データセキュリティ法(草案)について
2020年7月3日付けで、全人代常務委員会は、データセキュリティ法(草案)(数据安全法(草案)、以下「本草案」)が公布され、パブリックコメントの募集が開始されています。
ネットワーク、データのセキュリティに関しては、先に施行されたサイバーセキュリティ法(网络安全法)でも一部規定が置かれていますが、データセキュリティ法はその名のとおり、データセキュリティに関する責任主体、データセキュリティ保護義務等についてその大枠を制定することを予定したものとなっています。本法は、サイバーセキュリティ法及び、今後制定されることが予想される個人情報保護法と共に、今後の中国におけるデータ保護の基礎となる法律となることが期待されています。
今回は本草案の概要について解説、紹介します。
1 適用対象、域外適用、データ活動監督管理に関する大枠
1-1 適用範囲
本草案は、中国国内におけるデータ活動に対して適用があることを明確にしていることに加え、中国国外における組織、個人がデータ活動を行い、中国の国家安全、公共利益、個人、組織の権利を侵害した場合には、法に基づき責任を追及することを認めています(本草案第2条)。この意味において、部分的に法律の域外適用も定めているといえます。
「中国国外における組織、個人がデータ活動を行い、中国の国家安全、公共利益、個人、組織の権利を侵害した場合」という要件が比較的抽象的な要件となっていますので、域外適用のなされる範囲が不明確となる恐れがあると思われます。
1-2 適用対象行為
上記のとおり、本草案はデータ活動に対して適用されますが、データ活動については、「データの収集、保存、加工、使用、提供、取引、公開等の行為」と定義されています(本草案第3条第2項)。
この点、来年より施行される民法典において、個人情報の処理行為につき、「個人情報の収集、保存、使用、加工、移転、提供、公開をすること」と定義しており(民法典第1035条第2項)、概ね一致した内容となっております。いずれについてもデータのライフサイクル全般に対する処理活動をカバーした内容になっていると理解されます。
1-3 データセキュリティ
1-3-1 データセキュリティの意義
本草案は、「データセキュリティ」の具体的な要求を定めており、必要な措置をとり、データが有効な保護と適用な利用の保障を受け、且つ、セキュリティ状態を維持する能力、と定義しています(本草案第3条第3項)。
現状、「GB/T 22239-2019 情報安全技術 ネットワークセキュリティ等級保護基本要求」(GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求)において、「ネットワークセキュリティ」(网络安全)について、「必要な措置をとり、ネットワークへの攻撃、進入、干渉、破壊、不法使用及び事故を防止し、ネットワークを安定した、信頼可能な運営状態とし、ネットワークデータの完全性、秘密性、使用可能性を保障する能力」と定義していますが、上記本草案におけるデータセキュリティの定義は、これを敷衍した、法律レベルにおける定義といえそうです。
1-3-2 データセキュリティの管理監督に関する枠組み
本草案によれば、国家網信部がネットワークデータセキュリティ安全管理措置業務のとりまとめを行い、電信・金融・教育等各業界主管部門が当該業界のデータセキュリティ管理監督に対して責任を負い、公安機関・国家安全機関はそれぞれの職責の範囲内においてデータセキュリティ管理監督業務を行うこととされています。また、各地区、各部門は、当該地区・部門における業務上発生するデータ及びデータセキュリティに対して責任を負うことも明記されています(以上、本草案第7条)。
ただ、本草案の規定によると、業界や地域に応じて、データセキュリティ管理監督にバラつきが生じることも懸念されることから、全国の統一的な管理監督基準を設けるべきであるという意見も見られています。
2 データセキュリティとその利用
2-1 データセキュリティとデータ利用
本草案上、国家はデータセキュリティとデータ開発利用の促進を併存的な理念として謳っており、また、国家のビッグデータ戦略の実施、データ基礎施設の建設、データの各業界、領域におけるイノベーティブな利用の推進、デジタル経済の促進も、本法の目的として位置付けています(本草案第12条、第13条、第14条)。
データセキュリティと、データを利用した国家レベルでの産業発展を如何にして実現するかという点が大きな課題であり、データセキュリティ法の一つの目標といえるかと思われます。
2-2 基準化体系の建設
本草案では、国務院の基準化行政主管部門と関連部門が、データ開発利用技術、製品、及びデータセキュリティ関連の基準の制定、改訂を組織することが明記されています(本草案第15条)。
この点、国家基準化委員会が公布している「2020全国基準化業務要点」(2020全国标准化工作要点)においては、ブロックチェーン、IOT、新型クラウド、ビッグデータ、5G、新世代AI、新型スマートシティ、地理情報等の重点領域について基準体系を建設することが打ち出されており(同要点第55項)、データセキュリティ法の施行も合わせて、今後これらの先端技術に係る国家基準が制定されていくことが予想されます。
2-3 評価、認証等サービスの発展
本草案では、国家はデータセキュリティの評価、認証等サービスの発展の促進、専門機関による活動を奨励することが表明されています(本草案第16条)。
「ネットワーク重要設備とネットワーク安全専用製品安全認証実施細則」(网络关键设备和网络安全专用产品安全认证实施规则)、「モバイルネットワークアプリケーションセキュリティ認証実施細則」(移动互联网应用程序安全认证实施细则)といった現行の認証基準を前提として、データセキュリティの評価、認証を、ネットワークセキュリティとデータ保護評価体系の構成部分とすることが謳われているものと理解されます。
3 データセキュリティ保障制度の設計
本草案第三章においては、データセキュリティ保障制度の設計(データ分類、等級保護、重要データ保護リスト、データセキュリティリスクアラートシステム、データセキュリティインシデント処理システム、データ活動関連の国家安全審査に係る仕組み等)を中心とした規定が定められています。
3-1 データ分類・等級分類及び重要データ管理
データ分類・等級分類は、データセキュリティ管理業務の基礎となりますが、現行法上は法律上も部門規章等の行政法規上も、データの分類、等級分類に関する具体的な基準は定められていません。
本草案では、データが経済社会の発展において果たす重要度、一旦改ざん、破壊、漏洩、不法取得、不法利用された場合に、国家の安全、公共の利益等に与える危険の程度に応じて、データの分類、等級分類をすることを明確にしています(本草案第19条第1項)。そして、これを前提として、各地区、各部門が、当該地区、部門における重要データの保護リストを作成し、リスト掲載のデータについて重点的に保護すべきものとされています(本草案第19条第2項)。
近年では「工業データ分類・等級分類ガイドライン(試行)」(工业数据分类分级指南(试行))、「個人金融情報保護技術規範」(个人金融信息保护技术规范)といった各部門での指導性規範、業界基準が定められており、特定の分野においては、データ分類・等級分類に関する具体的な基準制定が試みられていますが、今後、法律、行政法規レベルでもデータ分類・等級分類に関するルールが制定されることが期待されます。
なお、サイバーセキュリティ法が施行されて以降、「重要データ」の範囲をどのように理解するかは法令上も明らかとされておらず、曖昧なままとなっています。
本草案上も「重要データ」の概念を使用しているものの、その範囲については特段定めておらず、重要データの範囲を明確にすることが待たれます。
3-2 データセキュリティリスクアラートシステム及びインシデント処理システム
サイバーセキュリティ法及び一部の関連法規、国家基準においては、サイバーセキュリティのモニタリング・アラートシステム、サイバーセキュリティのインシデント対応システム及びサイバーセキュリティ事故報告システム等について定めています。
これに対し本草案では、国家が集中的・統一的なデータセキュリティリスク評価、報告、情報共有、モニタリングアラートシステムを建設し、データセキュリティリスク情報の取得、分析、研究、アラート業務を強化すること、そして、インシデント処理システムを建設することが明記され(本草案第20条、第21条)、今後データセキュリティの方面における下位法令、国家基準が制定されていくものと思われます。
3-3 データ活動の国家安全審査システム
本草案上、国家は、国家の安全に影響する又は影響する恐れのあるデータ活動に対して、国家安全上の審査を行うことを定めています(本草案第22条)。
本草案では、上記の国家安全審査システムについてはこれ以上の内容は定められておらず、審査の対象となるデータ活動の範囲はかなり抽象的なままとなっています。 そのため、例えばデータの越境移転のような場面に限って適用するなど、その適用範囲が具体化されることが必要であると思われます。
3-4 データ活動の保護義務
本草案では、データ活動におけるセキュリティ保護義務について、以下のような具体的な内容を定めています。
- 健全な全過程におけるデータセキュリティ管理制度の建設、データセキュリティ教育の展開、相応の技術措置及びその他の必要措置を講じることによるデータセキュリティの保障(本草案第25条)
- リスク検測の強化、速やかな救済措置、データセキュリティ事件発生時のユーザーに対する速やかな告知及び主管部門への 報告(本草案第27条)
- 適法、正当な方法によるデータ収集、法令の定める目的、範囲内におけるデータ収集(本草案第29条)
これらの保護要求は、サイバーセキュリティ法におけるネットワーク運営者の負うサイバーセキュリティ及び個人情報保護安全義務の範囲を超えるものではなく、また、民法典における個人情報の処理に係る要求と一致したものといえます。
4 データモニタリングに関する制度
4-1 重要データ保護システム
上記のとおり、本草案上も「重要データ」の意義については、明確にされていませんが、その中で重要データに関して以下のような管理、保護システムについて規定をしています。
- 重要データの処理者は、データセキュリティ責任者及び管理機関を設立すること(本草案第25条第2項)
- 重要データの処理者は、そのデータ活動に対して定期的なリスク評価を行い、関連主管部門にリスク評価報告(当該組織の掌握している重要データの種類、数量、データの収集・保存・加工・使用の状況、直面しているデータセキュリティリスク及びその対応措置等を含む)を提出すること(本草案第28条)
- 国際義務の履行、国家安全に関連する管制事項に関するデータについては、輸出管理をすること(本草案第23条)
重要データのリスク評価及びその報告や輸出管理規制の具体的内容等も共に、今後これらを明確にする立法が待たれるところです。
4-2 データ取引及びオンラインデータ処理管理システム
本草案においては、国家は健全なデータ取引管理制度を建設し、データ取引行為を規範し、データ取引市場を養成することを定めています(本草案第17条)。
この点2020年3月に施行された「より健全な要素市場化配置システム、制度構築に関する意見」(构建更加完善的要素市场化配置体制机制的意见)においては、「データ」を新たな生産要素、デジタル経済発展における重要な要素として位置付けています(同意見(20)~(22))。
また、民法典においても、データ、ネットワークバーチャル財産を財物として保護することを明確にされています(民法典第127条)。
本草案は、このような近時におけるデータの価値、市場性を踏まえ、今後のデータ取引市場の構築、管理制度について国家がこれを建設していくことを表明したものといえます。
4-3 データの越境移転に対する管理監督
データの越境移転は、中国国内の企業の海外戦略に直接的な影響を与えるものであり、サイバーセキュリティ法が施行されて以降、データの越境移転に関する法制度化は実務上も非常に注目されているところです。本草案においては、データの越境移転については、以下のような関連規定を置いています。
- 国家は積極的にデータ領域の国際交流と提携を展開し、データセキュリティに関連する国際規則と基準の制定に参与し、データの越境セキュリティ、自由な流動を促す(本草案第10条)
- 如何なる国家又は地区の、データ及びデータ開発利用技術等に関する投資、貿易における中国への禁止的な禁止、制限又は類似的措置について、中国は実際の状況に基づいて、当該国家又は地区に対して相応の措置を講じることができる(本草案第23条)
- 国外の法執行機関が、中国国内に保存されたデータの取得を要求する場合、関連する組織、個人は、関連する主管部門に報告し、認可を得た上でなければ提供してはならない。中国が締結又は参加している国際条約、協定が国外の法執行機関によるデータ取得について関連する規定を定めている場合には、それに従う(本草案第33条)
上記のほか、前述のとおり、本草案上国際義務の履行、国家安全に関連する管制事項に関するデータについては、輸出管理をすることとされています(本草案第23条)。中国においては、「輸出管理法」(出口管制法)の制定が進められているところ、当該本草案の規定は、データ活動についても輸出管理関連法令が適用されることを明らかにしたものといえます。
また、国外の法執行機関によるデータ開示要求への開示対応に関する規定(本草案第33条)は、2018年にアメリカで施行された"Cloud Act"(Clarifying Lawful Overseas Use of. Data Act)に対して、中国の国家安全及びデータに対する主権を維持するための対抗的な規定であると理解されます。
もっとも、いずれにせよ、本草案のレベルにおいては、いずれの規定もあくまで大綱を定めたのみで、制度の詳細等は、今後の行政法規、部門規章等の下位法令の制定に委ねられているといえ、今後もデータセキュリティ法関連の立法には注目する必要があるといえます。
