2021年9月に施行された中国データセキュリティ法、日系企業にも影響が及びのか、対策が必要なのか解説をします。
▼ サイバーセキュリティ法についてはこちら
1. 目的と対象
(1) データセキュリティ、データの開発利用の促進、公民および組織の合法的権益の保護、国家の主権および安全保障と発展の利益を守るために、本法を制定する。(1 条)
(2) 中国国内で展開するデータ活動に対し本法を適用する。中国国外の組織および個人によるデータ活動によって、中国の国家の安全、公共の利益、公民および組織の合法的権益が損害を受けた場合は法的責任を追及する。(2 条)
(3) 本法でいう「データ」とは、電子的または非電子的形式を用いたあらゆるデータの記録を指す。「データ活動」とは、データの収集、保存、加工、使用、提供、取引、公開等の行為を指す。「データセキュリティ」とは、必要な措置を取ることでデータの有効的な保護と合法的な利用を保障し、かつ安全な状態を維持する能力を指す。(3 条)
2. 国家による制度整備と支援
(1) ビッグデータ戦略を実行し、データインフラ施設の建設を推進する。(13 条)
(2) データの開発利用技術に関する基礎研究を強化する。(14 条)
(3) データの開発利用技術、データセキュリティに関する標準規格を策定する。(15 条)
(4) データセキュリティの評価・認証に関するサービスの成長を促進する。(16 条)
(5) 健全なデータ取引管理制度を構築する。(17 条)
(6) データの開発利用技術およびデータセキュリティに関するトレーニング、人材育成、人的交流を支援する。(18 条)
3. データセキュリティ制度
(1) データの重要度およびインシデント発生時に国家の安全や公共の利益が受けうる損害の程度に応じて、データの分級分類保護を行う。各地域と各部門は管轄地域・産業ごとの重要データ保護リストを作成し、対象となったデータを重点的に保護する。(19 条)
(2) 国家が統一してデータセキュリティのリスク評価・報告・情報共有・監視アラートメカニズムを構築する。(20 条)
(3) データセキュリティ審査制度を構築し、国家の安全に影響するか、影響する可能性のあるデータ活動に対し国家セキュリティ審査を実施する。(22 条)
(4) 国際的な義務の履行および国家の安全維持に関連する管理品目のデータは、輸出管理の対象とする。(23 条)
(5) いずれかの国家または地域が、データおよびデータ開発に利用する技術等に関する投資や貿易において、中国に対して差別的な禁止、制限、その他の類似措置を取った場合、実際の状況に応じて当該国家または地域に対し相応の措置を行う。(24 条)
4. データセキュリティ保護義務
(1) データ活動を行う際は、法律、行政法規、強制性標準規格に従い、全工程に及ぶデータセキュリティ管理制度を樹立した上で、データセキュリティに関する教育を実施し、必要な技術的措置を行ってデータセキュリティを保障する。重要データの処理者は、データセキュリティの責任者および管理機構を設置する。(25 条)
(2) データ活動を行う際はリスク監視を強化する。セキュリティインシデントが発生した場合、規定に従って速やかにユーザーおよび関連主管部門に報告する。(27 条)
(3) 重要データの処理者は、規定に照らして当該データ活動に対し定期的にリスク評価を実施し、主管部門にリスク評価報告を提出する。報告には当該組織が保有する重要データの種類、量、収集・保存・加工・使用の状況、直面するセキュリティリスクと対策等が含まれる。(28 条)
(4) データ取引仲介サービス事業者は、データ提供者にデータの出所について説明を求め、取引を行う双方の身分確認および取引の記録を保存する。(30 条)
(5) オンラインデータ処理等のサービス事業者は、経営許可あるいは必要な届出登録を行わなければならない。具体的な方法は国務院電信主管部門などが定める。(31 条)
(6) 公安機関および国家安全機関が国家の安全維持または犯罪捜査のためにデータの提供を求めた場合、関連する組織や個人は協力しなければならない。(32 条)
(7) 海外の法律執行機関が中国国内に保存されたデータの提供を求めた場合、関連する組織や個人は関連主管部門に報告し、許可を得た後に提供する。中国が締結または参加する国際条約・協定に関連する規定がある場合は当該規定に従う。(33 条)
5. 法的責任
(1) データ活動を行う組織や個人が、本法 25 条、27 条、28 条、29 条で規定するデータセキュリティ保護義務を履行していないか、あるいは必要なセキュリティ措置を取っていない場合、主管部門が改善命令と警告を行った上で、1 万元以上 10 万元以下の過料を科し、さらに直接の責任を負う管理者に対し 5,000 元以上 5 万元以下の過料を科してもよい。改善を拒否するか大量のデータ漏洩等の重大な結果をもたらした場合、10 万元以上 100 万元以下の過料、および直接の責任を負う管理者とその他の直接の責任者に対し 1 万元以上 10 万元以下の過料を科す。(42 条)
(2) データ取引仲介事業者が本法 30 条で規定する義務を履行しなかった場合、主管部門が改善命令を出し、違法所得を没収した上で、違法所得の 2 倍以上 10 倍以下の過料を科す。違法所得が無い場合、10 万元以上 100 万元以下の過料を科す。併せて業務許可証や営業ライセンスの取り消しを行ってもよい。さらに直接の責任を負う管理者とその他の直接の責任者に 1 万元以上 10 万元以下の過料を科す。(43 条)
(3) 許可の未取得または届出登録無しに本法 31 条で規定するオンラインデータ処理等のサービスを行った場合、主管部門が改善命令を出すか取り締まりを行い、違法所得を没収した上で、10 万元以上 100 万元以下の過料を科す。直接の責任を負う管理者とその他の直接の責任者に 1 万元以上 10 万元以下の過料を科す。(44 条)
(4) データ活動を通じて国家の安全、公共の利益、公民・組織の合法的権益に損害を与えた場合、関連する法律、行政法規の規定に照らして処罰を行う。(47 条)
(5) 本法に違反して他者に損害を与えた場合、法に基づき民事責任を負う。治安管理に関わる違反行為を行った場合、治安管理に基づく処罰を行い、犯罪を行った場合は刑事責任を追及する。(48 条)
●原文(中国語)
http://www.ahwx.gov.cn/wlaq/202007/t20200708_4629248.html(参考:安徽省互联网信息办公室)
本レポートは「中国法令アラートサービス 2020 年 7 月号」の内容を一部抜粋、編集したものです。「中国法令アラートサービス」では、最新の法令・制度変更に関する詳細および予想される日系企業への影響、実務で得た動向変化に関する情報等を毎月 PDF でお届けしています。
【無料ダウンロード】中国データセキュリティ法をリーガルコンサルタントが解説したガイドブック!
中国の弁護士資格を保有したリーガルコンサルタントが中国データセキュリティ法について詳細に解説したガイドブックを、今なら無料でダウンロードいただけます。
▼ 中国データセキュリティ法 入門ガイドを読むと・・・
- 中国データセキュリティ法について理解が深まる!
- 中国データセキュリティ法の罰則事例から自社のリスク管理に役立つ!
- 中国データセキュリティ法の対策方針が分かる!
