中国データ三法の実務　解説とＱ＆Ａ

第1章　中国におけるデータ三法の立法背景と概要

一　立法の背景
二　データ三法
三　データ法令に基づく規制実施の体制

第2章　サイバーセキュリティ法

一　サイバーセキュリティ法の概要
1. 概要
2. サイバーセキュリティ法の適用対象
3．各対象者の義務
二　サイバーセキュリティ法上の主要制度と運用実態
1．サイバーセキュリティ等級保護制度
2.重要情報インフラ運営者のサイバーセキュリティ義務の特則
3.ネットワーク設備・サービスの関連規制
三　サイバーセキュリティ審査制度
1．サイバーセキュリティ審査の法的根拠
2．サイバーセキュリティ審査制度に対する解説
3．近年の注目事例
四　サイバーセキュリティ法違反による責任
1．行政責任
2．民事責任
3．刑事責任
4．外国人に対する制裁措置

第3章　データ安全法

一　データ安全法の立法目的
二　重要制度の概要
三　データ分類分級保護制度
四　重要データの概念、識別方法
1．重要データの定義
2．重要データの識別方法
3．核心データ
五　重要データ取扱いの特則
1．共通の特則
2．業界別重要データの特則
六　罰則


第4章　個人情報保護法

一　立法概要
二　個人情報保護法の適用範囲
1．属地主義の原則
2．属地主義の例外―域外適用
3．域外適用対象となる中国国外の個人情報取扱者の組織整備義務
三　個人情報の取扱いに関する各種定義
1．個人情報
2．機微な個人情報
3. 個人情報とプライバシーとの区別
4. 個人情報の匿名化
5. 個人情報取扱者
四　個人情報の取扱い
1．収集
2．保存
3．使用
4．加工
5．伝送
6．提供
7．公開
8．削除
五　個人情報取扱いの基本原則
1．合法、正当、必要及び信義誠実の原則
2．目的制限及び最小化原則
3．公開・透明の原則
4. 個人情報の品質保証の原則
5．個人情報取扱者責任原則及び安全原則
六　個人情報取扱いの事由
1．告知
2．同意
3．個人の同意を不要とする個人情報取扱いの法的事由
4．個人情報の保存期間
5．個人情報取扱行為別のルール
七　機微な個人情報の取扱規則
1．機微な個人情報の取扱いの条件
2．機微な個人情報の取扱いにおける告知・同意
3．未成年者の個人情報の取扱い
4．その他の法律上の制限
八　個人情報主体の権利
1．知る権利、決定権
2．閲覧、複製、移転の請求権
3．訂正補充請求権
4．削除請求権
5．個人情報取扱規則に関する説明要求権
6．死者の個人情報の保護
7．個人による権利行使の保障
九　個人情報取扱者の義務
1．個人情報取扱者の義務
十　個人情報保護義務違反による法的責任
1．民事責任
2．個人情報の民事公益訴訟制度
3．行政処罰
4．ブラックリスト公示制度
5. 刑事責任

第5章　データ・個人情報の越境移転

一　データの越境移転の概説
1．越境移転の定義
2．データ越境移転関係の法令一覧
二　重要データの越境移転安全評価
1．国家安全評価における審査要点
2．国家安全評価のプロセス
3．国家安全評価の提出書類
4．国家安全評価結果の有効期間、再申請が必要な事由
5．国家安全評価の実務運用状況
6．国家安全評価実施前の越境移転リスク自己評価
三　個人情報の越境移転の要件
1．個人情報の越境移転の要件の概説
2．諸要件の詳説
四　特定の場面・業界におけるデータ越境移転の条件


第6章　データ三法の理解と運用に役立つQ&A

1. サイバーセキュリティ法
1.1　ネットワーク運営者とはどのような者か。サイバーセキュリティ法が適用されるネットワーク運営者にはどのような者が含まれるか。ネットワークの安全管理責任者はどのように決定されるか。
1.2 重要情報インフラと重要情報インフラ運営者とはどのようなものか。実務においてどのように判断されるか。
1.3　外国企業又は中国の外資企業が重要情報インフラ運営者と取引をする際にはどのようなことに注意すべきか。
1.4 サイバーセキュリティ等級保護状態の検査・評価はどのように実施すべきか。
1.5　情報システムの破壊、データ漏えい等の事件の発生時、ネットワーク運営者は、法律上どのような義務を負うか。
1.6 外資企業が中国でデータセンターを設立することは可能か。どのように設立するか。
　
2. データ安全法
2.1 個人情報が重要データに該当する可能性はあるか。個人情報が重要データに該当する場合、その取扱いにはどのような注意点があるか。
2.2 重要データと国家秘密、情報又は反スパイ法に定める「その他国の安全又は利益と関連するデータ」はどのように区別されるか。
2.3 データ安全リスク評価はどのように行うか。
2.4 当社は各部署がどのようなデータを取り扱っているか把握していないが、その確認の作業はどのように行えばよいか。
2.5 データの取引（有償譲渡）を行うことはできるか。データ資産の価値はどのように評価するか。
2.6 持続的に収益をもたらすデータリソースを資産化して貸借対照表に組み込むことはできるか。
2.7 重要データを構成する可能性のあるデータの越境移転にはどのように対応すべきか。
2.8 ChatGPTを用いたアプリケーション開発の過程でデータを利用することになるが、どのような注意点又はコンプライアンス上の要求があるか。

3. 個人情報保護法
3.1 「個人に関する情報」が個人情報に該当するか否かはどのように判断されるか。その具体的な判断基準は何か。
3.2 個人情報とプライバシーの違いは何か。
3.3 個人情報は匿名化処理をされた情報を含まないと定められているが、匿名化とは何か。
3.4 匿名化と非識別化はどのように異なるか。非識別化処理を行った個人情報の第三者との共有は可能か。
3.5 個人情報の取扱いに際して個人情報主体に提示する告知は、どのような内容でなければならないか。
3.6　個別の同意はどのようなものか。実務において、個別の同意をどのような方法で取得すればよいか。
3.7 個人情報の取扱いについて個人の同意を不要とする法的事由は、実務上具体的にどのように運用されているか。
3.8 プライバシーポリシーとは何か。それにはどのような内容を含めなければならないか。
3.9 Cookieは個人情報に該当するか。ウェブサイトでCookieの設定を行う際にはどのような法律規定を遵守しなければならないか。
3.10 個人情報主体は、権利の侵害を受けたとき精神的損害賠償の請求ができるか。
3.11 ユーザーの個人情報の取引（有償譲渡）を行うことはできるか。
3.12 個人情報保護法は、どのような場合に域外適用されるか。
3.13 従業員の携帯、パソコン上の記録や監視カメラを使った監視は、従業員の個人情報の違法な収集に該当するか。
3.14 従業員の不正行為を調査するため、本人に知らせずその個人情報を収集することは可能か。
3.15 個人情報保護法は、日本企業が中国からの観光客や留学生の個人情報を収集・保存する行為に適用されるか。日本企業は、これらの者が中国に帰k国後もその個人情報の保存を続けられるか。
3.16 アプリケーションにおいて会員ユーザーの個人情報を収集する時にはどのようなことに注意すべきか。
3.17 会員ユーザーにターゲティング広告のためのメール又はショートメッセージを送信する際、どのようなことに注意すべきか。

4. データ越境
4.1　重要データの越境移転は可能か。その必要があるとき、どのような法律上の手続が必要となるか。
4.2 個人情報の越境移転の規模によって越境移転の手続が異なるようだが、越境移転の個人情報の量はどのように計算されるか。
4.3 データの越境移転において、中国国外の受領者も中国のデータ法令の規定を遵守しなければならないか。違反した場合には、中国の関連法令により処罰されるのか。
4.4　標準契約を締結して個人情報の越境移転を行うときに標準契約さえあれば移転可能か。個人情報保護影響評価は必要か。どのような注意点があるか。
4.5 多数の中国現地法人の間におけるデータのやり取りが日本のキャリアが提供する専用回線等を利用し日本のデータセンターを経由して行う場合、データの越境移転に該当するか。
4.6 多国籍企業の人材管理において、データ越境移転にはどんなシナリオがあるか。
4.7　従業員の個人情報の国外移転は無条件で免除されるのか。
4.8 中国現地法人は、その取引先の名刺やメールにおける個人情報を、本人の同意を得ることなく中国国外の親会社と共有しうるか。
4.9 臨床試験データの越境移転は可能か。
4.10 中国国外の裁判所に証拠を提出する際には、データ越境移転の手続をしなければならないか。
4.11 中国国外の会社が模倣品による権利侵害に関する情報を中国から取得するにあたり、被疑者たる個人又は法人の代表者の氏名その他個人情報がそれに含まれる場合、個人情報越境移転のための同意を本人から取得しなければならないか。
4.12 中国現地法人の従業員が出国検査で、外国への持出禁止データが含まれるとしてパソコンのハードウェアを没収されたが、このような事件について、会社としてはどのように対応すべきか。
4.13 中国現地法人のデータコンプライアンス制度を整備する過程で、従業員が遵守すべきデータ保護義務については、具体的にどのような措置を講ずるべきか。
4.14 外国会社が中国の合弁会社からその経営管理に関するデータを取得する際には、どのようなことに注意すべきか。
4.15 中国法人を買収するために法務デューデリジェンスを行うにあたっては、どのようなことに注意すべきか。
4.16 個人情報以外のデータの違法な越境移転のため処罰された事例はあるか。
4.17 外国企業が中国の自然人の個人情報を中国国外で取り扱う際に、個人情報保護法に従う必要があるか。また、実際の紛争事例はあるか。

5. その他
5.1 データ三法は中国国外の企業に適用されるか。データ三法には中国国外の企業に対してどのような処罰規定が定められているか。
5.2 在中外資企業はデータ三法コンプライアンス体系をどのように確立しなければならないか。
5.3 在中外資企業は、データ三法以外に、安全保障の観点からどのような法令に注意すべきか。

巻末資料　～主要法規の和訳～
1. 中華人民共和国サイバーセキュリティ法
2. 中華人民共和国データ安全法
3. 中華人民共和国個人情報保護法
4. ネットワークデータ安全管理条例

事項索引