5. データ安全保護義務

データ安全法は、データ処理活動（同法第2条によれば、データの収集、保存、使用、加工、送信、提供、公開等をいう。）に関して、データ処理者にデータ安全保護義務も負わせています。具体的には、①全プロセスのデータ安全管理制度の確立・健全化、②データ安全に関連する研修及び、③必要な技術措置を講じることなどが要求されています。とりわけインターネット等の情報ネットワークを利用してデータ処理活動を展開する場合には、ネットワーク安全等級保護制度を基礎としてデータ安全管理制度を構築しなければならないとされています。

ネットワーク安全等級保護制度は「ネットワーク安全法」第21条で確立された制度であり、確立当時から情報安全責任者の明確化、並びにファイアーウォール、バックアップ及び暗号化等の必要な技術措置が要求されてきました。その後、2018年から2020年にかけて、国家標準化管理委員会は以下をはじめとする一連の国家標準を公布してきました。

また、公共安全分野及び航空業や金融業及びマスコミ業界など一部の分野・業界においては、公安部、民用航空局、中国人民銀行、国家ラジオ・テレビ総局がネットワーク安全等級保護に関連する、より具体的なガイドラインを既に公表しています。

データ安全法の施行に伴い、ネットワークを利用してデータ処理活動を行う企業にとっては、ネットワーク安全等級保護制度の不備がデータ安全法及びネットワーク安全法両方への違反行為になりかねません。この点に関して、データ安全法はより厳しい罰則を設けているため、データ安全法の罰則が優先的に適用されると考えられます^※2。データ安全保護義務及びネットワーク安全保護義務に違反した場合の罰則は下表の通りです。

※2　行政処罰法第29条によれば、同一の違法行為が複数の法令に違反して過料が課される場合、高い方の過料を課すこととなっています。

ネットワーク安全法の施行から時間が経っていること、またデータ安全法も2021年9月1日に施行予定で中国管理当局が取締りを強化する傾向にあることに鑑み、企業側が、ネットワーク安全等級保護制度を踏まえてデータ安全保護制度を構築することが急務と言えます。

他方、前述の通り、重要データの取扱者には、上記に加えて、より厳しい規則が設けられています。データ安全法によれば、重要データの取扱者はデータ安全責任者及びデータ安全の管理機構を明確にし、データ安全保護責任を具体化しなければならないとされています（第27条）。また、重要データの処理者にそのデータ処理活動に対する定期的なリスク評価、そしてリスク評価報告の主管当局への提出義務を負わせています（第30条）。リスク評価報告の内容について、重要データの種類及び数量、データ処理活動の展開状況、直面するデータ安全リスク及びその対応措置等が取り上げられているものの、実施頻度や提出先などその他の詳細は未だに不明確であり、引き続き注視していく必要があります。

また、重要データの越境安全管理についての明確なルールも設けられていますので、後記6.もご参照ください。