(Yicai Global) 12月13日-ディディ・グローバルが米国株式市場から上場し、香港証券取引所に上場することについて、継続的な議論が行われています。これは、中国企業がデータを処理して国外に送信する際に、国家安全保障、経済発展、および公益に関連する問題を慎重に検討する必要があることを示しています。企業はまた、関連する法規制が「サイバーセキュリティレビュー: アプリケーションと評価」をどのように要求するかに注意を払う必要があります。これは企業のイニシアチブとビジネスニーズに影響を与えるからです。

「サイバーセキュリティレビュー」システムへの洞察

ディディが米国に上場してから3日後の6月30日、中国サイバースペース管理局 (CAC) のサイバーセキュリティレビューオフィスは、サイバーセキュリティレビューの措置に従って、ライドヘイリングプラットフォームに対するサイバーセキュリティレビューを開始しました。その後、CACは、サイバーセキュリティレビューのための措置の改訂草案 (コメントの要請のための改訂草案: http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm) に合格することにより、サイバーセキュリティレビューシステムを確立しました。中国のデータセキュリティ法の下では、サイバーセキュリティレビューはすべてのデータ処理エンティティを対象とするように設計されていますが、ほとんどの場合、レビューは重要な情報関連インフラストラクチャの運営者に対してのみ実施されます。

データセキュリティ法第24条によると、「州は、国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動に関する国家安全保障レビューを実施するためのデータセキュリティレビューシステムを確立しています。」オンラインデータセキュリティ管理の規則はさらにサイバーセキュリティレビューの措置 (世論を求めるための草案版: http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm) に記載されているように、「国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動」の定義を改良します。ドラフトバージョンが法律になると、比較的完全なデータセキュリティレビューシステムが構築されます。

規則は、データセキュリティレビューを含むサイバーセキュリティレビューの規定を、個人情報の保護、重要なデータの安全性、国境を越えたセキュリティ管理に関する章ではなく、「第2章: 一般規定」に置いています。データ、インターネットベースのプラットフォームオペレーターの義務。レギュレーションの意図は簡単にわかります。まず、すべてのデータプロセッサは、サイバーセキュリティレビューを提出する必要があるかどうかに注意を払う必要があります。第二に、レビューが焦点を当てているデータ処理活動には、個人情報と重要なデータの両方、および特定の国境を越えたシナリオが含まれます。

規則における「サイバーセキュリティレビュー」の制度的特徴

データセキュリティ法に従って策定された規則は、サイバーセキュリティレビューシステムに特に注意を払っています。国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動は何ですか? この規定は、データセキュリティ法ではまだ開発されていません。サイバーセキュリティレビューの措置の第6条は、「海外に上場する100万人以上のユーザーの個人情報を持つ事業者は、サイバーセキュリティレビューオフィスにサイバーセキュリティレビューを提出する必要がある」と述べています。規則の第13条は、より豊かなコンテキストを提供します。注目に値する3つの主なポイントがあります。

第1に、サイバーセキュリティレビューのために宣言される必要がある「データリソース」の範囲は広い。規制第13条の最初の項目では、「国家安全保障、経済発展、公益に関連する大量のデータリソースを収集して習得する」データ処理業者は、サイバーセキュリティレビューを申請する必要があると提案しています。「データリソース」という用語は一度だけ表示されます。重要なデータ (改ざん、破壊、漏洩、違法な入手、または違法に使用された後、国家安全保障と公益を危険にさらす可能性のあるデータ) とコアデータ (国家安全保障に関連するデータ、国民経済の生命線、重要な人々の生活、そして主要な公益、など) 、サイバーセキュリティレビューを提出する必要があるプラットフォームオペレーターによって管理される「データリソース」の範囲には、重要なデータとコアデータが含まれますが、これらに限定されません。

第二に、規則は、サイバーセキュリティレビューの申請における客観的条件と主観的判断を区別しています。第13条のすべての項目が、2番目の項目を除いて「国家安全保障に影響を与えるか、または影響を与える可能性がある」ことは注目に値します。2番目の項目は、「100万人以上の個人情報を処理し、海外市場で公開するデータプロセッサ」が客観的な条件です。この条件を満たすプラットフォームは、「国家安全保障に影響を与えるか、影響を与える可能性がある」と推定されます。その他の項目については、国家安全保障に影響を与えるかどうか、また安全保障の見直しが必要かどうかは、企業の主観的な評価によって異なります。

第三に、規制では、海外の運用および研究開発センターのセキュリティレビューが義務付けられています。第13条は、「大規模なインターネットプラットフォーム事業者が海外に本社、オペレーションセンター、または研究開発センターを設置する」状況を指定しています。つまり、そのような状況が存在すると、CACおよび関連当局は直接強制的な報告命令を出し、事業者はサイバーセキュリティレビューを申請するかどうかを決定する必要はありません。この条項は、海外での運用および研究開発センターの設定がより高いレベルのデータリスクを構成することも示しています。

サイバーセキュリティレビューの裁量のためのスペースの宣言と評価

レビューは一般的に厳格ですが、特に3番目の項目「香港にリストするデータプロセッサ」に関して、企業はデータ処理動作の性質を決定する裁量権をまだ持っていることに注意する必要があります。4番目の項目には、「国家安全保障に影響を与える、または影響を与える可能性のあるその他のデータ処理行動」という条項が追加されていますが、データプロセッサが香港または海外で公開することを選択する状況は異なります。

議員が規則を作ったときに何を考えていたかを正確に理解する必要があります。100万人以上のユーザーから個人データを収集した企業は、海外に公開される場合は、サイバーセキュリティレビューのために当局に報告する必要があります。100万人以上の国内ユーザーの個人データを持って香港に上場することを選択した企業は、収集したデータが国家安全保障、経済発展、およびレビューの申請を決定する際の公益にリスクをもたらすかどうかを評価できます。

プラットフォームと企业は、データ処理および国境を越えたデータフロービジネスにおいて重要な位置にあります。関連する法規制に従って、彼らがどのように彼ら自身のサイバーおよびデータセキュリティを評価し、客観的な条件と主観的な判断の間のバランスを見つけるかは、彼らのビジネスの発展だけでなく、国民経済と人々の生活にも影響を与えます。ここでは、議員が何を考えていたかを理解することが重要です。

まず、サイバーセキュリティレビューは評価を強調しています。評価はサイバーセキュリティレビューの基本原則であり、サイバーセキュリティレビューのための措置の第5条に明示的に示されています。したがって、安全性評価はデータプロセッサの法的義務です。第二に、CACは、データプロセッサに評価の裁量を与えることによって引き起こされる誤報のリスクを予測しているため、予防策の明確なシステムを開発しました。規則第32条を参照してください。第三に、誤報の場合でも、当局は、年次データセキュリティ評価レポートに基づいて、データオペレーターのサイバーセキュリティレビューを実施できます。第四に、規則第13条よりも第32条に違反した場合の罰則は厳しくなります。

規制以前は、サイバーセキュリティ法、個人情報保護法 (http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml) 、およびデータセキュリティ法は、国境を越えたデータフローにおける個人情報と重要なデータを対象としていました。ただし、規則は、非個人情報や重要でないデータなど、より広い範囲のデータを対象としています。規則は、海外に行く個人データのセキュリティレビューおよび契約義務からの免除を規定する点で個人情報保護法第38条とは異なりますが、個人の同意に関してはより厳格です。これらの変更により、規則の少なくとも2つの側面が変更される可能性があります。

1つ目は、海外に行くデータのセキュリティ評価システムです。海外に行くデータのセキュリティ評価措置 (コメント草案: http://www.cac.gov.cn/2021-10/29/c_1637102874600858.htm) の第2条は、「非個人情報および重要でないデータ」を対象としておらず、将来的に「非個人情報および重要でないデータ」のセキュリティ評価に関する規定がある可能性があります。2つ目は、標準契約の適用範囲です。標準契約に関する最も初期の規定は、個人データを対象とした個人情報保護法にあります。将来の標準契約は、重要なデータだけでなく、「非個人情報および重要でないデータ」もカバーする可能性があります。

(上海社会科学院のジャーナリズム研究所インターネットガバナンス研究センター所長、Fang Shishi)