この間、可決された「データ安全法」は法曹界から広く注目を集めている。正直に言うと、同法は非常に専門的な 法律であり、弁護士の筆者でさえは、専門用語が多く、抽象的すぎで分かり辛い部分があると感じている。本稿で は、関連事例を交えて、その主な内容と興味深い点について考察する。

一、データ及びネットワークの安全監督管理に関わる現行の三つの法律の異なる着眼点

「ネットワーク安全法」、「データ安全法」及び「個人情報保護法(草案)」は、中国のデータ及びネットワーク安全に 関する 3 つの基本的な法律である。「ネットワーク安全法」の主な立法目的は、ネットワークの安全を保障し、ネット 空間の主権と国家安全、社会公共利益を守ることであり、「ネットワークそのものの安全」に重点を置いている。デ ータ安全と個人情報保護は「ネットワークそのものの安全」に該当しないので、「ネットワーク安全法」で、従属的な 地位にある。

「データ安全法」はデータの安全を保障することを図ると同時に、データの処理活働と開発利用に注目している。 紙媒体に記録される情報等の非電子データ情報も管理対象とされている。「個人情報保護法」は、個人情報の安 全性を保障し、情報の合理的な流通と利用を促進することに目的としている。「データ安全法」は、国家安全と社 会公共利益を保護することに重点を置いている。一方、「個人情報保護法」は国民個人のプライバシー、人格、 財産等の利益を保護することに重点を置いている。

二、「データ安全法」の法的責任条項は GDPR ほど、厳しくない

「データ安全法」と EU の一般データ保護規則(GDPR)の法的責任条項を比較してみると、同様な違反行為に対 する罰則は、EU の GDPR のほうが遥かに厳しいことが分かる。

例えば、安全管理制度、リスク監視、処理者の安全評価制度に違反した場合又はデータ安全の保護義務を履行しなかった場合、「データ安全法」は企業又は組織に 50 万元から 200 万元までの罰金、担当者に 5 万元から 20 万元までの罰金を科すことができると規定している。一方、GDPR では、同様な違反行為に対し、最高 1 千万ユー ロで、全世界年間売上高の 2%の罰金を科すことができると規定している。具体的な違反事由には、「第 25 条にお けるプライバシー保護をデフォルトで採用しなかったこと」、「第 32 条における安全保護措置が不適切であったこ と」、「第 35 条におけるデータ保護評価を実施しなかったこと」等が挙げられる。また国外に重要なデータを提供し た場合、「データ安全法」は企業又は組織に 100 万元から 1000 万元までの罰金を科し、関連業務の停止、休業、 業務許可証又は営業許可証の取り消しを命じ、担当者に 10 万元から 100 万元までの罰金を科すことができると 規定している。一方、GDPR では、同様な違反行為に対し、最高 2000 万ユーロで、全世界年間売上高の 4%を科 すことができると規定している。具体的には、「第 44 条における移転一般原則」、「第 45 条における越境移転への 充分な保護」、「第 46 条における越境移転への適切な安全保障」等が挙げられる。

なぜ EU が、GDPR で、それほど厳しい罰則を定めたか?筆者はやはり、EU のネット産業の発展が米国等より遅れ ているので、データ安全法律を通じて、米国及びその他の国のネット会社に高額な罰金に科し、その発展を抑制 する思惑があると考えている。

三、「データ安全法」と「反外国制裁法」の連動条項

「データ安全法」が可決された同日、全国人民代表大会常務委員会は 6 つの法律を通過させた。興味深いことに、 その中に、「反外国反制裁法」と「データ安全法」は、外国が中国に対し差別的な措置を講じる際の対抗措置を 定めている。

「反外国制裁法」は、外国国家が国際法と国際関係の基本準則に違反し、各種の口実又は自国の法律を根拠に 中国に対して抑制、抑圧を行い、中国の公民、組織に対し、差別的な制限措置を講じ、中国の内政に干渉する 場合、中国は相応する対抗措置を講じる権利があると規定している。一方、「データ安全法」は、如何なる国又は 地区が、データ及びデータの開発・利用技術等に関連する投資、貿易等において、中国に対し、差別的な禁止、 制限又はその他の措置を講じた場合、中国は実際の状況に基づき、当該国又は地区に対し、同等の措置を講じ ることができると規定している。

このような対抗措置を支持するかと言うと、筆者は、もちろん支持している。筆者の友人のトーマス・駱が言ったように、「いつまでも、中国の会社が板挟みにされるわけにはいかない。米国の会社はそのような目に遭うべきであ る」。

四、等級保護

等級保護とは、インターネットに接続している会社が自社のシステムを重要性に応じて保護する仕組みであり、国 民の生活に大きな影響を与えているといっても過言ではない。2021 年 5 月、米国の石油パイプラインがサイバー 攻撃を受け、18 の州が非常事態宣言を発令することになったのは、石油パイプラインのシステムの安全等級保護 がきちんと行われなかったからである。「ネットワーク安全法」と「データ安全法」は、同じく等級保護制度を定めて いるが、立法の着眼点が異なっている。

「ネットワーク安全法」は、ネット運営者が等級保護制度の要求に基づき、ネットワークの安全保障義務を履行し、 ネット運営者が講じるべき措置を細かく規定している。具体的には、内部安全ルールの制定、ネットワーク安全責 任者の指定、ウイルス攻撃を防止する技術措置、ネットワーク運営のモニタリング、ネット日誌、暗号化措置等が 挙げられる。一方、「データ安全法」では、全てのデータ処理活動、すなわちデータの収集、ストレージ、使用、加 工、伝送、提供、如何なる電子又はその他の方式での情報記録の公開について規定している。それゆえ、「デー タ安全法」におけるデータ処理活動の範囲はネット運営者のネットワーク情報活動の処理範囲より広いである。

「データ安全法」はインターネット等の情報ネットワークを利用して、データ処理活動を行う場合には、まず、等級 保護制度を遵守する必要があり、その上で、すべてのデータ処理活動において、データ安全保護義務を履行し なければならないと規定している。具体的には、全プロセスにおいて、データの安全管理制度を整備し、データ 安全に関する教育訓練を組織し、相応の技術措置とその他の必要な措置を講じること等が挙げられる。

五、データの越境移転

データの越境移転はセンシティブな法律問題である。10 年前、馬雲氏はアリババグループのアリペイの持分を自 分の支配する会社に譲渡した。アリペイが大量の金融データを処理しているので、外資が入らない方が良いこと がその主な理由である。つまり、金融データの流出に懸念し、そのような対応措置を講じた。グローバル化の進展 と伴い、中国企業が事業を展開する際にもデータの流出問題に直面している。例えば、中国企業が米国カリフォルニア州に研究開発センターを設立し、米国の研究者が中国内のサーバーにアクセスした場合にもデータの流 出問題がある。ネット産業の発展が速すぎて、データの越境伝送に関する法律が追いついていないため、多くの 問題に関する規定が曖昧であり、今回の「データ安全法」の制定はデータ越境移転に関する立法の大きな進歩 である。

「ネットーワーク安全法」と「データ安全法」は、データの越境移転について、異なる角度から、規制規定を定めて いる。「ネットワーク安全法」第 37 条では、「重要情報インフラ運営者が中国国内の運営中に収集し、生成した個 人情報と重要データは、国内で保存しなければならない。業務上の必要により、国外に提供する必要がある場合 は、国家ネット情報部門と国務院の関連部門の規定に従い、安全評価を行う必要がある」と規定している。 一方、「データ安全法」はデータの越境移転に対し、「個人情報」と「重要データ」を区分しておらず、データの等 級保護制度を構築し、国家のデータ安全協調機構が関連部門を統括・調整し、重要データのリストを作成すると 規定している。リストに記載されているデータは「重要データ」に該当し、重要情報インフラの運営者が「重要デー タ」を国外に移転する場合には、「ネットワーク安全法」の規定が適用される。その他のデータ処理者が「重要デ ータ」を国外に移転する必要がある場合には、国家のネット情報部門と国務院の関連部門によって制定された管 理弁法に従うとされている。

尚、「データ安全法」は、国外の司法執行機関がデータ提供を要求する場合の対処を規定している。すなわち、 国が締結又は参加している国際条約、協定に基づき、或いは平等互恵の原則に基づき、関連要求に対処する。 如何なる組織や個人も、管轄部門の承認がない限り、国外の司法執行機関にデータを提供してはならないとされ ている。

上記は筆者が「データ安全法」の一部内容に関する解説である。その他にも多くの条項があるので、興味のある 方は、全文を読んでみることをお勧めする。