中国の法律事情
トップ  > コラム&リポート 中国の法律事情 >  【17-013】中国のインターネット安全法について

【17-013】中国のインターネット安全法について

2017年 9月 7日

伊藤 ひなた(Ito Hinata)

中国弁護士、アクトチャイナ(株)代表取締役社長。北京大学卒。長年、日本企業の中国進出・事業再編・撤退、危機管理・不祥事対応、労務紛争等中国法業務全般に携わる。
(会社ウェブサイト http://www.actchina.co.jp

 中国では、2017年6月1日にインターネット安全法(以下、「本法」といいます。)が施行されました。この法律は、中国国内におけるインターネットの構築、運営、維持及び使用、並びにネットセキュリティの管理監督状況を規制対象としており、中国に進出している日系企業を含む外資系企業の経営活動に影響を及ぼす可能性のある規定が織り込まれています。以下、本法の主な規制内容を説明いたします。

1. インターネット運営者のセキュリティ関連義務

 インターネット運営者とは、幅広く、インターネットの所有者、管理者及びネットサービス提供者(法76条3号)を指し、外資系企業は、その業種を問わずインターネット運営者に該当する可能性があります。インターネット運営者には、主に以下のセキュリティ関連義務が課されています。

(1) セキュリティの実施義務(法21条)

 まず、インターネット運営者は、①内部安全管理制度及び操作規程を制定し、ネットセキュリティ責任者を確定し、ネットセキュリティの保護に係る責任の所在を明確にすること、②コンピューターウイルス及びネット攻撃、インターネットへの不正侵入等のネットセキュリティを脅かす行為を防止するための技術的措置を講じること、③インターネットの運用状態、ネットセキュリティ事件を監視・記録し、少なくとも6か月間、関連するログファイルを保存すること、④データの分類、重要データのバックアップ及び暗号化等の措置を講じる、等の安全保護義務を履行し、インターネットが妨害、破壊又は無許可アクセスを受けないよう保障し、ネットデータの漏洩又は窃取、改ざんを防止すること等が要求されています。

(2)ネットセキュリティ事件の緊急対策案の制定義務(法25条)

 次に、インターネット運営者は、ネットセキュリティ事件緊急対策案を制定し、システムの脆弱性、コンピューターウイルス、ネット攻撃、インターネットへの不正侵入等のセキュリティリスクに速やかに対処するべきこととされています。さらに、インターネット運営者は、ネットセキュリティを脅かす事件が発生した場合は、直ちに緊急対策案を発動し救済措置を講じるとともに、関係当局に報告すべきこととされています。

(3)公安機関、国家安全機関が国の安全を保障し、犯罪捜査を行う場合の技術サポート及び協力義務(法28条)

 また、インターネット運営者は、理論上、公安機関、国家安全機関から要請された場合には、例えばデータを提供するなど、何らかの協力義務が生じる可能性があります。ただし、この点に関しては、現在の本法の規定においては具体的にどのような協力義務が生じるのかが不明確な状態にあり、今後の具体化が期待されるところです。

(4) 苦情処理義務

 インターネット運営者は、ネット情報セキュリティに関する苦情・通報制度を構築し、苦情・通報方法等の情報を公布し、ネット情報セキュリティに関する苦情及び通報を速やかに受理、処理しなければならないこととされています(法49条)。

2. 重要情報インフラ運営者の義務

 本法において、インターネット運営者のうち、重要情報インフラ運営者については、以下のとおり、通常のインターネット運営者と比較してより重い義務が課されています。ここにいう重要情報インフラ運営者とは、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政業務等の重要な業界及び領域並びにその他の一旦破壊され、機能喪失し、又はデータが漏洩すると、国家の安全、国家計画・国民生活、公共の利益に重大な危害を与える可能性のある事業(法31条)を営む者を指しますが、現在の本法の規定においては「公共の利益に重大な危害を与える可能性」があるか否かの線引きが必ずしも明確ではなく、より詳細な解釈が待たれることになります。

(1) データの中国国内保存義務

 本法の重要な規制として、重要情報インフラ運営者は、中国国内で運営に伴い収集し又は発生した個人情報及び重要データは、国内で保存しなければならず、業務の必要により確かに海外に提供する必要がある場合には、政府の規定に従って安全評価を行わなければならない(法37条)こととされています。例えば、中国の現地会社から電子形式の情報を日本の親会社等に送付する場合には、同条項に抵触するか否かが問題となり得ます。

(2)安全検査を受ける義務等

 また、重要情報インフラの運営者は、インターネット製品・サービスを購入する場合、それらが国家の安全に影響を及ぼす可能性があるときは、当局の安全検査を受ける必要があることとされており(法35条)、また、重要情報インフラ運営者は自らもしくはインターネット安全サービス機構に委託し、そのインターネットの安全性やリスクについて最低年1回の検査を受け、検査結果及び改善措置を関係当局に届け出るべきこととされています(法38条)。

3. 個人情報保護義務

 インターネット運営者は、個人情報を保護する義務を負います。この点については、とりわけインターネットを利用する販売会社等は、業務の性質上、個人情報を取り扱うことが多いため、注意深く対応する必要があります。

(1)秘密保持義務

 インターネット運営者は、収集したユーザ情報を秘密として厳格に保持し、ユーザ情報保護制度を構築、整備する義務を負うこととされています(法40条)。

(2)使用目的の明示等

 インターネット運営者は、個人情報を収集・使用する場合、合法・正当・必要の原則に基づき、収集・使用に係る規定を公開し、個人情報の収集・使用の目的、方法及び範囲を明示し、個人情報を収集された者の同意を得なければならないこととされています(法41条)。

(3)個人情報の安全確保、救済措置

 インターネット運営者は、収集した個人情報を漏洩、改ざん、破損してはならず、個人情報を収集された者の同意を得ず、第三者に個人情報を提供してはならないこととされています。また、インターネット運営者は、収集した個人情報のセキュリティを確保し、個人情報の漏洩、破損、紛失が発生する又は発生するおそれがある場合、直ちに救済措置を講じるものとし、ユーザに通知し、かつ関係当局に報告することとされています。ただし、インターネット運営者は、処理を行い特定の個人を識別できず、かつ回復できないものについては、個人情報を収集された者の同意がなくても、第三者に個人情報を提供することができることとされています(法42条)。

(4)個人情報の削除、修正請求に応じる義務

 個人は、インターネット運営者が法令又は双方間の約定に違反して個人情報を収集・使用していることを発見した場合、インターネット運営者に対して個人情報の削除を求めることができ、また、インターネット運営者が収集、保存した個人情報に誤りがあることを発見した場合には、インターネット運営者に対し、修正を求めることができることとされています。インターネット運営者は、個人からのかかる請求に対して応じる義務があります(法43条)。

4. おわりに

 本法については、既に施行されているにもかかわらず、関連する規定がまだ整備されておらず、法解釈上も実務運用上も不明確な点が多く、大半の企業はまだ対応を検討している状況に留まっているようです。今後、関連法令の整備や実例の蓄積により、具体的な規制対象やその対応策が明確になってくることも予想されますので、本法により影響を受ける可能性のあるインターネット運営者に該当する企業は、引き続き今後の動向に注目していく必要があるように思われます。

以上