ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国データセキュリティ法に基づく地方法が深セン・上海で制定されているらしい

知らない間に中国「データセキュリティ法」を受けた地方法規が出来ているらしい。今のところ深センと上海の2か所。とりあえずこの二市はデータセキュリティ法の具体的な執行についてやる気になっている、ということかどうかは分からない。

例によって筆者は法律の専門家ではなく中国ウォッチャーなので、このブログをゆめゆめ実務に適用されないよう。

筆者がこのことを知ったのはこちらのニュース記事。

finance.sina.com.cn

まず深セン市の方は「深セン経済特区データ条例」で、2021/06/29第七回深セン市人民代表大会常務委員会第二次会議を通過、2022/01/01施行とのこと。

例によって法律が出来た!というニュースはいくらでも見つかるのに、肝心の条文は見つからないというパターンで、深セン市条例の方はあきらめて記事だけをご紹介。

www.echinagov.com

ポイントは「データ権益」という概念。中国個人情報保護法の「個人データ権益」もピンと来ない概念で、データそのものの権利利益はさらに分からない。

どうやらデータは企業などの組織が大量のリソースをかけて産み出したものなので、財産性の権益を持つ、ということらしい。

つまり、データ自体が権利利益を持っているという意味ではなく、データには財産性がある。だから保護しなければならないという意味なんだろう。データが関連する主体(個人)そのものの権利利益を保護する観点が薄いと、データ自体の財産性を持ちだして保護すべき理由とするしかないのかも。

その他、深セン市データ条例のポイントは、個人データ処理の「最小必要」原則。これは利用目的を明確にし、処理対象とするデータの範囲は必要最小限にしなければならない、という分かりやすい話。

また消費者保護のために、いわゆる「大数据杀熟」、つまりECサイトなどが新規ユーザを獲得するために、常連ユーザーに不利で、新規ユーザーに有利な価格を示すなどの差別的待遇を禁じる条文もある。これは個人情報保護法の反トラスト法観点の敷衍としていつも出てくるお話。

深セン市条例ではこの差別的な待遇について、重大な事案の場合は年間売上5%以下、5,000万元を超えない罰金が科せられるとのこと。

さて、次は「上海市データ条例」だが、こちらはまだ草案のパブリックコメント募集段階で、条例の全文が見つかった。

上海市数据条例(草案)(征求意见稿) http://www.spcsc.sh.cn/n8347/n8481/n9119/index.html

草案は上海市人民代表大会常務委員会を2021/09/30に通過、パブコメ期間は2021/10/20まで。

特徴として他のニュース記事で挙げられているのは、「第二章データ権益保障」の下に、生体識別情報(第二十一条)、顔識別技術の運用(第二十二条)、自動化決定(第二十三条)について単独の条文を立てている点。

顔識別技術の運用については、商業施設、公園、公立の文化体育施設、ホテル、オフィスビルなど具体的な場所が列挙され、顔識別設備を設置していることがはっきり分かるようにし、設置責任をもつ組織、使用目的、範囲、保存期間なども通知しなければいけないとある。

続きには「第三章公共データ」として公共部門による公共データ処理についての規制に割かれており、条文全体の過半を占める。第二条の定義によれば「公共データ」とは公共サービス管理を行う組織、行政機関に限らず、電気、水道、公共交通機関なども含めた組織機関が処理するデータのこととなっている。

第四章は「データ要素市場」として、法に基づくデータの共有、公開、交易、価値評価など、資産としてのデータ利用に踏み込んだ内容になっている。

例えば第五十五条はデータの売買をする場合の適正価格評価は、データ売買市場に参加する各主体が自主的に決めることができるが、上海市の主管部門が業界団体に対して売買価格評価のガイドラインを制定するよう指導しなければならないとしている。

あと、個人的な勘で要注意だと思うのは、「第六章 浦東新区データ改革」「第七章 長江デルタ区域データ提携(合作)」と、ズバリの地名がわざわざ章立てされている点。ただ、規制強化という主旨ではなく、データの共有、売買など積極的なデータ活用による産業育成のトーンが強い。

第八章は「データセキュリティ」で中国「データセキュリティ法」をベースにした内容、第九章は罰則規定といった構成。

こうした条例が出来ることで、サイバーセキュリティ等級保護(网络安全等级保护)制度の、各企業に対する自己リスクアセスメント指導など、具体的な行政指導や処罰がどれくらい活発化するのか分からないが、そのきっかけになりかねないので要注意かも、という極めて個人的な印象。