ジェトロ、データセキュリティー法（草案）の要点解説オンラインセミナー開催

ジェトロ・JEITA等は8月7日、中国日本商会と共催で、中倫法律事務所の陳際紅エクイティ・パートナーを講師としてオンラインセミナー「データセキュリティー法（草案）（以下、草案）の要点解説」を開催した。草案の概要、企業として認識すべき要点、留意点について紹介する。草案は7月3日から8月16日まで意見募集を行った。

解説によると、中国国内のデータ管理監督法律体系は「サイバーセキュリティー法」「データセキュリティー法（草案）」「個人情報保護法」の3つにより主に構築される。

草案の適用対象は「データ」と「データ活動」だ。「データ」とは、情報を記録したもの（電磁の記録、非電磁の記録を問わない）を指し、「データ活動」はデータの収集、保管、加工、使用、提供、取引、公開などの行為を指す。

草案には、中国で取得したデータの越境規制について具体的な記載はないものの、中国内に置かれている子会社から日本にある親会社へのデータの伝達・移動は法律の規制対象となり得る。具体的には、中国国内でのビジネス活動により得られた個人情報、もしくは重要データを海外に越境させる場合、安全評価を受けなければならない（注）。安全評価を行う場合、例えば、子会社の財務・売り上げデータの親会社への伝達は企業の経営・管理に関わるデータであり、基本的に個人情報を含まず、重要データにも該当しないと判断される可能性が高いため、この類いのデータ越境は問題ない。一方で、人事データの越境について、従業員の個人情報が含まれているとデータ規制管理の対象となる。この場合、従業員個人の許可を得た上でデータの越境伝達の安全評価を行い、さらに親会社と子会社との間でデータ伝達の契約を結べば、会社管理の目的としてその妥当性が認められ、データの越境伝達が可能となる。

草案ではデータセキュリティー法の域外適用についても規定している。中国国外において、データ活動の主体がその活動によって中国国内の国家安全や公共利益、中国国民の合法的な権益を損害する恐れがある場合、規制対象となり法律の管轄対象になる。

天津市（2019年7月8日記事参照）、広東省深セン市、江蘇省南京市などの一部地方は地方政府の行政データ管理関連規定を既に公布している。

（注）重要情報インフラの運営者に対し、中国国内で収集・発生した「個人情報」および「重要データ」を中国国内に保存することを義務付けており、業務の必要により国外に提供する必要がある場合には、規則に従って安全評価を行わなければならないとされている。重要情報インフラに限らず、ネットワークに関わる多くの事業者（全てのネットワーク運営者）に対しても必要となるかは不透明。

（鄭慧）