中国データセキュリティ法

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

• 配信日：2021年7月1日
• タイトル：中国データセキュリティ法
• 発表者？：データサイン 代表取締役社長 太田祐一

目的の第一は、国家安全保障

中国における個人のデジタルプライバシーはどのように保護されているのでしょうか。データサイン代表取締役社長 太田祐一が話題に取り上げました。

＊Web公開された中国語の原文を無償のWeb翻訳ツールで和訳しているため、本レポートにおける記述の正確性はデータサインで保証しかねる点をご了承ください。

中国データセキュリティ法（Data Security Law）は、2021年6月10日に公布、9月1日に施行される法律です。

その目的は大きく2つ。第1に国家安全保障、第2に経済安全保障と記されています。

「国家安全保障とは、データの独占とヘゲモニー（主導権）が形成された場合、一連の政治的および経済的な問題が発生する事態を防ぐこと、を意味しています。経済安全保障では、個人のプライバシーが悪意のもとで漏洩した場合のセキュリティリスクについて法律では警鐘を鳴らしています。データの独占を問題視していますが、中国のビッグテック、たとえばアリババなどを暗に指摘していると思われます」（太田）

データの所有権は人にあり。でも主権は国

中国データセキュリティ法には、市民が有する個人データの権利は、人格権や財産権と同様に重要であり、市民の基本的権利を構成している、という趣旨の記述が見られます。

「日本では曖昧なデータの所有権ですが、中国データセキュリティ法では、データの所有権は人にある、と明示しています。ただ、データを生成、配布、管理、使用、規制、監督、保護、評価、レビューなどをする権利、すなわち主権は国にある、としています」（太田）

大量データの漏洩を引き起こしたり、国の主権、安全保証および開発の利益を危険に晒したりした場合には、それぞれ3500万円以下、1億7000万円以下の罰金の支払いが命じられます。

わかりやすいサイトの見せ方には見習うべき点も

太田は中国データセキュリティ法以外にも、いくつか気になる中国のプライバシー関連の法律を取り上げました。その1つが、2021年5月１日に施行された「一般的な種類のモバイルインターネットアプリケーションに必要な個人情報の範囲に関する規則」です。

こちらでは、地図ナビゲーション、インスタントメッセージング、オンラインショッピング、交通チケットなど、39の一般的なタイプのモバイルアプリケーションに必要な個人情報の範囲を明確化しています。

「すべての情報の取得にはユーザー本人の同意が必要とされています。ただし、ユーザーが個人情報の提供に同意しないからといって、基本的な機能およびサービスを使用することを拒否してはならない、と第4条に定めています。この規定はCookie Wallはダメ、と定めるEUのGDPR（一般データ保護規則）に通じるものですが、規定された情報以外の個人情報、要するに基本的な機能およびサービスを提供するのに不必要な、たとえば『性別』などの情報提供にユーザーからの同意が得られなくても機能・サービス提供を拒否してはならない、とあります。その点でGDPRより厳しいかもしれません」（太田）

中国ではデータ取引の規制が民間の自主規制団体ではなく国が主導している、など多くの点で個人の人権を重んじるEU諸国や日本における状況とは異なります。

「ただし、前述のモバイルインターネットアプリケーションに関する規則などでは、アプリの機能やサービスに必要な個人情報の範囲を、サイトに具体的に掲示し、かつ用途もわかりやすく列挙されていました。こうしたユーザーへの具体的な伝え方、見せ方には私たちも参考にできるところがありそうです」（太田）