『データセキュリティー法』が2021年9月1日より施行
2021年6月10日、第13期全国人民代表大会常務委員会第29回会議では『データセキュリティー法』が可決され、2021年9月1日より施行されることになった。『データセキュリティー法』はデータ分野の基礎的な法律であり、なおかつセキュリティー分野の重要な法律でもある。但し、『データセキュリティー法』における規定は主に原則的なものなので、実施細則、主管部門の規定又は案内により明確化しておく必要がある。
以上に鑑み、この文章では『データセキュリティー法』による管理を受ける「データ」範囲、データセキュリティー保護における企業の主要な義務及び義務違反による結果を検討する。
1、『データセキュリティー法』による管理を受ける「データ」範囲
『データセキュリティー法』の規定によると、「データ」は、電磁或いはその他の形式による情報的記録を含む。『国家安全法』、『ネットワークキュリティー法』と比べ、『データセキュリティー法』では、紙の登記表などもデータセキュリティー管理の範疇に組み入れ、ネットワークを介さないデータ処理活動を規制できないという既存法律の欠点を補うことができるようになる。
2、データセキュリティー保護における企業の主要な義務及び義務違反による結果
『データセキュリティー法』第四章第27条から第43条では、企業のデータセキュリティー保護義務を定めた。
法的根拠 | 主要な義務 |
第27条 | •全過程データセキュリティ-管理制度を構築、整備する。データセキュリティ-教育研修を実施し、相応の技術的措置及びその他の必要な措置を講じなければならない。
•インターネットなどのネットワークを利用したデータ処理活動は、ネットワーク安全等級制度に基づき係る義務を履行すると同時に、上記のデータセキュリティ-保護義務を履行しなければならない。 •重要データの処理者はデータセキュリティ-責任者と管理機関を設定し、データセキュリティ-保護の責任を具体化しなければならない。 |
第29条 | リスク監視の強化:
•データセキュリティ-ホール、脆弱性等のリスクを発見したときは、直ちに救済措置を講じなければならない。 •データセキュリティ-インシデントが発生したときは、速やかにユーザーに通知し、かつ関係主管部門に報告しなければならない。 |
第30条 | 重要データの処理者は、そのデータ処理に対し定期的にリスク評価を実施し、かつ関係主管部門にリスク評価報告を提出しなければならない。 |
第31条 | Ø •重要情報インフラの運営者が中国国内での運営により収集・生成した重要データの越境移転の管理については、『ネットワークセキュリティー法』の適用を受ける。
•その他の処理者が中国国内での運営により収集・生成した重要データの越境移転の管理弁法は、国のインターネット情報部門が国務院の関係部門と共同で策定する。 |
第33条 | データ取引仲介サービスに従事する機関が取引仲介サービスを提供するとき、データ提供者に対してデータの出所を説明し、取引双方の身分を審査し、かつ審査、取引記録を保存する。 |
第35条 | 公安機関、国家安全機関が法に従い国の安全維持、又は犯罪捜査のためにデータを入手する必要がある場合、……関係組織・個人はこれに協力しなければならない。 |
第36条 | 中国国内の組織・個人は、中国の管轄部門の承認なく、中国内に保存されているデータを外国の司法機関または法執行機関に提供してはならない。 |
『データセキュリティー法』第45条から第48条では、上述の義務違反の結果を明確にした。データの種類、重要性、違反の内容に応じ、是正命令、警告、罰金(5万元~1000万元)や直接責任を負う主管者及びその他の直接責任者への罰金(違反内容により1万~100万元)、事業停止・閉鎖・関連許可・ライセンス取消等の処分を受けるリスクがある。
又、『データセキュリティー法』第8条は宣言的条項として、「データ処理活動を行うにあたり、法律法令を遵守すること。、社会公徳および倫理を尊重すること、商業道徳および職業道徳を守り、信義に従い誠実に行うこと、データセキュリティー保護義務を履行し、社会的な責任を負うこと。そして国家の安全、公共の利益を害したり、個人・組織の合法的な権利を侵害しないこと」とデータ処理活動の基本原則を明らかにしている。個別事案において第27条から第43条の具体的な規定の適用が不可能な場合、第8条の適用を受ける可能性がある。
要するに、企業は、現時点でデータ管理の方向性、基本要求を全体的に把握し、既存の法律規定を参考しながら、コンプライアンスの視点から、初歩的なリスクチェックを行うとともに、後続の関連文書の動向に十分に関心を寄せることが望ましい。