川合正倫 Masanori Kawai
パートナー
東京
NO&T Asia Legal Update アジア最新法律情報
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
2025年3月8日、いわゆる中国データ三法※1の一つであるネットワーク安全法(2017年6月1日施行)の改正案(以下、「本改正案」という。)が公表された。これは2022年9月に公表された初回の改正案(以下、「初回改正案」という。)からさらに修正を加えたものであり、パブリックコメントが募集されている。
ネットワーク安全法は、中国におけるネットワークの構築、運営、維持及び使用、並びにネットワーク安全の管理監督を規制対象とする基本的な法令であり、ネットワークの所有者、管理者及びネットワークサービスの提供者(以下、「ネットワーク運営者」という。)に対して安全保護義務を要請している。同法は「ネットワーク」について、「コンピュータその他の情報端末及び関連設備により構成され、一定の規則及びプログラムに基づき、情報の収集、伝送、交換、処理を行うシステム」と定義しており、インターネットサービス事業者に限らず、企業内のネットワークも規制対象に含まれると考えられている。中国で事業活動を行う企業は、通常自社で何らかのネットワークを管理していることから、同法の適用を受ける。
本改正案では、ネットワーク運営者による安全保護義務の履行に対する規制の強化、ネットワーク安全保護義務に関する罰則基準の他の法規制との整合性の確保、デジタルプラットフォームを運営するネットワーク運営者(以下、「デジタルプラットフォーマー」という。)の責任の明確化等が図られており、サイバーセキュリティに対する法執行が強化される等、実務において重要な影響を及ぼすものと見込まれている。
本稿では、現行法及び初回改正案からの重要な変更点を紹介し、企業が留意すべき点について概説する。
ネットワーク安全法59条では、ネットワーク運営者及び重要インフラ運営者の安全保護義務について違反した場合の罰則が規定されている。本改正案では、これらの安全保護義務を履行しなかった場合、第三に記載するデジタルプラットフォーマーによる義務違反と同様、現行法および初回改正案における「是正命令を受けたにもかかわらず是正しない」ときに罰則が科されるという段階を経ることなく、履行しなかったことを理由に直接過料が科されることとされた。
| ネットワーク運営者の義務 |
|
|---|---|
| 重要インフラ運営者の義務 |
|
また、これらの安全保護義務を怠った結果、大量のデータ漏えいや重要情報インフラの一部又は主要な機能の喪失など、ネットワーク安全に重大な支障が生じた場合には、重大な結果への処罰として、最大1,000万元の過料、業務停止、許認可の取消、ネットワークやアプリケーションの閉鎖、さらには直接責任者への最大100万元の過料といった罰則が追加され、安全保護義務違反に対する罰則が厳格化されている。
ネットワーク安全法が2017年に施行された当初は、個人情報保護法、データ安全法やその他個人情報・データ保護に関する法規制は未整備であったため、同法には、重要データの越境移転にあたっての安全評価の実施や個人情報主体の権利保護義務などの内容及びこれらの義務に対する罰則が規定されている。同法施行後、データ安全法や個人情報保護法等の個別法が相次いで策定されていることを受け、本改正案では、以下の個人情報・データ保護に関する義務の違反については、それぞれの個別法の規定に基づいて処罰を行うとしており、法規制間の整合性が図られている。
発信又は伝送が禁止されている情報(他人の名誉やプライバシーを害する内容や国家安全を脅かす内容等)を発信又は伝送した場合
| 個別法の規定 | |
|---|---|
| インターネット情報サービス管理弁法※2 20条 |
|
| コンピュータ情報ネットワーク国際接続安全保護管理に関する規定※3 20条 |
|
ユーザーへの告知及び同意取得、個人情報の最小限収集・保存、個人情報インシデント発生時の対応等に反して、個人情報の権利を侵害した場合
| 個別法の規定 | |
|---|---|
| 個人情報保護法66条 |
|
重要情報インフラ運営者が個人情報や重要データについて法定の手続を経ずに域外で保存する場合及び域外に提供した場合
| 個別法の規定 | |
|---|---|
| データ安全法46条 |
|
ネットワーク安全法48条では、いかなる個人及び組織が発信する電子情報及び提供するアプリケーションソフトウェアも、法令により頒布又は伝送が禁止される情報を含んではならないと規定されている。
初回改正案では、同義務の違反がデジタルプラットフォーマーに対する処罰事由として追加されたが、デジタルプラットフォーム上に違法な発信内容が存在するだけで、デジタルプラットフォーマーが処罰の対象となりうると考えられ、デジタルプラットフォーマーに過剰な責任を課すものと考えられていた。本改正案では、この修正を削除し、デジタルプラットフォーマーが違法な発信情報に対して適切な安全管理措置を実施することを重視することとし、違法な発信情報を発見した場合に、情報の伝送停止や削除等の措置、関連記録の保存、当局への報告を履行しない場合に初めて法的責任が発生するという仕組みとした。
他方、デジタルプラットフォーマーが違法な発信情報を発見したにもかかわらず、上記の安全管理措置を実施しなかった場合については、現行法および初回改正案における「是正命令を受けたにもかかわらず是正しない」ときに罰則が科されるという段階を経ることなく、直接5万元以上50万元以下の過料が科される構成に修正されている。
本改正案が公表された同日、中国国家インターネット情報弁公室は「2025年個人情報保護に関する特別取締活動の実施に関する公告」を発表し、個人情報保護法及び関連規制に基づき、日常的なサービス・製品及び一般的な生活場面において見られる個人情報の違法な収集・利用に関する典型的な問題を重点的に管理監督していく方針を示した。また、企業に対しては、個人情報及びデータの安全保護義務の徹底を改めて促している。
背景には、データ・個人情報の取扱いに関する企業の意識及び対応のばらつき、並びに違法・不適切なデータ利用事例の増加があると考えられる。このような状況下、適用範囲が広範なネットワーク安全法の改正を受け、各企業におかれては、ネットワークの管理及び安全保護義務の履行状況を再確認し、社内体制を一層強化することが求められる。
※1
中国の「データ三法」とは、「ネットワーク安全法」(2017年6月1日施行)、「データ安全法」(2021年9月1日施行)、「個人情報保護法」(2021年11月1日施行)という、中国の個人情報及びデータの安全に関する基本的な法律を指す。
※2
中文表記「互联网信息服务管理办法」
※3
中文表記「计算机信息网络国际联网安全保护管理办法」
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
川合正倫、艾蘇(共著)
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
逵本麻佑子、内海裕也、木原慧人アンドリュー(共著)
(2025年4月)
酒井嘉彦
川合正倫、艾蘇(共著)
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
(2025年4月)
酒井嘉彦
川合正倫、艾蘇(共著)
酒井嘉彦
(2025年4月)
梶原啓
川合正倫、艾蘇(共著)
鹿はせる
(2025年1月)
大川友宏、髙野紘輝、万鈞剣(共著)
(2024年12月)
德地屋圭治、鄧瓊(共著)
