見出し画像

2021年9月1日に中国データセキュリティ法が施行 全文翻訳付きでポイント解説

中尾貴光

先日の記事で、「重要情報インフラ安全保護条例」が本年9/1から施行されることとその内容をお伝えしましたが、同じ9/1に、以前にも少し触れた「中国データセキュリティ法(中国語原文:中华人民共和国数据安全法)」も施行されることになっています。

今回は、同法案の全文翻訳とポイントを紹介したいと思います。

同法案の作成着手は2018年9月で、2020年6月28日の全国人民代表大会常務委員会で審議され、同年7月3日に8月16日までの期限で、意見やフィードバックを求める意見稿が公開されました。そこで、得られた意見やその他様々な検討が繰り返され、2021年6月10日に第84号儀礼として採択、承認され、9月1日の施行を間近に控えている、という状態になります。

同法案は以下通りの内容で構成されています。

第一章 総則
第二章 データの安全と発展
第三章 データセキュリティ制度
第四章 データセキュリティ保護義務
第五章 政務データの安全と開放
第六章 法律責任
第七章 付則

全体で七章五十五条からなる構成です。

まず、第一章 第一条で同法案の目的が以下のように語られています。

データ処理活動を規範化させ、データの安全を保障し、データの開発と利用を促進し、個人、組織の合法的権益を保護し、国家主権、安全と発展利益を維持するために、本法を制定する。

そして、その適用範囲なのですが、中国国内だけでなく、国外においても「国家の安全、公共利益又は公民、組織の合法的権益を損なった場合、法により法律責任を追及する」と第一章 第二条に記載されています。

ここの解釈が難しいですが、中国にオフィスなどは構えていないが、上記に当てはまる海外の企業は法律責任を追及されることもある、とも取れます。

後になるのですが、第四章 第三十六条で「中華人民共和国の主管機関の承認を経ない限り、国内の組織、個人は外国の司法又は法律執行機関に中華人民共和国国内に格納されているデータを提供してはいけない。」と「海外」を意識した記述がこちらにもあります。

ここでいう「国内の組織」が中国企業や団体を指すのか、外資も含む中国に席がある企業や団体を指しているのかは定かではありませんが、後者な気がしています。

その他気になる点としては、「第六章 法律責任」の部分です。

こちらはいわゆる、同法案に違反した場合の罰則が記述されているのですが、一番気になるのは、第四十八条です。

先の海外の司法機関に求められた場合は中国の主管部門の承認を経てから引き渡すべしというところを、承認を得ず海外の司法機関にデータを引き渡してしまうと、企業・団体は10万元以上100万元以下の罰金が科され、責任者個人には1万元以上10万元以下の罰金が科されます。

また、上記案件が「重大事項」と認定された場合は、罰金刑が100万元以上500万元以下の罰金刑になるとともに、場合によっては営業許可の取消などの措置も取られるということです。

そして、同第四十八条で注意すべき点はもう1つあり、それは下記第三十五条と関連する罰則です。

公安機関、国家セキュリティ機関は法により国の安全を維持し、又は犯罪を捜査する必要があるため、データを調取する。国の関連規定に従い、厳格な批准手続きを経て、法により行うが、関連組織、個人は協力しなければならない。

要は中国の公安であるとか国家セキュリティ機関からデータ徴収を求められることがあるということをうたっているのですが、第四十八条ではその徴収に応じない場合、企業・団体は5万元以上50万元以下の罰金が科せられ、責任者個人には1万元以上10万元以下の罰金が科される、ということです。

また、もちろん海外に重要データを許可なく送ってしまった場合の罰則も厳格で、こちらは第四十六条にまとめられていますが、企業・団体は10万元以上100万元以下の罰金が科せられ、責任者は1万元以上10万元以下の罰金が科されます。

こちらも「重大事項」と認定されてしまうと、企業・団体、責任者ともに罰金は10倍に跳ね上がり、企業団体が100万元以上1000万元以下、責任者が10万元以上100万元以下の罰金が科され、且つ営業許可が取り消される可能性もあります。

どこまでが重要データと定義、認定されるのかいまいち見えない部分もあるので、今後も継続注視していきたいと思いますが、中国に進出をしていてデータを日本本社とやり取りするような企業は注意するに越したことはなさそうです。

データ仲介や売買をする企業・団体向けの罰則も「第四十七条」に記載されているので、該当する方は確認いただいた方が良いかと思います。

さて、簡単にポイントを紹介しましたが、全文翻訳は下記にてご参照ください。

この「中国データセキュリティ法」とは別に、11月1日からは「個人情報保護法」も施行されます。こちらも、中国企業だけではなく、中国でビジネスを展開する日系企業にとっても重要な法案になりそうなので、サイバーセキュリティとは直接的な関係はないかもしれませんが、別途紹介の機会を作りたいと思います。

ーーー 以下全文翻訳 ーーー

第一章 総則

第一条 データ処理活動を規範化させ、データの安全を保障し、データの開発と利用を促進し、個人、組織の合法的権益を保護し、国家主権、安全と発展利益を維持するために、本法を制定する。

第二条 中華人民共和国国内でデータ処理活動及び安全監督管理を展開し、本法を適用する。

中華人民共和国の国外でデータ処理活動を展開し、中華人民共和国の国家の安全、公共利益又は公民、組織の合法的権益を損なった場合、法により法律責任を追及する。

第三条 本法でいうデータとは、電子またはその他の方法で情報に対する記録をいう。

データ処理は、データの収集、保存、使用、加工、転送、提供、公開などを含む。

データの安全とは、必要な措置を講じることによって、データが有効に保護され、合法的に利用されている状態を確保することと、持続的な安全状態を保障する能力を備えていることをいう。

第四条 データの安全を維持するには、国全体の安全観を堅持し、データセキュリティ対策体系を確立し、健全化し、データの安全保障能力を向上させなければならない。

第五条 中央国家安全指導機構は、国家データ安全業務の決定と議事の協調を担当し、国家データセキュリティ戦略と関連する重大方針政策の実施を検討し、指導し、国家データセキュリティの重要事項と重要な仕事を調整し、国家データセキュリティ業務の協調体制を構築する。

第六条 各地域、各部門は、本地域、本部門の業務におけるデータ収集と発生のデータ及びデータ安全に対して責任を負う。

工業、電気通信、交通、金融、自然資源、衛生健康、教育、科学技術などの主管部門は当業界、当分野のデータ安全監督管理の職責を負う。

公安機関、国家安全機関などは本法と関連法律、行政法規の規定に基づき、それぞれの職責範囲内でデータ安全監督管理の職責を負う。

国家網信部門は、本法と関連法律、行政法規の規定に基づき、ネットワークデータの安全と関連監督管理の調整を担当する。

第七条 国は個人を保護し、データに関する権益を組織し、データが法により合理的且つ有効に利用されることを奨励し、データが法に基づき、秩序よく自由に流動することを保障し、データが重要な要素となるデジタル経済の発展を促進する。

第八条 データ処理活動を展開するには、法律、法規を遵守し、社会道徳と倫理を尊重し、商業道徳及び職業道徳を遵守し、誠実且つ信用ある、データの安全保護義務を履行し、社会に対して責任を負い、国の安全、公共利益に危害を加えてはならず、個人、組織の合法的権益を損なってはならない。

第九条 国家はデータセキュリティに関する知識の普及をサポートし、社会全体のデータセキュリティ保護意識とレベルを向上させ、関連部門、業界組織、科学研究機関、企業、個人などがデータセキュリティ保護活動に共同で参加し、社会全体でデータの安全を維持し、発展を促進する良好な環境を形成する。

第十条 関連業界の組織は規約に従い、法に基づいたデータの安全行為規範と基準を制定し、業界の自律を強化し、会員にデータの安全保護を強化するよう指導し、データの安全保護水準を高め、業界の健全な発展を促進する。

第十一条 国はデータセキュリティ対策、データ開発利用などの分野の国際交流と協力を積極的に展開し、データセキュリティに関する国際規則と標準の制定に参与し、データ越境における安全、自由流動を促進する。

第十二条 いかなる個人、組織もすべて本法の規定に違反する行為に対して関係主管部門に対して告発する権利がある。クレーム、通報を受けた部門は適時に法律に基づいて処理しなければなりません。

関連主管部門はクレーム、届出人の関連情報を秘密にし、クレーム、届出人の合法的権益を保護しなければならない。

第二章 データの安全と発展

第十三条 国家は発展と安全を統一的に計画し、データ開発利用と産業発展でデータの安全を促進し、データの安全保障、開発と利用の産業発展を堅持する。

第十四条 国家はビッグデータ戦略を実施し、データインフラの建設を推進し、各業界、各分野におけるデータの革新的な応用を奨励し、サポートする。

省級以上の人民政府は、デジタル経済の発展を本級の国民経済と社会発展計画に組み入れ、必要に応じてデジタル経済発展計画を制定しなければならない。

第十五条 国家は、データの開発と利用をサポートし、公共サービスのインテリジェントレベルを向上させる。スマート公共サービスを提供するには、高齢者、障害者のニーズを十分に考慮し、高齢者、障害者の日常生活に支障をきたすことを避けなければならない。

第十六条 国家はデータ開発利用とデータセキュリティ技術研究を支持し、データ開発利用とデータセキュリティなどの分野の技術普及と商業革新を奨励し、データ開発利用とデータセキュリティ製品、産業体系を育成、発展させる。

第十七条 国家はデータ開発利用技術とデータ安全基準体系の整備を進めている。国務院標準化行政主管部門と国務院関係部門は各自の職責に基づき、関連データの開発利用技術、製品とデータの安全に関する基準を制定し、適時に改訂する。国家は企業、社会団体と教育、科学研究機関などの参加基準の制定を支持する。

第十八条 国は、データセキュリティの検査評価、認証などのサービスの発展を促進し、データセキュリティの検査評価、認証などの専門機関が法に基づいてサービス活動を展開することをサポートします。

国家は関係部門、業界組織、企業、教育と科学研究機関、関連専門機関などがデータセキュリティリスク評価、予防、処理などの面で協力を展開することを支持する。

第十九条 国家はデータ取引管理制度を確立し、データ取引行為を規範化させ、データ取引市場を育成する。

第二十条 国家は教育、科学研究機関及び企業等のデータ開発利用技術とデータ安全に関する教育と訓練を支援し、データ開発利用技術とデータ安全専門人材を育成し、人材交流を促進する。

第三章 データセキュリティ制度

第二十一条 国家はデータ分類等級保護制度を確立し、データの経済社会発展における重要度に基づいて、改竄、破壊、漏洩または不法に利用し、国家安全、公共利益又は個人、組織合法的権益に対する危害の程度によって、データに対し等級別保護を実施する。国家データセキュリティ業務協調機構は、関係部門を統括して重要データ目録を作成し、重要データの保護を強化する。

国家の安全、国民経済の命脈(※注釈:最も重要な、という例え)、重要な民生、重大な公共利益などのデータは国家の核心データに属して、更に厳格な管理制度を実行します。

各地区、各部門は、データ分類保護制度に基づき、当該地区、本部及び関連業界、分野の重要データの具体的なリストを指定し、リストに組み入れられたデータは重点的に保護しなければならない。

第二十二条 国は統一的で高効率なデータセキュリティリスク評価、報告、情報共有、警報メカニズムのモニタリングを確立する。国家データ安全業務協調メカニズムは、関係部門を統括し、データセキュリティリスク情報の取得、分析、研究、早期警戒を強化する。

第二十三条 国はデータセキュリティ応急処置メカニズムを確立する。データセキュリティ事件が発生した場合、関連主管部門は法により緊急対応策をスタートさせ、相応の応急処置を講じ、危害の拡大を防止し、安全上の潜在的なリスクを除去し、速やかに社会、公衆に対し警告情報を発しなければならない。

第二十四条 国はデータセキュリティ審査制度を確立し、国の安全に影響を与える可能性があるデータ処理活動に対して国家セキュリティ審査を行い、法に基づくセキュリティ審査を最終決定とする。

第二十五条 国は、国家の安全と利益の維持、国際義務の履行に関する管制物項目に属するデータに対し、法により輸出規制を実施する。

第二十六条 いかなる国又は地域でも、データ及びデータ開発利用技術等に関する投資、貿易等の面で中華人民共和国に対して差別的な禁止、制限又はその他類似の措置を講じる場合、中華人民共和国は、実際の状況に応じて当該国又は地域に対して対等に措置を講じることができる。

第四章 データセキュリティ保護義務

第二十七条 データ処理活動を展開するには、法律、法規の規定に従い、全プロセスにおいてデータセキュリティ管理制度を確立し、健全化し、データセキュリティ教育訓練を組織し、相応の技術措置とその他必要な措置を講じて、データの安全を保障しなければならない。インターネット等の情報ネットワークを利用したデータ処理活動は、サイバーセキュリティ等級保護制度に基づき、上記データセキュリティ保護義務を履行しなければならない。

重要データの処理者はデータセキュリティ責任者と管理機構を明確にし、データ安全保護責任を実行しなければならない。

第二十八条 データ処理活動及び研究開発データの新技術を展開することは、経済社会の発展を促進し、人民の福祉を増進し、社会の公徳と倫理に適合することに有利であるべきである。

第二十九条 データ処理活動を展開するには、リスクモニタリングを強化し、データセキュリティ欠陥、脆弱性などのリスクを発見した場合、直ちに救済措置を講じなければならない。データセキュリティ事件が発生した場合は、直ちに措置を講じ、規定に従い速やかにユーザーに通知し、関連主管部門に報告しなければならない。

第三十条 重要データの処理者は、規定に従い、そのデータ処理活動に対して、リスク評価を定期的に実施し、かつ関係主管部門にリスク評価報告を提出しなければならない。

リスク評価報告は、処理の重要データの種類、数量、データ処理活動を展開する場合、直面するデータセキュリティリスク及びその対応措置等を含むべきである。

第三十一条 重要情報基礎施設の運営者は中華人民共和国国内の運営において重要データを収集し、発生した出国安全管理において、「中華人民共和国サイバーセキュリティ法」の規定を適用する。その他のデータ処理者は中華人民共和国国内の運営において重要なデータを収集し、生成する出国安全管理弁法は、国家網信部門が国務院関係部門と共同で制定する。

第三十二条 いかなる組織、個人がデータを収集する場合にも、合法的、正当な方法を講じ、データを盗み取ったり、またはその他の不法な方法で取得してはならない。

法律、行政法規はデータの収集、使用の目的、範囲に規定がある場合、法律、行政法規の規定の目的と範囲内でデータを収集、使用しなければならない。

第三十三条 データ取引仲介サービスに従事する機構は、データ提供者にデータの出所を説明し、取引双方の身分を審査し、審査や取引の記録を残すよう要求しなければならない。

第三十四条 法律、行政法規の規定によりデータ処理関連サービスを提供し、行政許可を取得しなければならない場合、サービスプロバイダは法により許可を取得しなければならない。

第三十五条 公安機関、国家セキュリティ機関は法により国の安全を維持し、又は犯罪を捜査する必要があるため、データを調取する。国の関連規定に従い、厳格な批准手続きを経て、法により行うが、関連組織、個人は協力しなければならない。

第三十六条 中華人民共和国の主管機関は、関連法律と中華人民共和国と締結又は参加する国際条約、協定に基づき平等互恵の原則のもと、外国の司法又は法律執行機関にデータの提供に関する請求を処理する。中華人民共和国の主管機関の承認を経ない限り、国内の組織、個人は外国の司法又は法律執行機関に中華人民共和国国内に格納されているデータを提供してはいけない。

第五章 政務データのセキュリティと開放

第三十七条 国家は電子政務の建設を強力に推進し、政務データの科学性、正確性、時効性を高め、データを運用して経済社会の発展にサービスする能力を向上させる。

第三十八条 国家機関は法定職責を履行するためにデータを収集し、使用し、その法定職責を履行する範囲内で法律、行政法規に規定された条件と手順に従って行わなければならない。職責履行中に知った個人のプライバシー、個人情報、商業秘密、秘密保持ビジネス情報などのデータは法により秘密とし、漏洩または不法に他人に提供してはいけない。

第三十九条 国家機関は法律、行政法規の規定に従い、データセキュリティ管理制度を確立し、健全化し、データセキュリティ保護責任を実行し、政務データの安全を保障しなければならない。

第四十条 国家機関は他人に電子政務システムの建設を委託し、政務データを保存、加工し、厳格な批准手順を経て、受託者が相応のデータセキュリティ保護義務を履行するよう監督しなければならない。受託先は法律、法規の規定と契約の約定に従ってデータの安全保護義務を履行し、無断で保存、使用、漏洩または他の人に政務データを提供してはいけない。

第四十一条 国家機関は、公正、公平、便民(※訳注:大衆の便宜をはかること)の原則に従い、規定に従い、政務データを適時、正確に公開しなければならない。法により公示しない場合は除く。

第四十二条 国家は政務データ開放目録を制定し、統一規範、相互接続、安全制御可能な政務データ開放プラットフォームを構築し、政務データの開放利用を推進する。

第四十三条 法律、法規に授権された公共事務を管理する機能を有する組織は、法定職責を履行するためにデータ処理活動を展開し、本章の規定を適用する。

第六章 法律責任

第四十四条 関係主管部門は、データの安全監督管理の職責を履行する中で、データ処理活動に大きなセキュリティリスクがあることを発見した場合、規定の権限と手順に従って関連組織、個人とコンタクトをし、関連組織、個人に対して措置を講じて改善し、潜在リスクを取り除くよう要求することができる。

第四十五条 データ処理活動を展開する組織、個人が本法第二十七条、第二十九条、第三十条に規定するデータセキュリティ保護義務を履行しない場合、関連主管部門が是正を命じ、警告を与え、5万元以上50万元以下の罰金を科すことができる。直接責任を負う主管者とその他の直接責任者に対して、1万元以上10万元以下の罰金を科することができる。改善を拒んだり、または大量のデータ漏洩などの重大な結果をもたらしたりした場合、50万元以上の200元以下の罰金を科し、関連業務の停止、休業整理、関連業務の許可証の取り消し、または営業許可証の取り消しを命じ、直接責任を負う主管者とその他直接責任者に対して5万元以上20元以下の罰金を科すことができる。

国家の核心データ管理制度に違反し、国家主権、安全と発展の利益を損なう場合、関連主管部門が200万元以上の1000万元以下の罰金を科し、状況によって関連業務の停止、休業整理、関連業務許可証の抹消または営業許可証の抹消を命じられる。犯罪を構成する者は、法により刑事責任を追及する。

第四十六条 本法の第三十一条の規定に違反して、国外に重要なデータを提供した場合、関連主管部門が是正を命じ、警告を与え、10万元以上100万元以下の罰金を科す。直接責任を負う主管者とその他直接責任者に対して、1万元以上10万元以下の罰金を科すことができる。重大な状況である場合、100万元以上の1000万元以下の罰金を科し、関連業務の一時停止、営業整理、関連業務許可証の抹消または営業許可証の抹消を命じ、直接責任を負う主管者とその他直接責任者に対して、10万元以上100万元以下の罰金を科すことができる。

第四十七条 データ取引仲介サービスに従事する機構が本法第三十三条の規定の義務を履行していない場合、関連主管部門が是正を命じ、違法所得を没収し、違法所得の2倍以上の10倍以下の罰金を科し、違法所得がない又は違法所得が10万元未満の場合、10万元以上100万元以下の罰金を科し、関連業務を停止するよう命じることができる。営業整理、関連業務許可証の取り消し、または営業許可証の取り消し。直接責任を負う主管者とその他の直接責任者に対して1万元以上10万元以下の罰金を科する。

第四十八条 本法第三十五条の規定に違反して、データの調取に協力しない場合、関係主管部門が是正を命じ、警告を与え、5万元以上50万元以下の罰金を科し、直接責任を負う主管者とその他直接責任者に対して1万元以上10万元以下の罰金を科する。

本法の第三十六条の規定に違反して、主管機関の許可を得ずに外国の司法または法律執行機関にデータを提供した場合、関連主管部門から警告を与えられ、10万元以上100万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に対して、1万元以上10万元以下の罰金を科することができる。重大な結果をもたらした場合、100万元以上500万元以下の罰金を科し、関連業務の一時停止、営業整理、関連業務許可証の取り消しまたは営業許可証の取り消しを命じることができ、直接責任を負う主管者とその他の直接責任者に対して5万元以上50万元以下の罰金を科すことができる。

第四十九条 国家機関が本法に規定されたデータセキュリティ保護義務を履行しない場合、直接責任を負う主管者及びその他の直接責任者に対して法により処分する。

第五十条 データセキュリティ監督の職責を履行する国家従業員が職務を怠り、職権を濫用し、私利にとらわれて不正を働く場合、法により処分する。

第五十一条 データを盗み取ったり、その他の不法な方法で取得したり、データ処理活動を展開して競争を排除し、制限したり、個人、組織の合法的権益を損なったりする場合、関連法律、行政法規の規定に基づき処罰する。

第五十二条 本法の規定に違反し、他人に損害を与えた場合、法により民事責任を負う。

本法の規定に違反し、治安管理行為に違反する場合、法により治安管理処罰を与える。犯罪を構成する者は、法により刑事責任を追及する。

第七章 付則

第五十三条 国家秘密に関わるデータ処理活動を展開し、「中華人民共和国保守国家秘密法」などの法律、行政法規の規定を適用する。

統計、書類の仕事の中でデータ処理活動を展開し、個人情報に関わるデータ処理活動を展開し、関連法律、行政法規の規定を遵守しなければならない。

第五十四条 軍事データのセキュリティ保護の方法は、中央軍事委員会が本法に基づき別途制定する。

第五十五条 本法は2021年9月1日から施行する。

※ 上記の中国語原文はこちらから確認できます。

※中国を中心としたSDGsや再生可能エネルギーについて綴っている姉妹ブログの方もぜひ!

この記事が気に入ったらサポートをしてみませんか?