「サイバーデータ安全管理条例」の概要について
国務院は2024年9月24日に「サイバーデータ安全管理条例」(以下「本条例」という)を公布し、2025年1月1日から同条例を施行している。重要データ取扱者の範囲、重要データ管理者の法的義務、政府が行う重要データの具体的な監視管理方法等、関係企業への影響が大きい内容が盛り込まれている。本文では、本条例に関して簡単に解説してみる。
本条例は全9章64条で構成されており、各章はそれぞれ、「総則」、「一般規定」、「個人情報保護」、「重要データセキュリティ」、「ネット空間における越境データの安全管理」、「サイバープラットフォームサービスプロバイダの義務」、「監督管理」、「法律責任」及び「附則」となっている。その主旨としては、「サイバーセキュリティ法」、「データセキュリティ法」及び「個人情報保護法」(以下、合わせて「データ三法」という)等の規定に対する詳細化、重要データリスト及びその先行監視の明確化、大型プラットフォームサービスの判断基準とその法的義務の追加等にある。
一、データ三法を基本とした法令遵守の体系化
本条例の一般規定に関する章では、データ三法及びこれに関連する法令がまとめられており、ネット上のデータ取扱活動においてデータ取扱者が守るべき法的義務が明確化されている。また、「個人情報保護」で定められた内容と少し異なる部分もある。例として、本条例第12条では「個人情報を提供する場合、契約書等により相手方と具体的な権利義務関係の取り決めを行い、また、相手方のデータセキュリティ保護義務の履行を監督することが求められる」といった内容が挙げられる。
二、個人情報及び重要データの安全提供
1.個人情報に関する主な規定
①個人情報取扱の明確化
本条例第21条は、個人情報の取扱方法の公開等に関し、これらの保存期間や、リスト等の形式で収集又は提供する情報を個人に知らせる等、細部にわたる補足を行った。
②個人情報移転の条件
本条例第25条は、個人情報保護法第45条に定める個人情報移転請求に関して、新たにその行使条件を定めた。例として、請求者の身元が十分に確認できることや、請求の対象となる個人情報は本人の同意又は契約により集められたものである等が挙げられる。
③中国国外のデータ取扱者の申告方法
個人情報保護法第53条では、具体的な申告機関が明示されなかったが、本条例第26条は、関連する機関が所在する市級インターネット情報部門へ申告を行うとした。
④個人情報取扱者の義務
本条例第28条では、取り扱う個人情報の人数が1000万人以上に達する、いわゆる重要データ取扱者は、同条例第30条の定めにより、データ安全責任者とデータ安全管理組織を明確にする義務を負う、とされた。また、同条例第32条では、合併や破産等により重要データの安全にリスクが伴う際の具体的な措置が定められた。
2.重要データに関する主な規定
①経営管理者による監督・管理
本条例第30条は、重要データ取扱者のサイバーデータ安全責任者は、その経営管理者から選出される、と定めている。ここからは、サイバーデータの安全保護に対する監督・管理の重要性が伺える。
②リスク評価義務と主管部門への申告
本条例第31条及び第33条では、重要データ取扱者がそれらのデータの提供や取扱を委託する場合等において、リスク評価の義務を負うとされた。また、毎年主管部門に対し、リスクレポートを通じて申告する必要がある。
3.個人情報の越境移転に関する主な規定
①個人情報データの越境移転に関して
本条例第35条は、個人情報を中国国外へ提供する際に満たす必要のある条件を定めた。
上記以外、これまで施行された「越境データ安全評価方法」や「越境データ流動の促進と規範に関する規定」とほぼ同様の定めが多い。
三、大型プラットフォームサービス提供者の明確化
本条例第62条によれば、大型プラットフォームとは、登録者数が5000万人以上か、月間アクティブユーザー数が1000万人以上、のいずれかを満たすものを指す。また、「サイバーデータの取扱活動により、国の安全や経済等に大きな影響を与えるプラットフォーム」等の要件も言及されているが、その具体的な判断基準が明確にされていない。その他、本条例第44条では、個人情報保護法第58条に関連する報告義務等の詳細が規定されている。
四.監督・管理の強化
1.政府によるデータ収集に関して
海外においても議論となっていた、政府によるデータ収集に関して、本条例第51条は、関係データ以外は収集・アクセス禁止といった内容を規定した。
2.協力義務の追記
本条例第52条では、関連主管部門がサイバーデータの安全に対し監督、管理及び検査を行う場合、関係者は協力しなければならない、と今回新たに追記された。
上記内容について、ご不明な点があれば、弊事務所までご連絡いただければ幸いです。
