Legal Note

リーガルノート

2020.09.11

2019-5-1 「中国インターネット安全法」(第3回)データ越境移転

M&P Legal Note 2019 No.5-1

「中国インターネット安全法」(第3回)データ越境移転

2019年7月10日
松田綜合法律事務所
中国弁護士 徐 瑞静

PDFダウンロード

第1 中国データ越境移転のあらまし

従来、中国におけるデータ越境移転に関する規定は、次に掲げる4つのもの(国家基準[1]を含む)に織り込まれていました。公布順に整理すれば、以下の通りになります。

1、法律/2016年11月

人大常委会により、「中華人民共和国インターネット安全法」が制定、公布されました。

2、行政規定/2017年4月

国家網信弁により、「個人情報及び重要データ越境安全評価弁法(意見募集稿)」が制定、公布されました。

3、国家基準/2017年5月(草案)、及び、2017年8月(意見募集稿)

国家情報安全標準化技術委員会により、「情報安全技術 データ越境安全評価ガイド(草案)」、及び、その修正稿「情報安全技術 データ越境安全評価ガイド(意見募集稿)」が制定、公布されました。

その後、上記の諸規範における基準は頻繁に改正され、関連事項の定義及び条項はしばしば細分化されています。以下においては、データ越境に関わる行政処罰事例を通して、これらの規定の変遷及びその内容について説明します。

第2 データ越境に関わる行政処罰事例

2018年10月24日、中央人民政府国務院の直属機関である中華人民共和国科学技術部(主に科学技術革新の方針、政策を執行する行政部門です。以下は、「国科」といいます。)が、かつての行政処罰事件ついて、ネット公開の方式にて、その処罰の内容を開示しました。そのうち、「深セン華大遺伝子科技サービス有限会社(事件番号:国科罰[2015]2号)」。以下、責任主体といいます。)に対してなした行政処罰決定は、データを無断で域外に移転したことを理由とするものです。

1 事実の概要

当局により、責任主体が行っている「中国女性の単極型うつ病のサンプル病例対照研究」に対する調査を経て、責任主体が、人類の遺伝資源情報データの一部につき、許可をえず、インターネットから域外に伝送したことが判明しました。

2 処分の内容

責任主体による無断のデータ越境行為について、当局は、責任主体が行政処罰決定書を受け取った日から直ちに研究を中止し、本研究において、海外に伝送していないすべての遺伝資源資料及び関連研究データを廃棄することのほか、行政処罰決定書が到着した日から責任主体の人類遺伝資源に関わる国際協力を停止すること、及び、整理・検収に合格した場合には、再開することができるということを内容とする処分を命じました。

当局の行政処罰決定を執行した後、責任主体は、行政処罰を受けて、直ちに整理・改善しており、現在、当局から、遺伝子の人類遺伝資源の国際協力活動への復帰を承認され、今後、中国法令を遵守し、慎重に関連する国際協力業務を展開するというコメントを発表しています。

しかし、当局による処罰を受けたことが開示されたことにより、責任主体は、上場会社として、その株は下落しています。

 

第3 データ越境移転関連規範からの処罰事例の検証

それでは、データの越境移転の関連規定に則り、本件処罰事例における責任主体が、いかなる点において問題となったかを説明します。

1 法律/「中華人民共和国インターネット安全法」

(1)       データの越境移転に対する規制

2016年、人大常務委員会が公布した「中華人民共和国インターネット安全法」(以下、「インターネット安全法」といいます。)が、初めて、重要インフラの運営者に対して、中国域内における運営に際して収集、発生させた個人情報及び重要データ[2]について、中国域内における保存、及び、域外への伝送の場合には、安全評価を行う必要があることを規定しましたが、重要インフラ運営者に対する定義や認定については、何ら規定を設けず、データ越境の場合には、国家網信弁及び国務院の関係機関が共同して設定する安全評価基準に従う必要があるとしています。

(2)       重要インフラの認定

インターネット安全法においては、重要インフラに対する認定基準[3]が設けられておらず、一方、国家網信弁が出した「国家インターネット安全検査操作ガイド」においては、重要インフラに対して、インターネット、プラットフォーム、生産業務システムという異なる構成要件を設定しています。

一般的に、100万人以上の個人情報、または、地理、人口、資源などの国家基礎データを大量に漏洩した場合には、重要インフラと認定されます。本件責任主体は、国家遺伝子バンク及び複数の大きな遺伝子プロジェクトを運営するプラットフォームに該当します。よって、責任主体は重要インフラの運営者であると判定されることとなり、安全評価を受けない限り、中国域内において収集した個人情報(人類遺伝資源情報)を海外に送信することは、インターネット安全法に違反したと認められることとなります。

2 行政規定/「個人情報及び重要データ越境安全評価弁法(意見募集稿)」

(1)       重要インフラ運営者からインターネット運営者への拡大

2017年4月、国家網信弁が公布した「個人情報及び重要データ越境安全評価弁法(意見募集稿)」(以下、「安全評価弁法」といいます。)は、データ越境の責任主体につき、重要インフラ運営者からインターネット運営者へ拡大しました。その結果、インターネットの所有者、管理者、インターネット・サービス提供者のいずれもインターネット運営者になります。

(2)       データの越境移転に対する安全評価

越境データが、50 万人以上の個人情報である場合、情報の容量が1000GBを超える場合、または、施設、化学生物、国防軍事、人口健康等のいずれかの領域に関わる場合には、インターネット運営者は、業界の主管部門または監督部門による安全評価が必要となります。

よって、本件責任主体は、インターネット運営者として、人口健康分野に関するデータ(人類遺伝資源情報)につき、予め、主管部門または監督部門へ、安全評価を届け出でする必要がありました。従って、本件責任主体が安全評価を申告していないため、評価弁法に違反していたことになります。

3 国家基準/「情報安全技術 データ越境安全評価ガイド(草案)」、及び、その修正稿「情報安全技術 データ越境安全評価ガイド」(意見募集稿)

2017年5月に公布された国家基準の「情報安全技術 データ越境安全評価ガイド(草案)」(以下、「草案」といいます。)においては、安全評価の流れ、評価要点、評価方法、重要データの識別のガイドなどに関して、具体的な規定を設けています。

また、同年8月に公布された「情報安全技術 データ越境安全評価ガイド(意見募集稿)」(以下、「安全評価ガイド」といいます。)においては、域内運営、データ越境などの概念を明確にしたうえ、安全評価の流れについて修正され、更に細分化された規定が設けられています。

(1)  データの越境移転の認定

安全評価ガイドにおいては、インターネット運営者が、インターネットなどを通じて、中華人民共和国国内における運営に際して収集され、発生した個人情報及び重要データを直接に提供するか、または、業務の展開、サービス・製品の提供などの方式をもって海外の機構、組織若しくは個人に1回のみか若しくは連続的に提供する場合、データの越境移転に当たることが定められています。また、越境移転の該当する具体例及びその例外についても、詳細に例示されています。

(2)  安全自己評価

また、安全評価ガイドにおいては、インターネット運営者が、毎年、安全自己評価を行うべきことが記されています。すなわち、データを越境移転する前に、予め、安全自己評価を行い、そして、その評価報告を少なくとも2年間保存することが必要であることが定められています。なお、核施設、生物化学、国防軍工、人口健康などの分野のデータほかに、大規模な工事、海洋環境などのような敏感な地理情報データ、及び、その他の重要データが越境移転する場合には、自己評価報告書を業界の主管部門や監督部門に報告すべきこと求められています。

従って、責任主体がデータを域外に伝達する前に安全自己評価をせず、また、自己評価の報告書を主管部門に報告しないことにより、国家基準の規定に違反することになります。

4 データ越境の関連規範(国家基準を含む)の適用関係

安全評価ガイドは国家による推奨基準においてのみながら、上位法の行政規定となる「安全評価弁法」第17条は、重要データとは、国家安全、経済発展、社会公共利益及と密接関連するデータをいうと定めた上、重要データの範囲認定について、国家の関連基準及び重要データ識別ガイドを参照すべきことを規定しています。この重要データ識別ガイドは、国家基準の安全評価ガイドに織り込まれています。

国家推奨基準が、法規範の抽象規定を補い、実務における個人情報及び重要データに関する安全評価の指針及び基準を示したことにより、データ越境移転の安全評価の操作性は、一層、高められました。よって、国家推奨基準の安全評価ガイドは、データ越境移転に関わる安全評価制度における重要な役割を果たすことになりますので、実務の運用においては、欠かせないものとなっているように思われます。但し、国家規準の安全評価ガイドは、未だ意見募集稿の段階にあるため、今後、その内容が、寄せられたパブリックコメントに基づいて修正される可能性がある点にも留意しなければなりません。

第4 まとめ

インターネットの運営におけるグローバル化、及び、対外協力業務の増加に伴い、企業・事業体の業務において、データ越境が日常的に必要な状況にあることは避けられません。そのため、多くの企業が、データをその海外本部すべきか、それとも、中国域内に保存する義務があるか否かについて、慎重に判断し始めています。数多くの規範は、未だ制定の過程にあって不透明な部分も散見されます。従って、各関連法令(国家基準を含め)の目的、調整範囲、及び、法令制定の進捗の状況を的確に把握し、現状に即応した準備体制を整える必要があるように思われます。

 

[1] 法規範ではないので、法の強制的効力を有せず、国家は、その内容を遵守することを推奨するに止まります。

[2] 目下、個人情報及び重要データの保護制度については、2018年年5月1日に正式に施行された国家推奨基準の「GB/T 35273-2017情報安全技術 個人情報安全規範」が業務操作における重要な指針を示していますが、その他の個人情報及び重要データに関する保護制度は、引き続き、制定準備の段階に止まっています。

[3] 現状として、重要情報インフラ安全保護制度については、「国家インターネット安全検査操作ガイド」を除いて、その他の「重要インフラ安全保護条例」や「情報安全技術 重要インフラ安全検査評価ガイド」など、いずれも未だパブリックコメント募集の段階にあるため、重要インフラの範囲は明確に確定されていません。

 


この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。

松田綜合法律事務所
中国弁護士 徐 瑞静
jo@jmatsuda-law.com

〒100-0004 東京都千代田区大手町二丁目6番1号 朝日生命大手町ビル7階
電話:03-3272-0101 FAX:03-3272-0102

この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。