リリースタイム：2021-9-1 発表人：admin

2021年6月10日、第13期全国人民代表大会常務委員会第29回会議にて、「中華人民共和国データセキュリティ法」（以下、「データセキュリティ法」という）が可決・成立し、2021 年9月1 日から施行されました。

「データセキュリティ法」は中国のデータ分野における基本法であり、データの概念を明確に定義するとともに、データ分類・等級付け保護、リスク評価、監視・早期警報、緊急対応等の各基本制度を確立し、データ取り扱い活動を行う際に履行すべき各義務を明確化しています。「データセキュリティ法」の施行は、中国におけるデータセキュリティ管理の規範化、デジタル産業の発展促進にとって重要な意味を持ちます。

中華人民共和国データセキュリティ法

（2021年6月10日第十三回全国人民代表大会常務委員会第二十九回会議で採択）

第一章　総則

第一条　データ処理活動を規制し、データセキュリティを保障し、データの開発と利用を促進し、個人、組織の正当な権益を保護し、国家の主権、安全保障と発展の利益を保護するために、本法を制定する。

第二条　中華人民共和国領土内で展開されるデータ処理活動及び安全監督管理に本法を適用される。
中華人民共和国領土外で展開されるデータ処理活動により、中華人民共和国の国家安全、公共利益または公民、組織の合法的な権益を損なう場合、法律に従って法律責任を追及する。

第三条　本法で言及されているデータとは、電子またはその他の方法で記録される情報をいう。
データ処理とは、データの収集、保存、使用、加工、送信、提供、公開等を含む。
データセキュリティとは、必要な措置を講じることによって、データが有効的に保護され、合法的に利用されている状態を確保し、及び持続的なセキュリティ状態を保障する能力を備えていることをいう。

第四条　データセキュリティを保護するためには、国家安全保障の全体的な概念を堅持し、データセキュリティ対策体系を確立し、改善し、データセキュリティ保障する能力を向上させなければならない。

第五条　中央国家安全保障指導機構は、国家データセキュリティ業務の決定及び協議調整の責任を負う、国家データセキュリティ戦略と関連する重大な方針政策の研究・制定及び指導し、国家データセキュリティの重大な事項と重要な業務を統括・調整し、国家のデータセキュリティ業務の協調体制を確立する。

第六条　各地域、各部門は、それぞれの地域、部門の業務における収集と生成されたデータ及びデータセキュリティに対して責任を負う。
工業、電気通信、運輸、金融、自然資源、衛生健康、教育、科学技術等の管轄部門はそれぞれの業界、分野におけるデータセキュリティに対して監督管理の職責を負う。
公安機関、国家安全機関等は本法と関連する法律、行政法規の規定に従い、それぞれの職責範囲内でデータセキュリティに対して監督管理の職責を負う。
国家ネットワーク情報部門は、本法と関連する法律、行政法規の規定に従い、ネットワークデータセキュリティと関連する監督管理業務の統括・調整の責任を負う。

第七条　国家はデータに関連する、個人、組織の権益を保護し、データが法律に従って合理的かつ有効的に利用されることを奨励し、データが法律に従って秩序よく自由に流通することを保障し、データを重要な要素としてデジタル経済の発展を促進する。

第八条　データ処理活動を展開するには、法律、法規を遵守し、社会道徳と倫理を尊重し、商業道徳と職業道徳を遵守し、誠実かつ信頼できる、データセキュリティ保護義務を履行し、社会責任を負い、国家の安全、公共利益に危害を加えてはならず、個人、組織の合法的権益を損なってはならない。

第九条　国家はデータセキュリティ知識の普及が展開することを支援し、社会全体のデータセキュリティ保護意識とレベルを向上させ、関連する部門、業界組織、科学研究機関、企業、個人等がデータセキュリティ保護業務に共同参加を促進し、社会全体でデータセキュリティを保護し、発展を促進する良好な環境を形成させる。

第十条　関連する業界組織は規約に従い、法律に従ってデータセキュリティ行為規制と団体基準を制定し、業界の自主規制を強化し、会員にデータセキュリティ保護を強化するよう指導し、データセキュリティ保護水準を向上させ、業界の健全な発展を促進する。

第十一条　国家はデータセキュリティ対策、データの開発と利用等の分野の国際交流と協力を積極的に展開し、データセキュリティに関する国際規則と標準の制定に参加し、データクロスボーダーの安全、自由な流通を促進する。

第十二条　いかなる個人、組織も本法の規定に違反する行為に対して、関連する管轄部門に苦情を申し立て、告発する権利を有する。苦情、告発を受けた部門は適時に法律に従って処理しなければならない。
関連する管轄部門は苦情、告発者の関連情報を秘密にし、苦情、告発者の合法的な権益を保護しなければならない。

第二章　データセキュリティと発展

第十三条　国家は発展とセキュリティを統一的に計画し、データの開発と利用と産業発展でデータセキュリティを促進することを堅持し、データセキュリティによるデータ開発、利用と産業の発展を保障する。

第十四条　国家はビッグデータ戦略を実施し、データ基礎構築を推進し、各業界、各分野におけるデータの革新的な応用を奨励し、支援する。
省級以上の人民政府は、デジタル経済の発展計画を当該省級の国民経済と社会発展計画に組み入れ、必要に応じてデジタル経済の発展計画を制定しなければならない。

第十五条　国家は、データの開発と利用を支援し、公共サービスのインテリジェンスレベルを向上させる。インテリジェントな公共サービスを提供するには、高齢者、障害者による要求を十分に考慮し、高齢者、障害者の日常生活に支障をきたすことを避けなければならない。

第十六条　国家はデータの開発と利用とデータセキュリティ技術研究を支援し、データの開発と利用とデータセキュリティ等の分野の技術普及と商業革新を奨励し、データの開発と利用とデータセキュリティ製品、産業体系を育成し、発展させる。

第十七条　国家はデータの開発と利用技術とデータセキュリティ標準体系の構築を推進する。国務院の標準化行政管轄部門と国務院の関連する部門はそれぞれの職責に従い、関連するデータの開発と利用技術、製品とデータセキュリティに関する基準を制定し、適時に改訂する。国家は企業、社会団体と教育、科学研究機関等が基準の制定に参加することを支援する。

第十八条　国家は、データセキュリティ検査評価、認証等のサービスの発展を促進し、データセキュリティ検査評価、認証等の専門機関が法律に従ってサービス活動を展開することを支援する。
国家は関係する部門、業界組織、企業、教育と科学研究機関、関連する専門機関等がデータセキュリティリスク評価、予防、処理等の面での協力を展開することを支援する。

第十九条　国家はデータ取引管理制度を確立し、改善し、データ取引行為を規制し、データ取引市場を育成する。

第二十条　国家は教育、科学研究機関及び企業等によるデータの開発と利用技術とデータセキュリティに関する教育と訓練の展開を支援し、データの開発と利用技術とデータセキュリティの専門人材を育成し、人材交流を促進するためにさまざまな方法を講じる。

第三章　データセキュリティ制度
第二十一条　国家はデータ分類と階層的保護制度を確立し、データの経済・社会発展における重要度に応じて、及びひとたび改ざん、破壊、漏洩または不正取得、不正利用等による、国家安全、公共利益または個人、組織の合法的な権益に対する危害の程度に応じて、データに対して分類と階層的保護を実施する。国家データセキュリティ業務協調体制は、関連する部門を統括・調整して、重要なデータ目録を制定し、重要なデータの保護を強化する。
国家安全保障、国民経済の重要事項、重要な国民民生、重大な公共利益等のデータは国家の核心的データに属し、更に厳格な管理制度を実行する。
各地区、各部門は、データ分類と階層的保護制度に従い、当該地区、部門及び関連業界、分野の重要なデータの具体的な目録を確定し、目録に組み入れられたデータを重点的に保護しなければならない。

第二十二条　国家は一元的に統一された、効率的で信頼できるデータセキュリティリスク評価、報告、情報共有、監視・早期警告体制を確立する。国家データセキュリティ業務協調体制は、関連する部門を統括・調整し、データセキュリティリスク情報の取得、分析、研究・判断、早期警告業務を強化する。

第二十三条　国家はデータセキュリティ緊急対応体制を確立する。データセキュリティ事件が発生した場合、関連する管轄部門は法律に従って緊急対応策を開始させ、相応の緊急処置措置を講じ、危害の拡大を防止し、安全上の潜在的な危険を排除し、適時に社会及び公衆に関連する警告情報を公表しなければならない。

第二十四条　国家はデータセキュリティ審査制度を確立し、国家安全保障に影響を与える、または影響を与える可能性があるデータ処理活動に対して国家安全審査を行う。
法律に従って行われたセキュリティ審査の決定は最終決定とする。

第二十五条　国家は、国家安全と利益の保護、国際的な義務の履行に関する管理品目に属するデータに対し、法律に従って輸出管理を実施する。

第二十六条　いかなる国または地域でも、データ及びデータの開発と利用技術等に関連する投資、貿易等の面で中華人民共和国に対して差別的な禁止、制限またはその他の類似の措置を講じる場合、中華人民共和国は、実際の状況に応じて当該国または地域に対して対等な措置を講じることができる。

第四章　データセキュリティ保護義務

第二十七条　データ処理活動を展開するには、法律、法規の規定に従い、全プロセスのデータセキュリティ管理制度を確立し、改善し、データセキュリティの教育と訓練を展開・組織し、相応の技術措置とその他の必要な措置を講じて、データセキュリティを保障しなければならない。インターネット等の情報ネットワークを利用してデータ処理活動を展開することは、ネットセキュリティの階層的な保護制度に基づいて、上記のデータセキュリティ保護義務を履行しなければならない。
重要なデータの処理者はデータセキュリティ責任者と管理機構を明確にし、データセキュリティ保護の責任を実行しなければならない。

第二十八条　データ処理活動の展開及びデータの新技術の研究開発は、経済・社会の発展を促進し、国民の福祉を増進し、社会の公衆道徳と倫理に適合することに有益でなければならない。

第二十九条　データ処理活動を展開するには、リスク監視を強化し、データセキュリティの欠陥、抜け穴等のリスクを発見した場合、直ちに是正措置を講じなければならない。データセキュリティ事件が発生した場合は、直ちに処分措置を講じ、規定に従って速やかにユーザーに通知し、関連する管轄部門に報告しなければならない。

第三十条　重要なデータの処理者は、規定に従い、そのデータ処理活動に対して、リスク評価を定期的に展開し、関係する管轄部門にリスク評価報告を提出しなければならない。
リスク評価報告は、処理される重要なデータの種類、数量、データ処理活動を展開する状況、直面するデータセキュリティリスク及びその対応措置等を含まなければならない。

第三十一条　重要情報基礎施設の運営者は、中華人民共和国領土内での運営において収集及び生成された重要なデータの出国安全管理において、「中華人民共和国ネットセキュリティ法」の規定を適用する。その他のデータ処理者は中華人民共和国領土内の運営において、収集及び生成された重要なデータの出国安全管理弁法は、国家ネットワーク情報部門が国務院の関連する部門と共同で制定する。

第三十二条　いかなる組織、個人もデータを収集する場合には、合法的、正当な方法を講じ、データを窃取、またはその他の不法な方法で取得してはならない。
法律、行政法規がデータの収集、使用に対して、目的、範囲を規定している場合、法律、行政法規によって規定された目的と範囲内でデータを収集、使用しなければならない。

第三十三条　データ取引仲介サービスに従事する機構は、データ提供者にデータの出所を説明し、取引双方の身元を審査し、審査、取引記録を残すよう要求しなければならない。

第三十四条　法律、行政法規の規定により、データ処理関連サービスの提供が行政許可を取得しなければならない場合、サービスの提供者は法律に従って許可を取得しなければならない。

第三十五条　公安機関、国家安全機関は法律に従って国家安全保障を保護し、または犯罪を捜査するためにデータを取得する必要がある場合、国家の関連する規定に従い、厳格な承認手続きを経て、法律に従って実施し、関連する組織、個人は協力しなければならない。

第三十六条　中華人民共和国の管轄機関は、関連する法律及び中華人民共和国と締結または参加する国際条約、協定に従い、または平等と互恵の原則に従い、外国の司法または法律執行機関からのデータの提供に関する請求を処理する。中華人民共和国の管轄機関の承認なしに、領土内の組織、個人は外国の司法または法律執行機関に中華人民共和国領土内に保存されているデータを提供してはならない。

第五章　政務データセキュリティと開放

第三十七条　国家は電子政務の構築を積極的に推進し、政務データの科学性、正確性、時効性を向上させ、データ運用により経済・社会の発展にサービスする能力を向上させる。

第三十八条　国家機関は法的職責を履行するためにデータを収集し、使用する場合、その法的職責を履行する範囲内で法律、行政法規に規定された条件と手順に従って行わなければならない。職責の履行において知られている個人のプライバシー、個人情報、商業上の秘密、機密ビジネス情報等のデータは法律に従って機密を保持し、漏洩または不法に他人に提供してはいけない。

第三十九条　国家機関は法律、行政法規の規定に従い、データセキュリティ管理制度を確立し、改善し、データセキュリティ保護の責任を実行し、政務データセキュリティを保障しなければならない。

第四十条　国家機関は他人に電子政務システムの構築、保護を委託し、政務データを保存、加工する場合、厳格な認証手続きを経て、受託者が相応のデータセキュリティ保護義務を履行するよう監督しなければならない。受託者は法律、法規の規定と契約の規定に従ってデータセキュリティ保護義務を履行し、無断で保存、使用、漏洩または他の人に政務データを提供してはいけない。

第四十一条　国家機関は公正、公平、利便性の原則に従い、規定に従って政務データを適時、正確に公開しなければならない。法律に従って公開しない場合を除く。

第四十二条　国家は政務データ開放目録を制定し、統一規制し、相互接続、安全で制御可能な政務データ開放プラットフォームを構築し、政務データの開放利用を推進する。

第四十三条　法律、法規に授権された公共事務を管理する機能を有する組織は、法的職責を履行するためにデータ処理活動を展開し、本章の規定を適用する。

第六章　法律責任

第四十四条　関連する管轄部門は、データセキュリティ監督管理の職責を履行する際、データ処理活動に重大なセキュリティリスクがあることを発見した場合、規定の権限と手続きに従って関連する組織、個人に対して会談を行い、関連する組織、個人に対して措置を講じて、隠れた危険を取り除くよう要求することができる。

第四十五条　データ処理活動を展開する組織、個人が本法第二十七条、第二十九条、第三十条に規定するデータセキュリティ保護義務を履行しない場合、関連する管轄部門が是正を命じ、警告を発し、五万元以上五十万元以下の罰金を課すことができる。直接責任を負う管轄者とその他の直接責任者に対して、一万元以上十万元以下の罰金を課すことができる。改正を拒否し、または大量のデータ漏洩等の重大な結果をもたらした場合、五十万元以上二百万元以下の罰金を課し、関連する業務の停止、休業整理、関連する業務の許可証の取り消し、または営業許可証の取り消しを命じ、直接責任を負う管轄者とその他直接責任者に対して五万元以上二十万元以下の罰金を科すことができる。
国家の核心的なデータ管理制度に違反し、国家の主権、安全保障と発展の利益を損なう場合、関連する管轄部門が二百万元以上一千万元以下の罰金を課し、状況に応じて関連する業務の停止、休業整理、関連する業務許可証の取り消し、または営業許可証の取り消しを命じられる。犯罪を構成する者は、法律に従って刑事責任を追及する。

第四十六条　本法第三十一条の規定に違反して、領土外に重要なデータを提供した場合、関連する管轄部門が是正を命じ、警告を発し、十万元以上百万元以下の罰金を課し、直接責任を負う管轄者とその他直接責任者に対して、一万元以上十万元以下の罰金を課すことができる。情状が重大である場合、百万元以上一千万元以下の罰金を課し、関連する業務の停止、休業整理、関連する業務許可証の取り消し、または営業許可証の取り消しを命じ、直接責任を負う管轄者とその他直接責任者に対して、十万元以上百万元以下の罰金を課すことができる。

第四十七条　データ取引仲介サービスに従事する機構が、本法第三十三条に規定する義務を履行していない場合、関連する管轄部門が是正を命じ、違法所得を没収し、違法所得の倍以上十倍以下の罰金を課し、違法所得がない又は違法所得が十万元未満の場合、十万元以上百万元以下の罰金を課し、関連する業務の停止、休業整理、関連する業務許可証の取り消し、または営業許可証の取り消しを命じられる。直接責任を負う管轄者とその他の直接責任者に対して一万元以上十万元以下の罰金を課せられる。

第四十八条　本法第三十五条の規定に違反して、データの取得に協力しない場合、関係する管轄部門が是正を命じ、警告を発し、五万元以上五十万元以下の罰金を課し、直接責任を負う管轄者とその他直接責任者に対して一万元以上十万元以下の罰金を課せられる。
本法第三十六条の規定に違反して、管轄機関の承認なしに海外の司法または法律執行機関にデータを提供した場合、関連する管轄部門が警告を発し、十万元以上百万元以下の罰金を課し、直接責任を負う管轄者とその他の直接責任者に対して、一万元以上十万元以下の罰金を課せられる。重大な結果をもたらした場合、百万元以上の五百万元以下の罰金を課し、関連する業務の停止、休業整理、関連する業務許可証の取り消し、または営業許可証の取り消しを命じることができ、直接責任を負う管轄者とその他の直接責任者に対して五万元以上五十万元以下の罰金を課すことができる。

第四十九条　国家機関が本法に規定されたデータセキュリティ保護義務を履行しない場合、直接責任を負う管轄者及びその他の直接責任者に対して法律に従って処罰する。

第五十条　データセキュリティ監督管理の職責を履行する国家業務人員が職務を怠り、職権を濫用し、私利のために不正行為を行った場合、法律に従って処罰する。

第五十一条　データを窃取し、またはその他の不法な方法で取得したり、データ処理活動を展開して競争を排除し、制限したり、または個人、組織の正当な権益を損なった場合、関連する法律、行政法規の規定に従って処罰する。

第五十二条　本法の規定に違反し、他人に損害を与えた場合、法律に従って民事責任を負うものとする。
本法の規定に違反し、公安管理の違反を構成する場合、法律に従って公安管理罰則を課せられる。犯罪を構成する者は、法律に従って刑事責任を追及されるものとする。

第七章　附則

第五十三条　国家機密に関するデータ処理活動を展開し、「中華人民共和国国家機密保持法」等の法律、行政法規の規定を適用する。
統計、整理保存業務におけるデータ処理活動を展開し、個人情報に関するデータ処理活動を展開し、関連する法律、行政法規の規定を遵守しなければならない。

第五十四条　軍事データセキュリティ保護の方法は、中央軍事委員会が本法に従って別途制定する。

第五十五条　本法は2021年9月1日から施行する。