中国国内で実施する全てのデータ処理に対して適用される法律。データセキュリティー法とも呼ばれる。2021年6月10日の全国人民代表大会(全人代、国会に相当)常務委員会で可決された。9月1日に施行する。

 「データ処理」には収集、保存、使用、加工、移転、提供、公開を含み、データに関する全ての処理が同法の適用対象になる。中国国内の自治体や企業などは、業務上生成・収集したデータとそのセキュリティーに対し責任を負うとする。同法では対象とするデータの具体例として工業、通信、交通、金融、資源、ヘルスケア、教育、技術などを挙げており、これらが重点的な監視対象となる見通しだ。

 「国家の主権や安全に危害を与える違反」には最高1000万元(約1億7000万円)の罰金を科すと定めている。他にも罰則として業務停止、営業許可の取り消しや、刑事訴追の可能性を盛り込んでいる。中国国外でのデータ処理についても「中国の国家・国民の権益を害するものは法的責任が追及される」とした。

 2021年8月上旬時点ではどのような行為が同法違反となるのか具体例が示されていない。ただ、同法における責任の所在は日本の一般的な考え方と若干違うと指摘する声もある。「日本の個人情報保護法などは、企業のデータ漏洩の責任は企業が負い、社内のシステム管理責任者には及ばない。しかし中国では、企業に加え責任者個人が罰金を科される可能性がある」(GBL研究所の浅井敏雄理事)。

 他にも懸念点がある。同法第36条では、外国の司法・執行機関からデータの請求があった場合、中国の管轄機関の承認を得ずにデータを提供してはならないと明記している。日米欧などの外国企業が中国内で管理するデータを国外の裁判所・警察などに提供する場合、この制限が適用され、データの国外持ち出しが難しくなる可能性がある。

近年規制を強化している

 習近平政権は今回のデータ安全法の制定以前から、自国のIT産業を対象にした規制を強化している。例えば2017年にサイバーセキュリティー法を施行。今後も個人情報保護法の制定を予定している。

 最近では、中国当局が中国配車アプリ最大手の滴滴出行(ディディ)に対して調査に乗り出している。当局は滴滴出行のアプリで「個人情報の収集と使用に関する重大な違反を確認した」と2021年7月4日に発表。サイバーセキュリティー法に基づき、アプリのダウンロード停止を命じている。

 一方、データ安全法は米国による中国への締め付けを意識したとみられる外国向けの規定もある。例えば、データやその利用技術などに関わる開発投資や貿易などを巡り、他の国・地域が中国に対し差別的な禁止・制限を講じた場合、中国側が対抗措置を行うとする。

 データ安全法の条文はあくまで基本方針のみを示しており、具体的条件や規定は不明瞭な部分が多い。しかし米国などとの摩擦が大きくなるなか、中国政府が同法を基に外国企業に対して厳しい処置を取る可能性があり注意が必要だ。