中国のデータ保護法:Core データの輸出を阻止する中国政府と運用上の疑問点

China’s plan to block export of ‘core’ data raises questions over implementation

2021/10/05 SCMP — 中国政府は、特定の技術データを国内に保持しようとしているが、この新しいガイドラインに準拠する民間企業にとっては、どのように情報を分類すべきかという疑問が生じている。先週に Ministry of Industry and Information Technology (MIIT) は、産業/通信分野における Core の輸出を禁止する規制案を発表した。これは、今年に施行された Data Security Law に基づき、詳細なルールを策定するための初めての規制となる。

この規制では、データを扱うすべての企業は、その情報を3つのカテゴリーに分類することが求められている。Important なデータを海外と共有するには、政府の特別な審査と承認が必要であり、Core の情報は中国からの持ち出しが厳しく制限される。そいて、Ordinary と表示されているものも含め、すべての関連データはカタログに記載され、MIIT の地方支部に報告されなければならない。

6月に公布され、9月1日に施行された中国の Data Security Law によると、Core データとは、国家および経済の安全、国民の福祉、重要な公共の利益に関わる、あらゆる情報と広義に定義されている。

法律事務所 Shanghai Shenlun の Xia Hailong 弁護士によると、大手国有企業が扱うデータのうち、企業秘密を含む多くのデータは Core と解釈できるという。Xia は、「Core データの輸出禁止は、重要な企業秘密を保護するための、中国の新たな手段と理解できる」と述べている。

MIIT の規則案では、各カテゴリーの定義が詳しく説明されているが、その説明は広範かつ曖昧であり、企業が実際に判断するのは難しいと分析されている。
産業データは、原材料/機械/消費財/電子機器製造/ソフトウェア/情報技術などの分野で収集/作成された、あらゆる情報と定義されている。通信データとは、通信ネットワーク市場で収集/作成された情報を指す。

この規則では、データの漏洩/改ざん/不正使用が、中国の政治/国土/軍事/経済/文化/社会/科学技術/サイバー空間/生態系/資源/核の安全を脅かす可能性がある場合に、Important と表示することが定められている。また、宇宙/極地/深海/人工知能などのデータ・セキュリティだけではなく、海外での利益に影響を与えるデータも重要視される。

これらの分野に「深刻な脅威」をもたらす情報は、Core とみなされる。さらに、規制案では、電気通信分野を含む、産業の開発/生産/運営/経済的利益に影響を与える可能性のある情報を Important と分類している。また、中国国内の主要企業/情報インフラ/重要な資源などに、重大な影響を与える可能性のあるデータを Core としている。そして、漏洩/改ざん/不正使用による社会への影響が、軽微であるデータのみが Ordinary に分類される。

北京に拠点を置く TsingLaw Partners のパートナーである Xiong Dingzhong は、中国メディア Southern Metropolis Daily に対し、定量化できる基準がないため、何をもって「影響が少ない」とするかは、必ずしも明確ではないと述べている。実際には、当局が最終的な決定権を持つ可能性が高いということだ。Xiong は、「それは、将来的にデータを規制する際の、最大の難関の1つとなるだろう。規制当局は、法執行において巨大な裁量権を持っている」と述べている。

この、中国のデータ保護法に関しては、これまで、「中国政府が推進する新たなルールと重要情報インフラの保護」、「中国のサイバー・スペース文明大革命:WeChat や TikTok はどうなるのだろう?」、「中国のデータ保護法:Core と定義される産業/通信データは国外へ持ち出せない」などで追いかけてきましたが、徐々に具体化しているようです。ただし、決定権が法律にあるのか、当局にあるのか、という点がはっきりしていないようですね。

%d bloggers like this: