中国、データ規制体制構築への最終段階
中国の全国人民代表大会常務委員会は、中国で事業を行う企業又は中国企業や個人と取引を行う企業によるデータの収集、処理、移転の方法について、大きな影響を与える2つの法律の第2草案を発表しました。その2つの法律とは、「重要なデータ」の処理に関するデータセキュリティ法と、個人情報の処理に関する個人情報保護法(「PIPL」)です。
データセキュリティ法案の主な修正点は、データの階層分類の導入と、「重要なデータ」の国外移転、特に外国の法執行機関や司法機関へのデータ移転に対する、更なる規制を含みます。この規制は、関係会社間のデータ移転にも影響を与える可能性があります。また、新しい草案はデータセキュリティ法違反に対する罰金も増額しています。
PIPL法案の主な修正点は、立案者が前回のパブリックコメントの中での国際社会の意見を聞き、特に欧州連合の一般データ保護規則(「GDPR」)の原理に近づけたことが見受けられます。例えば、中国サイバーセキュリティ管理部発行のモデル契約に基づき国外へのデータ移転を保護する標準条項の使用を検討したり、また、限られた個人情報の処理は同意なく行えることを明確にしています。しかし、そのような処理の根拠はGDPRよりも限定されています。特に、GDPRで広く柔軟に使用される「正当な利益」の根拠に相当するものは、PIPLにはありません。GDPRと同様に、PIPLの重大違反には多額の罰金が科せられます。
2017年サイバーセキュリティ法とともに、新しい法案は、中国のデータ管理及びサイバーセキュリティ法体制の3つの柱となります。サイバーセキュリティ法と同様に、新しい法案は幅広く、曖昧で、複雑であり、規制当局は執行において多大な裁量判断が可能となります。
両法案は2021年5月28日までパブリックコメントを募っています。全国人民代表大会は両法案を2021年末までには成立させると考えられるため、企業は、両法令の分析や、他の中国データ規制の執行傾向を調査するなど、準備をしておくことが大切です。
本アラートは、中国で事業を行う日本企業や中国企業と取引を行う日本企業にとって重要なトピックと考えられることから紹介する次第です。詳細は、Jones Day Alert “China Takes Major Step Towards Finalizing National Data Regulation Regime”(オリジナル英語版)をご参照下さい。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。
