2021年、全国人民代表大会常務委員会(全人代常務委)により「データセキュリティ法(数据安全法)」と「個人情報保護法(个人信息保护法)」といった重要かつ基本となる法律が公表され、施行された。これを受けて、上述した2つの法律と2017年に施行された「サイバーセキュリティ法(网络安全法)」により、中国のデータ規制に関する三本柱となる法体系が構築された。
以下では、過去一年間において、「データセキュリティ法」と「個人情報保護法」をはじめとするデータ規制の状況を振り返りつつ、2022年の法令動向について、予測していく。
一. データ規制状況の振り返り
1. データセキュリティ法
データセキュリティ法は、2021年9月1日に施行され、データ規制と国家安全保障領域における重要な基本法として関心が寄せられている。特に、以下の主な内容が規定されている。
(1)データ分類・等級保護の基本制度の確立
従来のデータ分類の方法に沿って、重要データのほか、新たに核心データという仕組みを創出した。今後、国家の安全、国民経済等に影響を及ぼすデータがより一層厳しく規制されるようになり、また重要データの目録が主務官庁及び業界ごとの主管部門により作成されることになっている。
また、サイバーセキュリティ法にある等級保護周りの内容を拡充し、等級保護の基本制度を確立した。
(2)国家安全審査制度の確立
主務官庁は、国家の安全に影響しうるデータの取扱いに対し安全審査を行い、そして審査結果が最終決定となることとしている。
(3)その他
ビッグデータ戦略、データ開発・セキュリティ研究に係る支援、公共サービスのインテリジェント化、データ取引制度といった政策をも取り上げている。
2. 個人情報保護法
個人情報保護法は、2021年11月1日に施行され、過去一年の中で一番注目を浴びたと言っても過言ではない。今まで民法典、サイバーセキュリティ法及び関連する草案レベルの法令に散見された個人情報に関する内容が、専門法律である個人情報保護法においてより網羅的に規定されるようになった。以下では、本法の重要なポイントを若干まとめる。
(1)個人情報の処理規則
基本的には、個人情報を取り扱うにあたり、告知・同意という仕組みが採用され、また告知すべき内容と同意の方法については、いくつかの条項をもって規定している。ところが、実務上ではまだ曖昧なところが少なくないため、まだ草案レベルのその他法令により解釈しなければならない。
(2)個人情報の越境移転
グローバル企業では、業務上の必要性に応じ、顧客及び従業員の個人情報を中国から国外に越境移転することがよくあるが、本法では個人情報を越境移転する前提条件を明確にしている。企業は自社の状況を法令の内容に照らし合わせ、適切な措置を講じた上で処理することが望ましい。
(3)その他
センシティブな個人情報の取扱いに対して、厳しい要求が定められている。また、法令に違反した場合の罰則には、行政責任、民事責任のほか、刑事責任をも規定されている。
3. その他法令
時系列で見ていくと、以下の重要法令が公表された。
(1)「重要情報インフラセキュリティ保護条例(关键信息基础设施安全保护条例)」
本条例は2021年7月30日に公表され、2021年9月1日に施行された。本条例はサイバーセキュリティ法と共に、重要情報インフラを認定する方法、運営者の責任等を明確に規定した。
(2)「自動車データセキュリティ管理に関する若干の規定(試行)(汽车数据安全管理若干规定(试行))」
本規定は2021年8月16日に公表され、2021年10月1日に施行された。本規定では、自動車データ、個人情報及びセンシティブな個人情報を定義したほか、重要データの基準を明確にし、特に10万人以上の個人情報が重要データに該当するものと定めたことが注目される。なお、重要データを取り扱う前に、安全評価を行うことも義務付けられている。
(3)「データ越境移転に関する安全評価弁法(意見募集稿)(数据出境安全评估办法(征求意见稿))」
本弁法は2021年10月29日に公表され、2021年11月28日までパブリックコメントを募集していた。本弁法が正式に施行されると、2017年4月11日に公表された「個人情報及び重要データの越境移転に関する安全評価弁法(意見募集稿)(个人信息和重要数据出境安全评估办法(征求意见稿))」に代わり適用される可能性が高いと考えられる。また、当局による安全評価の基準が変わった点も注目に値する。
(4)「ネットワークデータ安全管理条例(意見募集稿)(网络数据安全管理条例(征求意见稿))」
本条例は2021年11月14日に公表され、2021年12月13日までパブリックコメントを募集していた。本条例は、サイバーセキュリティ法、データセキュリティ法及び個人情報保護法に基づき、これらの法律で明確になっていなかった部分について細則等を規定する行政法規となっている。一般規定のほか、個人情報保護、重要データの安全とデータ越境移転等に重点を置いて規定しているが、その内容が実際の実務に沿うか否か白熱した議論となっている。
(5)「ネットワーク安全審査弁法(网络安全审查办法)」
本弁法は、2021年に話題になったある大手IT企業が当局の安全審査を経ずに海外上場した件をきっかけに旧弁法が改正されたもので、2021年12月28日に公表され、2022年2月15日に施行された。重要な改正点として、100万人以上のユーザー情報を有するインターネットプラットフォーム運営者が海外上場する前に、主務官庁による安全審査を経なければならないことと、安全審査の対象と規制行為を拡大した点が挙げられる。
二.今後の法令動向
1. データ越境移転について
前述したように、「データ越境移転に関する安全評価弁法(意見募集稿)」をはじめとするデータ越境移転に関する法整備が整いつつあるが、実務上、依然として曖昧な部分が散見される。例えば今後の動きとしては、個人情報を越境移転するにあたって送付側と受取側の間で締結すべき標準契約の制定が見込まれている。
2. 重要データと重要情報インフラについて
現時点では、重要データの分類と重要情報インフラの識別について、各業界の主務官庁が認定基準やリストを作成することになっている。今後、各業界の認定基準・リストを公表していくことが予測される。
3. ブロックチェーン技術等について
昨今、デジタル化社会は、技術の急速な発展により色々な可能性を実現したが、同時に数多くの社会的な課題にも直面している。例えば、NFT、DeFi及びDAO等、ブロックチェーン技術にちなんだ斬新な概念が次々と世に出てきている。
各国のこれらの新技術に対する規制態様は様々で、日本のように暗号資産を改正資金決済法・金商法等により柔軟的に規制する国がある一方、中国政府は民間企業が暗号資産を発行したり取引したりすることを全面的に禁止している。特に2021年9月15日に公表された「仮想通貨取引の投機的リスクの更なる防止と処理に関する通知(关于进一步防范和处置虚拟货币交易炒作风险的通知)」では、暗号資産の取引・マイニング等の業務を実質的に禁止した。他方、中国政府は中国人民銀行が発行・管理する「デジタル人民元」を推進することを許容している。
また、2019年2月15日に施行された「ブロックチェーン情報サービス管理規定(区块链信息服务管理规定)」及び関連政策の動きから見れば、中国政府がブロックチェーン産業の育成に積極的に取り組んでいる姿勢が読み取れる。
なお、関連技術基準の主導権を取るために、「情報安全技術 ブロックチェーン情報サービス安全規範(信息安全技术 区块链信息服务安全规范)」と「情報安全技術 ブロックチェーン技術安全フレームワーク(信息安全技术 区块链技术安全框架)」の草案を打ち出しており、今後の先行きが注目される。