検索
6. データの越境安全管理
ネットワーク安全法は、重要情報インフラの運営者がその運営において収集、発生させた個人情報及び重要データを中国国内に保存し、海外にデータを越境させる必要がある場合は安全評価を経なければならないと定めています(第37条)。その後、適用対象を重要情報インフラの運営者からネットワーク運営者に拡大しようとする「個人情報及び重要データ越境安全評価弁法」(国家インターネット情報弁公室、2017年4月11日公布)については、意見募集稿が公布されたまま正式な公布は行われていません。即ち、重要情報インフラの運営者に該当しない場合における重要データの越境移転について、明確な規則がない状況だと言えます。
この点に関して、データ安全法は、重要情報インフラの運営者の場合はネットワーク安全法が適用されると明記する一方、重要情報インフラの運営者に該当しない場合における重要データの越境安全管理については、「国家インターネット情報部門が国務院の関係部門と共に制定する」と定めています(第31条)。本稿作成時点では、当該越境安全管理弁法はまだ未公表ですが、重要情報インフラの運営者に該当しなくても重要データの越境移転にあたってなんらかの規則が課される方針であることが明文で示されました。
一方、前記の通り、重要データに該当しないデータもあり得ます。これらのデータの越境安全管理について、データ安全法では明確な規則が定められていません。もっとも、データ安全法は、外国の司法又は法律執行機関のデータ提供要求に関する規則を定めました(第36条)。同条では、法律や条約・協定、そして平等互恵原則に従ってかかるデータ提供要求を扱うと表明すると同時に、中国国内の組織又は個人は、主管機関の承認を経ずに外国の司法又は法律執行機関に対し、中国国内に保存されているデータを提供してはならないという禁止規定も設けています。
ただ、同条文は2文に分かれていて、前段の「外国の司法又は法律執行機関のデータ請求」という下線部の要件が後段にもかかるか否かがやや不明確であり、実際の運用動向を注視する必要があります。
仮に上記要件が後段にもかかるとしますと、中国国内組織又は個人による自主的な提供は制限されず、結局当該禁止規定の運用場面がやや限られている様にも理解されます。他方、上記要件が後段にかからないとしますと、中国国内組織又は個人による自主的な提供も制限されてしまい、特に中国国外における訴訟提起又は仲裁申立の際の証拠提出や、その他の各種法手続における資料の提出などの場面を考慮しますと、中国企業等の自主活動への過剰な制限とならないかとの懸念も生じ得ると思われます。
特に多国籍企業の場合、外国の司法又は法律執行機関の要求に応じて、本店が海外各拠点の情報を取り纏めてから提出することもあり得るでしょう。かかる場合に、中国国内にある拠点としては、最終の提出先が外国の司法又は法律執行機関であることを把握していたとしても、直接の提出先は本店であるため、かかる行為が上記禁止規定に抵触するか否かの判断は非常に難しいものになると思われます。
7. 終わりに
データ安全法の施行に伴い、中国がデータ処理活動を一層強化することが見込まれています。また、企業のデータ処理活動にも大きな影響があるでしょう。一方、データ安全法は2021年9月1日に施行するため、企業側に与えられた準備期間は限られています。前記の通り厳格な罰則もあることに鑑み、データ安全法に照らして早急に対策を検討することをお薦めします。
野村 高志
西村あさひ法律事務所 パートナー弁護士 上海事務所代表
陳 致遠
西村あさひ法律事務所 弁護士
