ビジネスにおけるデータの活用が進み、データの種類や活用方法も多様化してきている現在、日本企業のグローバル展開においては、各国によって異なるデータ越境移転規制に十分に留意しながらビジネスを行っていくことが非常に重要な課題になっています。そこで、今回からシリーズにて、アンダーソン・毛利・友常法律事務所外国法共同事業の弁護士が諸外国におけるデータ越境移転規制について解説いたします。
初回である今回は、中国における規制を取り上げます。

急速に進む中国のデータ保護規制の強化の現状

近年中国においては、個人情報を含むデータの取扱いに関する法整備が急速に進められています。
2020年10月に中国で初めて、個人情報保護法の草案について全国人民代表大会常務委員会で審議が開始されたことは記憶に新しいですが、本年5月には同法の第2回目の審議が行われ、その審議案が公表されました。また、昨年6月に初めて第一審議案が公表されていたデータ安全法（中国語：《数据安全法》）も、本年6月10日に成立しています。
中国のデータ移転規制は、上記データ保護規制の一つとして現在進行形で立法化が進められており、かつ実務の取締り等も非常に流動的です。この点、中国のデータ保護規制は、大きくは以下のような保護法益により、今後ダイナミックに立法や運用の厳格化が進んでいくとみられます。

• 国家安全保障（サイバーセキュリティ）の問題
• 国家のデータセキュリティ・データに関する産業政策上問題
• 国内消費者の個人情報保護の問題
• 外交政策に関連する問題

その中において、実際に各社の具体的な案件等において、どの程度の影響等があるかの見通しも立てにくい現状にあるといえます。本稿では、中国において事業活動を行う日本企業にとって特に関心が高い中国におけるデータ越境移転規制の現状および今後の方向性について紹介します。

中国データ保護規制の概要

2017年のネット安全法を踏まえたデータ安全法、個人情報保護法の法体系整備

中国のデータ保護規制は、サイバー空間の保護規制であるネット安全法^注1を筆頭に、個人情報保護法規制と「データ」および「データセキュリティ」に対する法規制の三つの柱に大きく分けて整備されつつあります。
（国家安全保護法^注225条に定められた）サイバー空間の安全を具現化するものとして、2017年から施行されているネット安全法は、ネットワーク運営者^注3にデータの現状やセキュリティ対策状況の把握、安全性の評価、ルールやマネジメント体制、IT環境などの整備と運用による遵守を義務付けています。
2021年9月1日から施行予定のデータ安全法は、「データ」に焦点を当て、データをネット安全法に定めるネットワークセキュリティ等級保護の等級基準に応じて分類し、当該分類に応じた取扱いをするというデータ等級分類保護制度を実施し、サイバー空間の有無を問わず、個人情報を含むデータ一般を保護するものです。
一方で、個人情報については、上記のとおり、本稿執筆時点において、特別法は制定されておらず、民法典とネット安全法を中心に、法律法規、司法解釈および国家基準等に散在している状態にあります。たとえば、民法典^注4、消費者権益保護法^注5や電子商務法^注6等は、個人や一般消費者の個人情報の保護の民事上の一般原則について定め、また刑法^注7においては、個人情報侵害犯罪等において個人情報保護違反にかかる刑事的責任が定められています。現在審議されている個人情報保護法第2次審議案^注8は、これまでさまざまな法令に散在していた個人情報にかかる法規制の集大成であり、概ねその内容に沿って作成されています。

ネット安全法・データ安全法の概要

（1） ネット安全法

ネット安全法は、サイバーセキュリティの保障、サイバー空間における中国の主権と国家安全の維持等を目的とし、主に「ネットワーク運営者」に対する規制を設けています。「ネットワーク運営者」は、「ネットワークの所有者、管理者およびネットワークサービスの提供者」と定義されており、外延は曖昧ですが、社内でデータ通信ネットワークを構築しているあらゆる企業が含まれると考えられています。その中でも、中国で事業展開する日本企業にとって特に理解が必要と思われるのは、本法37条の定める「個人情報・重要データの越境移転規制」（以下、「本規制」といいます）です。

（2） データ安全法

データ安全法は、データセキュリティの保障やデータの安全かつ有効的な利用の促進を掲げており、データを等級基準に応じて分類して、当該分類に応じた取扱いをするというデータ等級分類保護制度を実施するほか、国家安全の観点から、国家にとっての重要なデータを管理する方針も示されています。同法は、ネット安全法の適用対象者ではなかった、「ネットワーク運営者」以外の企業も義務対象とされるため、本法の影響を受ける日本企業は少なくないでしょう。
データ安全法は、「重要情報インフラ運営者」が取り扱う重要データについては、ネット安全法の規定を適用する（同法31条）とし、それ以外の事業者が取り扱う重要データについては監督当局が別途制定される規定を適用する旨規定しています。当該規定は、ネット安全法の適用を受ける「重要情報インフラ運営者」以外の事業者による重要データの越境移転においても本規制と類似の規制が適用される可能性を示唆している点に留意が必要です。

（ネット安全法およびデータ安全法における）個人情報・重要データの越境移転規制

ネット安全法37条は、次のとおり定めています。

義務主体

ネット安全法37条上の本規制の義務主体は「重要情報インフラ^注9の運営者」ですが、本規制に関連して国家網信部門により2017年4月に発表された個人情報および重要データ外国移転安全評価弁法（意見募集稿）^注10（以下、「安全評価弁法（意見募集稿）」といいます）においては、その義務主体がすべての「ネットワーク運営者」にまで拡大されています。また、上記のとおり、データ安全法により、本規制に類似する規制が、「重要情報インフラの運営者」以外にも適用される可能性があることが示唆されており、本規制の義務主体は、「重要情報インフラの運営者」と「ネットワーク運営者」にとどまらず、広くデータを取り扱う事業者にまで広げられる可能性があります。

保護対象

（1） 重要データとは

本規制の保護対象の一つは、「重要データ」ですが、データ安全管理弁法（意見募集稿）^注11によると、重要データとは、「漏洩すると、国家の安全、経済の安全、社会の安全、公共の健康と安全に直接影響するおそれのあるデータ」（データ安全管理弁法（意見募集稿）38条(5)）と定義されたものの、本稿執筆時点においては具体的にどのデータが上記定義に該当するかは明確ではありません。
データ安全法において、国家は、中央国家安全主導機構（中国語：《中央国家安全领导机构》）の主導のもと、データの分類・分級保護制度に基づき、各事業分野の重要データリストを確定するとされ、重要データリストの作成にあたり主体的に働く機関が初めて明らかになったこともあり、今後は各業界において、重要データリストの作成が進められると思われます。
なお、データ安全法において新しく加わった、「国家安全、国民経済、重要な国民生活、重大な公益に関するデータ」と定義される「国家コアデータ（中国語：《国家核心数据》）」については、同法において、一層厳格な管理制度を実行する旨が明らかにされており、本規制よりも厳格な規制が適用される可能性が高く、詳細は今後の下位法令の発表を待つ必要があります。

（2） 個人情報とは

本規制のもう一つの保護対象は「個人情報」ですが、個人情報保護法（第2次審議案）においては、個人情報とは、「電子または他の方法で記録され、識別されたまたは識別可能な自然人に関連する各種情報^注12を指し、匿名化処理された情報は含まない」と定義されています。なお、個人情報については、下記Ⅳ1.にて説明するように、個人情報保護法（第2次審議案）においても越境移転規制が存在する点に留意が必要です。

越境移転の手続―安全評価―

本規制のもと、義務者主体は、越境移転にあたり、安全評価を実施するべきとされていますが、本稿執筆時点において越境移転に関して国家網信部門が国務院の関連部門と共に制定した関連法令の多くは、まだ意見募集稿段階であり、正式施行されていません。実務的な指針としては意見募集稿段階のものが参考にされていることもあります。

（1） 重要データ

重要データの越境移転にあたって必要な安全評価は、一般的にはネットワーク運営者の自己評価で足りるものの、一定の要件に該当した場合には主管部門による評価が必要とされ（安全評価弁法（意見募集稿）7条、9条）、主管部門による評価は60営業日内になされるとされています（同法（意見募集稿）10条）。なお、自己評価は、原則として1年ごと^注13に必要とされています（同法（意見募集稿）12条）。

図表1　越境移転するデータが重要データである場合の安全評価

※1　具体的には、大量のユーザーがクレーム・告発した場合、全国的業界協会が提案した場合、その他国家網信部門・業界主管部門が主管部門評価が必要であることを認定した場合等が考えられます。

（2） 個人情報

個人情報の越境移転にあたって必要な安全評価については、個人情報外国移転安全評価弁法（意見募集稿）^注14（以下、「個人情報安全評価弁法（意見募集稿）」といいます）によると、ネットワーク運営者は、省レベルの網信部門へ安全評価の申請を行い（同法（意見募集稿）3条）、省レベルの網信部門は15営業日内（延長可能）に安全評価を行うとされています（同法（意見募集稿）5条）^注15。安全評価の結果は、ネットワーク運営者に通知されると同時に国家網信部門に報告されます^注16（同法（意見募集稿）7条）。なお、外国のネットワーク運営者によるインターネットを通じた中国に存在する個人情報の収集は、中国における法定代表者または子会社等を経由して、上記責任および義務を履行しなければならないとされている点に留意が必要です（同法（意見募集稿）20条）。

図表2　越境移転するデータが個人情報である場合の安全評価

実務の取締り・処罰状況

本規制に違反した場合は、違法所得の没収、制裁金、業務停止、ウェブサイト閉鎖、営業許可証等の取り消しのほか、責任者個人の制裁金が定められています（ネット安全法66条）。
ネット安全法37条違反の処罰の実例は、2021年6月11日現在において見当たりませんが、これは越境移転に関する関連法令の多くがいまだ正式施行されていないためと考えられます。2021年6月10日に成立したデータ安全法においては、重要データの越境提供について厳重な罰則が規定されており、厳格な取締りを行う姿勢が改めて示されました^注17。
上記のとおり、本規制については法律のみが先行し、実際の規制が追いついていない状況にありますが、当局としては、厳格に取り締まる姿勢を示しており、本規制の義務主体となりうる日本企業には速やかに社内体制を整えることが求められます。既に対応を進める企業も現れており、たとえば米国Apple社は中国貴州省にデータセンターを新設するとの方針を発表しています。

中国における個人情報保護法（第2次審議案）の概要と今後の見通し

個人情報保護法（第2次審議案）の概要

個人情報保護法（第2次審議案）によれば、「個人情報の取扱い」は、「個人情報を、収集、保存、加工、伝送、提供、公開等すること」を指し、これらの行為を実施し、個人情報を取り扱う者は、個人情報取扱者といいます。
同法（第2次審議案）は、域外適用を定めており、国外において中国国内の個人の個人情報を取り扱う活動が次のいずれかに該当すれば、同法を適用するとされています。

• 域内の個人に向けて商品またはサービスを提供することを目的としている場合
• 域内の個人の行為を分析し、評価するためのものである場合
• 法律、行政法規の規定するその他の場合

上述のとおり、現在審議中の個人情報保護法（第2次審議案）においても、個人情報の越境移転についての規定が含まれており、個人情報取扱者は、（重要情報のインフラ運営者またはネットワーク運営者にかかわらず）本人に国外受領者の身分や連絡方法等の情報を告知して同意を取得した上で、さらに以下のいずれかの条件に該当する場合に限り、個人情報の越境移転が認められています。

なお、個人情報保護法（第2次審議案）40条においては、重要情報のインフラ運営者および個人情報取扱量が国家網信情報部門の規定する量に達した個人情報取扱者は、原則として国家網信情報部門が組織する安全評価を通過しなければならない、としてデータ安全法との整理を行っており、「重要情報インフラの運営者」でなくとも、その取り扱う個人情報の数量が一定の数量に達した場合には、個人情報の越境移転にあたり、上記Ⅲ3.（2）の手続を経ること（すなわち上記①の方法をとること）が想定されています。

今後の見通し

個人情報保護法は、「全国人民代表大会常務委員会2021年度立法業務計画」^注18の中でも、2021年の審議法令として挙げられており、正式公布までの最終段階に入っていると考えられます。個人情報保護法（第2次審議案）にあるように、中国にいる消費者等に関する個人情報を取り扱うのであれば、外国の企業であっても同法が適用される可能性があります。また、2021年6月に成立したデータ安全法も、本規制に類似する規制を幅広く適用していく可能性を示唆しています。
今後は、「重要情報のインフラ運営者」だけではなく、中国において広くデータを取り扱う日本企業も、また、中国に拠点を有する日本企業だけでなく、中国にある「個人情報」を取り扱う日本企業も、当事者意識を持ち、本規制を含む中国のデータ保護規制にかかる既存の法律を理解するだけでなく、関連する細則の制定状況や取締実態の最新動向を追う姿勢が必要であるといえます。

→この連載を「まとめて読む」

1. 2016年11月7日公布。中国語での表記は《网络安全法》。[↩]
2. 中国のデータ保護にかかる法令は、初期的には国家安全保護法（現行法は2015年7月1日公布、中国語での表記は《国家安全法》）、国家秘密保護法（現行法は2010年4月29日公布、中国語での表記は《保守国家秘密法》）、反スパイ法（2014年11月1日公布、中国語での表記は《反间谍法》）、国家情報法（現行法は2018年4月27日公布、中国語での表記は《国家情报法》）に代表される法令により国家機密の不当保有、漏洩を防止し、国家安全保障、自国データ関連産業の保護が主たる立法趣旨とされていました。[↩]
3. ネットワーク運営者とは、ネットワークの所有者、管理者およびネットワークサービス提供者と定義される（ネット安全法76条）ところ、中国国内において、ネットワーク（コンピュータその他情報端末および関連設備により構成される情報システム）を確立し、運営し、維持保護しおよび使用する事業者を指すと理解されています。[↩]
4. 2020年5月28日公布。中国語での表記は《民法典》。[↩]
5. 現行法は2013年10月25日公布。中国語での表記は《消費者権益保護法》。[↩]
6. 2018年8月31日公布。中国語での表記は《电子商务法》。[↩]
7. 現行法は2020年12月26日公布。中国語での表記は《刑法》。[↩]
8. 2021年４月29日第二次意見募集稿公表。中国語での表記は《个人信息保护法（草案）（二次审议稿）》。[↩]
9. 重要情報インフラとは、公共通信および情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務等の重要な業界および分野、ならびにその他一旦機能が破壊され、喪失し、またはデータが漏洩すると国の安全、国の経済と人民の生活、公共の利益に深刻な危害が及ぶおそれのある情報インフラとされています（ネット安全法31条）。[↩]
10. 2017年4月11日公表。中国語での表記は《个人信息和重要数据出境安全评估办法（征求意见稿）》。[↩]
11. 2019年5月28日公表。中国語での表記は《数据安全管理办法（征求意见稿）》。[↩]
12. たとえば、氏名、生年月日、身分証明番号、個人生体識別情報、住所、通信連絡先、通信記録およびその内容、口座番号の暗証番号、財産情報、信用調査情報、行動の軌跡、宿泊情報、健康生理情報、取引情報等を指します。[↩]
13. 自己評価は、データ受信者、個人情報国外移転の目的、範囲、数量、タイプ等に重大な変化があった場合、重大安全事件があった場合には1年以内でも改めて評価が必要とされます（安全評価弁法（意見募集稿）12条）。主管部門による評価は、データの国外移転目的、受信者が同じ、範囲、タイプ、数量に大きな変化がなく、かつ、2回のデータ国外移転の間隔は1年を超えない場合は、1回の国外移転行為と見なし、重複評価は免除されています（情報安全技術 データ外国移転安全評価ガイドライン（意見募集稿）（2017年8月30日公表。中国語での表記は《信息安全技术 数据出境安全评估指南（征求意见稿）》））4.2.2条）。[↩]
14. 2019年6月13日公表。中国語での表記は《个人信息出境安全评估办法（征求意见稿）》。[↩]
15. 同一のデータ受信者への複数回または連続的な情報提供には一回の評価で足り、複数のデータ受信者への情報提供にはそれぞれ評価が必要（個人情報安全評価弁法（意見募集稿）3条2項）とされていますが、安全評価は原則として、2年ごとに、行う必要があり、個人情報越境移転の目的、タイプまたは国外での保存期間に変化があった場合には改めて評価が必要とされています（同法（意見募集稿）3条3項）。[↩]
16. ネットワーク運営者は、安全評価結果に不服がある場合は国家網信部門に申し立てることも可能とされています（個人情報安全評価弁法（意見募集稿）7条）。[↩]
17. 重要データの越境移転については、組織に10万～100万元、直接責任者に１万～10万元の過料を科すことができ、情状が重大な場合には組織に100万～1000万元の過料（直接責任者に10万～100万元の過料）とともに、業務停止命令や営業許可証の取消しも可能とされています（データ安全法46条）。[↩]
18. 2021年4月21日公布。中国語での表記は《全国人大常委会2021年度立法工作计划》。[↩]