検索
3. データの分類・分級保護制度
データ安全法は、データの分類・分級保護制度を確立しました(第21条)。主に「国家核心データ」、「重要データ」が取り上げられています。また、いわゆる「重要データ」について、各地区や各部門に当該地区及び所管業種・分野の具体的なリストの作成も要求しました。
重要データについては未だに具体的なリストが公表されておらず、引き続き注視する必要がありますが、2017年に意見募集が行われた「情報安全技術データ越境安全評価ガイドライン」(全国情報安全標準化技術委員会、2017年8月30日公布)には、「重要データ識別ガイドライン」という別紙が付けられており、各業種及び分野において想定した重要データが列挙されています。また、「自動車データ安全管理についての若干の規定」(国家インターネット情報弁公室等、2021年8月16日公布、2021年10月1日施行予定)の第3条でも、軍事施設及びその他の重要施設周辺の人・車両の流れ、及び車両流量や物流など経済状況を示すデータが重要データとして定義されました。上記「情報安全技術データ越境安全評価ガイドライン」及び当該別紙、そして「自動車データ安全管理についての若干の規定」は、中国当局の考えを理解する上で参考になると思われます。
企業としては、中国当局の動向に注目すると同時に、まずは自社の業種、事業内容に照らして、重要データに該当し得るデータを洗い出すことが望ましいと思われます。
なお、国家核心データ及び重要データのいずれにも該当しないデータについても、法規制が全く存在しないわけではなく、データ安全保護義務(後記5.)が課されていることには注意が必要です。
4. データ安全審査制度
データ安全法はデータ安全審査制度を設けました(第24条)。上記各分野・級(レベル)のデータとの関連性は不明確であるものの「国の安全に影響を及ぼし、又は影響を及ぼすおそれのあるデータ処理活動」が対象となっています。
他方、2016年に公布された「ネットワーク安全法」ではネットワーク安全審査制度が確立されており、2020年4月に「ネットワーク安全審査弁法」(国家インターネット情報弁公室、2020年4月13日公布、2020年6月1日実施)という細則も公布されました。同弁法について、国家インターネット情報弁公室は、データ安全法にも紐付けをした改訂草案意見募集稿を2021年7月10日に公布しました。同意見募集稿は従来の「国家安全法」及び「ネットワーク安全法」に加えて、「データ安全法」も上位法として取り上げた上で、「データ取扱者による国の安全に影響を及ぼし、又は影響を及ぼすおそれのあるデータ処理活動」も審査対象として明記しました。以上からすると、データ安全法におけるデータ安全審査制度を従来のネットワーク安全審査制度に一本化したい意図が推測されます。
ネットワーク安全審査弁法の施行以来、現実の運用例が特にありませんでしたが、2021年6月30日に米国ナスダック(NASDAQ)で上場したばかりの「滴滴」(中国最大手の配車アプリ業者)に対する立ち入り式のネットワーク安全審査、並びに米国での上場を検討中と言われる「運満満」、「貨車幇」(いずれもトラック配車アプリ業者)、及び「BOSS直聘」(人材マッチングアプリ業者)に対するネットワーク安全審査が注目を集めています。本稿作成時点では審査の結論がまだ出されていませんが、米中貿易摩擦及びデータ安全の重視という背景のなかで、ネットワーク安全審査(及び今後のデータ安全審査)を本格化していこうという中国当局の姿勢が見受けられます※1。
※1 特に、ネットワーク安全審査弁法の改訂草案意見募集稿第6条では、100万人分以上の個人情報を保有する企業が海外上場する際には、ネットワーク安全審査を経なければならないことが明記されており、中国企業の海外上場もネットワーク安全審査の対象にしようとする姿勢が見られます。
