フラッシュ495
2021年10月6日
 

規制強化が進展する中国のデータ法制

 
真家 陽一
(一財)国際貿易投資研究所 特任研究員
名古屋外国語大学 教授

 

中国において「21世紀の石油」とも称され、デジタル経済の発展において必要不可欠なデータの取り扱いに関わる法整備が急ピッチで進展している。中国では、インターネット分野のセキュリティに関する基本法となる「サイバーセキュリティ法」がすでに2017年6月から施行されているが、同法の確立を図るべく、2021年9月1日から「データセキュリティ法」が施行された。また、8月20日に全国人民代表大会(全人代、国会に相当)常務委員会で「個人情報保護法」が可決・成立し、11月1日から施行される予定である。中国政府はこれらの法律を3本柱として、データ主権の確立を図っていく方針を打ち出している。

こうした中国政府の動向に対して、日本企業からはデータの活用が制限される事態を懸念する声も出ており、新たなリーガルリスクとして、関心が高まっているところである。本稿はかかる状況を踏まえ、まず、基本法となるサイバーセキュリティ法の概要と日本企業が特に留意しなければいけない事項を整理する。次に、新たに施行されるデータセキュリティ法および個人情報保護法のポイントを検証するとともに、主な罰則規定を確認する。その上で、中国のデータ法規制の強化に対する日本企業の対応策について検討する。

1.サイバーセキュリティ法

2017年6月に施行されたサイバーセキュリティ法の制定目的は「サイバーセキュリティを保障し、サイバー空間の主権および国家の安全保障、社会公共の利益を維持し、公民、法人およびその他組織の合法的権益を保護し、経済・社会の情報化の健全な発展を促進するため」と定められている(第1条)。

サイバーセキュリティ法の適用主体は、「重要情報インフラ運営者」および「ネットワーク運営者」とされており、重要情報インフラ運営者については、「個人情報」や「重要データ」の国内保存と国外に提供する際の安全評価が必要とされている(第37条)。しかし、サイバーセキュリティ法ではその対象が不透明で、その詳細な定義の明確化が望まれていたが、9月1日から施行された「重要情報インフラ安全保護条例」によれば、「公共通信、情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業等の重要な業界および分野、並びにひとたび破壊、機能喪失もしくはデータ漏洩を受ければ、国家の安全、国家の経済と人民の生活、公共の利益に深刻な危害を及ぼす可能性のあるその他の重要なネットワーク施設、情報システム等を指す」とされている(第2条)。

他方、ネットワーク運営者とは、ネットワークの所有者、管理者およびサービス提供者を指し、ほとんどの企業や組織が該当する可能性が高いとされる。

サイバーセキュリティ法において、日本企業が特に留意しなければいけない事項は以下の3点である。

①国内保存義務(データローカライゼーション)
重要情報インフラ運営者は、中国国内での運営において収集および発生した個人情報および重要データを、中国国内で保存しなければならない(第37条)。

②越境制限
業務の必要により、国外に提供する必要がある場合は、国家インターネット情報部門が国務院の関係部門と共に制定した規則に従って安全評価を行わなければならない(第37条)。

③ガバメントアクセス
公安機関、国家のセキュリティ機関が行う安全保障・犯罪捜査活動のために技術的な支援・協力を行わなければならない(第28条)。

 

図1. サイバーセキュリティ法におけるデータ流通の制限規定

資料:サイバーセキュリティ法および各種資料を基に筆者作成

 

2.データセキュリティ法

サイバーセキュリティ法の確立を図るため立法措置が講じられたのが「データセキュリティ法」および「個人情報保護法」である。

データセキュリティ法は2021年6月10日、全人代常務委員会で可決・成立し、9月1日から施行された。同法の制定目的は「データ処理活動を規範化し、データの安全を保障し、データの開発利用を促進し、個人、組織の合法的な権益を保護し、国家の主権、安全と発展の利益を守るため」とされている(第1条)。また、同法は「データの国境を越える安全、自由な流通を促進する」としているが(第11条)、「国家の安全と利益の維持、国際義務の履行に関連する管理品目に属するデータに対して、法に基づいて輸出管理を実施する」と定めている(第25条)。

さらに、同法は「中国に対し差別的な禁止、制限またはその他の類似の措置を講じた場合、当該国・地域に対して対等の措置を講じることができる」ことも規定している(第26条)。加えて、同法は「中国の主管機関の許可を得なければ、国内の組織、個人は外国の司法または法執行機関に国内に保存されたデータを提供してはならない」とも規定している(第36条)。

なお、この規定は、2018年に制定された米クラウド法を意識した対抗措置だと指摘されている。米クラウド法は、米国に拠点を置く企業に対し、米国政府からデータの開示要求を受けた場合、たとえデータが海外にある場合でも要求に応じることを義務付けている。他方、中国のデータセキュリティ法においては、国外の法執行機関から中国国内に保存されているデータへのアクセスを求められた場合、中国政府の許可を得ることが求められている。仮に中国政府から承認が得られない場合、当該企業は米国政府にデータを提供できず、両政府の間で「板挟み」の状態になってしまうことが懸念されている。

なお、データセキュリティ法における主な罰則規定は表1の通りであるが、草案と比較して罰金額が大幅に引き上げられているほか、新たな罰則事項も追加されるなど、総体的に見て罰則強化の方針の下に法律が制定されたことがうかがわれる。

 

図2. 中国のデータセキュリティ法と米国のクラウド法の関係

資料:データセキュリティ法、クラウド法および各種資料を基に筆者作成

 

表1.データセキュリティ法における主な罰則規定

罰則事項

罰則規定

データ処理活動を実施する組織、個人が本法に規定されたデータ安全保護義務を履行していない場合(第45条)

関連主管部門が是正を命じ、警告を与え、5万元以上50万元以下の罰金を科すことができる。
直接責任者等に対して、1万元以上10万元以下の罰金を科す。
是正を拒否、あるいは大量のデータ漏洩などの重大な結果をもたらした場合、50万元以上200万元以下の罰金を科し、かつ関連業務の一時停止、操業停止・改善、関連業務許可証の取消または営業許可証の取消を命じ、直接責任者等に対して5万元以上20万元以下の罰金を科す。

国外に重要なデータを提供した場合(第46条)

関連主管部門は是正を命じ、警告を与え、10万元以上100万元以下の罰金を科すことができる。
直接責任者等に対して1万元以上10万元以下の罰金を科す。
情状が深刻な場合、100万元以上1,000万元以下の罰金を科し、関連業務の一時停止、操業停止・改善、関連業務許可証の取消または営業許可証の取消を命じ、直接責任者等に対して10万元以上100万元以下の罰金を科す。

主管機関の許可を得ずに外国の司法または法執行機関にデータを提供した場合(第48条)

関連主管部門が警告を与え、10万元以上100万元以下の罰金を科すことができる。
直接責任者等に対して1万元以上10万元以下の罰金を科す。
重大な結果をもたらした場合、100万元以上500万元以下の罰金を科し、かつ関連業務の一時停止、操業停止・改善、関連業務許可証の取消または営業許可証の取消を命じ、直接責任者等に対して5万元以上50万元以下の罰金を科す。

資料:データセキュリティ法を基に筆者作成

 

3.個人情報保護法

個人情報保護法は2021年8月20日、全人代常務委員会で可決・成立し、11月1日から施行される。同法の制定目的は「個人情報の権益保護、個人情報の処理活動の規範化、個人情報の合理的な利用促進」とされている(第1条)。また、同法は「①国内の自然人に商品またはサービスを提供することを目的とする場合、②国内の自然人の行為を分析・評価する場合、③法律・行政法規が規定するその他の事由のうち、一つでも該当する事由を備えていれば、域外にも適用される」と定められている(第3条)。

さらに、同法は「重要情報インフラ運営者および処理する個人情報が国家インターネット情報部門の規定量に達する個人情報処理者は、中国国内で收集および生成した個人情報を国内に保存しなければならない」として、国内保存義務に関わる規定も設けている(第40条)。

この他、「重要なオンラインプラットフォームサービスを提供し、利用者数が膨大で、業務類型が複雑な個人情報処理者」には、以下に掲げる事項の履行を義務付けており(第58条)、いわゆるプラットフォーム企業に対する規制も強化している。

①国家規定に基づき、個人情報保護のコンプライアンス制度体系を構築・整備し、外部者で構成される独立機関を設置し、個人情報保護の状況を監督する。

②公開、公平、公正の原則を遵守し、プラットフォーム規則を制定し、プラットフォーム内の商品またはサービスの提供者の個人情報処理における規範や個人情報保護における義務を明確化する。

③法律、行政法規に重大に違反して個人情報を処理したプラットフォーム内の商品またはサービスの提供者に対し、サービスの提供を停止する。

④定期的に個人情報保護社会責任報告を公表し、社会の監督を受ける。
なお、個人情報保護法の罰則規定は表2の通りであるが、草案と比較して、アプリケーションソフトに関わる罰則規定が追加されるなど、データセキュリティ法と同様に、総体的に見て罰則規定は強化される方向にある。

 

表2. 個人情報保護法の主な罰則規定

罰則事項

罰則規定

本法の規定に違反して個人情報を処理した、または個人情報の処理において本法の規定する個人情報保護の義務を履行していない場合(第66条)

個人情報保護職責履行部門が是正を命じ、警告を与え、違法所得を没収し、個人情報を違法に処理するアプリケーションソフトに対しては、サービスの一時停止または終了を命じる。
是正を拒否する場合、併せて100万元以下の罰金を科す。
直接責任者等には1万元以上10万元以下の罰金を科す。
前項に規定する違法行為があり、情状が重大な場合、省級以上の個人情報保護職責履行部門により是正を命じ、違法所得を没収し、5千万元以下または前年度の売上高の100分の5以下の罰金を併科するとともに、関連業務の一時停止もしくは操業停止・改善を命じ、関連主管部門に通報して、関連業務の許可または営業許可を取り消す。
直接責任者等に10万元以上100万元以下の罰金を併科するとともに、一定期間において関連する企業の董事(役員)、監事、高級管理職および個人情報保護責任者への就任を禁止する。

個人情報処理活動により個人情報の権益が侵害された場合(第69条)

個人情報処理者は自己に過失がないことを証明できない場合、損害賠償などの権利侵害責任を負う。
個人が受けた損失または個人情報処理者が得た利益を確定することが困難な場合、人民法院が実際の状況に基づいて賠償額を確定する。

個人情報処理者が本法の規定に違反して個人情報を処理し、多くの個人の権益を侵害した場合(第70条)

人民検察院、法律が規定する消費者組織および国家インターネット情報部門により確定された組織が、法に基づいて人民法院に訴訟を提起できる。

資料:個人情報保護法を基に筆者作成

 

4.日本企業の対応策

ここまで中国のデータ関連規制に関わる3つの法律を中心にその内容を概観してきた。中国においては、データ関連規制が一段と強化される方向にあるが、かかる状況の中で、リーガルリスクに対して日本企業が取り得る対応策としては、大きく4点を挙げることができる。

第1は、法令の内容把握である。自社に関係し得る内容を把握した上で、データの保有・管理状況を早急に確認し、喫緊の対応が必要な事項と、将来的な対応が必要な事項を区別して、プライオリティ(優先順位)を踏まえた上で対応策を検討する必要がある。加えて、法務知識の習得においては、トップや管理職だけでなく、データセキュリティの一環として、全従業員を対象に教育・研修を実施することもポイントとなろう。

第2は、情報収集の強化である。法令の執行・運営、今後の規則・ガイドラインの制定状況等に関して、中国政府、業界団体や関係企業等からの情報収集に務めていくことが肝要である。また、日本貿易振興機構(ジェトロ)等の日本の政府機関も専門家を講師にセミナーを開催しており、こうした機会を活用して情報収集を図ることも可能である。

第3は、社内のデータセキュリティ体制の構築である。その際に重要なのは、現地と本社の連携を通じて情報共有を図るとともに、法令の要求内容と現状の体制とのギャップを確認し、改善策を検討することである。

第4は、弁護士事務所やコンサルティング会社等の外部専門家の活用である。データ関連規制のような法務問題は専門性が高い分野であり、弁護士の活用が有効だ。ただし、判断が偏る可能性もあり得るので、複数の弁護士と契約したり、関係企業等から情報を収集しておくことも必要だろう。

いずれにしても、中国においてはデータ分野での規制強化に向けた流れが急速に進展しており、違反した場合の厳しい罰則規定も設けられている。日本企業としては一連の法規制に対するコンプライアンスに細心の注意を払うことが求められている。