本ニューズレターは、2021年8月23日までに入手した情報に基づいて執筆しております。
1. はじめに
中国は近年、個人情報をはじめとするデータの保護やサイバーセキュリティーに関連する一連の立法及び改正を進めてきました。そのなかで、2021年6月10日に全国人民代表大会常務委員会で可決・公布され、2021年9月1日から施行予定の「データ安全法」は、重要な動向の一つとして注目を集めています。「ネットワーク安全法」(全国人民代表大会常務委員会、2016年11月7日公布、2017年6月1日施行)に次いで、データ安全法は情報安全分野において基礎を成す二件目の法律となり、2021年8月20日に可決・公布された「個人情報保護法」(全国人民代表大会常務委員会、2021年8月20日公布、2021年11月1日施行予定)と合わせて、今後の中国における情報安全法体制の三つの柱になると思われます(三つの柱の全体像イメージについては下図を参照)。
データ安全法は、計7章55条で構成されており、データ安全体制に関連する基本的な指針に加えて、企業のデータ安全保護義務やデータの越境安全管理に関する規則及びこれらの規則に違反した場合の罰則も定められています。
本稿では、データ安全法の概要及び企業として注目すべき内容を整理して紹介します。
2. データ安全体制の構築
中国工業・情報化部によれば、中国の「デジタル経済」の規模は毎年拡大しており、2020年には既に中国のGDPの4割を占めるともいいます。一方、多くの中国企業は未だにデータ安全の体制が十分ではなく、個人情報、商業秘密の漏洩さらにはサイバー攻撃も多発しているのが現状です。そして、膨大なデータを収集・分析し、特定分野や地域における特性や傾向等を見出そうとする「ビッグデータ技術」も日々進化しているため、データの漏洩や無断利用はもはや社会を脅かす恐れすらあると言えるでしょう。このような背景のなか、デジタル経済の石油に例えられるデータの安全について、当局は利用の促進と管理の強化を図ってきました。
この点、データ安全法は、データの利用を引き続き推進すると同時に、データの利用や流動の適法性の確保も強調しました(第7条)。同時に、データの越境移転にあたっての安全性にも注目しています(第11条)。
第11条 国は、データ安全ガバナンス、データ開発・利用等の分野の国際交流及び提携を積極的に展開し、データ安全に関する国際規則及び標準の制定に参与し、データ越境の安全及び自由な流動を促進する。
即ち、データの利用や流動を単に制限する趣旨ではなく、データ安全とのバランスを取るよう促すことを目標とするものと思われます。
この点に関して、データ安全法は、第9条で関係部門、業種団体や企業及び個人の安全保護意識を向上させる方針を打ち出すほか、具体的に(1)データの分類・分級保護制度、(2)データ安全審査制度、(3)データ安全保護義務、及び(4)データの越境安全管理に関わる規則なども定めています。