スキップしてメイン コンテンツに移動

中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その4完)

 

(4)重要データの国境を越えた移転

 しかし、重要なデータの国境を越えた移転は、異なって評価される。 CACは、「重要なデータ」を完全には定義していないが、それは中国の「中华人民共和国国家安全法」 (筆者注9)の下で徹底した概念である中国の国家安全保障に関するデータとして一般に理解されている。 (筆者注10) 

  他の2つの分野における中国の法律および規制は、どのデータがその範囲に入るかを明確に判断することは困難であるが、当局がこの用語をどのように解釈するかについての手がかりを提供する可能性がある。 「重要なデータ」の適用範囲の近い将来の評価は、ケースバイケースで行われなければならない。 

 最初の関連する法律は、国家秘密を守るための中国の法律(中华人民共和国保守国家秘密法、以下「国家秘密法」という)である。(筆者注11) この法律およびその実施規則の下で、「国家の秘密」は中国を離れることが禁じられている。国家秘密法は、例えば、国防建設と軍隊の活動、外交・外交活動、国家安全保障に関連する活動を含む「国家の秘密」とみなされるカテゴリーの非排他的リストを提供する調査を定める。過去において政府が「国家の秘密」と考えた情報の例としては、特定の政府統計、インフラストラクチャーに関する地理的データ、特定の法執行活動および特定の天然資源に関する情報が含まれる。 

 第2番目の規則は、中国の輸出管理制度に関するものである。他の多くの国と同様に、中国は、軍需品、軍事用品、その他の二重使用品や技術の輸出を管理するシステムを維持している。 輸出管理制度が対象とする製品や技術に関連するデータの移転は禁止される予定であり、厳格な監視の対象となる予定である。 

(5)グローバルなデータ転送にかかるコンプライアンス戦略(対中国においてどのように法的に適合させるか?)

 中国が国境を越えたデータの流れを規制する国のグループに加わったことで、法律第37条の対象となる可能性のある企業のコンプライアンスの問題がさらに深刻化する。 

 ケースバイケースの評価を受ける可能性が高い「重要なデータ」の移送を除いて、中国市民のデータを定期的に中国内外に転送する企業は、我々が中国の国家機関からの公式なガイダンスがまだ不足しているにもかかわらず、潜在的な中国政府の要件を守らねばならない。

  例えば、企業が最初にデータ収集と中国内外への流入をよく理解していることが重要である。次に、中国の新しい要求要件を見越して、特定の側面で既存のデータ保護コンプライアンス・プログラムを補完する必要があるかどうかを評価すべきである。 

 中国を越えて、グローバルなデータ転送戦略の実施を検討する際にも、潜在的な中国の要求事項を考慮に入れることを勧める。将来の中国の移転メカニズムと他の制度との間に(重要な)相違がある可能性を排除することはできないが、そのようなメカニズムは、BCR(Binding企業規則)やCBPR(Cross Borderプライバシールール)のような「現代の」データ移転制度の特定の原則と特徴をよく共有するかもしれない。 したがって、外国企業は同時に、中国および他の管轄地域の規制要件を同時に満たす単一のグローバルなデータ・ガバナンス・プロセスを展開すべきである。 オフショア処理のために中国のデータを後で転送する必要が生じた場合には、中国人のために複雑なデータ保護ポリシーを採用することを余儀なくされるよりも、事前の投資がより良い戦略になる可能性がある

Ⅴ.中国のサイバースペース管理局(CAC)等がネットワーク製品の第一次バッチをリリース 

 CAC( 国家互联网信息办公室)、産業・情報・技術部(中华人民共和国工业和信息化部)、公安部(中华人民共和国公安部)、中国国家认证认可监督管理委员会 (筆者注12)連名のカタログ公告の内容につき、Dechert LLPの解説文「中国のサイバースペース管理局(CAC)がセキュリティレビューの対象となるネットワーク製品の第一次のバッチをリリース」が詳細に内容を引用しているので仮訳する。なお、言うまでもないがカタログ内容はIT専門用語が頻繁に出てくる。筆者が理解している範囲で備考欄に注記を加えた。

 

***************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...