現在、中国ではすでに、ネットワークの安全とデータ保護に関する法律と監督管理の体系が多層的に形成されている。企業は、リスク差別化管理に基づく監督管理のロジックをしっかりと理解し、要求に動態的に適合するデータコンプライアンス体系を構築する必要がある。
中国では、企業のデータ業務に関するコンプライアンスに対して、体系化、全面化、厳格化といった監督管理のスタンスが要求されている。したがって、企業と管理者がひとたび関連するコンプライアンス義務に違反すると、行政責任、民事責任にかかわるおそれがあるだけでなく、重大な刑事責任に直面することすらある。
企業は、適用する法律体系の基準と座標認識を確立する際に、『国家安全法』と「総体的国家安全観」という指針のもとで、『ネットワーク安全法』、『データ安全法』及び『個人情報保護法』という基本的な法律の枠組みに依拠し、個人/企業、組織/社会、そして国の安全という3つの基本的な権益保障レベルの上で、かつ法律、技術、管理等の複数の要素を融合して、監督管理の要求に動態的に適合するデータコンプライアンス体系を構築しなければならない。
一、中国における現段階の法律上の監督管理体系
現在、中国におけるネットワークの安全とデータコンプライアンスに関する法律体系は、法律、司法解釈、行政法規、部門規則、規範性文書、さらに国家標準、業種標準等によって、すでに基本的に形成されている。具体的にいうと、かかる法律体系は、主として『憲法』と『国家安全法』を原則とし、『ネットワーク安全法』、『データ安全法』と『個人情報保護法』を中心に、『民法典』、『消費者権益保護法』、『未成年者保護法』、『電子商取引法』、『刑法』、最高人民法院の関連司法解釈、『ネットワーク安全審査弁法』、『重要情報インフラ安全保護条例』、『児童個人情報ネットワーク保護規定』、『データ安全管理弁法(意見募集稿)』、『ネットワークデータ安全管理条例(意見募集稿)』、『ネットワーク安全等級保護条例(意見募集稿)』、『重要データ識別指針(意見募集稿)』、『情報安全技術 個人情報安全規範』(GB/T 35273-2020)、『情報安全技術 個人情報安全影響評価指針』(GB/T 39335-2020)等の法律法規、関連部門規則、規範性文書及び国家標準によって、多層的に構成されている。
しかしながら、『ネットワーク安全法』、『データ安全法』と『個人情報保護法』の注目する視点が全く同じだというわけではない。『ネットワーク安全法』は主にネットワークインフラを規制しており、これをベースに『データ安全法』はあらゆるデータを総合的に管理し、データに特化した安全保護制度体系を構築している。また、『個人情報保護法』は個人情報という特定のデータについて特化して規定を設けている。データに関する概念と規範要求の面で、この3つの法律に重複・交差が生じることは避けられない。例えば、『ネットワーク安全法』がネットワークデータの定義を明確化したのに続き、『データ安全法』は法律レベルで初めてデータの概念について「電子その他の方式による情報のあらゆる記録」と定義づけを行って、各種データ処理活動に対する同法の総括的適用性を示した。データという概念のもとで、データそのものの属性や保障される法的価値に基づいて、さらに法律が重点的に注目する個人情報と重要データという2種類のデータが内包されているのである。
注意すべきは、国家網信弁公室が2021年11月14日に、『ネットワーク安全法』、『データ安全法』及び『個人情報保護法』の附帯行政法規として『ネットワークデータ安全管理条例(意見募集稿)』(以下『条例』という。)を発布したことである。これは、上記3つの法律が定める原則的な規範と制度について、その内容と手続面を具体的に定めようとするものである。
『条例』の制定によって、ネットワークの安全とデータ保護に関する分野の法律規則体系における行政法規レベルの制度上の不備が補われ、「法律-行政法規-部門規則、地方性法規及び規範性文書」という全段階の法律規則体系が徐々に整備されることになるであろう。
二、中国における業種監督管理主体の分析
上記のような中国の既存のネットワークの安全とデータ保護の監督管理体系により、企業は、少なくとも13の主管部門(国家網信弁公室、国家発展改革委員会、工業情報化部、公安部、国家安全部、財政部、商務部、中国人民銀行、市場監督管総局、国家広電総局、国家保密局、国家暗号管理局、証券監管委員会)による全方位的な監督管理に直面する可能性がある。
企業は、業種の特徴に応じてリスクを差別化して管理するという監督管理部門の監督管理ロジックに適応し、かつ監督管理要求に動態的に適合するデータコンプライアンス体系を構築するべく、自身が所属する業種、既存の業務モデル、主たる業務の状況、業務運営の中心が所在する地域について考慮し、関連する監督管理主体の要求と地域の行政法規基準を重点的に注目する必要がある。
強まる監督管理体制下での企業のデータコンプライアンス対応策(一)
作者:楊博来源:安理律师

現在、中国ではすでに、ネットワークの安全とデータ保護に関する法律と監督管理の体系が多層的に形成されている。