icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
SCROLL
TOP
Publications 著書/論文
ニュースレター

データプロテクション法規制の強化~ネットワーク安全法の改正案公表~(中国)

NO&T Asia Legal Update アジア最新法律情報

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 2025年3月8日、いわゆる中国データ三法※1の一つであるネットワーク安全法(2017年6月1日施行)の改正案(以下、「本改正案」という。)が公表された。これは2022年9月に公表された初回の改正案(以下、「初回改正案」という。)からさらに修正を加えたものであり、パブリックコメントが募集されている。

 ネットワーク安全法は、中国におけるネットワークの構築、運営、維持及び使用、並びにネットワーク安全の管理監督を規制対象とする基本的な法令であり、ネットワークの所有者、管理者及びネットワークサービスの提供者(以下、「ネットワーク運営者」という。)に対して安全保護義務を要請している。同法は「ネットワーク」について、「コンピュータその他の情報端末及び関連設備により構成され、一定の規則及びプログラムに基づき、情報の収集、伝送、交換、処理を行うシステム」と定義しており、インターネットサービス事業者に限らず、企業内のネットワークも規制対象に含まれると考えられている。中国で事業活動を行う企業は、通常自社で何らかのネットワークを管理していることから、同法の適用を受ける。

 本改正案では、ネットワーク運営者による安全保護義務の履行に対する規制の強化、ネットワーク安全保護義務に関する罰則基準の他の法規制との整合性の確保、デジタルプラットフォームを運営するネットワーク運営者(以下、「デジタルプラットフォーマー」という。)の責任の明確化等が図られており、サイバーセキュリティに対する法執行が強化される等、実務において重要な影響を及ぼすものと見込まれている。

 本稿では、現行法及び初回改正案からの重要な変更点を紹介し、企業が留意すべき点について概説する。

第一 安全保護義務の強化

 ネットワーク安全法59条では、ネットワーク運営者及び重要インフラ運営者の安全保護義務について違反した場合の罰則が規定されている。本改正案では、これらの安全保護義務を履行しなかった場合、第三に記載するデジタルプラットフォーマーによる義務違反と同様、現行法および初回改正案における「是正命令を受けたにもかかわらず是正しない」ときに罰則が科されるという段階を経ることなく、履行しなかったことを理由に直接過料が科されることとされた。

ネットワーク運営者の義務
  • ネットワーク安全等級に応じて、内部安全管理制度及び操作規程の制定及び改善、ネットワーク安全責任者の配置、サーバー攻撃等を防止する技術的措置の実施、ログの保存、データ分類や暗号化等措置の実施(21条)
  • セキュリティインシデントに備える緊急対応策の制定、インシデント発生時における緊急対応策の実施及び主管当局への報告(25条)
重要インフラ運営者の義務
  • 安定した機能の整備・維持、安全技術措置の導入・運用(33条)
  • 専門の安全管理機構及び安全管理責任者の設置、重要人員の安全審査、従業員への定期的教育・研修、重要なシステム及びデータベースのバックアップ、インシデントに備える緊急対応策の策定及び訓練の定期的実施(34条)
  • ネットワーク製品・サービス調達時に取引先との安全秘密保持契約の締結(36条)
  • ネットワークの安全性及びリスクに関する年度検査評価の実施及びその結果の主管当局への報告(38条)

 また、これらの安全保護義務を怠った結果、大量のデータ漏えいや重要情報インフラの一部又は主要な機能の喪失など、ネットワーク安全に重大な支障が生じた場合には、重大な結果への処罰として、最大1,000万元の過料、業務停止、許認可の取消、ネットワークやアプリケーションの閉鎖、さらには直接責任者への最大100万元の過料といった罰則が追加され、安全保護義務違反に対する罰則が厳格化されている。

第二 ネットワーク安全保護義務に関する罰則基準の整合化

 ネットワーク安全法が2017年に施行された当初は、個人情報保護法、データ安全法やその他個人情報・データ保護に関する法規制は未整備であったため、同法には、重要データの越境移転にあたっての安全評価の実施や個人情報主体の権利保護義務などの内容及びこれらの義務に対する罰則が規定されている。同法施行後、データ安全法や個人情報保護法等の個別法が相次いで策定されていることを受け、本改正案では、以下の個人情報・データ保護に関する義務の違反については、それぞれの個別法の規定に基づいて処罰を行うとしており、法規制間の整合性が図られている。

発信又は伝送が禁止されている情報(他人の名誉やプライバシーを害する内容や国家安全を脅かす内容等)を発信又は伝送した場合

個別法の規定
インターネット情報サービス管理弁法※2 20条
  • 刑事責任の追及
  • 刑事責任の追及基準を満たさない場合は「コンピュータ情報ネットワーク国際接続安全保護管理に関する規定」等の規定に従い処理
コンピュータ情報ネットワーク国際接続安全保護管理に関する規定※3 20条
  • 警告、違法所得の没収、個人に対する5,000元以下、法人に対する1.5万元以下の過料、6か月以下のネットワーク接続停止・設備使用停止、元の発行機関に対する営業許可証の取消・ネットワーク接続資格の取消の勧告等

ユーザーへの告知及び同意取得、個人情報の最小限収集・保存、個人情報インシデント発生時の対応等に反して、個人情報の権利を侵害した場合

個別法の規定
個人情報保護法66条
  • 警告、違法所得の没収、100万元以下の過料、直接責任者に対する1万元以上10万元以下の過料、アプリの停止・閉鎖
  • 情状が深刻な場合は、5,000万元以下又は前年度売上高の5%に相当する過料、直接責任者に対する10万元以上100万元以下の過料、一定期間内に関連する企業における董事、監事、高級管理人員及び個人情報保護責任者への就任禁止

重要情報インフラ運営者が個人情報や重要データについて法定の手続を経ずに域外で保存する場合及び域外に提供した場合

個別法の規定
データ安全法46条
  • 警告、10万元以上100万元以下の過料、直接責任者に対する1万元以上10万元以下の過料
  • 情状が深刻な場合は、100万元以上1,000万元以下の過料、直接責任者に対する10万元以上100万元以下の過料、業務停止、許認可・営業許可証の取消

第三 デジタルプラットフォーマーの法的責任の明確化

 ネットワーク安全法48条では、いかなる個人及び組織が発信する電子情報及び提供するアプリケーションソフトウェアも、法令により頒布又は伝送が禁止される情報を含んではならないと規定されている。

 初回改正案では、同義務の違反がデジタルプラットフォーマーに対する処罰事由として追加されたが、デジタルプラットフォーム上に違法な発信内容が存在するだけで、デジタルプラットフォーマーが処罰の対象となりうると考えられ、デジタルプラットフォーマーに過剰な責任を課すものと考えられていた。本改正案では、この修正を削除し、デジタルプラットフォーマーが違法な発信情報に対して適切な安全管理措置を実施することを重視することとし、違法な発信情報を発見した場合に、情報の伝送停止や削除等の措置、関連記録の保存、当局への報告を履行しない場合に初めて法的責任が発生するという仕組みとした。

 他方、デジタルプラットフォーマーが違法な発信情報を発見したにもかかわらず、上記の安全管理措置を実施しなかった場合については、現行法および初回改正案における「是正命令を受けたにもかかわらず是正しない」ときに罰則が科されるという段階を経ることなく、直接5万元以上50万元以下の過料が科される構成に修正されている。

おわりに

 本改正案が公表された同日、中国国家インターネット情報弁公室は「2025年個人情報保護に関する特別取締活動の実施に関する公告」を発表し、個人情報保護法及び関連規制に基づき、日常的なサービス・製品及び一般的な生活場面において見られる個人情報の違法な収集・利用に関する典型的な問題を重点的に管理監督していく方針を示した。また、企業に対しては、個人情報及びデータの安全保護義務の徹底を改めて促している。

 背景には、データ・個人情報の取扱いに関する企業の意識及び対応のばらつき、並びに違法・不適切なデータ利用事例の増加があると考えられる。このような状況下、適用範囲が広範なネットワーク安全法の改正を受け、各企業におかれては、ネットワークの管理及び安全保護義務の履行状況を再確認し、社内体制を一層強化することが求められる。

脚注一覧

※1
中国の「データ三法」とは、「ネットワーク安全法」(2017年6月1日施行)、「データ安全法」(2021年9月1日施行)、「個人情報保護法」(2021年11月1日施行)という、中国の個人情報及びデータの安全に関する基本的な法律を指す。

※2
中文表記「互联网信息服务管理办法」

※3
中文表記「计算机信息网络国际联网安全保护管理办法」

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

アジア・オセアニアに関連する著書/論文

中国に関連する著書/論文

決定 業務分野を選択
決定