データセキュリティー法、9月1日から施行、データ越境移転の管理など規定

データとそのセキュリティーの監督管理や利活用策を定めた中国のデータセキュリティー法が6月10日、全国人民代表大会常務委員会で可決・成立した。9月1日から施行される。

監督管理の対象となる「データの処理活動」には、データの収集や保存、使用、加工、転送、公開などが含まれた（注1）。

監督管理の体制としては、中央国家安全指導機関がデータセキュリティーの政策決定や調整に責任を負い、業務の調整などを担う「調整メカニズム」を新設するとした。さらに、各地域、各部門は管轄の業務で収集したデータとそのセキュリティーに対し責任を負うとし、具体的な部門として工業、電気通信、交通、金融、天然資源、保健衛生、教育、科学技術などを挙げた。

管理の方法として、国家安全や公共の利益などに与える危害の程度に応じて、データを分類管理する分類・等級区分保護制度を構築する。それを踏まえ、上記の「調整メカニズム」が関係部門を統括・調整して重要データ保護リストを制定する（注2）。

データの越境移転や輸出規制については、「国家安全と利益の維持、国際義務の履行に関わる規制品目に該当するデータに対しては、法に基づき輸出規制を実施する」と規定した。また「他国・地域がデータおよびデータの開発・利用技術などに関わる投資、貿易などにおいて、中国に対し差別的な禁止、制限またはその他の類似の措置を講じた場合には、当該国・地域に対し、同等の措置を講じることができる」との対抗措置も盛り込んでいる。

なお、中国国内で収集・生成した重要データの越境移転の管理について、重要情報インフラの運営者には、サイバーセキュリティー法の規定が適用される。「その他のデータ処理者」に対する越境移転の管理方法については、国のインターネット情報部門が国務院の関係部門と共同で策定するとした。

方達法律事務所の尹雲霞弁護士らは「データセキュリティー法の制度や規則の多くは原則的なものにすぎず、その解釈や運用は、立法部門が担当する下位細則などや国家標準、さらには法執行機関が担当する実務ガイドラインなどによる」とし、同法施行前にこれら関連細則などが公布されるか注視すべきと指摘した。

また、尹弁護士らは「企業には、データ処理活動の検証の開始、コンプライアンスと同法の規定とのギャップ分析とリスクモニタリングの実施など、関連するコンプライアンス対策をできるだけ早期に実施することが推奨される」としている。

（注1）「データ」は「全ての電子的またはその他の形態による情報に対する記録」と定義された。

（注2）「国はデータセキュリティー審査制度を構築し、国の安全に影響し、または影響し得るデータ処理活動に対し国家安全審査を行う」との制度も規定された。

（藤原智生）