中国で、データセキュリティ法が成立しました。記事では、日経「中国、データ統制強化 工場やEVなど対象広く」、時事「データ安全法が成立 外資系企業に影響も―中国」あたりです。
草案については、解説があります。「中国データセキュリティ法(草案)」解説(GVA法律事務所) とか「【中国】データ安全法草案 (2020.10.16up)」(明倫国際法律事務所)とかがメジャーでしょうか。
中国のネットワークセキュリティ法(网络安全法)は、いろいろと議論を呼んだ/(いる?)ところです。ちなみにJETROの翻訳はこちら。
今回は、データセキュリティ法です。中国語だと「数据安全法」ですね。数据は、データということですね。中国語は、新華社のサイトから。なので、機会翻訳で訳してみます。
とおもったら、丸山さんのサイトで訳文が出ていました。(なので、以下は、私の訳)
中華人民共和国データセキュリティ法(中华人民共和国数据安全法)
2021年6月10日第十三届全国人民代表大会常設务委员会第二十九次会通过)。
目次
第1章:総則(总则)
第2章 データセキュリティと発展(数据安全与发展)
第3章 データセキュリティシステム(数据安全制度)
第4章 データセキュリティ保護の義務(数据安全保护义务)
第5章 官公庁データのセキュリティとオープン化(政务数据安全与开放)
第6章 法的責任(法律责任)
第7章:附則
—
第1章 総則
第1条:本法は、データの取扱いを規制し、データの安全性を確保し、データの開発及び利用を促進し、国民及び組織の合法的な権利及び利益を保護し、国家の主権、安全及び発展の利益を維持するために制定される。
第2条:本法は、中華人民共和国領域内で実施されるデータ取扱活動およびセキュリティ規制に適用される。
中華人民共和国領域外で行われたデータ処理活動で、中華人民共和国の国家安全保障、公共の利益、または市民と組織の合法的な権利と利益を害するものは、法律に基づいて法的責任を追求される。
第3条:本法で使用される「データ」とは、電子的またはその他の形態の情報の記録をいう。
データの取り扱いには、データの収集、保管、使用、処理、送信、提供、開示等が含まれる。
データセキュリティとは、データが効果的に保護され、合法的に使用されることを確実にするために必要な手段を採用し、かつセキュリティ状態を持続的に確保する能力を有することをいう。
第4条:データセキュリティの保全は、国家安全保障の全体的な観点を堅持し、データセキュリティガバナンスシステムを構築・完成させ、データセキュリティを確保する能力を向上させなければならない。
第5条:国家安全保障中央指導機関は、国家のデータ・セキュリティ作業に関する主要な意思決定、審議、調整、国家データ・セキュリティ戦略及び関連する主要な政策指令の調査、起草、実施指導、国家データ・セキュリティに関する主要な事項及び努力の計画、調整、国家データ・セキュリティ作業の調整メカニズムの構築を行う。
第6条:各地域・部門は、その地域・部門の業務によって収集・作成されたデータとデータセキュリティに責任を持つ。
工業、通信、金融、天然資源、保健、教育、科学技術などの規制部門は、対応する部門のデータ・セキュリティ規制業務を引き受ける。
公安機関、国家安全機関などは、本法、関連法および行政法規の規定に基づき、その職務の範囲内でデータ・セキュリティ規制業務を行う。
国家インターネット情報部門は、本法、関連法および行政法規の規定に基づき、オンラインデータセキュリティおよび関連規制の取り組みの全体的な調整に責任を負う。
第7条:国は、データに関する個人および組織の権利と利益を保護し、データの合法的、合理的、かつ効果的な使用を奨励し、データの合法的かつ秩序ある自由な流れを確保し、データを重要な要素とするデジタル経済の発展を促進する。
第8条:データ取扱業務の遂行は、法令を遵守し、社会的規範と倫理を尊重し、商業倫理と職業倫理を遵守し、誠実で信頼性があり、データセキュリティを保護する義務を果たし、社会的責任を負わなければならず、国家安全保障、公共の利益、個人と組織の合法的な権利と利益を危険にさらしてはならない。
第9条:国家は、データセキュリティに関する知識を広める広報活動の発展を支援し、データセキュリティ保護に対する社会全体の意識とレベルを高め、関連部門、業界団体、科学研究機関、企業、個人がデータセキュリティ保護のための努力に共同で参加することを促し、社会全体がデータセキュリティを共同で保護し、発展を促進するための積極的な環境を形成しなければならない。
第10条:関連業界団体は、その憲章に基づき、法律に基づいてデータセキュリティ行動仕様書及びグループ基準を起草し、業界の自己規律を強化し、会員にデータセキュリティ保護の強化を指導し、データセキュリティ保護のレベルを向上させ、業界の健全な発展を促進する。
第11条:当該国は、データセキュリティガバナンスやデータの活用・利用などの分野における国際交流・協力を積極的に展開し、データセキュリティに関する国際的なルールや基準の起草に参加し、国境を越えたセキュリティとデータの自由な流通を促進する。
第12条:すべての個人および組織は、この法律の規定の違反に関して、関連部門に苦情または報告を行う権利を有する。苦情や報告を受けた部門は、法律に基づいて迅速に処理しなければならない。
関連規制部門は、苦情または通報者の情報の機密性を保持し、苦情または通報者の合法的な権利と利益を保護しなければならない。
第2章 データのセキュリティと発展
第13条:国家は、開発とセキュリティのための全体的な計画を立て、データセキュリティを促進するためにデータの開発と利用および産業の発展を粘り強く利用し、データセキュリティを利用してデータの開発と利用および産業の発展を確保する。
第14条:国は、ビッグデータ戦略(大数据战略)を実施し、データインフラ(数据基础设施)の構築を進め、各産業・分野におけるデータの革新的な活用を奨励・支援する。
省レベル以上の人民政府は、そのレベルの人民経済社会発展計画にデジタル経済の発展を盛り込み、必要に応じてデジタル経済の発展計画を立案する。
第15条:国は、公共サービスにおけるスマート技術の水準を高めるために、データの開発と利用を支援する。スマートな公共サービスの提供は、高齢者や障害者のニーズを十分に考慮し、彼らの日常生活に障害をもたらさないようにしなければならない。
第16条:国は、データの利用・開発やデータセキュリティ技術の研究を支援し、データの利用・開発やデータセキュリティ製品、産業システムなどの分野での普及や商業的イノベーションを促進する。
第17条:国は、データの開発・利用技術およびデータセキュリティに関する基準体系の確立を進める。国務院の標準化担当部門およびその他の国務院の関連部門は、それぞれの職務の範囲内で、データの開発・利用のための技術・製品およびデータ・セキュリティに関する標準の策定と適切な改訂を組織する。国家は、基準の起草に参加する企業や社会団体、教育・研究機関などを支援する。
第18条:国家は、データセキュリティの試験、鑑定、認証などのサービスの発展を促進し、データセキュリティの試験、鑑定、認証のサービス活動を行う専門機関を支援する。
国家は、関連部門、業界団体、企業、教育・科学研究機関、関連専門機関などが、データ・セキュリティ・リスクの評価、予防、対処などの分野で協力を行うことを支援する。
第19条:国家は、データ取引、データ交換行為の規制、データ交換市場の育成に関する管理システムを構築し、完成させる。
第20条:国家は、教育・科学研究機関や企業などがデータの利用・開発やデータ・セキュリティに関する教育・訓練を行い、多様な方法を用いてデータの利用・開発やデータ・セキュリティに関する専門的な人材を育成し、専門家の交流を促進することを支援する。
第三章:データセキュリティシステム
第21条:国家は、データ保護のための分類的・階層的なシステムを確立し、経済社会の発展におけるデータの重要性、およびデータが改ざん、破壊、漏洩、または不正に取得・使用された場合に生じる国家安全保障、公共の利益、または個人や組織の合法的な権利や利益に対する害の程度に基づいて、分類的・階層的なデータ保護を実施する。データセキュリティ業務を調整するための国家メカニズムは、関連部門による重要データのカタログ作成を計画・調整し、重要データの保護を強化することである。
国家安全保障、国民経済の生命線、国民生活の重要な側面、主要な公共利益に関連するデータは、国家の中核的データであり、より厳格な管理システムを実施する。
各地域・部門は、分類的・階層的な保護システムに基づいて、その地域・部門および対応する産業・部門内の重要データのカタログを決定し、カタログに登録されたデータの重要保護を実施する。
第22条:国は、データ・セキュリティ・リスクの評価、報告、情報共有、監視、 早期警戒のための統一された、効果の高い、権威あるシステムを構築する。データセキュリティ作業のための国家調整メカニズムは、データセキュリティリスクに関する情報の取得、分析、評価、及び早期警告を強化するために、関係部門を計画・調整する。
第23条:国は、データ・セキュリティの緊急対応・処理システム(数据安全应急处置机制)を構築する。関連する規制部門は、データセキュリティインシデント(发生数据安全事件)が発生した場合、法律に基づいて緊急対応計画を開始し、対応する緊急対応・処理策を採用して被害の拡大を防ぎ、セキュリティリスクを排除し、速やかに国民に関連する警告を発しなければならない。
第24条:国は、データセキュリティ審査のシステムを確立し、国家安全保障に影響を与える、または影響を与える可能性のあるデータ取扱活動について、国家安全保障審査を実施しなければならない。
法律に基づいて行われるセキュリティレビューの決定は最終決定である。
第25条 国家は、国家安全保障の維持および国際的義務の遂行に関連する管理対象物であるデータについて、法律に基づいて輸出管理(出口管制)を実施する。
第26条 ある国家または地域が、データおよびデータの利用と開発のための技術への投資または取引などの分野において、中国に対して差別的、制限的またはその他類似の措置を講じている場合、中華人民共和国は、実情に基づいて当該国家または地域に対して同等の措置を講じることができる。
第4章:データセキュリティ保護の義務
第27条:データ取扱活動の実施は、法令に従い、プロセス全体のデータ・セキュリティ管理システムを確立し、完成させ、データ・セキュリティに関する教育を組織し、実施し、データ・セキュリティを保護するために対応する技術的措置およびその他の必要な措置を採用しなければならない。データ処理活動を行うためにインターネットまたはその他の情報ネットワークを使用する場合は、サイバーセキュリティのためのマルチレベルの保護システムに基づいて行われ、上記のデータセキュリティ保護義務を遂行するものとする。
重要なデータを処理する者は、データ・セキュリティの責任者およびデータ・セキュリティ管理機関を明確に指定し、データ・セキュリティ保護の責任を履行しなければならない。
第28条 データを取り扱う活動およびデータ開発のための新技術の研究を行うことは、経済発展の促進、国民の福利厚生の向上、および社会的規範と倫理の遵守に資するものでなければならない。
第29条 データ取扱活動を行う者は、リスクモニタリングを強化し、データセキュリティの欠陥、脆弱性、その他のリスクが発見された場合には、直ちに改善策を講じなければならず、データセキュリティインシデントが発生した場合には、直ちに対処方法を講じ、規定に従って利用者に速やかに通知し、関連する規制部門に報告しなければならない。
第30条 重要なデータを取り扱う者は、規定に従い、データの取り扱いに関するリスクアセスメントを定期的に実施し、リスクアセスメント報告書を関連する規制部門に送付しなければならない。
リスクアセスメント報告書には、取り扱う重要データの種類と量、データ取り扱い活動の状況、直面するデータリスクとその対処方法などを記載する。
第31条 中華人民共和国ネットワークセキュリティ法の規定は、中華人民共和国領域内の重要情報インフラ事業者が収集または作成した領域からのデータの輸出に関するセキュリティ管理に適用される。中華人民共和国領域内の他のデータ取扱事業者が収集または作成した領域からの重要データの輸出に関するセキュリティ管理措置は、国家インターネット情報部門が国務院の関連部門と共同で起草することになっている。
第32条 データを収集する組織または個人は、合法的かつ適切な方法を用いなければならず、その他の違法な方法でデータを盗んだり入手したりしてはならない。
法律や行政法規にデータの収集や使用の目的や範囲についての規定がある場合、データはその法律や行政法規に定められた目的や範囲内で収集または使用されなければならない。
第33条 データ取引の仲介業務を行う機関がサービスを提供する際には、データを提供する側にデータの出所の説明を求め、取引の両当事者の身元を確認し、確認と取引の記録を保存しなければならない。
第34条 法律および行政規則で、データ取引仲介サービスを提供するために許可を取得しなければならないと規定されている場合、データ取引仲介サービスを提供するために許可を取得しなければならない。
第35条 公安機関および国家安全保障機関は、国家の安全を合法的に維持し、または犯罪を捜査するために必要なデータを収集する場合、国の関連規定に従い、厳格な承認手続きを経て行わなければならず、関連組織および個人はこれに協力しなければならない。
第36条 中国の主務機関は、外国の司法または法執行機関からのデータ提供の要請を、関連する法律および中国が締結または参加した国際条約・協定に基づいて、または互恵主義の原則に従って処理する。国内の組織および個人は、中国の管轄機関の許可なく、中国国内に保存されているデータを外国の司法機関または法執行機関に提供してはならない。
第5章: 政府事務データの安全性と公開性
第37条:国家は、電子政府の確立を強力に推進し、政府事務データの科学性、正確性、有効性を高め、経済社会の発展のためにデータの利用を拡大する。
第38条 法律で定められた職務を遂行するためにデータを収集または使用する必要がある国家機関は、法律で定められた職務の範囲内で、法律および行政法規で定められた要件および手続きに従って、職務遂行の過程で知り得た個人の個人情報、個人の情報、商業秘密、商業機密情報などのデータの秘密を法律に従って保持し、これを他人に漏らしたり、不正に提供したりしてはならない。
第39条:国家機関は、法律及び行政法規の規定に基づき、データ・セキュリティ管理システムを構築し、完成させ、データ・セキュリティ保護の責任を遂行し、政府事務データのセキュリティを確保しなければならない。
第40条 国家機関は、電子政府事務システムの構築若しくは維持、又は政府事務データの保存若しくは処理を他人に委託する場合には、厳格な承認手続きを経て、委託された者のデータ・セキュリティ保護義務の履行を監督しなければならない。委託された当事者は、法律、規則および契約上の合意に従ってデータ・セキュリティ保護義務を履行しなければならず、許可なく政府事務データを保存、使用、漏洩、または他人に提供してはならない。
第41条 国家機関は、正義、公平、人民の便宜の原則に従い、提供された政府事務データを迅速かつ正確に開示しなければならない。ただし、法律に基づいて開示してはならないものを除く。
第42条 国は、公開された政府事務データのカタログを作成し、政府事務データを公開するための統一的な標準化、相互接続、安全かつ制御可能なプラットフォームを構築し、公開された政府事務データの利用を促進する。
第43条 本章の規定は、法律または規則により公務管理義務を持つことを認められた組織が、法的に定められた職務を遂行するためにデータ処理活動を行うことに適用される。
第6章:法的責任
第44条 データセキュリティの監督および管理義務を遂行する関連規制部門は、データ取扱活動に大きなセキュリティリスクがあることを発見した場合、規定された権限および手続きに従って関連組織および個人に話をし、関連組織または個人にリスクを修正または排除するための措置を講じるよう要求することができる。
第45条 データ処理活動を行う組織または個人が、本法第27条、第29条および第30条に規定されたデータセキュリティ保護義務を履行していない場合、関連規制部門は修正を命じ、警告を行い、5万元以上50万元以下の罰金を併科することができ、直接責任のある管理者およびその他の直接責任のある人員に1万元以上5万元以下の罰金を併科することができる。是正が拒否された場合、または大規模なデータ漏洩やその他の重大な結果を引き起こした場合、50万元以上200万元以下の罰金を科し、関連業務の停止、是正のための業務停止、関連の営業許可またはライセンスの取り消しを命じ、直接責任のある管理者およびその他の直接責任のある人員に5万元以上20万元以下の罰金を科すことができるものとします。
国家基幹データの管理システムに違反し、国家の主権、安全、発展の利益を危うくした場合、関連の監督部門は200万元から1000万元の罰金を科し、状況に応じて業務の停止、修正のための停止、関連の許可の取り消し、営業許可の取り消しを命じ、犯罪が成立した場合は法律に基づいて刑事責任を追及する。
第46条 組織または個人が重要なデータを海外に提供して本法第31条に違反した場合、関連の監督部門は修正を命じ、警告を行い、10万元以上100万元以下の罰金を併科し、直接責任のある管理者およびその他の直接責任のある人員に1万元以上5万元以下の罰金を併科することができる。状況が深刻な場合は、100万元以上1000万元以下の罰金を科し、関連業務の停止、是正のための業務停止、関連の営業許可またはライセンスの取り消しを命じ、直接責任のある管理者およびその他の直接責任のある人員には、10万元以上100万元以下の罰金を科すことができます。
第47条 データ取引の仲介者としてのサービスに従事する事業所が本法第33条の義務を履行していない場合、関連規制部門は是正を命じ、不法な利益を没収し、不法な利益の価値の1倍から10倍の罰金を科す。違法な利得がない場合、または違法な利得が10万元未満の場合は、10万元以上100万元未満の罰金が科せられ、関連業務の停止、是正のための業務の一時停止、または関連業務の許可やライセンスの取り消しを命じられることがあります。直接責任のある管理者およびその他の直接責任のある人員に対しては、1万元以上10万元以下の罰金を科すことができる。
第48条:データ収集への協力を拒否して本法第35条に違反した場合、関連の監督部門は修正を命じ、警告を行い、5万元以上50万元以下の罰金を併科し、直接責任のある管理者およびその他の直接責任のある人員に1万元以上10万元以下の罰金を科す。
担当機関の承認を得ずに外国の司法機関または法執行機関にデータを提供して本法第36条に違反した場合、関連規制部門は警告を発し、10万元以上100万元以下の罰金を併科し、直接責任のある管理者およびその他の直接責任のある人員に対して1万元以上5万元以下の罰金を併科することができる。重大な結果が生じた場合は、100万元以上500万元以下の罰金を科し、関連業務の停止、是正のための業務停止、または関連の営業許可・免許の取り消しを命じ、直接責任のある管理者およびその他の直接責任のある人員には5万元以上50万元以下の罰金を科すことができる。
第49条 国家機関が本法に定めるデータ・セキュリティ保護の義務を履行しない場合、直接責任を負う管理者およびその他の直接責任を負う人員は、法に基づく制裁を受けるものとする。
第50条:データセキュリティを規制する義務を負う国家機関の職員が、その義務を怠り、権限を濫用し、または個人的な利益のために法律を捻じ曲げた場合、法律に基づいて制裁を受けなければならない。
第51条:データの盗用その他の違法な取得またはデータ処理活動の実施により、競争が排除もしくは制限され、または個人もしくは組織の合法的な権利および利益が害される場合、法律および行政法規に基づいて処罰されるものとする。
第52条:本法の規定に違反して他人に損害を与えた場合、法律に基づいて民事責任を負う。
この法律の規定に違反し、公安管理の違反となる場合、法律に基づき公安行政処分が行われ、犯罪となる場合、法律に基づき刑事責任が追及される。
第7章:附則
第53条 国家機密に関わるデータ処理活動の実施には、「国家機密の保護に関する中華人民共和国法」およびその他の関連法ならびに行政法規が適用される。
統計、アーカイブ作業、または個人情報に関わるデータ処理活動の実施についても、関連する法律および行政法規を遵守しなければならない。
第54条:軍事データのセキュリティに関する措置は、中央軍事委員会が本法に基づいて別途起草する。
第55条:本法は2021年9月1日から実施する。
という感じでしょうか。まあ、速報版ですし、無料なのでお許しをというところです。
ただ、結構、いろいろと面白い規定があります。データローカライゼーションでしょ、とか、中国だからね、と切り捨てられないところを感じました。
第1章では、第2条2項に注目ですね。
中国領域外でも、「中華人民共和国の国家安全保障、公共の利益、または市民と組織の合法的な権利と利益を害するものは、法律に基づいて法的責任を追求される」となっています。一般の人にも、GDPRでとなじみになった「域外」適用の規定です。まあ、専門家的には、連結点があって、法律の適用に関する実質的な利益があれば、立法管轄権は適用されるという一般的な理論の適用なわけで、わざわざ「域外」というのもなんなのですが、一般の人には、なかなかなじみにくいところです。
なので、我が国の国内における活動でも、「中華人民共和国の国家安全保障、公共の利益、または市民と組織の合法的な権利と利益を害する」ということになります。でもって、では、具体的にどうなのか、ということになるかと思います。もっとも、追求される「法的責任」というのは、第6章では、「修正・排除措置(44条)」、罰金・業務の停止命令・許可の取り消し(45条)になりますね。また、
担当機関の承認を得ずに外国の司法機関または法執行機関にデータを提供して本法第36条に違反した場合
というのがありますね。36条は、「国内の組織および個人は、中国の管轄機関の許可なく、中国国内に保存されているデータを外国の司法機関または法執行機関に提供してはならない」ということを示していますが、これは、当然の規定で、国外の組織であっても、中国の国益に反する情報をその当局に対して提出できないという法的義務をおうことになります。もっとも、国外の組織が提出した場合にどのような「法的責任」をおうか、ということについては、刑事法についての適用はできないことになりますが、罰金・業務停止命令などについては、潜在的なリスクとして残存するという評価になるかと思われます。
第2章は、データのセキュリティと発展です。データセキュリティは、データの開発と利用のための促進剤として重要なものであること(13条)、特にビッグデータ戦略(大数据战略)として重要であること(14条)、ユニバーサルサービス的なものの充実(15条)、イノベーションの促進などが、うたわれています。
第3章は、データセキュリティシステムです。いわゆるセキュリティポリシ上、セキュリティは、CIA(機密性・インテグリティ・可用性)に基づいて評価されるとされているわけですが、そこに国家安全保障(National Security) も基準としてリスクアセスメントを行って、評価システムを構築しなければならないとされています(21条)。
私のブログですと、インドについて「インドのデータローカライゼーション-データ移転規制 実態調査」で、データローカライゼーションとしてみておきました。インド政府は、
共同体データ/インドにおける種々のソース(電子商取引取引プラットフォーム、ソーシャタルメディア、検索エンジン)から作成されるデータについては、ローカライゼーションを推奨する」という方針を掲げていました
が結局は、断念しました。それを「重要データ」(重要数据)という概念でもって、理論的に整理したというように思えます。この重要データは、結局、輸出管理に応じて対応されるわけなので、データの主体もしくはデータの保有者が、仮に承諾していても、国家安全保障の観点から、データの越境処理が許されない性質のものということになります(25条参照)。このような話は、私のブログの「政府機関等における 今後の LINE サービス等の利用の際の考え方(ガイドライン)」を読む でみておきました。
あと、興味深いのは、26条で、「中国に対して差別的、制限的またはその他類似の措置を講じている場合、中華人民共和国は、実情に基づいて当該国家または地域に対して同等の措置を講じることができる」という規定です。参考までに、6月10日に、中华人民共和国反外国制裁法が公表されています。そこでは、
3条
第3条:中華人民共和国は、覇権主義とパワーポリティクスに反対し、いかなる国がいかなる手段と口実で中国の内政に干渉することに反対する。
外国が国際法および国際関係の基本的な規範に違反して、いかなる口実であれわが国を封じ込めたり抑圧したりする場合、あるいはそれらの国の法律に基づいて、わが国の国民に対して差別的な制限的措置を講じたり、わが国の内政に干渉したりする場合、わが国はそれに対応する対抗措置を講じる権利を有する。
とされているところです。法的な理論としては、対抗立法的なものとしてこのような法律の問題は、その一環として捉えられることになりますが、自由で平等なインターネットという考え方に、国家安全保障がおおきな顔をして入ってきたような気がして、ちょっと残念という感じはします(まあ、自由で平等なインターネットというのが青臭いのは認めますが)。
第4章は、データセキュリティ保護の義務です。
データ取扱活動の実施(27条)、新技術の研究の目的(28条)は、特に問題はないでしょう。29条は、インシデントレスポンス義務が定められているのと同時に、脆弱性対応の義務が定められています。脆弱性については、私の「脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して」のエントリもみてください。29条は、インシデントレスポンス義務については、欧州のNIS指令ですね。私のブログですと「脅威情報共有のプラットフォーム(5)-MISPとNIS指令」をみましょう。
31条は、重要情報インフラ事業者のデータの輸出についての規定です。
35条は、法執行/国家安全保障のためのデータの収集についての規定です。個人的には、中国の電子通信についての法執行/インテリジェンスによるアクセスについては、まだ勉強していないので、何かの機会に勉強してみたいと思います。
36条は、前半は、一般的な規定。その一方で、
国内の組織および個人は、中国の管轄機関の許可なく、中国国内に保存されているデータを外国の司法機関または法執行機関に提供してはならない。
という後半は、マイクロソフト事件(刑事事件において、海外に保存されているデータの提出を裁判所は、命令しうるか)についての中国の回答というところでしょうか。
中国のデータセンターに保存されているアメリカの会社があって、アメリカの会社に対してデータの提出命令がなされたとします。このような場合、中国は、この規定によってcomityを有しないと解される(多分、そうでしょう)ので、アメリカの会社としては、例によって、板挟みになりそうです。日本での記事としては、「米クラウド法で情報開示要求 日本企業、板挟みの恐れ」があります。
海外当局への提供というのは、以外に多いかと思います。裁判所へのディスカバリによる提供についてどう考えるのか、という問題も大きくなりそうです。これは、中国の企業に関して日本国内で保存されているデータの分析の問題とかもあります。ここら辺は、レビューアーをどこで準備して、どのデタセンターで取り扱うかについて、さらにセンシティブになる必要がでてきそうです。実際の事案の依頼を受けましたら、検討します。
第5章は、中国政府のオープンデータ義務を定めているのは、興味深いです(42条)。
第6章は、法的責任です。
関連当局の権限(44条)、保護義務を履行しない場合の罰金(45条)、海外提供の罰金(46条)などの規定があります。
ということで、
中国関係のビジネスにかかわる機会がある人は、せひとも、このブログで記載されている観点から、リスク判断を受けてくださいね、
という感じに思えます。