M&P Legal Note 2021 No.8-4
中国のデータ安全立法の動向
2021年7月29日
松田綜合法律事務所
中国弁護士 徐 瑞静
1 はじめに
今日、多方面におけるデジタル化の進行に伴い、膨大なデータが、個人、企業、政府との間で流転し、融合し、使用または漏洩されており、データは現代社会において主要な資産の一つとなっています。それに伴い、データセキュリティ保護の法制化も諸国に浸透し始めています。中国においては、2015年、土地、労働力、資本、技術に続く第5の生産要素として、データが掲げられ、それに関連する政策綱要が発布されて以後、その立法化作業は加速し、本年6月10日、第13期全国人民代表大会常務委員会第29回会議において、「データ安全法」が採択されました。同法は、来る9月1日から施行されることになっており、2017年に施行された「サイバー安全法」、及び、目下制定中の「個人情報保護法」とともに、情報及びデータの安全立法を構築することになります。「データ安全法」が「サイバー安全法」と異なる点は、データ自体の安全を目的としている点です。折しも、中国の大手配車サービス「滴滴出行(ディディ配車)」のアプリの利用が、国家インターネット情報弁公室(以下、「規制当局」という。)により停止されたことから、中国におけるデータ安全立法の動向がにわかに注目されています。以下においては、発端となった「ディディ事件」の展開を辿ることにより、中国のデータ安全立法、就中、「データ安全法」について、その概容を見ることとします。
2 「ディディ事件」の展開
「ディディ事件」は、本年6月30日、ディディがニューヨーク証券取引所に上場したことに端を発します。これを受けて、7月2日、規制当局は、ディディに対し、「国家安全法」、「サイバー安全法」、「サイバー安全審査弁法」を根拠として、インターネット安全審査の実施の発動を通告しました。同月4日の規制当局ウエブサイトによれば、審査の結果、ディディのアプリには深刻な違法行為による個人情報収集に関する問題があるため、「サイバー安全法」の関連法令に基づき、ディディに対して是正を勧告し、そして、同月9日には、「ディディ企業版」等、25種類のアプリのダウンロードを停止しました。また、同月16日、規制当局は、公安部、国家安全部、自然資源部、交通運輸部、税務総局、市場監督管理総局等の部門と連携して捜査し、ディディに対するインターネット安全審査を行うことを表明しています。
3 「ディディ事件」の背景
ディディプラットフォームは、圧倒的多数の車両とドライバーとユーザーを接続しており、その情報は、現に3億人以上のアクティブユーザーの注文、支払い及び活動範囲の他、車内録音データにも亘っています。これらの情報には、ユーザー個人の情報だけでなく、道路、交通等の外部情報も含まれており、同会社によるデータの収集、保存、処理、応用、流動、廃棄のいずれもデータ安全の問題と関わっています。
インターネットを通じて個人情報を不正に収集したデータ漏洩事件については、諸国でもよく報道されることがありますが、中国の規制当局ウエブサイトにおける「国家データの安全リスクを防止し、国家の安全を維持し、公共の利益を保障する」との表述は、個人情報の保護に止まらず、巨大企業が保有する膨大なデータの安全について、国家利益の視点から管理監督される時代が到来したことを意味しているように思われます。
4 「データ安全法」の概容
本法の目的は、「データ処理活動を規範化させ、データの安全を保障し、データの開発と利用を促進し、個人と組織の合法的権益を保護し、国家主権、安全と発展利益を維持すること」にあります(1条)。そのため、中国国内におけるデータ処理活動及びその安全管理監督の展開について本法を適用するものとし(2条1項)、また、中国国外におけるデータ処理活動により、中国の国家安全、公共利益又は国民、組織の合法的権益に損害を与えた場合には、法により責任を追及されることになります(2条2項)。
安全管理監督の対象となるデータについては、「あらゆる電子又はその他の方式による情報の記録」と定義されています(3条1項)。また、データ処理の範囲として、「データの収集、保存、使用、加工、転送、提供、公開等」が含まれます(3条2項)。データ安全の管理監督責任の帰属に関しては、国家データの安全業務協調メカニズムの構築につき、中央国家安全指導機構が責任を負い(5条)、各地区及び各部門は、各自の活動中に収集、発生したデータ及びデータの安全に対して責任を負います(6条)。従って、伝統的な業界でも、ハイテク、インターネット等の業界でも、情報とデータの収集、保存、使用に関わる限り、データの安全につき、それを管理監督する責任があります。
データについては、国家が分類し、等級付けして保護する制度、データ安全リスク評価、報告、情報共有、警報方法、データ安全応急処置方法、及び、データ安全審査制度の確立が規定されており、主管部門による重要データ目録の作成とともに、全国各地区、各部門、関連業界も具体的な重要データ目録を作成し、それに組み入れられたデータを重点的に保護しなければなりません(21条~24条)。
「データ安全法」のもう一つの大きな特徴は、データの越境規制及び違法行為に対する罰則を強化したことです。具体的には、国家の安全、国民経済、重要な民生や公共利益等に係わる国家の重要データ管理監督制度に違反して、国家主権、安全、発展利益に危害を及ぼした場合、国外に重要データを提供した場合、主管機関の許可を得ずに外国司法または執行機関にデータを提供した場合には、関連主管部門が、200万元以上1000万元以下の罰金を科し、また、状況により関連業務を停止し、廃業整理、営業許可証の取消しを命じるとともに、法により刑事責任を追及することが規定されています(44条~52条)。
5 おわりに
現在、データ安全保護は、ディディのようなプラットフォーム会社との関連においてのみならず、モビリティの分野においても、AI自動車の普及や自動運転技術の進歩に伴い、遠隔操作、データ窃盗、情報詐欺、プライバシー漏洩等の問題として急速に際立ってきています。AI自動車における情報収集媒体は、大量のカメラ、レーダー、速度計、ナビゲータ等のセンサーが結集され、一昔前の単独情報媒体から、ネットワーク情報の中間媒体へと変身しており、その使用過程においては、データの収集から転送、再処理まで、広範なデータ安全リスクが見られます。これらのリスクは、自動車の安全、ユーザーのプライバシーの安全、国家の安全に分類することができますが、それらのうち、最も問題となるのは、データの越境伝送がもたらす国家安全の問題です。従来、中国のデータ越境転送に関する政策と法規は十分ではなく、有効な管理監督制度が確立していなかったとの認識から、「データ安全法」では、データ越境伝送についてより厳格な管理方式が取られようとしています。情報化の急速な発展に伴い、個人と企業の権益保護が謳われることは当然のことですが、それとともに、あるいは、それ以上に、国家レベルの保護法益の安全が目されている点において、「データ安全法」が単純な権利保護法に止まるものでないことは明らかです。
このリーガルノートに関連する法務
お問い合わせ
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
松田綜合法律事務所
中国弁護士 徐 瑞静
info@jmatsuda-law.com
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。