中国は近年、サイバースペースとデータにおける主権と支配意识を、より一层强调してきました。サイバーセキュリティとデータに関する制度は急速な発展を遂げ、多くの関连规则?基準?政策の立案を加速しています。プライバシーとセキュリティにおける基本原则の法的な基となるものは、「中华人民共和国宪法」「中华人民共和国民法典」「中华人民共和国国家安全法」であり、次の3つの基本的法律が制定されました。
- 「中华人民共和国サイバーセキュリティ法」(颁厂尝:以下サイバーセキュリティ法)
- 「中华人民共和国データ安全法」(顿厂尝:以下データ安全法)
- 「中华人民共和国个人情报保护法」(笔滨笔尝:以下个人情报保护法」)
3つの基本的法律の相互作用
パートナー
上海の Global Law Office
電話: +86 21 2310 9518
贰メール: vincentwang@glo.com.cn
上记の3つの法律を柱とするシステムの中で、「サイバーセキュリティ法」はその法的根拠であり、サイバースペースセキュリティにおける全体的な法的枠组みを确立しました。「データ安全法」はデータのセキュリティを保护することに注目し、「个人情报保护法」は个人情报の処理プロセスを规制することに注目するものです。
「データ安全法」と「个人情报保护法」は、「サイバーセキュリティ法」によって保护されたインフラで処理されるデータと个人情报のセキュリティを确保するために、治外法権を行使する条项を明确に规定しています。中国国外でのデータ処理が中国の国家安全保障、公共の利益、または中国の国民や组织の正当な権利?利益を损なう场合、「データ安全法」に、法律に従って法的责任を追及することが规定されています。それと同様に、中国国内の自然人に製品またはサービスを提供する目的で、中国国内にいる个人の情报を処理し、または个人の行动を分析および评価する行為が海外で行われたとしても、依然として「个人情报保护法」に规制されます。
业界规制
中国公司は、业界固有の规制と各地方のデータ保护法规に従わねばなりません。中国の各业界の监督机関と地方政府は、関连する规制规则を改善し、さまざまな业界や地域のネットワークセキュリティの问题を解决しようとしています。その监督の焦点は、ヘルスケア、金融、自动车、インターネット情报サービス(例えばアルゴリズム技术を使うことによるレコメンデーションサービス)に置かれています。
サイバーセキュリティ审査
中国の国家サイバースペース管理局(CAC)は、配車大手のDiDi(ディディ)に対するサイバーセキュリティ审査の結果を最近発表し、80億元(約1600億円)の罰金を言い渡しました。DiDiのサイバーセキュリティ审査は、2022年2月15日に最新の改訂が行われた「サイバーセキュリティ审査弁法」が施行する前に開始されています。
今回の改正により、サイバーセキュリティ审査措置の適用範囲が拡大し、特に、100万人以上のユーザーの個人情報を処理し、海外での上場を目指すネットワーク?プラットフォーム事業者に対して適用されるようになりました。
さらに、ネットワーク製品やサービスを購入する重要情報インフラ運営者、または国家安全保障に影響を与える、あるいは影響を与える可能性のあるデータ処理活動を行うネットワーク?プラットフォーム運営者にも、サイバーセキュリティ审査が適用されます。
サイバーセキュリティ审査を請求する義務のある上記の3つの状況の中で、ネットワーク?プラットフォーム事業者は、データ処理の行為がサイバーセキュリティ审査を受ける可能性があるかどうかについて、自ら判断する必要がありますが、それが恐らく現時点で最も難しいことでしょう。それは今の法律は曖昧で、現時点においてネットワーク?プラットフォーム事業者が、その事業が審査を申請する義務の範囲内にあるかどうかを自己判断するための、正式な詳細規則がないためです。これは、プラットフォームが大量のデータまたは複数の種類のデータを同時に処理する場合、プラットフォーム事業者が、サイバーセキュリティ审査を受ける可能性が常に存在することを意味しているようです。
その審査を避けるためには、最も安全な方法は次のとおりです。(1)大規模なプラットフォームを運営しないこと、または(2)運営者が自ら積極的に審査を申請し、関連当局から明らかにこれ以外の申請は必要ない通知が届くことを確保すること。そうでなければ、中国最大の学術研究データベースであるCNKIが直面にしているのと同様のリスクにさらされる可能性が生じます。CNKIは現在、国家データのセキュリティリスクの可能性があることから、サイバーセキュリティ审査を受けているところです。
サイバーセキュリティ等级保护
アソシエイト
上海の Global Law Office
電話: +86 21 2310 9516
贰メール: xinyaozhao@glo.com.cn
情報システムおよびネットワークに適応するサイバーセキュリティ等级保护要件は、「サイバーセキュリティ法」の下で更新されています。更新された要件は「等級保護2.0」として知られており、等級保護2.0は実際サイバーセキュリティ等级保护の適用範囲を、インターネットを利用して中国でビジネスを行っている企業ほぼ全般に拡大し、クラウドコンピューティングやモノのインターネット(IoT)などの新技術に、特別な安全基準が設定されています。
现在の等级保护システムでは、ネットワーク事业者は、运営しているネットワーク/情报システムの重要性と、発生する可能性のあるリスクを评価する必要があります。ネットワーク?情报システムの性质と重要性および破壊后国家安全保障、社会秩序、公共の利益、国民、法人およびその他の组织の正当な権利と利益にもたらされる被害の程度に応じ、各ネットワーク?情报システムは、それぞれ「安全レベル」に分类されます。「安全レベル」は1から5までであり、レベルが高いほど、ネットワーク事业者が履行すべきセキュリティ保护义务が厳しくなります。この格付けの后、ネットワーク事业者は実施されたセキュリティ対策の対応するレベルで规定された最低限のセキュリティ要件を満たすために、所属机関に、运営するネットワーク/情报システムを报告、评価、修正する必要が生じます。
データにおける主権
データの主権を保护するために、「サイバーセキュリティ法」は、重要情报インフラ事业者に、データのローカリゼーションの原则を课しています。そして「データセキュリティ法」と「个人情报保护法」では、外国の司法机関または法律を执行する机関に、中国に保存されているデータ?个人情报提供する际、前もって関连する部门に承认を得る必要があります。
中国の国家サイバースペース管理局が発表した「データ越境移転安全评価措置」(以下「措置」)は、2022年9月1日に正式に施行されました。それにより、データ処理业者には6カ月の移行期间が与えられ、「措置」に规定されている最新の要件を遵守するよう、「措置」の施行前にすでに行われていたデータの移転を见直さねばなりません。「措置」が公布される前、中国のサイバースペース管理局は既に、贰鲍の标準契约条项(厂颁颁)に类似する「个人情报越境标準契约に関する规则(意见募集稿)」を発表しています。一方、中国全国情报セキュリティ标準化技术委员会(罢颁260)は「サイバーセキュリティ基準 越境个人情报処理活动を认定するための技术基準」を公表しています。
これらによれば、国家サイバースペース管理局が主导する强制的なセキュリティ评価は、「措置」に规定された法廷状况下で発动します。
それに比べ、セキュリティ认証は主に、同じ多国籍公司グループの子会社、または関连会社间で频繁に行われる、个人情报の越境移転に関する问题を解决することを目的としていますが、ほとんどのデータ処理业者は标準契约条项をデータの越境移転の际の主な手段にしたいと考えています。これは、标準契约条项は、中国国家サイバースペース管理局からの事前承认の取得に依存しないからです。ただし、「措置」で规定されているセキュリティ评価のしきい値が高くないことを考えると、セキュリティ评価は、実际にデータを越境提供する际の普遍的なメカニズムになるでしょう。
データの性质分类と保护等级分类
ジュニア アソシエイト
上海の Global Law Office
電話: +86 21 2310 9519
贰メール: estellawang@glo.com.cn
「データ安全法」は、経済社会におけるデータの重要性、および改窜、破壊、漏洩、あるいは违法に取得?利用された场合、国家安全保障、公共の利益、または个人および组织の正当利益にもたらされた损害に応じて、国からのデータ分类管理と保护等级分类の一般要件を规定しました。国家コアデータは、3段阶のデータ分类システムのうちの最高レベルに属し、最も厳格に保护される対象で、国家コアデータの目録は、中央政府によって决定されることが想定されています。
一方、重要データは3段阶の中间に属し、各地域?部门は、それぞれの地域、部门、および関连业界?分野において重要データの具体的な目録を决定し、目録に记载されているデータの保护に重点を置くこととなります。また、各データ処理者は目録に従って、重要データがあるかどうか、および重要データの具体的な范囲を判断します。ただし现时点では、参考可能な重要データの识别に関する规则は次の规则にとどまります。重要データの识别に関する国家标準草案「重要データの识别に関するガイドライン」、自动车业界の「自动车データ安全管理に関する诸规定(试行)」、产业?情报技术分野の「产业?情报技术分野におけるデータ安全管理措置(试行)」。これらにより、重要データの认定基準が一応定められました。このことから、全国のコアデータと重要データの识别目録が确定するまでには、まだ长い道のりがあることが伺えます。
个人情报保护
「个人情报保护法」は、個人情報の処理サイクル全体をカバーし、個人情報の処理に関する全面的な保護要件を規定しています。これは、個人情報の処理者が個人情報の安全を確保するために、適切な態勢と技術的措置を取ることを要求するものであり、その上、機微な個人情報の処理に対して、より厳格な保護義務が課されています。処理者は個人情報を処理する前に、個人の同意を得る、または同意以外の他の法的根拠が適用されることを確認するなど、個人情報の処理に関する法的根拠を得ていることを確認する必要があります。個人情報を処理する際、処理者は常に合法性、正当性、必要性、完全性の基本原則に従い、法律の関連規定を遵守し合法性を証明する、あるいは潜在的な紛争に対処するために、関連する処理活動の記録を保管する必要が生じています。
また、「个人情报保护法」では、データ主体およびその個人情報に、知る権利、決定する権利、データ処理先を変更する権利、苦情を申し立てる権利などという、実体的権利や手続的権利を含む包括的な権利も認められています。
施行と罚则
中国の基本的な法律は、サイバーセキュリティおよび個人のプライバシー権の侵害に対し、刑事、行政、及び民事責任を厳しく規定しています。例えば「个人情报保护法」によると、個人情報に対する不正処理に対し、个人情报保护に関する部門には、違法所得の没収および100万元(約2000万円)以上、5000万元(約1億円)以下、あるいは前年の売上高の5%以下の罰金が科されることが含まれています。同時に、直接責任を負う主要責任者およびその他の直接責任者に対し、10万元(約200万円)以上、100万元以下の罰金が科されます。DiDiのケースの記録的な金額の罰金は、最も代表的な例です。2022年9月14日、国家サイバースペース管理局は、「サイバーセキュリティ法の改正に関する決定(意見募集案)」を公表し、「個人保護法」の罰則に適応するために、サイバーセキュリティ法に違反した場合の罰則の強化を提案しました。前述の規制および法律の執行に加え、各レベルの裁判所と検察庁も、个人情报保护に関連する民事および刑事事件の判決に力を入れています。
动向と展望
中国政府は、デジタル経済とデータ资产が、グローバルな竞争环境において次の争夺目标になると固く信じています。そのため、国家のサイバー空间主権の确立、维持、防卫を优先しています。
今后3年から5年间は、関连する法律制度の発展に次のような倾向が予想されます。
- 「サイバーセキュリティ法」は、等級保護2.0(MLPS 2.0)の完全実施を中心に、法律規制と法律執行の基盤を強固にし、国家のサイバースペースにおける主権を守る。
- 「データ安全法」で定められた个人情报分类?等级保护制度は徐々に改善され、最终的に各产业、分野、地域を完全にカバーして施行する。
- 「个人情报保护法」は、引き続きより多くの司法および法律執行を通じて、個人情報のローカライゼーションを実現し、最終的には法律の範囲内にある外国企業に対する強制執行を可能とする。
中国のサイバースペースセキュリティに関连する上记の法律の発展动向は、今后、行政処罚、司法审査と国外での法律执行に、より一层注力します。したがって、中国にある多国籍公司および中国と取引を行っているオフショア事业体は、関连する法律、行政法律执行の动向を注视し、现地の资格のある弁护士との相谈と协力を通じて、迅速かつ明确に関连する法的要件を理解し、法律の进展の概要と影响を把握する必要があり、合法性を确保する、あるいは潜在的な法的リスクを回避できるよう、関连するビジネスを适切に调整しなければならなりません。
GLOBAL LAW OFFICE
35 & 36/F Shanghai One ICC, No.999
Middle Huai Hai Road, Xuhui District
Shanghai, 200031, China
電話: +86 21 2310 8288
贰メール: shanghai@glo.com.cn
