中国全国人民代表大会常務委員会(NPC)が7月初旬にデータセキュリティ法をパブリックコメント用に公開した。今回の草案法の公表は、中国における広義の「データセキュリティ」を保護するための規制枠組みの確立に向けた一歩を踏み出すものであり、特に「漏洩した場合、中国の国家安全保障、経済安全保障、社会安定、公衆衛生および安全保障に直接影響を与える可能性のあるデータ」と定義される「重要なデータ」のガバナンスに重点を置いたものとなっている。草案の多くの規定は曖昧なままで、実際にどのように実施されるかについての指針が欠けている。

中国政府は長い間、データに対するセキュリティを中心としたアプローチを追求してきた。サイバーセキュリティ法や暗号化法などの主要な規制では、国家安全保障をデータ法制の目的の中核に据えている。これまでの主な目標は、厳格な技術的要件を守ることでサイバー攻撃やデータ漏洩を防ぎ、インターネットのコンテンツやサイバーインフラをコントロールすることだ。

しかし、今回の法案では、規制されたデータ経済を通じて、中国の膨大なデータ資源から経済的利益を得ることも含まれれていると専門家は説明している。

範囲と地理的範囲

第2条では、草案法は中国国内の「データ活動」に適用されるとしているが、中国の国家安全保障、公共の利益、または中国国民の権利を害するおそれのあるデータ活動を行う中国国外の組織や個人も本法の対象となる可能性があるとしている。 ここで、「データ」とは、電子的・非電子的な情報記録全般を対象とし、「データ活動」とは、データの収集、保存、処理、使用、提供、取引、開示などを指す(第3条)。 ただし、国家機密、個人情報、軍事情報に関わるデータ活動については、同法案では規定されていない(第49条、第50条)。

データセキュリティの枠組み

法案の第3節は、主に重要データの規制に焦点を当てている。 同項の第19条では、地方政府は中央政府の部門と同様に、それぞれの地域、部門、産業の「重要データ」を決定し、そのデータを保護するための措置を講じなければならないと規定されている。法案はリスク評価、報告、情報共有、監視、潜在的なデータ・セキュリティ・リスクの早期警告のための中央集権的なメカニズムを規定。データセキュリティ事故が発生した場合には、関連部門がリスクを軽減し、必要に応じて国民に警告するための緊急時対応システムを発動することを明記している。国家安全保障上のリスクがあると考えられるデータ活動を審査する「国家安全保障審査」の制度を設ける。

また、同法草案には、第24条の規定が含まれており、データ関連の貿易や投資に関して中国に対して差別的な行為を行った国や地域がある場合には、中国は当該国や地域に対して相応の措置を講じる権利を有するとしている。

「データ活動」を行う事業者に対するデータセキュリティ義務

データ活動を行う主体は、データセキュリティを確保するための体制を確立し、人材の育成や技術的対策を含めてデータセキュリティを確保しなければならない。 また、重要なデータを処理する主体は、データセキュリティ担当者を任命し、管理委員会を設置してデータセキュリティの責任を分担する。

また、リスクモニタリング機能を強化しなければならない。 脆弱性が発見された場合には直ちに是正措置を実施し、データセキュリティ事故が発生した場合には、利用者や規制当局に通知する。

このように、データセキュリティ管理対策推進法(案)における重要データに関する要求事項は、データセキュリティ管理責任者の指定、重要データの移転制限等を含むデータセキュリティ管理対策推進法(案)における重要データに関する要求事項と重複しているように思われますが、データセキュリティ管理対策推進法(案)における重要データに関する要求事項は、データセキュリティ管理責任者の指定、重要データの移転制限等を含むデータセキュリティ管理対策推進法(案)における重要データに関する要求事項と重複している。

特定のタイプのエンティティの要件 データブローカーと「オンラインデータ処理サービス」の提供者

データブローカーの責任には、(1)データの提供者にデータの出所の説明・明確化を要求すること、(2)取引の当事者(データ提供者とデータ受信者)の身元を確認すること、(3)監査および取引記録を維持することが含まれる。

オンラインデータ処理サービスの提供者は、通信規制当局が発行する規制に従って、適切な事業免許を取得しなければならないか、または届出をしなければならない。

政府によるデータへのアクセス

法案では、国家安全保障の維持や犯罪捜査のためにデータを収集する法執行機関は、必要な手続き法を遵守すべきであるが、個人や組織は要求に応じる義務があると具体的に述べられている。

外国の法執行機関が個人または組織に対してデータアクセスの要求を行った場合、そのような個人または組織は、開示に先立ち、承認を得るために、まず中国の管轄の規制当局にその要求を報告しなければならない。 ただし、中国が外国の法執行機関によるデータへのアクセスに関する規定を含む国際条約に参加している場合には、そのような条約に従ってデータを開示しなければならない。

参考文献

  1. Yan Luo, Zhijing Yu. "China Issued the Draft Data Security Law". Covington.
  2. Bird & Bird. "China's long awaited draft Data Security Law released - What does it cover (and not cover)?". Lexology.
  3. Bilingual Data Security Law Draft