていない。国外の法律義務を遵守するために、データを直接に越境移転できるかどうか（例えば、国外で発生した訴訟で立証するためにデータを越境移転する必要がある場合）は、常に実務において論議を呼ぶ問題であり、監督管理部門が今後「法定職責又は法定義務」を中国の法律に定める職責と義務だけに限定するかどうかを明確にしていけるか期待したい。

五、ネットワークプラットフォームサービス提供者の義務

条例は、ネットワークプラットフォームサービス提供者に対し、プラットフォームを利用している第三者製品及びサービス提供者に対する監督を強化するよう求めており、また、大型ネットワークプラットフォームサービス提供者に対しては、年度ごとに個人情報保護社会責任報告を発表し、国家のデータ越境安全監督管理要求を遵守し、ネットワークデータ、アルゴリズム及びプラットフォーム規則を濫用してユーザーの利益を侵害してはならないなどのより高い要求を打ち出している。

条例による「大型ネットワークプラットフォーム」の定義は、登録ユーザーが5,000万人以上、又は月のアクティブユーザーが1,000万人以上であり、業務形式が複雑で、ネットワークデータ取扱活動が国家の安全、経済運営、国の経済と人々の暮らしなどに重要な影響を与えるネットワークプラットフォームとされている。このため、外資企業が中国国内でネットワークプラットフォームを通じてto C型サービスを提供している場合、そのユーザー数が大型ネットワークプラットフォームサービス提供者に対する監督管理要求を生じ得ることになるかどうかに特に注意しなければならない。

終わりに

中国では近年、データコンプライアンス分野での立法作業が頻繁に行われており、監督管理の方法も実務の発展に伴い調整されている。外資企業はデータコンプライアンス分野の立法の動きに細心の注意を払い、自らのコンプライアンス管理制度を適時に調整し、コンプライアンスを遵守しながら業務を持続的に実施するよう注意しなければならない。

（作者：里兆法律事務所 董紅軍、鄭旭斌）