◆SH3804◆中国:9月1日より施行 中国データ安全法(下) 川合正倫/鈴木章史(2021/10/26)

中国:9月1日より施行 中国データ安全法(下)

長島・大野・常松法律事務所

弁護士 川 合 正 倫

弁護士 鈴 木 章 史

 

(承前)

第4 データの取扱い行為を行う主体の義務

1. 一般的な義務

 データの取扱い行為の主体は、データの安全性を保障するための一般的な義務として、(i)データの安全管理制度の確立、(ii)データの安全性確保のための教育の実施、(iii)相応の技術措置とその他必要な措置の実施が必要とされる(27条1項)。なお、同27条1項は、インターネット等を利用しデータの取扱いを行う場合、ネットワーク安全等級保護制度を基礎として、データ安全保護義務を履行しなければならないと定めており、ネットワーク安全法と同趣旨の規定と考えられる。

 データの取扱い行為の主体は、データセキュリティの欠陥、脆弱性などのリスクを発見した場合、直ちに復旧措置を講じなければならず、データセキュリティ事故が発生した場合は、直ちに措置を講じ、ユーザー及び関連主管部門に報告することが求められる(29条)。また、いかなる主体もデータの収集を行う場合には、適法かつ正当な方法によらなければならない(32条1項)。さらに、データの取扱い行為及びデータ新技術の研究開発に際しては、「中国の社会道徳及び倫理」への適合が要請されており(28条)、本条の運用次第では企業に重大な影響が生じるものと思われる。

 

2. 重要データの取扱い主体に対する追加的義務

 重要データの取扱い主体は、データセキュリティの責任者と管理組織を明確にし、データの安全性を確保しなければならない(27条2項)。また、定期的にリスク評価を行い、関連主管部門への評価結果の報告も必要とされている(30条1項)。

 

3. 重要データの域外移転

 重要情報インフラの運営者が中国国内において収集及び生成した重要データの域外移転安全管理については、ネットワーク安全法に従うものとされている(31条)。重要情報インフラの運営者は、重要データを原則として中国国内で保存しなければならず、中国国外に移転する必要性がある場合には、安全評価を行わなければならない(ネットワーク安全法第37条)。なお、重要情報インフラの運営者以外のデータの取扱い主体が、中国国内における運営で収集及び生成した重要データの域外移転については、ネットワーク情報サービス部門及び関連部門により制定される規則に従うとされ、追加的な規制の余地が示されている(31条)。

続きはこちらから

この他のアジア法務情報はこちらから

 

(かわい・まさのり)

長島・大野・常松法律事務所上海オフィス一般代表。2011年中国上海に赴任し、2012年から2014年9月まで中倫律師事務所上海オフィスに勤務。上海赴任前は、主にM&A、株主総会等のコーポレート業務に従事。上海においては、分野を問わず日系企業に関連する法律業務を広く取り扱っている。クライアントが真に求めているアドバイスを提供することが信条。

 

(すずき・あきふみ)

2005年中央大学法学部卒業。2007年慶應義塾大学法科大学院修了。2008年弁護士登録(第一東京弁護士会)。同年都内法律事務所入所。2015年北京大学法学院民商法学専攻修士課程修了。同年長島・大野・常松法律事務所入所。2021年5月より中倫律師事務所上海オフィスに出向中。主に、日系企業の対中投資、中国における企業再編・撤退、危機管理・不祥事対応、中国企業の対日投資案件、その他一般企業法務を扱っている。

 

長島・大野・常松法律事務所 http://www.noandt.com/

長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。

当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。

詳しくは、こちらをご覧ください。