見出し画像

速報翻訳!中国データセキュリティ法成立!罰則規定もあり中国進出企業は9月1日施行までに対策を。

ケンさん

6月10日まで開催された第十三回全国人民大会常務委員会第29回会議にて、「中華人民共和国データセキュリティ法」が成立、9月1日より施行されます。

条文の詳細な解説は後日お送りするとして、まずは法律の翻訳をお届けします。罰則規定が明記されており、サイバーセキュリティ法等級保護取得とあわせて、中国進出企業の対策は必須です。

第一章:一般原則

第1条 本法は、データセキュリティを保護し、データの開発および利用を促進し、市民および組織の正当な権利および利益を保護し、国家主権、安全および開発の利益を保護するために制定される。

第2条 本法は、中華人民共和国の領域内で行われるデータ活動に適用される。 国家安全保障、公共の利益、または中華人民共和国の市民および組織の合法的な権利および利益を損なうデータ活動を行った中華人民共和国外の組織および個人は、法律に基づいて法的責任を負うものとする。

第3条 本法令でいうデータとは、電子的または非電子的な形式の情報の記録をいう。 データ活動とは、データの収集、保管、処理、使用、提供、取引および開示を指します。 データセキュリティとは、必要な措置を講じることにより、データが効果的に保護され、合法的に利用され、継続的に安全な状態にあることを保証する能力を意味する。

第4条 データセキュリティを維持するために、国は全体的な国家安全保障概念を遵守し、健全なデータセキュリティガバナンスシステムを確立し、データセキュリティ保護能力を向上させなければならない。

第5条 国は、国民及び団体のデータ関連の権利及び利益を保護し、法律に基づきデータの合理的かつ効果的な利用を奨励し、法律に基づきデータの秩序ある自由な流れを保証し、データを重要な要素とするデジタル経済の発展を促進し、国民の福利を増進する。

第6条 中央国家安全保障指導機関は、データ・セキュリティ業務の意思決定と調整、国家データ・セキュリティ戦略および関連する主要なガイドラインやポリシーの調査、策定、実施の指導に責任を負う。

第7条 すべての地域および部門は、地域および部門の業務において生成、集計、および処理されるデータおよびデータセキュリティについて、主に責任を負う。 工業、通信、天然資源、保健、教育、国防科学技術産業、金融産業などの業界当局は、それぞれの業界や分野におけるデータセキュリティの監督責任を負う。 公安機関、国家安全保障機関等は、本法、関連法および行政法規の規定に従い、それぞれの責任範囲内で、データセキュリティの監督責任を負う。 国のネットワーク情報部門は、本法、関連法および行政法規の規定に従い、ネットワークのデータセキュリティおよび関連規制業務の調整に責任を負う。

第8条 データ活動を行うためには、法律および行政法規を遵守し、社会的道徳および倫理を尊重し、企業倫理を守り、誠実で信頼性が高く、データセキュリティ保護義務を果たし、社会的責任を負い、国家安全保障や公共の利益を危険にさらしたり、市民や組織の正当な権利や利益を害したりしてはならない。

第9条 国は、協調的なデータセキュリティガバナンスシステムを構築・改善し、データセキュリティ保護への関連部門、産業組織、企業および個人の共同参加を促進し、社会全体がデータセキュリティを共同で維持し、発展を促進するための良好な環境を形成するものとする。

第10条 国は、データの分野における国際的な交流と協力を積極的に行い、データのセキュリティに関する国際的なルールや基準の策定に参加し、国境を越えたデータの安全で自由な流れを促進する。

第11条 いかなる組織または個人も、本法の規定に違反する行為について、関係する管轄部署に苦情を申し立てる、または報告する権利を有する。 苦情や報告を受けた部門は、タイムリーに、かつ法律に則って対処しなければならない。

第2章:データセキュリティと発展

第12条 国は、データセキュリティの維持とデータの発展・利用の促進、データの発展・利用と産業の発展を伴うデータセキュリティの促進、データセキュリティを伴うデータの発展・利用と産業の発展の保護を等しく重視することを主張する。

第13条 国は、ビッグデータ戦略を実施し、データ基盤の構築を促進し、様々な産業・分野におけるデータの革新的な活用を奨励・支援し、デジタル経済の発展を促進する。 省レベル以上の人民政府は、デジタル経済の発展のための計画を策定し、それぞれのレベルの国家経済社会開発計画に組み込む。

第14条 国は、データの利用及び活用の技術に関する基礎研究を強化し、データの利用及び活用並びにデータセキュリティ等の分野における技術の振興及び商業上の創意工夫を支援するとともに、データの利用及び活用並びにデータセキュリティ等の製品及び産業システムを育成し、及び発展させるものとする。

第15条 国は、データの利用及び活用に関する技術的及びデータセキュリティの基準システムの構築を推進する。 国務院標準化行政部門および国務院の関連部門は、それぞれの責任に基づいて、データの利用・活用技術、製品、データのセキュリティに関する標準の策定およびタイムリーな改訂を組織する。 国は、企業、研究機関、高等教育機関、関連業界団体などが規格策定に参加することを支援する。

第16条 国は、データセキュリティのテスト、評価、認証およびその他のサービスの発展を促進し、データセキュリティのテスト、評価、認証の専門組織が法律に基づいてサービス活動を行うことを支援する。

第17条 国は、データ取引の管理システムを構築・改善し、データ取引を規制し、データ取引市場を育成するものとする。

第18条 国は、高等教育機関、中等職業訓練学校及び企業等がデータ活用技術及びデータセキュリティに関する教育訓練を行うことを支援し、データ活用技術及びデータセキュリティの専門家を育成し、人材の交流を促進するための様々な方法を採用する。

第3章:データセキュリティ制度

第19条 国は、経済社会の発展におけるデータの重要性と、改ざん、破壊、漏洩、不正アクセス、不正使用の際に国家の安全、公共の利益、市民や組織の正当な権利や利益に及ぼす害の程度に応じて、データの段階的かつ分類的な保護を実施するものとする。 すべての地域および部門は、国の関連規定に従い、自らの地域、部門および産業における重要なデータ保護の項目を決定し、項目に含まれるデータの重要な保護を行う。

第20条 国は、集中的、統一的、効率的かつ権威あるデータ・セキュリティ・リスクの評価、報告、情報共有、監視、早期警戒のメカニズムを確立し、データ・セキュリティ・リスク情報の取得、分析、調査・判断、および早期警戒を強化する。

第21条 国は、データ・セキュリティ緊急処理機構を設置する。 データセキュリティ事故が発生した場合、関連する主管部門は、法律に基づいて緊急対応計画を起動し、セキュリティ上の危険性を排除し、危険性の拡大を防止するために、対応する緊急処理措置を講じ、一般市民に関連する警告情報を速やかに社会に発信する。

第22条 国は、データ・セキュリティ・レビュー・システムを確立し、国家安全保障に影響を与える、または影響を与える可能性のあるデータ活動について、国家安全保障レビューを行う。 法律に基づいて行われたセキュリティレビューの決定は最終的なものとなる。

第23条 国は、国際的義務の履行及び国家安全保障の維持に関する管理対象物であるデータについて、法律に基づき輸出管理を行うものとする。

第24条 データ及びデータ利用技術等に関する投資又は貿易について、中華人民共和国に対して差別的な禁止、制限その他類似の措置をとる国又は地域があるときは、中華人民共和国は、現実の状況に照らして、当該国又は地域に対して相応の措置をとることができる。

第4章:データセキュリティ保護義務

第25条 データ活動は、法律および行政法規の規定、ならびに国家規格の必須要件に従って実施され、全プロセスのデータセキュリティ管理システムを構築および改善し、データセキュリティの教育および訓練を組織し、データセキュリティを保護するために対応する技術的措置およびその他の必要な措置を講じるものとする。 重要データの処理者は、データセキュリティの責任者および管理機関を設置し、データセキュリティ保護の責任を履行する。

第26条 データ活動の実施および新しいデータ技術の研究・開発は、経済・社会の発展を促進し、人々の福祉を向上させ、社会的道徳・倫理に適合するものでなければならない。

第27条 データ活動の実施は、リスクモニタリングを強化し、データセキュリティの欠陥や脆弱性などのリスクが発見された場合には、直ちに改善措置を講じるものとする。データセキュリティインシデントが発生した場合には、利用者に速やかに報告するとともに、規定に基づいて関連する管轄当局に報告するものとする。

第28条 重要なデータの処理者は、規定に従ってデータ活動のリスクアセスメントを定期的に行い、リスクアセスメント報告書を関連する管轄当局に提出しなければならない。 リスクアセスメント報告書には、組織が保有する重要なデータの種類と量、データの収集、保管、処理および使用、直面するデータセキュリティリスクとその対策などを含める。

第29条 データを収集する組織または個人は、合法的かつ適切な方法でデータを収集しなければならず、その他の違法な方法でデータを盗んだり入手したりしてはならない。 データの収集および利用の目的および範囲が法律および行政法規で定められている場合、データの収集および利用は、法律および行政法規で定められた目的および範囲内で行い、必要な限度を超えないものとします。

第30条 データ取引の仲介サービスを行う機関は、取引の仲介サービスを提供する際に、データ提供者に対して、データの出所の説明、取引の両当事者の身元の監査、監査記録および取引記録の保存を求めるものとする。

第31条 オンラインデータ処理等のサービス提供を専門とする事業者は、法律に基づいて事業許可証または記録を取得しなければならない。 具体的な対策は、国務院傘下の電気通信の主管部門が関連部門と協力して策定する。

第32条 公安機関および国家保安機関は、国家の関連法規に従い、厳格な承認手続きを経て、法律に基づいて国家の安全を維持し、または犯罪を捜査する目的でデータを取得するものとし、関連団体および個人はこれに協力しなければならない。

第33条 外国の法執行機関が中華人民共和国内に保存されているデータへのアクセスを要求した場合、関係する組織または個人は、当該データを提供する前に、関係する管轄機関に報告し、承認を得なければならない。 中華人民共和国が締結した、または加盟している国際条約または協定に、外国の法執行機関の領域に保存されているデータへのアクセスに関する規定がある場合は、その規定に従うものとします。

第5章:政府データのセキュリティとオープンデータ

第34条 国は、電子政府の構築を強力に推進し、政府データの科学性、正確性、適時性を向上させ、経済・社会の発展に役立つデータ利用能力を強化する。
第35条 国家機関は、その法定の任務を遂行する範囲内において、法律及び行政法規に定められた条件及び手続に従い、法定の任務を遂行するためにデータを収集し、及び利用するものとする。

第36条 国家機関は、法律及び行政法規の規定に従い、データ・セキュリティ管理システムを構築・改善し、データ・セキュリティ保護のための責任を履行し、政府データのセキュリティを守らなければならない。

第37条 国家機関は、厳格な承認手続きを経て、政府事務データの保存もしくは処理を他者に委託し、または政府事務データを他者に提供し、受領者が対応するデータセキュリティ保護義務を果たすよう監督しなければならない。

第38条 国家機関は、国民に対して公平、公正、利便性の原則に従い、規則に基づいて政府事務データを適時かつ正確に開示しなければならない。 法令により開示されていないものを除く。

第39条 国は、政府事務データのオープンなカタログを策定し、統一的かつ標準的で、相互運用性があり、かつ、安全で制御可能なオープンな政府事務データプラットフォームを構築し、政府事務データのオープンな利用を促進するものとする。

第40条 この章の規定は、公務執行機能を有する組織が公務執行機能を果たすために行うデータ活動に適用する。

第6章:法的責任

第41条 関係当局は、データセキュリティ監督義務を遂行する中で、データ活動においてより大きなセキュリティリスクがあると判断した場合、所定の権限と手続きに基づき、関係する組織および個人に聞き取り調査を行うことができる。 関係する組織および個人は、要求事項に従って、隠れた危険を是正し、排除するための措置を講じなければならない。

第42条 データ活動を行う組織または個人が、本法第25条、第27条、第28条および第29条に規定されたデータセキュリティ保護義務を履行せず、または必要なセキュリティ対策を講じなかった場合、関係当局は修正を命じ、警告を発し、1万元以上10万元以下の罰金を科し、直接責任を負う担当者に5千元以上5万元以下の罰金を科すことができる。 訂正を拒否したり、大量のデータ漏洩などの深刻な事態を引き起こした場合は、10万元以上100万元以下の罰金を科し、直接責任を負う担当者およびその他の直接責任を負う者には1万元以上10万元以下の罰金を科すものとする。

第43条 データ取引仲介業者が本法第30条に定める義務を履行せず、その結果、違法な出所のデータが取引された場合、関係する管轄部門は是正を命じ、違法な収入を没収し、違法な収入の2倍以上10倍以下の罰金を科し、違法な収入がない場合は10万元以上100万元以下の罰金を科し、関係する管轄部門による関連の営業許可を取り消したり、営業許可を取り消したりすることができ、また、直接担当者に10万元以上の罰金を科す。 責任監督者およびその他の直接責任者は、1万元以上10万元以下の罰金に処する。

第44条 本法第31条に規定する事業を許可または届出を得ずに行った場合、関係主管部門は是正または禁止を命じ、違法所得を没収し、違法所得の2倍以上10倍以下の罰金を科し、違法所得がない場合は10万元以上100万元以下の罰金を科し、責任者およびその他の直接責任を負う者は1万元以上10万元以下の罰金を科すものとする。

第45条 国家機関がこの法律に定めるデータセキュリティ保護に関する義務を履行しない場合、直接責任を負う担当者およびその他の直接責任を負う者は、法律に基づいて処罰される。

第46条 データセキュリティ監督の職務を行う国家公務員が、その職務を怠り、権力を濫用し、または便宜を図り、なおかつ犯罪を構成しない場合には、法律に従って処罰される。

第47条 データ活動により、国家の安全や公共の利益を危険にさらしたり、市民や組織の合法的な権利や利益を害した者は、関連する法律や行政規則の規定に基づいて処罰される。

第48条 この法律の規定に違反して他人に損害を与えた者は、法律に基づいて民事責任を負う。 本法の規定違反が公安行政処分違反に該当する場合は、法律に基づき公安行政処分を行い、違反が犯罪に該当する場合は、法律に基づき刑事責任を追及します。

第7章:附則

第49条 国家機密に関わるデータ活動は、「国家機密の保全に関する中華人民共和国法」その他の法律および行政法規の規定に従うものとする。 個人情報を含むデータ活動は、関連する法律および行政法規の規定に準拠して行われる。

第50条 軍事データの安全保護のための措置は、中央軍事委員会が別途定める。

第51条 この法律は、本年9月1日から施行する。

この記事が気に入ったらサポートをしてみませんか?