中國網絡安全法是什麼?解說遵守時的要點
根據帝國數據銀行的「特別企劃:日本企業的「中國進出」動向調查(2022年)[ja]」顯示,進駐中國的日本企業數量已達12,706家。而從事與中國相關業務的企業數量,可能比這個數字還要多。在中國,「中國網絡安全法」已於2017年實施。
因此,為了在中國開展業務,企業必須根據法律進行規章制度的修訂和技術性的保護措施。然而,可能有些人不清楚這項法律的具體內容,或是不知道如何應對。
本文將解說「中國網絡安全法」的概要、規範對象以及應採取的對策等。對於正在中國開展業務或考慮未來進駐的企業家和公司,請務必參考本文。
中國網絡安全法概述
中國網絡安全法(网络安全法)是於2017年6月實施的中國法律。該法律的目的在第1條中有以下記載:
- 保障網絡安全
- 保護網絡空間主權、國家安全和公共利益
- 保護公民、法人及其他組織的合法權益
- 促進經濟社會信息化發展
所謂的網絡是指「由計算機或其他信息終端及相關設備構成,依照一定的規則和程序來收集、儲存、傳輸、交換、處理信息的系統(第76條)」,不僅包括互聯網,也包括內聯網。
中國網絡安全法不同於歐盟一般數據保護規則(GDPR)或日本個人信息保護法,它不僅著重於「保護個人和組織信息」,同時也強調「保護中國國家安全和公共利益」。該法律對相關事業者提出了實施網絡安全等級保護、遵守合規要求、明確權利義務等要求。
除了網絡安全法,中國還有其他與安全相關的法律,例如中國數據安全法。
相關文章:中國數據安全法是什麼?解析日本企業應採取的對策[ja]
中國網絡安全法的規管對象
日本企業成為中國網絡安全法規管的對象,主要在於以下情況:
- 在中國境內處理資訊
- 將資訊從中國轉移到日本
即使企業的基地位於日本,若符合上述情況,也將受到該法律的規範。此外,規管對象包括「網絡運營者」和「關鍵資訊基礎設施的運營者」等。
所謂的網絡運營者,指的是擁有、管理網絡,或提供網絡服務的個體。
關鍵資訊基礎設施的運營者,則是指在國家安全可能受到威脅的領域(如能源、運輸、金融、公共服務等),運營可能在受損或數據洩露等情況下,嚴重損害國家安全保障、國民生活、公共利益的設施的個體。
中國網絡安全法的內容
中國網絡安全法規定了以下的義務:
- 建立網絡安全等級保護制度
- 遵守國家強制性標準
- 實施實名制註冊
- 對重要信息基礎設施運營者的義務
- 建立管理和應急響應機制
以下將對這些內容進行詳細解說。
設立網絡安全等級
根據中國網絡安全法第21條,規定網絡運營者必須遵守的「等級保護制度」,在中國境內擁有網絡的企業或組織需取得等級保護認證。
等級保護制度是對網絡安全管理體系的公開評價制度。其適用範圍包括:
- 網絡基礎設施
- 物聯網(IoT)
- 工業控制系統
- 大型互聯網站點・數據中心
- 公共服務平台
在等級保護制度中,根據信息系統受損時的影響範圍和損害規模,將其分為以下五個等級:
客體受到的損害程度 | |||
一般性損害 | 嚴重損害 | 特別嚴重損害 | |
國民及法人等 | 第1級 | 第2級 | 第3級 |
社會秩序・公共利益 | 第2級 | 第3級 | 第4級 |
國家安全 | 第3級 | 第4級 | 第5級 |
各等級的定義如下:
等級 | 定義 |
第1級 | 若遭破壞,將損害相關公民、法人及其他組織的合法權益,但不影響國家安全、社會秩序及公共利益的一般網絡 |
第2級 | 若遭破壞,將對相關公民、法人及其他組織的合法權益造成重大損害,或對社會秩序和公共利益造成危害,但不影響國家安全的一般網絡 |
第3級 | 若遭破壞,將對相關公民、法人及其他組織的合法權益造成極其重大損害,或對國家安全造成危害的重要網絡 |
第4級 | 若遭破壞,將嚴重損害社會秩序、公共利益,或對國家安全造成非常重要的損害的特別重要網絡 |
第5級 | 若遭破壞,將對國家安全造成極其重大損害的極端重要網絡 |
根據這些分類,制定了必須遵守的信息安全標準。一般而言,網絡運營者適用第2級以上,重要信息基礎設施運營者則適用第3級以上的等級。
為取得等級認證,需向主管機關自主申請等級,但最終必須獲得公安部門的同意。此外,根據等級保護制度,第2級以上的等級需要接受評估機構的評估。若違反等級保護制度,可能會被處以罰款,因此需特別注意。
符合國家強制性標準
提供網際網路產品及服務的供應商,必須遵守國家強制性標準(第22條)。供應商不得安裝惡意軟體。
此外,若發現產品或服務存在缺陷、脆弱性或其他風險,供應商必須立即採取措施,並向用戶通報、向相關管轄機關報告。
在2021年9月(令和3年9月),針對網絡運營商實施了《日本網絡產品安全漏洞管理規定》(网络产品安全漏洞管理规定),因此供應商也應參考該規定並採取相應措施。
要求實名登記
當提供網絡連接服務、固定電話與手機網絡連接手續、資訊共享服務、即時訊息服務等給用戶時,必須要求用戶進行實名登記。如果用戶未進行實名登記,則不得提供相關服務。
此外,網絡運營者也有義務審查用戶發送的資訊是否違反法律。
重要資訊基礎設施經營者的義務
重要資訊基礎設施的經營者不僅需要執行網絡經營者所負有的安全措施,還需要採取以下的對策:
- 定期備份系統和資料庫
- 制定安全事件的應對計劃
- 進行年度安全評估
- 數據本地化
數據本地化:指在數據產生的國家境內儲存和處理數據的過程
於2021年9月實施的《日本重要資訊基礎設施安全保護條例》進一步具體規定了重要資訊基礎設施的管理、認證以及經營者的義務,因此也需要參考該條例。
建立管理與應對體系
網絡運營者所需承擔的責任包括以下幾點(第21條)。
- 建立安全管理制度與操作規程
- 確定網絡安全責任人
- 制定針對安全事件的應對計劃與技術措施
- 導入網絡監控技術,保存日誌(至少6個月)
- 數據分類、重要數據的備份與加密等保護措施
違反《日本》網絡安全法的規定
若違反等級保護制度所要求的安全要求,將會收到整改命令和警告。若拒絕遵從命令或威脅網絡安全,則需支付1萬元以上至10萬元以下的罰款。此外,直接負責的主管人員將被處以5千元以上至5萬元以下的罰款。
若安裝惡意軟體,或對產品或服務的缺陷、安全漏洞等風險未採取措施,也會收到整改命令和警告,拒不遵從則會被罰款。
違反的內容不同,罰款金額也會有所不同,可能會被命令關閉網站、撤銷營業許可、停止開業業務等,因此需要特別注意。過去曾有因違反而受到罰款處罰的案例,負責人甚至被終身禁止從事相關行業,因此可以說,對網絡安全的防範措施是不可或缺的。
日本企業應採取的網絡安全法對策
由於中國網絡安全法相當複雜,不少人可能不知從何著手。本文將解說日本企業應採取的對策。
建立與資訊系統部門或DX相關部門協作的體制
為了應對中國網絡安全法,需要建立運營流程、制定或增訂個人資訊管理規範等。此外,為了符合等級保護制度,對公司系統採取技術性措施也是不可或缺的。
不應僅由法務或總務部門個別應對,而需要建立與資訊系統部門或DX相關部門協作的體制。
判斷公司擁有的各系統符合哪個等級
首先,進行公司系統的等級判斷。根據該等級,各部門需要依照網絡安全法採取相應措施。法務、總務及風險管理部門需要對法規進行檢討和修訂,而資訊系統與DX相關部門則需在技術層面做出回應。以下將對各自的應對措施進行解說。
法務、總務及風險管理部門
比較等級所定義的事項與公司的管理狀況、資訊安全體制,進行規範的增訂和運營體制的檢討。然後,考慮如何應對,並進行制度的建立或修正。
若等級為第二級以上,則必須向當局報備。如果公司被認為是重要資訊基礎設施運營者,則需要獲得第三級以上的等級保護認證。此外,還需應對數據本地化規定、定期對員工進行資訊安全教育和技術培訓等,應對事項繁多。若有可能被認為是重要資訊基礎設施運營者,與顧問律師等商討,制定應對策略會更為安心。
近年來,中國陸續實施了多項安全相關制度。因此,風險管理部門需要根據新規定進行風險應對。
資訊系統・DX相關部門
資訊系統部和DX相關部門需要根據等級,實施相應的安全保護措施。首先,整理公司現有系統的安全保護措施,若有不足,則需整合符合網絡安全法的系統。
除了網絡安全法,還需應對數據本地化規定、跨境限制和政府存取等問題。必須了解公司向中國境外轉移了哪些數據,並重新審視公司的數據獲取和儲存狀況。
網絡安全法不僅要求修訂規定,還要採取技術性保護措施,因此,相關部門的協作是不可或缺的。
總結:若貴公司在應對問題時遇到困難,請諮詢專家
中國網絡安全法是為了中國國家安全而制定的一套制度。為了遵守網絡安全法,不僅需要法務部門或總務部門修訂相關規定,還必須實施技術性的保護措施。
自網絡安全法實施以來,已陸續制定了諸如「網絡產品安全漏洞管理規定」和「網絡安全審查辦法(具體化國家安全審查制度的規定)」等與數據合規相關的法律。違反這些法律可能會導致罰款、網站關閉或營業許可被撤銷等行政處罰,因此必須格外小心。如果您的公司正在中國開展業務或計劃未來進行,建議您諮詢熟悉中國法律的律師。
本所提供的對策介紹
Monolith法律事務所是一家在IT、互聯網業務方面具有專長的法律事務所。本所已經處理過中國、美國、歐盟等世界各國的案件。在海外展開業務時,會伴隨許多法律風險,因此,擁有豐富經驗的律師提供的支持是不可或缺的。本所律師不僅熟悉當地法律和規範,而且還與世界各國的法律事務所保持著合作關係。
Monolith法律事務所的業務範圍:國際法務與海外業務[ja]