“ネット強国”“ビッグデータ立国”を目指す中国は、2017年6月に主にインターネット関連の「サイバーセキュリティ法(中国ネット安全法:中华人民共和国网络安全法:CSL)」(注1)を可決、施行した。その後、2020年7月に「データ安全保障法(データセキュリティ法):中华人民共和国数据安全法(DSL)」の第一草案を発表、同年12月には、「個人情報保護法:中华人民共和国个人信息保护法(PIPL)」の草案を発表した。
2021年5月、中国の全国人民代表大会常務委員会は、中国で事業を行う企業又は中国企業や個人と取引を行う企業によるデータの収集、処理、移転の方法について、大きな影響を与える2つの法律の第二草案を発表した。その2つの法律とは、「重要なデータ」の処理に関するデータセキュリティ法(データ安全保障法(DSL.)と、個人情報の処理に関する個人情報保護法(「PIPL」)である。
両法案は2021年5月28日までパブリックコメントを募っており、全国人民代表大会は両法案を2021年末までには成立させると考えられていたが、2021年6月10日、中国全国人民代表大会は新しい「データセキュリティ法(データ安全保障法):中华人民共和国数据安全法(DSL)」を可決した。2021年9月1日施行である。
データセキュリティ法案の主な修正点は、データの階層分類の導入と、「重要なデータ」の国外移転、特に外国の法執行機関や司法機関へのデータ移転に対する、更なる規制を含む。さらにこの規制は、関係会社間のデータ移転にも影響を与える可能性があり、また新しい草案はデータセキュリティ法違反に対する罰金も増額している。
一方、PIPL法案の主な修正点は、立案者が前回のパブリックコメントの中での国際社会の意見を聞き、特に欧州連合の「一般データ保護規則(GDPR)」の原理に近づけたことが見受けられる。例えば、中国サイバーセキュリティ管理部発行のモデル契約に基づき国外へのデータ移転を保護する標準条項の使用を検討したり、また、限られた個人情報の処理は同意なく行えることを明確にしている。しかし、そのような処理の根拠はGDPRよりも限定されている。特に、GDPRで広く柔軟に使用される「正当な利益」の根拠に相当するものは、PIPLにはない。
他方、GDPRと同様に、PIPLの重大違反にはCSLやDSLに比べ極めて高額の罰金が科せられる。
今回のブログは、2021.7.7 ALSTON & Bird LLP「中華人民共和国が『データ安全保障法(データセキュリティ法)』を可決:我々が知りえていることの要約」(People’s Republic of China Passes the Data Security Law: A Summary of What We Know)」をコア(注2)にして仮訳するとともに中国のネットワーク、サイバー強化、IT国際戦略等の観点から前記3つの立法の内容比較を試みるものである。
なお、本ブログをアップした後で、7月8日のSeyfarth Shaw LLPのblog「China’s New Data Security Law」を読んだ。より論点が整理されていると思うが、機会を持て改めて取り上げたい。
また、”CSL”や”PIPL”については、わが国でもそれぞれ解説がなされているので、補足説明のみにとどめる。
1.DSL法案審議の経緯
2020年6月28日、全国人民代表大会常務委員会は、「中華人民共和国データセキュリティ法(草案)」(以下、「データセキュリティ法(草案)」という)を初回審議し、「データセキュリティ法(草案)」の全文を公表した。2020年7月3日「データセキュリティ法(草案)」に対する意見募集が行われ、募集期間は、同年8月16日までとされていた。
その後、第二草案等を経て2021年6月10日、中国全国人民代表大会の可決に至った。.
2.DSL法の主な特徴・重要事項
主要な条文を取り上げ補足解説する。
(1) 第1条関係
DSLの範囲は非常に広く、規制やガイダンスを明確にすることなく、法律は企業がどのように遵守すべきかについて重要な詳細を欠き、2021年9月の発効日に先立って多くのオープンな質問を残している。
中国の関係当局がガイダンスを発行し、特定の対応する規制を策定することが期待されるが、DSLの広範な範囲と広範な影響の範囲を考えると、DSLは多くの企業にとって広範囲に及ぶ影響を及ぼす可能性がある。
(2) DSLの適用範囲
〇 DSLは、中国国内のデータ処理活動とデータ管理ならびに「国家安全保障、公益、または(中国の)市民および義務の正当な利益を損なう可能性がある」中国国外の処理活動にも適用される。(第2条)
〇 この法律は、以下に説明するように、「重要なデータ」または「国家コアデータ」にのみ適用されるが、「電子的または他の形態の情報の記録」を指すように定義されている「データ」に広く適用される。「データ処理」は、「データの収集、保存、使用、処理、送信、提供、開示等」を含むように定義される(第3条)。
これらの定義と第2条に概説される範囲に基づいて、DSLの適用範囲は信じられないほど広範であり、世界中の企業に対して、個人情報から他のビジネスデータに至るまで、さまざまな種類のデータに対する義務を課す可能性がある。
(2) データの分類(Data Classification)
〇 DSLは、中国政府がデータ分類システムを確立し、経済社会開発におけるデータの重要性、国家安全保障、公益、またはデータが変更、破壊、漏洩、または違法に入手または使用された場合に引き起こされる個人または組織の合法的な権利と利益に基づいて、異なるデータセットの階層を設定し、どのように保護すべきかを定めるものである(第21条)。
〇 さらに、この分類システムに基づいて、関連部門は、対応する業界やセクター内の「重要なデータ」のカタログを作成し、DSLの範囲内の企業が独自のデータ分類プログラムを構築する方法に影響を与え、特定の情報を保護する必要がある。
〇 DSLは、「(中国の)国家安全保障、国民経済の生命線、人々の生活と重要な公共の利益に関連するデータ」を含む「国家的コアデータ」と呼ばれるデータの高いカテゴリを設けた(第21条)。
この「国家的コアデータ」の詳細は不明であるが、DSLでは、「国家コアデータ」を扱う企業は、そのようなデータを保護するための強化された措置を講じるより厳格なデータセキュリティ管理システムを実装する必要があり、そのような要件に違反した場合の罰金額の増加の対象となる可能性があることを示す一般的な規定が含まれている。
(3) リスク評価(Risk Assessments)
「EUの一般データ保護規則(GDPR)」のデータ保護影響評価や「カリフォルニア州プライバシー権利法」のリスク評価要件と同様に、DSLは第22条と第30条の2つの条文で「リスク評価」の概念を導入している。
第22条は、政府がデータセキュリティリスク評価報告のための統一的で権威あるシステムを確立しなければならないと記載している。
また第30条は、「重要なデータ」を扱う企業に対して、データ処理活動のリスク評価を定期的に行うべく、すべての企業に対して積極的な義務を定めている。このようなリスク評価レポートには、重要なデータのカテゴリと処理量、データ処理活動の実施方法、および関連するデータセキュリティ・リスクと対応メカニズムなど、包括的でない情報が含まれる。さらにリスク評価結果は、関連する規制部門に送付する必要がある。
(4) 法違反への対応と通知義務
CSLと同様に、ネットワークオペレータとCII(Critical Information Infrastructures)はインシデント対応計画を立て、すべてのネットワーク セキュリティ インシデントを「関連する管轄部門」に報告する必要があるが、データ セキュリティ インシデント (DSL は定義していない) が発生した場合、DSLは企業にインシデントを直ちに修復し、ユーザーに迅速に通知し、そのようなデータセキュリティインシデントを規制部門に報告することを要求している(第29条)。
またDSLは、政府に国家データセキュリティ緊急対応メカニズムを確立することを義務付け、規制部門はデータセキュリティ・インシデントが発生した場合に緊急対応計画を開始することを義務付けている(第23条)。この範囲内にはいる各企業は、同社のインシデント対応計画が政府からの将来のガイダンスに準拠していることを確認するために、さらなる違反対応/通知ガイダンスを注意深く監視する必要がある。
(5) クロスボーダーでのデータ転送(Cross-Border Data Transfers)
CSLはCII事業者とネットワーク事業者による国境を越えたデータ転送を管理している一方で、DSLは、中国国外で「重要なデータ」を転送するすべての非CII事業者による国境を越えたデータ転送に関し、そのような企業は中国の”Cyberspace Administration of China (CAC) (国家互联网信息办公室)” (注3)および国務院の関連部門によって策定する規則を遵守する必要があることを明記している(第31条)。
CSLは、CIIは、(i)真の運用上の必要性がある場合にのみデータを国外に転送することができると明記している。 (ii) CIIはセキュリティ評価に合格し、(iii) CIIは、(個人がそのような情報を送信しているためにそのような同意が暗示されない限り)中国国外に個人情報を転送することに同意を得なければならない。非CII事業者に対する国境を越えたデータ転送義務に関する実質的な要件はまだ策定されていないが、非CII事業者に対する国境を越えたデータ制限の追加は、近い将来、そのような企業に重大な義務を課す可能性がある。
(6) その他の企業等の遵守要件
DSL の対象となるすべての企業は、他の要件の中でも、以下の実装が義務づけられる。
①·データセキュリティ管理システムを確立し、かつ完全なものとする(第27条)。
②·重要なデータを取り扱う場合、主にデータセキュリティとデータセキュリティ保護責任の遂行に責任を負う者と管理チームを指定する(第27条)。
③ データセキュリティに関する従業員や個人の教育(第27条)。
④·データセキュリティを保護するための技術的措置を配置する(第27条)。
⑤ セキュリティ上の欠陥、脆弱性、その他のリスクが発見された場合、リスク監視対策を強化し、タイムリーな改善措置を講じる(第29条)。
⑥ インターネットを通じてデータ処理活動を行っている企業(おそらくそのようなデータの物理的処理を除く)については、そのような企業は、中国に物理的に位置し、CSL(CSLの第21条)の下で採用された企業のための分類システムであるマルチレベル保護スキーム(Multi-level Protection Scheme:MLPS) (注4)に準拠するものとする。要するに、MLPSは、ネットワーク事業者に(i)ネットワークが干渉、損傷、または不正アクセスから保護されていることを確認し、(ii)インフラストラクチャとアプリケーション・システムを5つの別々の保護レベルに分類し、それに応じて保護義務を果たすことを要求する(第27条)。
⑦ 中国国内に保管されているデータを外国の司法機関または法執行機関に提供する前に、中国政府の許可を得る(第36条)。
(7) 罰金(Penalties)と刑事責任(Penalties)
DSL に準拠していない場合、企業は違反によって異なる高額な罰金が科される場合がある。たとえば、(i)データセキュリティ管理システムの確立と完了に失敗した企業、(ii)リスク監視措置、または(iii)定期的なリスク評価は、そのような会社は50,000人民元(約845,000円)から500,000 RMP(約8450,000円)の間の罰金を科される可能性がある。さらに、データセキュリティの管理に直接責任を負う個人は、10,000人民元(約169,600円)から50,000人民元(約845,000円)の範囲で別の罰金を科される可能性がある。状況が「重大」(未定義のままである)である場合、前記の罰金は2倍になり、違反する会社は業務停止命令や事業ライセンスが取り消される可能性がある。
さらに、DSL違反が刑事犯罪に相当する場合、刑事責任が科される場合がある。このような刑事責任は個人、特にDSLの遵守に主に責任を負う個人に及ぶ可能性がある。ただし、この法律は、刑事責任の範囲を明示しておらず、違反が犯罪に当たる場合に刑事責任が適用されるという声明にすぎない。
上記の要約は中国のDSLの概要を提供しているが、法律には多くの未知のものであり、各企業は近い将来に発行される規則や法的ガイダンスを注意深く見守る必要がある。
しかし、他方でDSLは潜在的に、広範な包括的なグローバルな意味を持つかもしれない。そして、中国がEUのGDPRと同様に包括的な全国的なプライバシー法を提示し、個人情報保護法(PIPL)の第2草案を可決したばかりで、地平線上に追加の要件がある。PIPLが議会を通過した場合、これら3つの法律(PIPL、DSL、CSL)は中国の包括的なデータプライバシーとセキュリティ法的枠組みを策定するため、GDPRを含む世界中の他の包括的なデータプライバシーおよびセキュリティ法と同じくらい影響を拡げる可能性がある。
2.CSLに関する補足説明
CSLは、中国で事業をしている日本企業の法務部門にとり、CSLの一部である個人情報の保護およびデータ・ローカライゼーション(中国国内でのデータ保存)に関する規定が特に関心の高いものであるが、中国公安部(Ministry of Public Security)(MPS)により制定されたCSL執行法とも言うべき「公安機関インターネットセキュリティー監督検査規定」(2018年11月施行)(以下「本規定」という)にはこの「総合的国家安全保障観」が色濃く反映されている。(企業法務ナビ「中国の国家安全保障と「中国サイバーキュリティー法」の執行規定 ~「公安機関インターネットセキュリティー監督検査規定」の概要~」から抜粋)。
本規定によれば、公安機関は国家安全保障、インターネット・セキュリティー、違法情報の公開・送信防止等の観点から企業に対し現地検査(立入検査)および遠隔検査(システム侵入テスト等)を行うことができるとされており、実際、日本企業の中国企業に対しても行われているようである。
CSLが主に重要情報インフラストラクチャ (CII)事業者およびネットワーク事業者のサイバーセキュリティに焦点を当てている一方で、DSLはデータ処理活動を規制し、データセキュリティを促進し、個人や組織の合法的な権利と利益を保護し、国家の主権、セキュリティ、開発上の利益を保護するために公布された。
3.PIPLに関する補足説明
PIPLの罰則内容を抜粋、引用する。
【罰則およびその他の責任】
ドラフトPIPL案の下では、組織/企業がPIPLの要件に準拠していない場合、最高5,000万元(約8億4,500万円)または前年度年間売上高の5%の罰金を支払う義務がある。ただし、決定される罰金のレベルは状況によって異なり、所管官庁はこれを決定する際に比例原則に従う。(注5)
この行政処分に加えて、組織および関係者は、中国の民法 (注6)および刑法 (注7)に基づくその他の民事および刑事責任の対象となる場合がある。
****************************************************************
(注1) 中国サイバー安全法(中華人民共和国網絡安全法:CSL)については「調査報告書 平成 29 年度サイバーセキュリティ経済基盤構築事業(米国から見た諸外国のサイバー空間における能力等の実態に関する調査)」 69頁以下が詳しい。
(注2)本ブログで取り上げたALSTON& bird LLPのブログの共著者でもある、Kimberly Kiefer Peretti氏が海外企業向けにアドバイスを含めた留意点をまとめたブログ”Cyber Alert: Navigating the Uncertain Chinese Cybersecurity Law: What We Know and How to Steer Accordingly”を書いている。併せて参照されたい。
(注3) 国家インターネット情報辦公室:中国共産党中央委員会ネットワークセキュリティ・情報化対策室)で中国共産党が管轄する機関 である。(国立国会図書館リサーチナビから抜粋。)
(注4) MLPSについては筆者ブログ「中国の国務院・公安部が新しい個人情報保護ガイドライン《互联网个人信息安全保护指南》を最終版を発表」を参照されたい。
(注5) CSLやDSLに比べ高額な罰金額や前年度年間売上高の5%の罰金という規定の方法は、GDPR第83条(制裁金を科すための一般的要件)にきわめて類似していると思える。
- 以下の条項違反行為は、第2項に従い、1,000万ユーロ(約13億円)以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の2%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする
・・・・・
- 以下の条項違反行為は、第2項に従い、2,000万ユーロ(約26億円)以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の4%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする。
・・・・・・・
(注6) 「中华人民共和国民法典」7/8(36)は2020年5月28日の第13期全国人民代表大会第3回会議において可決され、2021年1月1日から施行された。同民法典に関するわが国の解説例「中国初の法典―『民法典』の要点解説」7/8(33)
森・濱田松本法律事務所(令和2年度受託法律事務所)「中国民法典について(日本民法との比較を中心に)」参照。
また、「中华人民共和国刑法」( 1997年3月14日中华人民共和国主席令第八十三号公布、1997年10月1日施行)の中华人民共和国驻日本大使馆の日本語訳参照。
**********************************************************************************
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:mashida9.jp@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
***********************************************************************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます