中国は近年、サイバースペースとデータにおける主権と支配意識を、より一層強調してきました。サイバーセキュリティとデータに関する制度は急速な発展を遂げ、多くの関連規則・基準・政策の立案を加速しています。プライバシーとセキュリティにおける基本原則の法的な基となるものは、「中華人民共和国憲法」「中華人民共和国民法典」「中華人民共和国国家安全法」であり、次の3つの基本的法律が制定されました。
- 「中華人民共和国サイバーセキュリティ法」(CSL:以下サイバーセキュリティ法)
- 「中華人民共和国データ安全法」(DSL:以下データ安全法)
- 「中華人民共和国個人情報保護法」(PIPL:以下個人情報保護法」)
3つの基本的法律の相互作用
パートナー
上海の Global Law Office
電話: +86 21 2310 9518
Eメール: vincentwang@glo.com.cn
上記の3つの法律を柱とするシステムの中で、「サイバーセキュリティ法」はその法的根拠であり、サイバースペースセキュリティにおける全体的な法的枠組みを確立しました。「データ安全法」はデータのセキュリティを保護することに注目し、「個人情報保護法」は個人情報の処理プロセスを規制することに注目するものです。
「データ安全法」と「個人情報保護法」は、「サイバーセキュリティ法」によって保護されたインフラで処理されるデータと個人情報のセキュリティを確保するために、治外法権を行使する条項を明確に規定しています。中国国外でのデータ処理が中国の国家安全保障、公共の利益、または中国の国民や組織の正当な権利・利益を損なう場合、「データ安全法」に、法律に従って法的責任を追及することが規定されています。それと同様に、中国国内の自然人に製品またはサービスを提供する目的で、中国国内にいる個人の情報を処理し、または個人の行動を分析および評価する行為が海外で行われたとしても、依然として「個人情報保護法」に規制されます。
業界規制
中国企業は、業界固有の規制と各地方のデータ保護法規に従わねばなりません。中国の各業界の監督機関と地方政府は、関連する規制規則を改善し、さまざまな業界や地域のネットワークセキュリティの問題を解決しようとしています。その監督の焦点は、ヘルスケア、金融、自動車、インターネット情報サービス(例えばアルゴリズム技術を使うことによるレコメンデーションサービス)に置かれています。
サイバーセキュリティ審査
中国の国家サイバースペース管理局(CAC)は、配車大手のDiDi(ディディ)に対するサイバーセキュリティ審査の結果を最近発表し、80億元(約1600億円)の罰金を言い渡しました。DiDiのサイバーセキュリティ審査は、2022年2月15日に最新の改訂が行われた「サイバーセキュリティ審査弁法」が施行する前に開始されています。
今回の改正により、サイバーセキュリティ審査措置の適用範囲が拡大し、特に、100万人以上のユーザーの個人情報を処理し、海外での上場を目指すネットワーク・プラットフォーム事業者に対して適用されるようになりました。
さらに、ネットワーク製品やサービスを購入する重要情報インフラ運営者、または国家安全保障に影響を与える、あるいは影響を与える可能性のあるデータ処理活動を行うネットワーク・プラットフォーム運営者にも、サイバーセキュリティ審査が適用されます。
サイバーセキュリティ審査を請求する義務のある上記の3つの状況の中で、ネットワーク・プラットフォーム事業者は、データ処理の行為がサイバーセキュリティ審査を受ける可能性があるかどうかについて、自ら判断する必要がありますが、それが恐らく現時点で最も難しいことでしょう。それは今の法律は曖昧で、現時点においてネットワーク・プラットフォーム事業者が、その事業が審査を申請する義務の範囲内にあるかどうかを自己判断するための、正式な詳細規則がないためです。これは、プラットフォームが大量のデータまたは複数の種類のデータを同時に処理する場合、プラットフォーム事業者が、サイバーセキュリティ審査を受ける可能性が常に存在することを意味しているようです。
その審査を避けるためには、最も安全な方法は次のとおりです。(1)大規模なプラットフォームを運営しないこと、または(2)運営者が自ら積極的に審査を申請し、関連当局から明らかにこれ以外の申請は必要ない通知が届くことを確保すること。そうでなければ、中国最大の学術研究データベースであるCNKIが直面にしているのと同様のリスクにさらされる可能性が生じます。CNKIは現在、国家データのセキュリティリスクの可能性があることから、サイバーセキュリティ審査を受けているところです。
サイバーセキュリティ等級保護
アソシエイト
上海の Global Law Office
電話: +86 21 2310 9516
Eメール: xinyaozhao@glo.com.cn
情報システムおよびネットワークに適応するサイバーセキュリティ等級保護要件は、「サイバーセキュリティ法」の下で更新されています。更新された要件は「等級保護2.0」として知られており、等級保護2.0は実際サイバーセキュリティ等級保護の適用範囲を、インターネットを利用して中国でビジネスを行っている企業ほぼ全般に拡大し、クラウドコンピューティングやモノのインターネット(IoT)などの新技術に、特別な安全基準が設定されています。
現在の等級保護システムでは、ネットワーク事業者は、運営しているネットワーク/情報システムの重要性と、発生する可能性のあるリスクを評価する必要があります。ネットワーク・情報システムの性質と重要性および破壊後国家安全保障、社会秩序、公共の利益、国民、法人およびその他の組織の正当な権利と利益にもたらされる被害の程度に応じ、各ネットワーク・情報システムは、それぞれ「安全レベル」に分類されます。「安全レベル」は1から5までであり、レベルが高いほど、ネットワーク事業者が履行すべきセキュリティ保護義務が厳しくなります。この格付けの後、ネットワーク事業者は実施されたセキュリティ対策の対応するレベルで規定された最低限のセキュリティ要件を満たすために、所属機関に、運営するネットワーク/情報システムを報告、評価、修正する必要が生じます。
データにおける主権
データの主権を保護するために、「サイバーセキュリティ法」は、重要情報インフラ事業者に、データのローカリゼーションの原則を課しています。そして「データセキュリティ法」と「個人情報保護法」では、外国の司法機関または法律を執行する機関に、中国に保存されているデータ・個人情報提供する際、前もって関連する部門に承認を得る必要があります。
中国の国家サイバースペース管理局が発表した「データ越境移転安全評価措置」(以下「措置」)は、2022年9月1日に正式に施行されました。それにより、データ処理業者には6カ月の移行期間が与えられ、「措置」に規定されている最新の要件を遵守するよう、「措置」の施行前にすでに行われていたデータの移転を見直さねばなりません。「措置」が公布される前、中国のサイバースペース管理局は既に、EUの標準契約条項(SCC)に類似する「個人情報越境標準契約に関する規則(意見募集稿)」を発表しています。一方、中国全国情報セキュリティ標準化技術委員会(TC260)は「サイバーセキュリティ基準 越境個人情報処理活動を認定するための技術基準」を公表しています。
これらによれば、国家サイバースペース管理局が主導する強制的なセキュリティ評価は、「措置」に規定された法廷状況下で発動します。
それに比べ、セキュリティ認証は主に、同じ多国籍企業グループの子会社、または関連会社間で頻繁に行われる、個人情報の越境移転に関する問題を解決することを目的としていますが、ほとんどのデータ処理業者は標準契約条項をデータの越境移転の際の主な手段にしたいと考えています。これは、標準契約条項は、中国国家サイバースペース管理局からの事前承認の取得に依存しないからです。ただし、「措置」で規定されているセキュリティ評価のしきい値が高くないことを考えると、セキュリティ評価は、実際にデータを越境提供する際の普遍的なメカニズムになるでしょう。
データの性質分類と保護等級分類
ジュニア アソシエイト
上海の Global Law Office
電話: +86 21 2310 9519
Eメール: estellawang@glo.com.cn
「データ安全法」は、経済社会におけるデータの重要性、および改竄、破壊、漏洩、あるいは違法に取得・利用された場合、国家安全保障、公共の利益、または個人および組織の正当利益にもたらされた損害に応じて、国からのデータ分類管理と保護等級分類の一般要件を規定しました。国家コアデータは、3段階のデータ分類システムのうちの最高レベルに属し、最も厳格に保護される対象で、国家コアデータの目録は、中央政府によって決定されることが想定されています。
一方、重要データは3段階の中間に属し、各地域・部門は、それぞれの地域、部門、および関連業界・分野において重要データの具体的な目録を決定し、目録に記載されているデータの保護に重点を置くこととなります。また、各データ処理者は目録に従って、重要データがあるかどうか、および重要データの具体的な範囲を判断します。ただし現時点では、参考可能な重要データの識別に関する規則は次の規則にとどまります。重要データの識別に関する国家標準草案「重要データの識別に関するガイドライン」、自動車業界の「自動車データ安全管理に関する諸規定(試行)」、産業・情報技術分野の「産業・情報技術分野におけるデータ安全管理措置(試行)」。これらにより、重要データの認定基準が一応定められました。このことから、全国のコアデータと重要データの識別目録が確定するまでには、まだ長い道のりがあることが伺えます。
個人情報保護
「個人情報保護法」は、個人情報の処理サイクル全体をカバーし、個人情報の処理に関する全面的な保護要件を規定しています。これは、個人情報の処理者が個人情報の安全を確保するために、適切な態勢と技術的措置を取ることを要求するものであり、その上、機微な個人情報の処理に対して、より厳格な保護義務が課されています。処理者は個人情報を処理する前に、個人の同意を得る、または同意以外の他の法的根拠が適用されることを確認するなど、個人情報の処理に関する法的根拠を得ていることを確認する必要があります。個人情報を処理する際、処理者は常に合法性、正当性、必要性、完全性の基本原則に従い、法律の関連規定を遵守し合法性を証明する、あるいは潜在的な紛争に対処するために、関連する処理活動の記録を保管する必要が生じています。
また、「個人情報保護法」では、データ主体およびその個人情報に、知る権利、決定する権利、データ処理先を変更する権利、苦情を申し立てる権利などという、実体的権利や手続的権利を含む包括的な権利も認められています。
施行と罰則
中国の基本的な法律は、サイバーセキュリティおよび個人のプライバシー権の侵害に対し、刑事、行政、及び民事責任を厳しく規定しています。例えば「個人情報保護法」によると、個人情報に対する不正処理に対し、個人情報保護に関する部門には、違法所得の没収および100万元(約2000万円)以上、5000万元(約1億円)以下、あるいは前年の売上高の5%以下の罰金が科されることが含まれています。同時に、直接責任を負う主要責任者およびその他の直接責任者に対し、10万元(約200万円)以上、100万元以下の罰金が科されます。DiDiのケースの記録的な金額の罰金は、最も代表的な例です。2022年9月14日、国家サイバースペース管理局は、「サイバーセキュリティ法の改正に関する決定(意見募集案)」を公表し、「個人保護法」の罰則に適応するために、サイバーセキュリティ法に違反した場合の罰則の強化を提案しました。前述の規制および法律の執行に加え、各レベルの裁判所と検察庁も、個人情報保護に関連する民事および刑事事件の判決に力を入れています。
動向と展望
中国政府は、デジタル経済とデータ資産が、グローバルな競争環境において次の争奪目標になると固く信じています。そのため、国家のサイバー空間主権の確立、維持、防衛を優先しています。
今後3年から5年間は、関連する法律制度の発展に次のような傾向が予想されます。
- 「サイバーセキュリティ法」は、等級保護2.0(MLPS 2.0)の完全実施を中心に、法律規制と法律執行の基盤を強固にし、国家のサイバースペースにおける主権を守る。
- 「データ安全法」で定められた個人情報分類・等級保護制度は徐々に改善され、最終的に各産業、分野、地域を完全にカバーして施行する。
- 「個人情報保護法」は、引き続きより多くの司法および法律執行を通じて、個人情報のローカライゼーションを実現し、最終的には法律の範囲内にある外国企業に対する強制執行を可能とする。
中国のサイバースペースセキュリティに関連する上記の法律の発展動向は、今後、行政処罰、司法審査と国外での法律執行に、より一層注力します。したがって、中国にある多国籍企業および中国と取引を行っているオフショア事業体は、関連する法律、行政法律執行の動向を注視し、現地の資格のある弁護士との相談と協力を通じて、迅速かつ明確に関連する法的要件を理解し、法律の進展の概要と影響を把握する必要があり、合法性を確保する、あるいは潜在的な法的リスクを回避できるよう、関連するビジネスを適切に調整しなければならなりません。
GLOBAL LAW OFFICE
35 & 36/F Shanghai One ICC, No.999
Middle Huai Hai Road, Xuhui District
Shanghai, 200031, China
電話: +86 21 2310 8288
Eメール: shanghai@glo.com.cn
