中国法ブログ

中国法務の基礎的な事項から最新の情報まで解説するブログ

データセキュリティ法(第二次審議稿)について

前回は個人情報保護法の第二次審議稿について紹介しましたが、同法の第二次審議稿と合わせて、こちらも以前紹介したデータセキュリティ法についても第二次審議稿(数据安全法(草案二次审议稿))が公表されました。

chinalaw.hatenablog.com

そこで、今回も前回の個人情報保護法第二次審議稿と同様、草案と第二次審議稿における条文を新旧対象する形式で、データセキュリティ法第二次審議稿について概観してみたいと思います。

1 総則

草案 第二次審議稿
第1条
データの安全を保障し、データの開発利用を促進し、公民、組織の合法的な権益を保護し、国の主権、安全と発展の利益を守るために、本法を制定する。
第1条
データ処理活動を規範し、データの安全を保障し、データの開発利用を促進し、公民、組織の合法的な権益を保護し、国の主権、安全と発展の利益を守るために、本法を制定する。
第2条
中国国内において展開するデータ活動につき、本法を適用する。
中国国外の組織、個人がデータ活動を展開し、中国の国の安全、公共の利益または公民、組織の合法的な権益に損害を与えた場合、法律に基づいて責任を追及する。
第2条
中国国内において展開するデータ処理活動及びその安全監督管理につき、本法を適用する。
中国国外でデータ処理活動を展開し、中国の国の安全、公共の利益または公民、組織の合法的な権益に損害を与えた場合、法律に基づいて責任を追及する。

第3条
本法でいうデータとは、電子的形式または非電子的形式のいずれかで情報が記録されたものをいう。

データ活動とは、データの収集、保存、加工、使用、提供、取引、公開などの行為をいう。

データセキュリティとは、必要な措置を講じることで、データが効果的に保護され、合法的に利用され、継続的に安全な状態が維持される能力をいう。

第3条
本法でいうデータとは、電子的形式または非電子的形式のいずれかで情報が記録されたものをいう。

データ処理とは、データの収集、保存、加工、使用、提供、伝達、公開などの行為をいう。

データセキュリティとは、必要な措置を講じることで、データが効果的に保護され、合法的に利用される状態を確保し、そして安全な状態の維持を保障する能力をいう。

第7条
各地区、各部門は本地区、本部門の業務中に発生し、とりまとめ、加工したデータ及びデータセキュリティに対して主体的責任を負う。
工業、電信、自然資源、衛生健康、教育、国防科学技術工業、金融業などの業界主管部門はそれぞれの業界、領域のデータセキュリティの監督管理の職責を担う。
公安機関、国家安全機関などは本法及び関連法律、行政法規の規定により、各自の職責の範囲内においてデータセキュリティの監督管理につき職責を担う。
国のインターネット情報部門は本法と関連法律、行政法規の規定に基づいて、ネットワークデータセキュリティと関連監督・管理業務の統一的な協調を担う。
第7条
各地区、各部門は本地区、本部門の業務中に発生し、とりまとめ、加工したデータ及びデータセキュリティに対して主体的責任を負う。
工業、電信、交通、金融、自然資源、衛生健康、教育、科学技術などの業界主管部門はそれぞれの業界、領域のデータセキュリティの監督管理の職責を担う。
公安機関、国家安全機関などは本法及び関連法律、行政法規の規定により、各自の職責の範囲内においてデータセキュリティの監督管理につき職責を担う。
国のインターネット情報部門は本法と関連法律、行政法規の規定に基づいて、ネットワークデータセキュリティと関連監督・管理業務の統一的な協調を担う。
  第10条(新設)
関連する業界は、定款に基づき、データセキュリティ行為規範を制定し、業界の自律を強化し、データセキュリティ保護の強化につき会員を指導し、データセキュリティ保護レベルを向上し、業界の健全な発展を促進する。

第二次審議稿においては、草案では「データ活動」とされていた用語を「データ処理(活動)」という用語に置き換えました。そして、草案ではデータセキュリティ法の適用対象をデータ活動のみとしていたのに対して、第二次審議稿はデータ処理活動のほかその安全監督管理も含めました。また、データセキュリティの定義についても若干修正が加えられています。

また、各主管部門によるデータセキュリティの監督管理に係る職責が規定されているところ第二次審議稿では「交通」部門が追加されていますが、これは近時の自動化運転やスマートカー、コネクティッドカー等の出現を反映したものと理解されます。

そのほか、業界における行為規範の制定やデータセキュリティ保護レベルの向上といった事項が業界の責務として新たに規定され、業界ごとの取り組みをすることが求められているといえます

2 データセキュリティと発展

草案 第二次審議稿
第13条
国はビッグデータ戦略を実施し、データインフラの建設を推進し、各業界、各分野におけるデータの革新的な応用を奨励、支援し、デジタル経済の発展を促進する。省レベル以上の人民政府はデジタル経済発展計画を制定し、当該レベル国民経済と社会発展計画に組み
入れなければならない。
第14条
国はビッグデータ戦略を実施し、データインフラの建設を推進し、各業界、各分野におけるデータの革新的な応用を奨励、支援し、デジタル経済の発展を促進する。
県レベル以上の人民政府はデジタル経済発展計画を当該レベル国民経済と社会発展計画に組み入れ、且つ必要に応じてデジタル経済発展計画を制定する。
第14条
国はデータ開発利用技術の基礎研究を強化し、データの開発利用と安全などの分野における技術の普及とビジネスイノベーションをサポートし、データの開発利用とデータセキュリティ製品及び産業体系を育成、発展させる。
第15条
国はデータ開発利用技術とデータセキュリティの技術研究をサポートし、データの開発利用と安全などの分野における技術の普及とビジネスイノベーション奨励し、データの開発利用とデータセキュリティ製品及び産業体系を育成、発展させる。
第15条
国はデータ開発利用技術とデータ安全標準体系の構築を推進する。国務院標準化行政主管部門と国務院関連部門は各自の職責に基づき、データ開発利用技術、製品及びデータの安全に関連する標準を制定し、適時改訂する。国は企業、研究機関、大学・大学院、関連業界組織などが基準の制定に参与するようサポートする。
第16条
国はデータ開発利用技術とデータ安全標準体系の構築を推進する。国務院標準化行政主管部門と国務院関連部門は各自の職責に基づき、データ開発利用技術、製品及びデータの安全に関連する標準を制定し、適時改訂する。国は企業、社会団体、教育・科学研究機関などが基準の制定に参与するようサポートする。
第18条
国は大学・大学院、職業学校と企業などがデータの開発利用技術と安全に係る教育と研修を展開することをサポートし、様々な方式を採用してデータ開発利用技術と安全に係る専門人材を養成し、人材の交流を促進する。
第19条
国は大学・大学院、職業学校、科学研究機関と企業などがデータの開発利用技術と安全に係る教育と研修を展開することをサポートし、様々な方式を採用してデータ開発利用技術と安全に係る専門人材を養成し、人材の交流を促進する。

3 データセキュリティ制度

草案 第二次審議稿
第19条
国はデータが経済社会発展中の重要度によって、またはいったん改ざん、破壊、漏洩もしくは不法取得、不法利用された場合、国の安全、公共の利益もしくは公民、組織の合法的な権益への危害の程度によって、データに対してランク付け、分類し保護する。
各地区、各部門は、国の関連規定に基づいて、本地区、本部門、本業界の重要データ保護リストを確定し、リストに登録されたデータを重点的に保護する。
第20条
国はデータの分類、ランク別の保護制度を構築し、データが経済社会発展中の重要度によって、またはいったん改ざん、破壊、漏洩もしくは不法取得、不法利用された場合、国の安全、公共の利益もしくは公民、組織の合法的な権益への危害の程度によって、データに対してランク付け、分類し保護するものとし、且つ、重要データリストを確定して重要データの保護を強化する。
各地区、各部門は、国の関連規定に基づいて、本地区、本部門及び関連業界、領域の重要データ保護リストを確定し、リストに登録されたデータを重点的に保護する。
第23条
国は、国際的義務の履行や国の安全の維持に関連する規制対象品目に該当するデータについて、法律に基づいて輸出規制を実施する。
第24条
国は、国の安全と利益の維持、国際的義務の履行の維持に関連する規制対象品目に該当するデータについて、法律に基づいて輸出規制を実施する。
第24条
いかなる国あるいは地域も、データ及びデータの開発利用技術などに係る投資、貿易面において中国に対して差別的な禁止、制限又はその他の類似する措置を講じた場合、中国は、実情に応じて、当該国あるいは地域に対して相応した措置を講ずることができる。
第25条
いかなる国あるいは地域も、データ及びデータの開発利用技術などに係る投資、貿易面において中国に対して差別的な禁止、制限又はその他の類似する措置を講じた場合、中国は、実情に応じて、当該国あるいは地域に対して同等の措置を講ずることができる。

草案では各地区、各部門の職責とされていた重要データの保護強化について、地区ごとでの保護レベルに差異が生じることを避けるため、国レベルでもその職責として構成されています。なお、「重要データ」は2016年に施行されたサイバーセキュリティ法でも既に現れている用語であるものの、法令上はまだ明確な定義が置かれていませんが、情報のランク別、そして類型別にリスト化して重点保護をするということは明確にされています。

また、外国によるデータ開発技術等における差別的措置がなされた場合について、草案では、「相応した措置」を講じることができるとされていたのが「同等の措置」を講じることができるとして報復措置はあくまで同等の措置であるということが明確にされています。

4 データセキュリティ保護義務

草案

第二次審議稿

第25条
データ活動を展開する際は、法律、行政法規の規定と国家基準の強制的要求に従い、健全な全プロセスのデータセキュリティ管理制度を構築し、データセキュリティ教育研修を実施し、関連技術措置及びその他の必要な措置を取り、データの安全を保障しなければならない。
重要データの処理者は、データセキュリティの責任者と管理機関を設け、データの安全保護の責任を実行するものとする。

第26条
データ活動を展開する際は、法律、法規の規定に従い、サイバーセキュリティ等級保護制度の基において、健全な全プロセスのデータセキュリティ管理制度を構築し、データセキュリティ教育研修を実施し、関連技術措置及びその他の必要な措置を取り、データの安全を保障しなければならない。
重要データの処理者は、データセキュリティの責任者と管理機関を明確にし、データの安全保護の責任を実行するものとする。

第27条
データ活動を展開する際は、リスクモニタリングを強化し、データセキュリティの欠陥やセキュリティホールなどのリスクが発見された場合は、直ちに是正措置を講じるものとする。データセキュリティに係る事件が発生した場合は、規定に基づいて、速やかに使用者に通知し、同時に関連主管部門に送付・報告するものとする。

第28条
データ活動を展開する際は、リスクモニタリングを強化し、データセキュリティの欠陥やセキュリティホールなどのリスクが発見された場合は、直ちに是正措置を講じるものとする。データセキュリティに係る事件が発生した場合は、速やかに処置、措置を講じ、規定に基づいて、速やかに使用者に通知し、同時に関連主管部門に送付・報告するものとする。

第28条
重要データの処理者は、規定に基づいて、データ活動について定期的にリスク評価を実施し、関連主管部門にリスク評価レポートを送付・報告しなければならない。
リスク評価レポートには、当該組織が把握している重要データの種類・数量、データの収集、保存、加工、使用状況、データセキュリティリスクとその対処方法などが含まれるものとする。

第29条
重要データの処理者は、規定に基づいて、データ活動について定期的にリスク評価を実施し、関連主管部門にリスク評価レポートを送付・報告しなければならない。リスク評価レポートには、処理する重要データの種類・数量、データ処理活動の展開状況、データセキュリティリスクとその対処方法などが含まれるものとする。

 

第30条(新設)
重要情報インフラの運営者が中国国内での運営において収集、発生した重要データのセキュリティ管理については、サイバーセキュリティ法の規定を適用する。その他のデータ処理者が中国での運営において収集、発生した重要データの越境セキュリティ安全管理弁法は、国家インターネット情報部門が国務院の関連部門と共に制定する。

第29条

いかなる組織や個人もデータを収集する際は、合法的かつ正当な手段を使わなければならず、窃盗など不法な方法でデータを取得してはならない。法律、行政法規が、データの収集、利用の目的、範囲について規定している場合は、法律、行政法規の規定範囲内で、データを収集し、利用しなければならず、必要な限度を超えてはならない。

第31条

いかなる組織や個人もデータを収集する際は、合法的かつ正当な手段を使わなければならず、窃盗など不法な方法でデータを取得してはならない。法律、行政法規が、データの収集、利用の目的、範囲について規定している場合は、法律、行政法規の規定範囲内で、データを収集し、利用しなければならない。

第31条

オンラインデータ処理等のサービスを提供する事業者は、法に基づいて経営許可の取得も しくは届出をしなければならない。具体的な方法は国務院の電信主管部門が関連部署と共同で制定する。

32条

法律、行政法規がデータ処理関連サービスの提供をするにあたり行政許可の所得を規定している場合、サービス提供者は許可を取得するものとする。

第33条
国外の法執行機関が、中国国内に保存されたデータの取り寄せを要求する場合は、関連組織や個人が関連主管機関に報告し、許可を得た後、提供しなければならない。中国が締結または参加している国際条約、協定で、国外の法執行機関によるデータ取寄せについて規定がある場合は、その規定に従わなければならない。

第35条
中国国外の司法又は執行機関が中国国内で保存されているデータの取り寄せを要求する場合、中国主管部門の認可を経ずに提供してはならない。中国の締結又は参加する国際的な条約・協定に規定がある場合、当該規定によることができる。

データ活動に従事するにあたってはサイバーセキュリティ等級保護制度を構築したうえでの、データセキュリティ管理制度を構築することが必要とされました。サイバーセキュリティ等級保護基本要求(网络安全等级保护基本要求)やサイバーセキュリティ等級保護観測評価要求(网络安全等级保护测评要求)などを参照することになろうかと思います。

また重要情報インフラの運営者による重要データのセキュリティ管理は、サイバーセキュリティ法の規定を適用することが改めて確認されたのに加え、重要データの越境セキュリティ安全管理に関する規定は国家インターネット情報部門が国務院の関連部門と共に制定するとして、今後更なる規定が制定されることをうかがわせる規定が新たに置かれました。

5 政務データセキュリティと開放

草案 第二次審議稿
第37条
国の機関が第三者に、政務関連データの保存、加工を依頼し、あるいは第三者にデータを提供する場合は、厳格な承認プロセスを経て、かつ受取側が適切なデータの安全に係る保護義務を果たすことを、監督するものとする。
第39条
国の機関が第三者に、電子政務システムの構築・メンテナンス、政務関連データの保存、加工を依頼し、あるいは第三者にデータを提供する場合は、厳格な承認プロセスを経て、かつ受託者、データの受取側が適切なデータの安全に係る保護義務を果たすことを、監督するものとする。
第40条
公共事務の管理機能を持つ組織が、公共事務の管理機能を履行するためにデータ活動を展開する場合は、本章の規定を適用する。
第42条
法律、法規の授権により公共事務の管理機能を持つ組織が、法定の職責を履行するためにデータ処理活動を展開する場合は、本章の規定を適用する。

6 法律責任

草案 第二次審議稿
第42条
データ活動を展開する組織、個人が本法第25条、第27条、第28条、第29条にて定められたデータセキュリティに係る保護義務を履行していない、あるいは必要な安全措置を講じていない場合には、関係主管部門が是正を命じ、警告を与え、且つ1万元以上 10万元以下の過料を併科でき、また直接責任を負う主管者に対し5,000元以上5万元以下の過料を科すことができる。是正を拒否し、又は大量のデータ漏洩などの重大な結果をもたらした場合には、10万元以上100万元以下の過料を科し、直接責任を負う主管者とその他の直接責任のある者に対して 1 万元以上 10万元以下の過料を科す。
第44条
データ活動を展開する組織、個人が本法第26条、第28条、第29条、第30条にて定められたデータセキュリティに係る保護義務を履行していない、あるいは必要な安全措置を講じていない場合には、関係主管部門が是正を命じ、警告を与え、且つ5万元以上50万元以下の過料を併科でき、また直接責任を負う主管者及びその他の直接責任者に対し1万元以上10万元以下の過料を科すことができる。是正を拒否し、又は大量のデータ漏洩などの重大な結果をもたらした場合には、50万元以上500万元以下の過料を科し、関連業務の一時停止、企業の整頓、関連業務許可証又は営業許可証の取消しを合わせて命ずることができ、直接責任を負う主管者とその他の直接責任者に対して5万元以上50万元以下の過料を科す。
第43条
データ取引仲介機構が本法第30条に定める義務を履行しなかったことにより、不法な方式で取得したデータによる取引につながった場合には、関連主管部門が是正を命じ、違法所得を没収し、違法所得の1倍以上10倍以下の過料を科す。違法所得がない場合には、10万元以上 100万元以下の過料を科し、且つ関係主管部門が関連業務許可証、又は営業許可証の取消しを命ずることができる。直接責任を負う主管者とその他の直接責任のある者に対して 1万元以上 10万元以下の過料を科す。
第45条
データ取引仲介サービスに従事する機関本法第32条に定める義務を履行しなかったことにより、不法な方式で取得したデータによる取引につながった場合には、関連主管部門が是正を命じ、違法所得を没収し、違法所得の1倍以上10倍以下の過料を科す。違法所得がない場合又は違法所得が10万元に満たない場合には、10万元以上 100万元以下の過料を科し、且つ関連業務の一時停止、企業の整頓、関連業務許可証又は営業許可証の取消しを命ずることができる。直接の責任を負う主管者とその他の直接責任者に対して 1万元以上 10万元以下の過料を科す。
第44条
許可又は届出を取得せず、無断で本法第31条にて定める業務に従事した場合には、関連主管部門は是正を命じ又は取締り、違法所得を没収し、違法所得1倍以上10倍以下の罰金を科す。違法所得がない場合には、10万元以上 100万元以下の罰金を科す。直接の責任を負う主管者とその他の直接責任のある者に対して 1万元以上 10万元以下の罰金を科す。
第46条
本法第34条の規定に反してデータの取り寄せを拒絶し、協力しなかった場合、関連主管部門は是正を命じ、警告を与え、5万元以上50万元以下の過料を併科することができ、直接責任を追う主管者とその他の直接責任者に対して1万元以上10万元以下の過料を科す。本法第35条の規定に反して主管機関の認可を経ずに国外の司法又は法執行機関にデータを提供した場合、関連主管部門は是正を命じ、警告を与え、10万元以上100万元以下の過料を併科することができる。直接責任を追う主管者とその他の直接責任者に対し2万元以上20万元以下の過料を科す。
第47条
データ活動によって国の安全、公共利益に危害を与える、又は公民、組織の合法的な権益に損害をもたらした場合、関連法律、行政法規に基づいて処罰する。
第49条
データ処理活動を展開したことによって国の安全、公共利益に危害を与え、競争を排除、制限し、又は個人、組織の合法的な権益に損害をもたらした場合、関連法律、行政法規に基づいて処罰する。

第二次審議稿では、データ処理活動に従事する者の責任等を含む法的責任が草案に比べてかなり加重されており、データ保護義務に違反した場合でも営業許可証の取消等があり得ることとなっています。その意味では、今後データ処理活動に従事する者のデータ処理、管理等についてはコンプライアンス上の整備、体系の構築をしておかないと重大な処罰リスクを負う可能性が高まるといえそうです。