「サイバーセキュリティ法」改正の動向と今後の見通し

概要

2017年6月1日から、「サイバーセキュリティ法」が施行されている。2022年9月14日に、国家ネットワーク情報事務局（以下「ネットワーク事務局」という）が、「『中華人民共和国サイバーセキュリティ法』改正に関する決定（意見募集案）」（以下、「意見募集案」という）について、パブリックコメントを募集する旨の通知を発し、2022年9月29日に公募を終了している。本稿では、改正後の規定に的確な対応ができるよう、施行から5年を経過した「サイバーセキュリティ法」改正の動向について考察する。

本文

今般の「意見募集案」に対するネットワーク事務局の説明によると、今般の「意見募集案」は、「サイバーセキュリティ法」と新たに改正され、実施されている法律（例えば、中国の「行政処罰法」、「データセキュリティ法」、「個人情報保護法」等）との間の連係・整合性を図り、法的責任制度を整備し、ネットワークの安全をさらに確保することが主な目的である。本稿では、「意見募集案」において押さえておくべきポイントを解説する。

●「意見募集案」に定める法的責任

現行の「サイバーセキュリティ法」と比べると、「意見募集案」は、「サイバーセキュリティ法」に違反する各種行為別に法的責任を統合、詳細化し、行政処罰の種類及び度合いを調整し、「個人情報保護法」等の新法における処罰力との間の統一を図っている。以下、「意見募集案」において修正された法的責任部分を整理する。

No.	違法行為	法的責任
1	「サイバーセキュリティ法」に規定するネットワーク運行上の安全保護義務[1]に違反した、又はネットワーク運行上の安全を脅かしたなどの弊害をもたらした場合。	（1）是正を命じ、警告し、公開警告する。（2）【是正を拒否した又は情状が重い場合】100万元以下の過料に処し、かつ関連業務の一時停止、問題是正のための業務停止、ウエブサイトの閉鎖を命じ、関連業務許可証又は営業許可証を取り消すことができる。【個人に問われる責任：過料】直接責任を負う主管人員とその他直接責任者を1万元～10万元の過料に処する。（3）【情状が特に重い場合】是正を命じ、100万元～5000万元の過料又は前年度の売上高の5%以下の過料に処し、同時に関連業務の一時停止、問題是正のための業務停止、ウエブサイトの閉鎖を命じ、関連業務許可証又は営業許可証を取り消すこともできる。【個人に問われる責任：過料、従業制限】直接責任を負う主管人員とその他直接責任者を10万元～100万元の過料に処し、かつ係る企業の董事、監事、高級管理職への就任又はネットワーク安全管理及びネットワーク運行における重要な役職への就任を一定期間禁止することを決定できる。説明：これまで「サイバーセキュリティ法」においては、散在していた規定をひとつの法的責任条項の中でまとめて規定し、違法行為に対する処罰を重くしている。また、「サイバーセキュリティ法」で罰則を設けていなかった第23条及び第28条の行為内容もここの法的責任規定の対象範囲に組み入れている。
2	ネットワークの安全を脅かす活動に従事した場合、又はこのような活動を幇助した場合（それには技術支援の提供、広告・プロモーション、支払決済等が含まれるが、これらに限らない）、又はネットワークを利用し違法犯罪活動に従事した場合。	（1）【個人に問われる責任：過料、行政拘留】犯罪の成立要件を満たしていない場合、違法所得を没収し、5日以下の拘留に処し、5万元～50万元の過料を併科することができる。情状が比較的重い場合、5日～15日以下の拘留に処し、10万元～100万元の過料を併科することができる。（2）【組織による違法行為/個人に問われる責任：過料】組織は、違法行為を行ったものの、犯罪の成立要件を満たしていない場合、違法所得を没収し、10万元～100万元の過料に処し、かつ直接責任を負う主管人員とその他直接責任者を前項規定に従い処罰する。（3）【個人に問われる責任：従業制限】第27条規定に違反したことにより、治安管理処罰を受けたことのある者は、5年間、ネットワーク安全管理及びネットワーク運行における重要な役職に就いてはならない。刑事処罰を受けたことのある者は、ネットワーク安全管理及びネットワーク運行における重要な役職に一生涯就いてはならない。説明：これまで「サイバーセキュリティ法」においては、散在していた規定をひとつの法的責任条項の中でまとめて規定し、「ネットワークを利用し違法犯罪活動に従事する」行為に対する処罰を重くしている。
3	購入した国の安全に影響をもたらす可能性のあるネットワーク製品及びサービスについて、CIIO（即ち、重要情報インフラ運営者）が国家安全審査を受けていない、又は安全審査を通過せずに使用している場合。	（1）使用停止を命じ、購入金額の1倍～10倍、又は前年度の売上高の5%以下の過料に処する。（2）【個人に問われる責任：過料】直接責任を負う主管人員とその他直接責任者を1万元～10万元の過料に処する。説明：「サイバーセキュリティ法」の現行規定と比べ、「前年度の売上高の5%以下の過料に処する」ことが、処罰方法として新たに追加された。
3	CIIOが規定に違反し、中国域外にネットワークデータを保存した、又は中国域外へネットワークデータを提供した場合。	（1）関連法律、行政法規の規定に従い処罰する。説明：主に「データセキュリティ法」第46条[2]、「個人情報保護法」第66条[3]等の規定が適用される。
4	ネットワーク情報の安全保護義務に違反した場合。例えば、ユーザーから発された情報を法に依拠し管理していない、ネットワーク情報の安全に係る苦情、通報を受け付ける制度等を設けていない場合。	（1）是正を命じ、警告し、公開警告し、違法所得を没収する。是正を拒否した又は情状が重い場合、100万元以下の過料に処し、かつ関連業務の一時停止、問題是正のための業務停止、ウエブサイトの閉鎖を命じ、関連業務許可証又は営業許可証を取り消すことができる。【個人に問われる責任：過料】直接責任を負う主管人員とその他直接責任者を1万元～10万元の過料に処する。（2）【情状が特に重い場合】是正を命じ、違法所得を没収し、100万元～5000万元又は前年度の売上高の5%以下の過料に処し、かつ関連業務の一時停止、問題是正のための業務停止、ウエブサイトの閉鎖を命じ、関連業務許可証又は営業許可証を取り消すことができる。【個人に問われる責任：過料、従業制限】直接責任を負う主管人員とその他直接責任者を10万元～100万元の過料に処し、かつ係る企業の董事、監事、高級管理職への就任又はネットワーク安全管理及びネットワーク運行における重要な役職への就任を一定期間禁止することを決定できる。説明：これまで「サイバーセキュリティ法」において散在していた規定をひとつの法的責任条項の中でまとめて規定し、違法行為に対する処罰を重くしている。
5	法律法規により配信又は伝送することが禁じられている情報を配信した又は伝送した場合。例えば、国の安全を脅かす情報、経済秩序と社会秩序を乱す虚偽の情報、他人の適法な権益を侵害する情報等。	（1）関連法律、行政法規の規定に従い処罰する。（2）法律、行政法規に規定がない場合、是正を命じ、警告し、公開警告し、違法所得を没収する。【是正を拒否した又は情状が重い場合】100万元以下の過料に処し、かつ関連業務の一時停止、問題是正のための業務停止、ウエブサイトの閉鎖を命じ、関連業務許可証又は営業許可証を取り消すことができる。【個人に問われる責任：過料】直接責任を負う主管人員とその他直接責任者を1万元～10万元の過料に処する。【情状が特に重い場合】是正を命じ、違法所得を没収し、100万元～5000万元又は前年度の売上高の5%以下の過料に処し、かつ関連業務の一時停止、問題是正のための業務停止、ウエブサイトの閉鎖を命じ、関連業務許可証又は営業許可証を取り消すことができる。【個人に問われる責任：過料、従業制限】直接責任を負う主管人員とその他直接責任者を10万元～100万元の過料に処し、かつ係る企業の董事、監事、高級管理職への就任又はネットワーク安全管理及びネットワーク運行における重要な役職への就任を一定期間禁止することを決定できる。説明：今回、「法律、行政法規に規定がない」場合における法的責任についての規定が新たに設けられている。このような規定が設けられたことで、個別に規定されていない違法行為も規制の対象とすることができるようになっている。
6	個人情報保護規定に違反した場合。	（1）関連法律、行政法規の規定に従い、処罰する。説明：主に「個人情報保護法」、「刑法」における規定が適用される。

おわりに

現行の「サイバーセキュリティ法」と比べると、「意見募集案」では全体的に見て、行政処罰が重くなっており、「個人情報保護法」第66条[4]に定める法的責任の内容を参考にしている箇所もあった（例えば、ネットワーク運営者に対する処罰の最高金額を100万元から5000万元または前年度の売上高の5％に引き上げ、直接責任を負う主管人員、その他直接責任者に課せられる処罰の最高金額を10万元から100万元に引き上げ、処罰の種類として、「従業制限」を新たに設けている）。また、行政処罰の種類として、「公開警告」が新たに追加されているが、これは、「是正命令」、「警告」に比べ、企業の違法行為に関する情報がさらに広い範囲で広まってしまうため、企業（とりわけ上場会社）にとっては、社会の不安をあおり、レピュテーションの低下を招くことになる。

全体的に見て、「意見募集案」における修正内容は、今後、「サイバーセキュリティ法」分野における法執行が厳格化されていくことを示すものといえる。このため、企業においては、改正後の「サイバーセキュリティ法」に対する的確な対応ができるよう、ネットワーク運行についてコンプライアンス遵守の観点からセルフチェックを行っておくことが望ましい。

（作者：里兆法律事務所包巍岳、熊瀟）

[1] 詳細は、「サイバーセキュリティ法」第21条（ネットワーク運営者がネットワーク安全等級保護制度の要求に従い履行すべき安全保護義務）、第22条第一項及び第二項（ネットワーク運営者が提供するネットワーク製品、サービスは、適法性、安全性が確保されたものでなければならない）、第23条（ネットワーク運営者の提供するネットワーク重要設備及びサイバーセキュリティ専用製品の適法性確保、及び安全認証若しくは安全検査の実施）、第24条第一項（ネットワークアクセス、ドメイン名登録などのサービスプロバイダーは、本人確認情報の提供をユーザーに求めなければならない）、第25条（ネットワーク安全事件に対する応急対応策及び報告）、第26条（ネットワーク安全認証、検査、リスク評価など）、第28条（公安機関、国家安全機関による事件調査への協力）、第33条（重要情報インフラ施設は、業務の安定性、運行の持続性、技術の安全性を確保しなければならない）、第34条（CIIOのセキュリティ保護義務）、第36条（CIIOは、ネットワーク製品及びサービスの購入時に秘密保持協議書を締結しなければならない）、第38条（CIIOは毎年、ネットワーク安全の検査及び評価を実施しなければならない）をご参照のこと。

[2] 「データセキュリティ法」第46条：本法の第31条の規定に違反して、重要なデータを中国域外に提供した場合、関連主管部門が是正を命じ、警告を与え、10万元以上100万元以下の過料を併科することができる。直接責任を負う主管人員とその他直接責任者に対して、1万元以上10万元以下の過料に処することができる。情状が重い場合、100万元以上1000万元以下の過料に処し、関連業務の一時停止、問題是正のための業務停止、関連業務許可証の取消又は営業許可証の取消、直接責任を負う主管人員とその他直接責任者に対して、10万元以上100万元以下の過料に処することができる。

[3] 「個人情報保護法」第66条：本法の規定に違反して個人情報を取り扱った、又は個人情報の取扱において本法の定める個人情報保護義務を履行していない場合、個人情報保護職責を履行する部門が是正を命じ、警告を与え、違法所得を没収し、個人情報を違法に取り扱ったアプリケーションに対して、サービスの提供を一時停止又は終了させるよう命じる。是正を拒否した場合、100万元以下の過料を併科する。直接責任を負う主管人員とその他直接責任者を1万元以上10万元以下の過料に処する。

前項に定める違法行為があり、情状が重い場合、個人情報保護職責を履行する省級以上の部門が是正を命じ、違法所得を没収し、5千万元以下又は前年度の売上高の5%以下の過料に処し、関連業務の一時停止又は問題是正のための業務停止を命じ、関連主管部門に通知し関連業務許可を取り消させる又は営業許可証を取り消させることを通知することができる。直接責任を負う主管人員とその他直接責任者に対して10万元以上100万元以下の過料に処し、係る企業における董事、監事、高級管理職者及び個人情報保護責任者への就任を一定期間、禁止することを決定することができる。

[4] 上述のiiiをご参照のこと。

ユーザー登録がお済みの方

ユーザー登録がお済みでない方

有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。

ユーザー登録のご案内