Authored by: 王臻婷 and 王祺

2017年以降、中国においては「ネットワーク安全法」、「データ安全法」、「個人情報保護法」が相次いで施行され、データに関するいわゆる「3本柱」が構築された。これらの「3本柱」の規定からみると、ネットワーク及びデータに関する活動を行う主体は、その行為、取り扱うデータの種類などによって、異なる義務を履行しなければならない。例えば、機微個人情報を取り扱う場合には、事前に個人情報保護影響評価を行わなければならないこと、また、重要データの取扱者はデータ取扱活動に対して定期的にリスク評価を実施のうえ関係する政府主管部門にリスク評価報告書を提出しなければならないことなどが挙げられる。ただし、大手企業の場合、社内各部門におけるデータ取扱活動が相対的に独立しているため、部門ごとのネットワーク及びデータ活動に関する義務の履行要否について正確に判断することが難しく、コンプライアンスリスクが生じるおそれがある。企業がどのようなネットワーク及びデータ活動を展開し、どのような法的義務を履行すべきかを全体的に把握するためには、社内でデータコンプライアンスの評価を実施する際に、まずは法的観点からデータマッピング(以下、「法務データマッピング」という)を行う必要がある。

Read More