中国のデータ3法（サイバーセキュリティ法（CCSL）、データセキュリティ法（CDSL）及び個人情報保護法（PIPL））の下で、「個人情報」を中国から海外に移転する際の実務については、以下の特集記事で述べたとおりです。
・中国の個人情報保護法（データ3法）の下での国外移転の実務（前編：制度概要）
・中国の個人情報保護法（データ3法）の下での国外移転の実務（後編：実務対応）

これに対し、本稿では、「重要データ」にフォーカスを当て、「重要データ」を中国から海外に移転する際の実務を解説します。

中国のデータ3法の下で「重要データ」を中国国外に移転する際には、以下の規制があります。

以下、これらの規制を詳述します。

1．「重要データ」とは

(1) 何が「重要データ」に当たるか

重要データは、「データ越境安全評価弁法」19条において以下のとおり定義されています。

データ越境安全評価弁法19条
ひとたび改ざん、破損、漏えい又は不正取得、不正利用等が生じた場合に国家の安全、経済運営、社会の安定、公衆衛生及び安全に危害を及ぼすおそれのあるデータ

この定義では、「重要データ」の範囲は明確ではないといわざるを得ません。

この点に関し、データセキュリティ法21条3項は「各地域、各部門はデータ分類・分級保護制度に基づき、本地域、本部門及び関連業界・分野の重要データの具体的な分類目録を確定しなければならない」と定めています。
これを踏まえ、「サイバーセキュリティ標準実践ガイドライン——インターネットデータの分類と分級に関する指針」（TC260-PG-20212A）が、当局はデータを「一般データ」、「重要データ」及び「核心データ」の3つのレベルに分類するとしています。

より具体的には、「情報セキュリティ技術　重要データ識別ガイドライン」が「重要データ目録」を定めるとしており、2022年1月13日からパブリックコメントが行われましたが、本稿執筆時には正式版は公表されていません。したがって、現時点では、何が「重要データ」にあたるかは不明確であるといわざるを得ない状況です。
なお、同ガイドライン案第5項では、以下が重要データであるとされています。

重要なデータを特定する場合、以下の要素を考慮することができる。
a) 戦略物資の生産能力や備蓄など、国家戦略的備蓄や緊急動員能力を反映したものが重要なデータである。
b) 重要インフラの運用や重要地域の産業生産を支援するもので、重要インフラが位置する産業や分野の中核事業の運用や重要地域の産業生産を直接支援するデータが重要なデータである。
c) 重要情報インフラのネットワークセキュリティ保護を反映したもので、重要情報インフラに対するサイバー攻撃の実行に利用できるもの。例えば、重要情報インフラのネットワークセキュリティ計画を反映したデータ、システム構成情報、コアソフトウェアおよびハードウェア設計情報、システムトポロジー、緊急時計画等が重要なデータである。
d) 輸出管理品目に関するデータであって、輸出管理品目の設計原理、プロセスフロー、製造方法等を記述した情報、ソースコード、集積回路レイアウト図、技術計画、重要パラメータ、実験データ、テストレポート等が重要なデータである。
e) 地理情報であって、一定の精度要件を満たすもの等、他の国や組織が中国に対して軍事攻撃を行うために利用する可能性があるデータが重要なデータとなる。
f）テロリストや犯罪者が損害を与えるために使用する可能性のある重要目標、重要拠点、非公開の地理的目標の位置の物理的安全保護を反映したデータ、例えば、重要保安単位、重要生産企業、重要国家資産（鉄道、石油パイプラインなど）の建設計画、内部構造、セキュリティなどの情報、非公開の特別道路、非公開の空港に関する情報などは重要である。
g) 重要な顧客のリスト、重要な情報基盤事業者による製品・サービスの調達に関する未公開情報、未公開の重要な脆弱性など、重要な機器やシステム部品のサプライチェーンに障害を与え、高度持続的脅威などのサイバー攻撃を仕掛けるために悪用される可能性があるデータは、重要なデータである。
h) 集団における健康状態、生理状態、民族的特徴、遺伝情報等を反映した基本データ、例えば、人口調査情報、ヒト遺伝資源情報、遺伝子配列の生データは重要なデータである。
i) 国の天然資源および環境に関する基本データ。例えば、水の状態に関する未発表の情報、水文観測、気象観測、環境モニタリングデータなどは重要なデータである。
j) 国防や国家安全保障に関連する知的財産権を記述したデータなど、科学技術力に関連し、国際競争力に影響を与えるデタは重要なデータである。
k) 重要企業の金融取引に関するデータ、重要機器の生産・製造に関する情報、国家的な主要プロジェクトの建設やその他の生産活動における重要機器の装備・使用に関する情報など、外国政府から制裁を受ける可能性のある機密項目の生産・取引および重要機器の装備・使用に関するデータは重要なデータである。
l) 政府機関、軍需企業、その他の機密かつ重要な機関にサービスを提供する過程で発生する情報で、軍需企業による長期間の車両使用に関する情報など、一般公開には適さない情報。
m) 未公開の統計データなど、未公開の政府データ、業務秘密、情報データおよび法執行・司法データ
n) その他、国家の政治、領土、軍事、経済、文化、社会、科学技術、生態、資源、核施設、海外利益、生物、宇宙、極、深海などの安全に影響を与える可能性があるデータ。
上記のうち1つでも該当するものは重要なデータである。

今後、上記「重要データ目録」で重要データが定められていくほか、各種規制においてもこれが具体的に定められていくと考えられます。

例えば、2021年10月1日から施行されている「自動車データセキュリティ管理若干規定（試行）」第36項では、以下が「重要データ」に当たるとされています。

・重要センシティブ・エリア（軍事管理エリア、国防科学工業機関および県レベル以上の中国共産党機関・国家行政機関等）の地理情報、歩行者通行量・車両通行量に関するデータ
・車両の走行量、物流等の経済状況を反映するデータ
・車両充電ネットワークの稼働データ
・顔、ナンバープレート情報等を含む車外の撮影、画像データ
・10 万人を超える個人情報主体に関わる個人情報
・主管機関が確定する国家の安全、公共の利益、個人や組織の合法的権益に危害を及ぼす可能性があるデータ

また、2022年2月10日からパブリックコメントが行われた「工業及び情報化分野のデータセキュリティ管理弁法（試行）」10条では、以下が重要データに当たるとされていました。

第10条 【重要データ】
危害の程度が次のいずれかに該当するデータは、重要データに当たる。
（一） 政治、領土、軍事、経済、文化、社会、科学技術、電磁、ネットワーク、生態、資源、原子力安全等に脅威を与え、中国の国外の利益、生物、宇宙、極地、深海、人工知能その他の国家安全保障に関連する重要分野に影響を及ぼす
（二）産業および情報技術の分野における開発、生産、運営および経済的利益に重大な影響を与える
（三）重大なデータセキュリティ事故または生産安全事故を引き起こし、公共の利益または個人もしくは団体の正当な権利および利益に重大な影響を与え、社会的に大きな負の影響を与える
（四）明らかな連鎖的影響を引き起こし、影響範囲が複数の業界、地域、または業界の複数の企業に及び、または影響が長期間続き、業界の発展、技術進歩、産業生態などに深刻な影響を与える
（五）工業情報化部門が評価・決定したその他の重要なデータ

さらに、2021年11月14日からパブリックコメントが行われた「ネットワークデータセキュリティ管理条例」案によれば、以下が重要データにあたるとされていました。

・非公開の政府データ、仕事上の秘密、情報データ、法執行機関や司法機関のデータ
・輸出管理データ、輸出管理品目に関わるコア技術、設計スキーム、生産プロセスに関するデータ、暗号、生物、電子情報、人工知能など、国家安全保障や経済の競争力に直接影響を与える分野の科学技術成果に関するデータ
・国家の経済運営データ、重要産業のビジネスデータ、統計データなどで、国の法律、行政法規、部門規定で保護または普及制御が明確に求められているもの
・産業、通信、エネルギー、交通、水利、金融、国防科学技術産業、税関、税務などの主要産業・分野の安全な生産・運営に関するデータ、主要なシステムコンポーネントや機器のサプライチェーンデータ
・遺伝子、地理、鉱物、気象データなど、人口や健康、天然資源、環境に関する国家基本データで、国家の関連部門が指定する規模や精度に達しているもの
・国家インフラ、重要情報インフラの構築・運用とそのセキュリティデータ、国防施設、軍管理区域、国防研究・生産ユニットなどの重要かつ機密性の高いエリアの地理的位置とセキュリティに関するデータ
・その他、国家の政治、領土、軍事、経済、文化、社会、科学技術、生態、資源、核施設、海外の利益、生物、宇宙、極地、深海などの安全に影響を与える可能性のあるデータ

そのほか、2017年5月27日からパブリックコメントが行われた「データ国外移転安全評価指針（第1草稿）」では27の分野毎に重要データに該当するものが列挙されていました。

(2) 重要データに該当するかどうかの判断

以上を踏まえ、日本企業は、重要データに該当するか否かをどのように判断することになるでしょうか。

ケース1：自動車の走行データを日本に送信する

例えば、日本企業が、中国の自動車の走行データを日本にあるサーバに送信させ、収集するケースで検討します。

前記「情報セキュリティ技術　重要データ識別ガイドライン」（パブコメ版）第5項では、「ｅ) 地理情報であって、一定の精度要件を満たすもの等、他の国や組織が中国に対して軍事攻撃を行うために利用する可能性があるデータ」が重要データに当たるとされています。自動車の走行データは、少なくともこれに当たる可能性があります。

そこで、より具体的な規定である「自動車データセキュリティ管理若干規定（試行）」をみると、「重要センシティブ・エリア（軍事管理エリア、国防科学工業機関および県レベル以上の中国共産党機関・国家行政機関等）の地理情報、歩行者通行量・車両通行量に関するデータ」や「車両の走行量、物流等の経済状況を反映するデータ」が重要データに当たるとされています。
したがって、自動車の走行データは、「重要データ」に当たる可能性が高いように思われます。

中国のネット配車サービス最大手の滴滴出行（DiDi）を提供するDiDi Globalが、2022年7月21日、配車アプリにおいて正確な位置情報を過度に収集していたなどとして、国家インターネット情報弁公室から、サイバーセキュリティー法、データセキュリティー法、個人情報保護法、行政処罰法などの規定に基づき80億2600万元（約1565億円）の課徴金が課せられ、同社の董事長ら 2 名に対してもそれぞれ 100 万元（約1950万円）の課徴金が課せられる事例が発生しています。これに関し、「環球時報」は「滴滴出行のように、米国で上場し、主要株主の第1位、第2位を外国企業が占めるような企業に対しては、国は、情報安全についての管理監督をより厳格にすべきだ」（2021年7月4日社説）と述べています。

日本企業においても慎重な対応が必要となると考えられます。

ケース2：日本企業が中国企業に工作機械を輸出し、当該工作機械の稼働データを日本のサーバで受信する

次に、日本企業が、工作機械を中国の顧客企業に輸出し、当該工作機械の稼働データを日本のサーバで受信するケースで検討します。

まず、「情報セキュリティ技術　重要データ識別ガイドライン」（パブコメ版）第5項では、「d) 輸出管理品目に関するデータであって、輸出管理品目の設計原理、プロセスフロー、製造方法等を記述した情報、ソースコード、集積回路レイアウト図、技術計画、重要パラメータ、実験データ、テストレポート等」が重要データに当たるとされています。

また、「「ネットワークデータセキュリティ管理条例」案」（パブコメ版）でも、「輸出管理品目に関わるコア技術、設計スキーム、生産プロセスに関するデータ」が重要データに当たるとされています。

これらによれば、中国政府が定める「輸出管理品目」に該当する物品やサービス等に関するデータは、重要データに当たる可能性があります。
したがって、日本企業としては、当該工作機械を中国から海外に輸出すると仮定した場合に、それが「輸出管理品目」に該当するかを考えます。
当該工作機械が「輸出管理品目」に該当する場合、送受信する稼働データが、「設計原理、プロセスフロー、製造方法等を記述した情報、ソースコード、集積回路レイアウト図、技術計画、重要パラメータ、実験データ、テストレポート等」、又は「コア技術」、「設計スキーム」若しくは「生産プロセス」等に関するデータといえるかを検討します。もしこれらに当たれば、「重要データ」に当たる可能性があることになります。

また、例えば、営業活動の過程で顧客である中国企業から聞いた投資計画や生産計画などが「重要データ」に当たる可能性もあります。

さらに、「工業及び情報化分野のデータセキュリティ管理弁法（試行）」（パブコメ版）10条では、「明らかな連鎖的影響を引き起こし、影響範囲が複数の業界、地域、または業界の複数の企業に及び、または影響が長期間続き、業界の発展、技術進歩、産業生態などに深刻な影響を与える」ものは重要データであるとされています。
したがって、当該工作機械の稼働データが、「影響範囲が複数の業界、地域、または業界の複数の企業に及び、または影響が長期間続き、業界の発展、技術進歩、産業生態などに深刻な影響を与える」ものかどうかを検討していきます。

データ・マッピング、データ・デューデリジェンスの必要性

以上のケースで述べたことは、重要データに当たるか否かを判断するプロセスをイメージとして述べたものであり、実際には、中国から越境移転する全てのデータを洗い出し、それぞれのデータについて、各規制が定める重要データの項目に当たるか否かを網羅的に検討する必要があります。

越境移転するデータ全て洗い出して調査する、データ・マッピング、データ・デューデリジェンスが必要となると考えられます。

2. 「重要情報インフラ運営者」とは

サイバーセキュリティ法では、後述するとおり「重要情報インフラ運営者」に対して国内保存義務や、国外移転の際の安全評価などの義務を課しています。
では、ここでいう「重要情報インフラ運営者」とはどのような企業を指すのでしょうか。

「サイバーセキュリティ法」では、「情報ネットワーク」とは「コンピューターやその他の情報端末、関連設備等で生成され、一定の規則およびプログラムに基づき、データの収集、保存、転送、交換、処理を行うシステム」であるとされています。

そして、「情報ネットワークの所有者、管理者及びネットワークサービス提供者」が「情報ネットワーク運営者」と呼ばれます。

この「情報ネットワーク運営者」のうち、以下のものを「重要情報インフラ運営者」と定義し、様々な上乗せの義務を課すというのが、サイバーセキュリティ法の構造です（34条～38条）。

公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務等の重要分野、「破壊を受け、機能を喪失し、またはデータの漏えいが発生した場合に、国の安全、人民の生活、公共利益に重大な危険をもたらす可能性がある」分野における重要情報インフラの運営者

また、「重要情報インフラ安全保護条例」によれば、以下の事業者が「重要情報インフラ運営者」に当たるとされています。

この規制でいう重要情報インフラとは、公共の通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術産業その他の重要な産業分野、その他の重要なネットワーク設備や情報システムであって、それらが損傷したり、機能を失ったり、データが流出したりすると、国家安全保障、国民生活、公共の利益に重大な危険を及ぼす可能性があるものをいう。

3.「重要データ」に対する規制

(1)サイバーセキュリティ法（インターネット安全法）

以上の定義を前提に、サイバーセキュリティ法37条は、以下の規制をしています。

「重要情報インフラ運営者が中華人民共和国国内での運営において収集・生成された個人情報及び重要データは、中国国内で保存しなければならない。業務上の確かな必要により越境移転を行う必要がある場合、国家ネットワーク情報部門が国務院の関連部門と共同して定めた規則に従って安全評価を受けなければならない

すなわち、重要インフラ運営者を対象に、個人情報及び重要データについて、国内への保存義務を課しています。また、安全評価も義務づけています。

(2)個人情報保護法

また、個人情報保護法40条では、以下の規制があります。

第40条 重要情報インフラ運営者及び取扱う個人情報が国家インターネット情報部門の規定する数量に達した個人情報処理者は、中華人民共和国域内で收集し又は発生した個人情報を域内で保存しなければならない。確かに域外に提供する必要がある場合には、国家インターネット情報部門による安全評価に合格しなければならない。法律、行政法規及び国家インターネット情報部門が安全評価を行わなくて良いと規定する場合には、その規定に従う。

個人情報の一定の数量を満たした場合には、個人情報を中国国内で保存する義務があり、越境移転についての安全評価も必要であるとしています。

(3)データセキュリティ法（データ安全法）

さらに、データセキュリティ法31条は、「重要データ」を対象に、「重要情報インフラ運営者」の場合にはサイバーセキュリティ法を適用するとし、それ以外のデータ処理者の場合には越境安全管理弁法に従うとしています。

第31条　重要情報インフラ運営者が中華人民共和国国内の運営中に収集し、発生させた重要データの越境安全管理は、「中華人民共和国サイバーセキュリティ法」の規定を適用する。
その他のデータ処理者が中華人民共和国国内の運営において収集し、発生させた重要データの越境安全管理弁法は、国家インターネット情報通信部門が国務院の関係部門と共同で制定する。

(4)越境安全評価弁法

越境安全評価弁法4条は、以下のとおり「安全評価」が義務づけられるケースを定めています。

第4条　データ処理者は、国外にデータを提供するとき、以下のいずれかに該当する場合、所在地の省級のインターネット情報部門を通じて、国家インターネット情報部門にデータ越境安全評価を申告しなければならない。
(一)データ処理者が重要データを国外に提供する場合。
(二)重要情報インフラ運営者及び100万人以上の個人情報を取り扱う情報処理者が国外に個人情報を提供する場合。
(三)前年1月1日から累計で10万人の個人情報または1万人の機微個人情報を国外に提供するデータ処理者が国外に個人情報を提供する場合。
(四)国家インターネット情報部門が規定するデータ越境安全評価の申告を必要とするその他の状況。

(5)まとめ

以上を総合すると、冒頭に掲載した表のとおりの規制があることになります。

4. 安全評価

以上のとおり、重要データを国外に移転しようとする場合、多くのケースで越境移転のための「データ越境安全評価」を行う義務があります。安全評価の詳細を定めた「データ越境安全評価弁法」については、ニューズレター「中国でデータ越境安全評価弁法が公布」をご参照ください。

具体的には、データ越境安全評価を申告する前に、以下の事項を重点的に評価して、データ越境リスクの自己評価を行う義務があるとされています（同弁法5条）。

(一)データ越境及び国外受領者による個人情報処理の目的、範囲、方法等の適法性、正当性、必要性
(二)越境データの規模、範囲、種類、機微の度合、データ越境が国家の安全、公共の利益、個人または組織の正当な権利及び利益にもたらす可能性のあるリスク
(三)国外受領者が負う責任義務、責任義務を履行する管理的及び技術的措置、越境データの安全を保障する能力
(四)データ越境時及び越境後の改ざん、破壊、漏えい、紛失、移転や不正取得、不正利用等のリスク、個人情報の権利及び利益を保護する方法がスムーズであるか等。個人情報の域外移転後の漏えい、毀損。改ざん、濫用等のリスク、個人が個人情報の権利利益を保護する方法がスムーズであるか等
(五)国外受領者との間で締結されたデータ越境関連契約又はその他の法的拘束力のある文書（以下総称して「法的文書」という。）において、データセキュリティ保護の責任義務が十分に取り決められているか
(六)データ越境の安全性に影響を及ぼす可能性のあるその他の事項

また、データ越境安全評価におけるリスク評価においては、以下のようなリスクを重点的に評価するとされていあす。

データ越境安全評価は、データ越境活動が国家の安全、公共の利益及び個人又は組織の正当な権利及び利益にもたらす可能性のあるリスクを重点的に評価し、主に以下の事項を含むものとする。
(一)データ越境の目的、範囲及び方法等の適法性、正当性、必要性
(二)国外受領者の所在国又は地域のデータセキュリティ保護政策及び法規並びにネットワークセキュリティ環境が越境データの安全に及ぼす影響、国外受領者のデータ保護水準が中華人民共和国の法律、行政法規の規定及び強制的な国家標準の要求を満たしているか。
(三)越境データの規模、範囲、種類、機微の度合、越境時及び越境後の改ざん、破壊、漏えい、紛失、移転や不正取得、不正利用等のリスク
(四)データセキュリティ並びに個人情報の権利及び利益を十分かつ効果的に保障できるか
(五)データ処理者と国外受領者との間で締結された法的文書において、データセキュリティ保護に関する責任義務について十分に取り決められているか
(六)中国の法律、行政法規、部門規則の遵守
(七)国家インターネット情報部門が評価する必要があると判断したその他の事項

その上で、以下の書類を当局に提出し、審査を受けます。

(一)申告書
(二)データ越境リスクに関する自己評価報告書
(三)データ処理業者と国外受領者が締結した法的文書
(四)安全評価業務に必要なその他の資料

自己評価報告書の作成や当局への届出については、特集「中国の個人情報保護法（データ3法）の下での国外移転の実務（後編：実務対応）」の「3. 安全評価」をご覧ください。

5. 罰則

以上の義務に違反した場合には、例えば以下のとおりの罰則があります。
営業許可の取り消しを含む強い罰則が定められていますから、注意が必要です。

(1) サイバーセキュリティ法（CCSL）37条の国内保存・越境移転の義務違反の罰則（66条）

（会社）
・関連主管部門の是正命令、警告
・違法所得の没収
・5万元以上50万元以下の過料
・関連業務の一時停止、営業停止・粛正、ウェブサイトの閉鎖、関連の業務許可の取消し又は営業許可の取消し
（責任者）
・1万元以上10万元以下の過料

(2) データセキュリティ法（CDSL）31条の安全評価の実施義務違反の罰則（46条）

通常の場合

（会社）
・関連主管部門の是正命令、警告
・10万元以上100万元以下の罰金
（責任者）
・1万元以上10万元以下の罰金

事態が深刻な場合

（会社）
・100万元以上1000万元以下の罰金
・関連業務の一時停止、業務の廃止、関連業務許可の取消し、又は営業許可の取消し
（責任者）
・10万元以上100万円以下の罰金

6. まとめ

以上のとおり、「重要データ」の基準は現時点（2023年3月15日）では必ずしも明確ではないものの、「重要データ」に該当するデータについては、一定の場合には中国国内に保存する義務があり、国外に移転する際にはデータ越境安全評価を行って当局に申告し、審査を受ける義務があります。
これらに違反した場合には罰金や営業許可の取消しを含む重い罰則が定められていますので、早急な対応が求められると考えられます。

※本稿は一般的な法令情報を提供するものであり、中国法に関するアドバイスや法的意見を提供するものではありません。

関連セミナー

• 中国個人情報保護法（データ3法）の下での越境移転の実務｜U&Pリーガルセミナー
  （2023年6月7日16:00～17:00、8月31日までアーカイブ配信、無料）