什么是《日本中国网络安全法》?阐述遵守要点
根据帝国数据银行的特别企划:日本企业的“中国进出”动向调查(2022年)[ja]显示,进入中国市场的日本企业已达到12,706家。与中国有业务往来的企业数量可能还要多。在中国,中国网络安全法于2017年开始实施。
因此,为了在中国开展业务,企业必须根据法律修订规定并采取技术保护措施。但是,可能有些人不清楚这项法律的具体内容或者如何应对。
本文将为您解读中国网络安全法的概要、监管对象以及应采取的措施等信息。如果您正在中国开展业务或考虑未来进入中国市场,敬请参考。
中国网络安全法概述
中国网络安全法(网络安全法)是于2017年6月实施的中国法律。该法律的目的在第1条中有如下描述:
- 确保网络安全
- 保护网络空间主权、国家安全和公共利益
- 保护公民、法人及其他组织的合法权益
- 促进经济和社会信息化发展
网络在此定义为“由计算机或其他信息终端及相关设施构成,依照一定规则和程序收集、存储、传输、交换、处理信息的系统(第76条)”,不仅包括互联网,也包括内联网。
中国网络安全法与欧盟通用数据保护条例(GDPR)和日本个人信息保护法不同,它不仅仅旨在“保护个人和组织信息”,还旨在“保护中国国家安全和公共利益”。法律规定了适用企业应实施的网络安全等级保护措施、遵守合规要求、明确权利和义务等。
关于安全的其他法律还包括中国数据安全法。
相关文章:中国数据安全法是什么?解析日本企业应采取的措施[ja]
中国网络安全法的监管对象
日本企业成为中国网络安全法监管的对象,主要在以下情况:
- 在中国境内处理信息
- 将信息从中国转移到日本
即使企业的基地位于日本,若符合上述情况,也将受到该法律的约束。此外,监管对象包括“网络运营者”和“关键信息基础设施运营者”等。
网络运营者指的是网络的所有者、管理者以及提供网络服务的个体或组织。
关键信息基础设施运营者指的是,在能源、交通、金融、公共服务等国家安全可能受到威胁的领域中,运营着一旦受损或数据泄露可能严重损害国家安全、国民生活和公共利益的设施的个体或组织。
中国网络安全法的内容
中国网络安全法规定了以下几项义务:
- 建立网络安全等级保护制度
- 符合国家强制性标准
- 实施实名注册制度
- 对重要信息基础设施运营者的义务
- 建立管理和应急响应体系
下面,我们将详细解释每一项内容。
网络安全等级保护制度的设立
根据中国《网络安全法》第21条,规定了网络运营者必须遵守的“等级保护制度”,在中国境内拥有网络的企业或组织需要获得等级保护认证。
等级保护制度是对网络安全管理体系的公共评估制度。其适用范围包括:
- 网络基础设施
- 物联网(IoT)
- 工业控制系统
- 大型互联网站点和数据中心
- 公共服务平台
在等级保护制度中,根据信息系统受损时的影响范围和损害规模,将其分为以下五个等级:
| 受损对象遭受的损害程度 | |||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 国民及法人等 | 第1级 | 第2级 | 第3级 |
| 社会秩序・公共利益 | 第2级 | 第3级 | 第4级 |
| 国家安全 | 第3级 | 第4级 | 第5级 |
各等级的定义如下:
| 等级 | 定义 |
| 第1级 | 一旦遭到破坏,会损害相关公民、法人及其他组织的合法权益,但不影响国家安全、社会秩序和公共利益的一般网络 |
| 第2级 | 一旦遭到破坏,会对相关公民、法人及其他组织的合法权益造成严重损害,或对社会秩序和公共利益造成危害,但不影响国家安全的一般网络 |
| 第3级 | 一旦遭到破坏,会对相关公民、法人及其他组织的合法权益造成极其严重的损害,或对国家安全造成危害的重要网络 |
| 第4级 | 一旦遭到破坏,会严重损害社会秩序和公共利益,或对国家安全造成极其重要的损害的特别重要网络 |
| 第5级 | 一旦遭到破坏,会对国家安全造成极其重大的损害的极其重要网络 |
根据这些分类,制定了必须遵守的信息安全标准。一般而言,网络运营者适用第2级以上,重要信息基础设施运营者适用第3级以上的等级。
为了获得等级认证,需要向有关部门自主申请等级,但最终必须获得公安部的同意。另外,根据等级保护制度,第2级以上的等级需要接受评估机构的评估。违反等级保护制度可能会受到罚款,因此需要特别注意。
符合国家强制性标准
互联网产品及服务提供商所提供的服务必须遵守国家强制性标准(第22条)。提供商不得安装恶意程序。
此外,一旦发现产品或服务存在缺陷、脆弱性或其他风险,提供商必须立即采取措施,并向用户通报、向相关管辖当局报告。
值得注意的是,2021年9月已经实施了针对网络运营商的《网络产品安全漏洞管理规定》。因此,提供商也应参考该规定并采取相应措施。
要求实名注册
向用户提供网络连接服务、固定电话及移动电话网络连接手续、信息共享服务、即时消息服务等时,必须要求用户进行实名注册。如果用户未进行实名注册,则不得提供服务。
此外,网络运营商还有义务审查用户发布的信息是否违反了法律。
对重要信息基础设施运营商的义务
重要信息基础设施的运营商不仅需要执行网络运营商所必须的安全措施,还需要采取以下措施:
- 定期备份系统和数据库
- 制定安全事件响应计划
- 进行年度安全评估
- 数据本地化
数据本地化:指在数据生成的国家境内存储和处理数据的过程
在2021年9月实施的《日本重要信息基础设施安全保护条例》中,进一步具体规定了重要信息基础设施的管理、认证以及运营商的义务,因此有必要参考这些规定。
构建管理与响应体系
网络运营者所需遵守的要求包括以下几点(第21条)。
- 建立安全管理制度和操作规程
- 确定网络安全责任人
- 制定应对安全事件的响应计划和技术措施
- 引进网络监控技术,保存日志(至少6个月)
- 数据分类,对重要数据进行备份和加密等保护措施
违反《日本网络安全法》的规定
如果违反了等级保护制度所要求的安全要求,将会收到整改命令和警告。如果拒绝执行命令或威胁网络安全,将会被处以1万元以上10万元以下的罚款。此外,直接负责的主管人员将会被处以5000元以上5万元以下的罚款。
另外,如果安装了恶意程序,或者对产品或服务的缺陷、安全漏洞等风险未采取措施,也会收到整改命令和警告,拒绝执行的话,将会产生罚款。
违反内容不同,罚款金额也会有所不同,可能会被命令关闭网站、吊销营业许可、停止开业业务等,因此需要特别注意。过去有因违反规定而被罚款的案例,负责人甚至被终身禁止从事同行业工作,因此可以说,采取网络安全措施是不可或缺的。
日本企业应采取的网络安全法对策
由于中国网络安全法相当复杂,不少人可能不知道从何着手。本文将解释日本企业应采取的对策。
建立与信息系统部门或DX相关部门的协作机制
为了应对中国网络安全法,需要构建操作流程、制定和补充个人信息管理规定等。此外,为了符合等级保护制度,对公司系统采取技术措施也是必不可少的。
不应仅由法务或总务部门各自独立应对,而需要建立与信息系统部门或DX相关部门协作的体制。
判断公司拥有的各系统符合哪个等级
首先,对公司系统进行等级判定。根据该等级,各部门需要采取符合网络安全的措施。法务、总务和风险管理部门需要对规定和操作进行审查和修订,而信息系统和DX相关部门则需要在技术层面进行应对。下面将对各自的应对措施进行解释。
法务、总务和风险管理部门
比较等级规定的事项与公司的管理状况、信息安全体系,进行规定的补充和操作体系的审查。然后,考虑如何应对,并进行制度的建设和修正。
如果等级为第二级以上,还需要向当局报告。如果公司被视为重要信息基础设施运营者,将要求获得第三级以上的等级保护认证。此外,还需要应对数据本地化规定、定期对员工进行信息安全教育和技术培训等,应对事项繁多。如果有可能被视为重要信息基础设施运营者,与顾问律师等协商,制定应对策略会更安心。
近年来,中国相继实施了多项安全相关制度。因此,风险管理部门需要根据新规定进行风险应对。
信息系统和DX相关部门
信息系统部和DX相关部门需要根据等级采取相应的安全保护措施。首先,整理公司现有系统的安全保护措施,如果存在不足,需要整合符合网络安全法的系统。
除了网络安全法,还需要应对数据本地化规定、跨境限制和政府访问等问题。需要了解公司向中国境外转移了哪些数据,并重新审视公司的数据获取和存储状况。
网络安全法不仅要求修订规定,还要采取技术保护措施,因此各相关部门的协作是不可或缺的。
总结:在处理公司相关问题时,请咨询专家
中国网络安全法是为了中国国家安全而制定的一套制度。为了应对网络安全法,不仅需要法务部门或总务部门修订规定,还需要采取技术性的保护措施。
自网络安全法实施以来,已经陆续制定了包括《互联网产品安全漏洞管理规定》和《网络安全审查办法(具体化国家安全审查制度的规定)》在内的数据合规相关法律。违反这些法律可能会导致罚款、网站关闭或营业许可被撤销等行政处罚,因此需要特别注意。如果您在中国开展业务或计划未来在中国开展业务,我们建议您咨询熟悉中国法律的律师。
本所提供的对策指南
Monolith法律事务所是一家在IT、互联网和商业领域具有强大专长的律师事务所。我们已经处理了包括中国、美国、欧盟各国在内的世界各地的案件。在海外开展业务时,会伴随许多法律风险,因此,获得经验丰富的律师的支持是不可或缺的。本所不仅精通当地法律和规定,还与世界各国的法律事务所合作。
Monolith法律事务所的业务领域:国际法务与海外业务[ja]
