この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。
中華人民共和国国務院令 第745号
「重要情報インフラセキュリティ保護条例」はすでに2021年4月27日国務院第133回常務会議で採択された。ここに公布し、2021年9月1日より施行する。
総理 李克強
2021年7月30日
重要情報インフラセキュリティ保護条例
第一章 総則
第一条 重要情報インフラのセキュリティを保障し、ネットワークのセキュリティを維持するため、「中華人民共和国ネットワークセキュリティ法」に基づき、本条例を制定する。
第二条 本条例で言う重要情報インフラとは、公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政サービス、国防科学技術工業等の重要な業種と分野のほか、一旦破壊或いは、機能を喪失又は、データが漏れることがあれば、国家安全、国家経済と人民生活、公共利益に深刻な危害を及ぼす可能性のある重要なネットワーク施設、情報システム等である。
第三条 国家ネット情報部門の統括調整のもと、国務院公安部門は重要情報インフラのセキュリティ保護の業務を指導監督する。国務院電信主管部門とその他の関連部門は、本条例と関連法律、行政法規の規定に基づき、各自の職責範囲内で重要情報インフラのセキュリティ保護と監督管理の業務を担当する。省級人民政府の関連部門は各自の職責に基づき、重要情報インフラに対して安全保護と監督管理を実施する。
第四条 重要情報インフラのセキュリティ保護に総合協調、分業責任、法に基づき保護を堅持し、重要情報インフラ運営者(以下、運営者と略称する)を主体としての責任を強化し、着実にし、政府及び社会の各方面の役割を十分に発揮し、重要情報インフラのセキュリティを共同で保護する。
第五条 国は重要情報インフラに対して措置を講じて、中華人民共和国内外からもたらされるネットワークのセキュリティ上のリスクおよび脅威をモニタリング、防御、処置し、重要情報インフラが攻撃、侵入、妨害及び破壊を受けないように保護し、法に基づき重要情報インフラのセキュリティを害する違法な犯罪行為を取り締まる。
いかなる個人または組織も不法侵入、妨害、重要情報インフラを破壊する活動を実施してはならず、重要情報インフラのセキュリティを害してはならない。
第六条 運営者は、本条例及び関連法律、行政法規の規定及び国家標準の強制的要求に基づき、ネットワークセキュリティ等級保護のもとに、技術保護措置及びその他必要な措置を講じ、ネットワークセキュリティ事件に対応し、ネットワークの攻撃と違法な犯罪の行為を防止し、重要情報インフラの安全安定運用を保障し、データの完全性、機密性と利用可能性を保つ。
第七条 重要情報インフラのセキュリティ保護業務において顕著な実績をあげ、又は著しく貢献した組織及び個人に対して、国の関連規定に基づき表彰する。
第二章 重要情報インフラ認定
第八条 本条例第二条に係る重要業種と分野の主管部門、監督管理部門は、重要情報インフラのセキュリティ保護業務を担当する部門(以下、保護業務部門という)である。
第九条 保護業務部門は、当業界、当分野の実務を結び付け、重要情報インフラ認定規則を制定し、国務院公安部門に報告して備案する。
認定規則を制定するには主に以下の要素を考慮しなければならない。
(一)ネットワーク施設、情報システムなどは、当業界、当分野の重要な核心業務に対する重要度。
(二)ネットワーク施設、情報システム等が破壊され、機能が喪失され、又はデータ漏洩により生じうる被害の程度。
(三)他の業界と分野に対する関連性の影響。
第十条 保護業務部門は、認定規則に基づき、当該業界、当該分野の重要情報インフラの組織を担当し、適時に認定結果を運営者に通知し、かつ国務院公安部門に通達する。
第十一条 重要情報インフラに大きな変化が発生し、その認定結果に影響を与える可能性がある場合、運営者は適時にその状況を保護業務部門に報告しなければならない。保護業務部門は報告を受けた日から3ヶ月以内に再認定を完了し、認定結果を運営者に通知し、国務院公安部門に通達する。
第三章 運営者責任義務
第十二条 セキュリティ保護措置は、重要情報インフラと歩調を合わせて計画し、同時に構築し、同時に使用しなければならない。
第十三条 運営者は健全なネットワークセキュリティ保護制度と責任制を確立し、人力、財力、物資の投入を保障しなければならない。運営者の主要責任者は、重要情報インフラのセキュリティ保護に対して主な責任を負い、重要情報インフラのセキュリティ保護と重大なネットワークセキュリティ事件の処理を指導し、重大なネットワークセキュリティ問題を解決するための研究を手配する。
第十四条 運営者は専門的なセキュリティ管理機構を設置し、専門セキュリティ管理機構の責任者と重要職位の人員に対してセキュリティ背景審査を行わなければならない。審査の際に、公安機関、国家安全機関は協力しなければならない。
第十五条 専門セキュリティ管理機構は具体的に当該組織の重要情報インフラのセキュリティ保護業務を担当し、次の職責を履行する。
(一)ネットワークセキュリティ管理、評価審査制度を確立し、重要情報インフラセキュリティ保護計画を立案する。
(二)ネットワークセキュリティ防護能力の構築の推進を整備し、ネットワークセキュリティモニタリング、検査とリスクの評価を展開する。
(三)国家及び業界ネットワークセキュリティ事件の緊急対応策に基づいて、当組織の緊急対応策を制定し、定期的に模擬訓練を実施し、ネットワークセキュリティ事件を処理する。
(四)ネットワークセキュリティの重要な職位を認定し、ネットワークセキュリティ業務審査を整備し、奨励と処罰を提起する。
(五)ネットワークセキュリティ教育とその訓練を整備する。
(六)個人情報とネットワークセキュリティ保護責任を履行し、健全な個人情報とデータセキュリティ保護制度を確立する。
(七)重要情報インフラに対しての設計、建設、運用、メンテナンス等のサービスに対してセキュリティ管理を実施する。
(八)規定に基づいて重要情報インフラ事件と重要事項を報告する。
第十六条 運営者は、専門セキュリティ管理機構の運用経費を保障し、相応の人員を配置しなければならない。ネットワークの安全と情報化に関する決定を行うには、専門な安全管理機構の人員が参加しなければならない。
第十七条 運営者は自らまたはネットワークセキュリティサービス機構に委託して、重要な情報インフラに対して毎年少なくとも一回のネットワークセキュリティ検査とリスク評価を行い、発見されたセキュリティ問題に対して適時に改善し、保護業務部門の要求に従って状況を報告しなければならない。
第十八条 重要情報インフラに重大なネットワークセキュリティ事件が発生した場合、または重大なネットワークセキュリティの脅威が発見された場合、運営者は関連規定に基づいて保護業務部門、公安機関に報告しなければならない。
重要情報インフラ全体の運用の中断や主要機能障害、国家基礎情報その他重要データの漏えい、大規模個人情報の漏えい、大きな経済損失、違法な情報を大きな範囲に伝播すること等の特別重大なネットワークセキュリティ事件が発生した場合、または特に重大なネットワークセキュリティ脅威が発見された場合、保護業務部門は報告を受けた後、速やかに国家ネット情報部門、国務院公安部門に報告する。
第十九条 運営者は安全で信頼できるネット製品とサービスを優先的に購入しなければならない。インターネット製品の購入とサービスは国の安全に影響を与える可能性がある場合、国家ネットワーク安全規定に基づいてセキュリティ審査を行わなければならない。
第二十条 運営者は、ネットワーク製品とサービスを購入する場合、国の関連規定に基づき、インターネット製品とサービス供給者と安全な秘密保持契約を締結し、提供者の技術サポートと安全な秘密保持の義務と責任を明確にし、義務と責任履行状況を監督しなければならない。
第二十一条 運営者は合併、分割、廃業等の状況が発生した場合、速やかに保護業務部門に報告し、保護業務部門の要求に従って重要情報インフラを処理し、セキュリティを確保しなければならない。
第四章 保障と促進
第二十二条 保護業務部門は、当業界、当分野の重要情報インフラのセキュリティ計画を制定し、保護の目標、基本的要求、業務任務、具体的な措置を明確にしなければならない。
第二十三条 国家ネット情報部門は関連部門を統括してネットワークセキュリティ情報共有メカニズムを確立する。適時にネットワークセキュリティの脅威、不具合、事件等の情報を纏め、検討、共有し、発表し、関連部門、保護業務部門、運営者及びネットワークセキュリティサービス機構等の間のネットワークセキュリティ情報の共有を促進する。
第二十四条 保護業務部門は、当業界、当分野の重要情報インフラのネットワークセキュリティ監視警報制度を確立し、健全化し、当業界、当分野の重要情報インフラの運用状況、安全態勢を適時に把握し、事前警報はネットワーク安全の脅威と隠れた危険を通報し、予防活動を指導しなければならない。
第二十五条 保護業務部門は国家ネットワークセキュリティ事件緊急対応策の要求に従い、当業界、当分野のネットワークセキュリティ事件の緊急対応策を確立し、健全化し、定期的に緊急訓練を整備しなければならない。運営者を指導してネットワークセキュリティ事件の対応を行い、必要に応じて技術サポートの提供と協力を整備する。
第二十六条 保護業務部門は、定期的に当業界、当分野の重要情報インフラのネットワークセキュリティ検査を実施し、運営者がセキュリティ上の潜在的な危険を適時に改善し、セキュリティ対策を充実させるように指導しなければならない。
第二十七条 国家ネット情報部門は国務院公安部門と保護業務部門を統一して調整し、重要情報インフラに対してネットワークセキュリティ検査を行い、措置の改善を提起する。
関連部門は、重要情報インフラのネットワークセキュリティ検査を実施する際に、協力と情報の疎通を強化し、不必要な検査と重複した検査を回避しなければならない。検査業務に費用を徴収してはならない。検査される単位に指定されたブランドの購入、または生産、販売会社の製品とサービスの指定を要求してはならない。
第二十八条 運営者は、保護業務部門が展開する重要情報インフラのネットワーク安全検査業務及び公安、国家安全、秘密保持行政管理、暗号管理等の関連部門が法律に即して展開する重要情報インフラのネットワークセキュリティ検査業務に協力しなければならない。
第二十九条 重要情報インフラのセキュリティ保護業務において、国家ネット情報部門と国務院電信主管部門、国務院公安部門等は保護業務部門の必要に応じて、技術サポートと協力を適時に提供しなければならない。
第三十条 ネット情報部門、公安機関、保護業務部門等の関連部門、ネットワークセキュリティサービス機構及びその従業員は、重要情報インフラのセキュリティ保護業務において取得した情報については、ネットワークセキュリティを維持するためにのみ使用され、関連法律、行政法規の要求に厳格に従って情報の安全を確保し、漏洩、販売または不法に他人に提供してはならない。
第三十一条 国家ネット情報部門、国務院公安部門の承認または保護業務部門、運営者の授権を受けていない場合、いかなる個人と組織も重要情報インフラに対してバグ探査、侵入性テスト等の重要情報インフラのセキュリティに影響または危害を及ぼす可能性のある活動を実施してはならない。基礎電気通信ネットワークに対して、バグの検出、侵入性のテスト等の作業を実施する場合、事前に国務院電気通信主管部門に報告しなければならない。
第三十二条 国は、エネルギー、電気通信等の重要情報インフラのセキュリティ運用を優先的に保障する措置を講じる。
エネルギー、電気通信業界は他の業界と分野の重要情報インフラのセキュリティ運用に重点保障を提供しなければならない。
第三十三条 公安機関、国家安全機関は、各自の職責に基づき、法に基づき重要情報インフラのセキュリティ保護を強化し、重要情報インフラを利用して違法犯罪行為をする事件を防止し、取り締まる。
第三十四条 国は、重要情報インフラのセキュリティ基準の制定と改善を行い、重要情報インフラのセキュリティ保護業務を指導し、規範化する。
第三十五条 国は措置を講じ、ネットワークセキュリティ分野の人材に重要情報インフラのセキュリティ保護業務に従事させることを奨励する。運営者、セキュリティ管理者、セキュリティ技術者の育成を国家継続教育システムに組み入れる。
第三十六条 国は重要情報インフラのセキュリティ防護技術の革新と産業発展を支援し、重要情報インフラセキュリティ技術の難関突破を実施するための力を集める。
第三十七条 国はネットワークセキュリティサービス機構の建設と管理を強化し、管理要求を制定し、監督指導を強化し、絶えずサービス機構の能力水準を向上させ、重要情報インフラのセキュリティ保護におけるその役割を十分に発揮させる。
第三十八条 国家はネットワークセキュリティの軍民融合を強化し、軍と地方政府が共同で重要情報インフラのセキュリティを保護する。
第五章 法律責任
第三十九条 運営者に次のいずれかの状況が起こった場合、関連主管部門は職責に基づいて是正を命じ、警告を与える。是正しない或いはネットワークセキュリティに危害を及ぼす等の結果をもたらした場合、10万人民元以上100万人民元以下の罰金を科し、直接責任を負う主管者に対して1万人民元以上10万人民元以下の罰金を科する。
(一)重要情報インフラに大きな変化が発生し、その認定結果に影響を与える可能性がある時に、関連状況を保護業務部門に報告していない場合。
(二)安全保護の措置が重要情報インフラと歩調を合わせて計画しておらず、同時に建設し、同時に使用していない場合。
(三)ネットワークセキュリティ保護制度と責任制が確立されていない場合。
(四)専門セキュリティ管理機構が設置されていない場合
(五)専門セキュリティ管理機構の責任者と主要職位の人員に対して安全背景審査を行っていない場合
(六)ネットワークセキュリティと情報化に関する方策を展開する際に、専門的なセキュリティ管理機関の人員が参加していない場合。
(七)専門セキュリティ管理機構が本条例第十五条に規定された職責を履行していない場合。
(八)重要情報インフラに対して毎年少なくとも一回のネットワーク安全検査とリスク評価を行っていないか、発見されたセキュリティ問題に対して適時に改善していないか、または保護業務部門の要求に従って状況を報告していない場合。
(九)ネット製品とサービスを購入し、国の関連規定に即してネット製品とサービス供給者とセキュリティ秘密保持契約を締結していない場合。
(十)合併、分割、廃業等の状況が発生した場合、保護業務部門に遅滞なく報告していないか、または保護業務部門の要求に従って重要情報インフラを処理していない場合。
第四十条 運営者は、重要情報インフラに重大なネットワークセキュリティ事件が発生し、または重大なネットワークセキュリティの脅威を発見した場合、関連規定に従って保護業務部門、公安機関に報告していない場合、保護業務部門、公安機関が職責に基づいて是正を命じ、警告を与える。改正しない或いはネットワークセキュリティに危害を及ぼす等の結果をもたらした場合、10万人民元以上100万人民元以下の罰金を科し、直接責任を負う主管者に対して1万人民元以上10万人民元以下の罰金を科する。
第四十一条 運営者が国家の安全に影響する可能性のあるネット製品とサービスを購入し、国家ネットワークセキュリティ規定に即してセキュリティ審査を行っていない場合、国家ネット情報部門等の関連主管部門が職責に基づいて是正を命じ、購買金額の倍以上、10倍以下の罰金を科し、直接責任を負う主管者とその他直接責任者に対して1万人民元以上10万人民元以下の罰金を科する。
第四十二条 運営者は、保護業務部門が展開する重要情報インフラのネットワークセキュリティ検査の検査業務及び公安、国家安全、秘密保持行政管理、暗号管理等の関連部門が法に基づいて展開する重要情報インフラのネットワークセキュリティ検査業務に協力しない場合、関連主管部門が是正を命じる。是正を拒否した場合、5万人民元以上50万人民元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に対して1万人民元以上10万人民元以下の罰金を科する。情状が重大である場合、法に基づき相応の法律責任を追及する。
第四十三条 不法侵入、妨害、破壊等の重要情報インフラのセキュリティを害する行為がまだ犯罪を構成していない場合、「中華人民共和国ネットワークセキュリティ法」の関連規定に基づいて、公安機関が違法所得を没収し、5日以下の拘留に処し、5万人民元以上50万人民元以下の罰金を併置することができる。情状が重大である場合、5日以上15日以下の拘留に処し、10万人民元以上100万人民元以下の罰金を併置する。
会社に前項の行為がある場合、公安機関が違法所得を没収し、10万人民元以上100万人民元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対して前項の規定により処罰する。
本条例の第五条第二項及び第三十一条の規定に違反し、治安管理の処罰を受けた者は、5年以内にネットワークセキュリティ管理及びネットワーク運営の重要な職位の仕事に従事してはならない。刑事処罰を受けた者は、ネットのセキュリティ管理とネットワーク運営の重要な職位の仕事に終生従事してはならない。
第四十四条 ネット情報部門、公安機関、保護業務部門及びその他の関連部門及びその従業員が重要情報インフラのセキュリティ保護及び監督管理の職責を履行していない、または職務の怠慢、職権の乱用、私情による不正行為を行った場合、法に則し直接責任を負う主管者及びその他の直接責任者に対して処分を与える。
第四十五条 公安機関、保護業務部門及びその他の関連部門は、重要情報インフラのネットワークセキュリティ検査業務を展開する中で費用を徴収し、又は検査された組織が指定されたブランドまたは指定された生産、販売単位の製品とサービスを購入することを要求する場合、その上級機関が是正を命じ、徴収された費用を返還する。情状が重大である場合、法に則して直接責任を負う主管者及びその他の直接責任者に対して処分を与える。
第四十六条 ネット情報部門、公安機関、保護業務部門等の関連部門、ネットワークセキュリティサービス機構及びその従業員は、重要情報インフラのセキュリティ保護業務において取得した情報を他の用途に使用したり、漏洩、販売、不法に他人に提供したりした場合、法に基づいて直接責任を負う主管者及びその他の直接責任者を処分する。
第四十七条 重要情報インフラに重大且つ特に重大なネットワークセキュリティ事件が発生し、調査を経て責任事故と確定した場合、運営者の責任を明らかにし、法に基づいて追及しなければならない。その上、関連ネットワーク安セキュリティサービス機構及び関連部門の責任を明らかにし、職務の怠慢及びその他の違法行為があった場合には、法に基づいて責任を追及しなければならない。
第四十八条 電子政重要情報インフラの運営者が本条例に規定されたネットワーク安全保護義務を履行しない場合、「中華人民共和国ネットワークセキュリティ法」の規定に基づいて処理する。
第四十九条 本条例の規定に違反し、他人に損害を与えた場合、法により民事責任を負う。
本条例の規定に違反し、治安管理行為に違反した場合、法に則して治安管理処罰を与える。犯罪を構成する者は、法に則して刑事責任を追及する。
第六章 付則
第五十条 国の秘密情報に係る重要情報インフラの安全保護を保存し、処理する場合に、秘密保持法律、行政法規の規定を遵守しなければならない。
重要情報インフラにおける暗号の使用と管理は、関連する法律、行政法規の規定を遵守しなければならない。
第五十一条 この条例は2021年9月1日より施行する。
(中国語原文)
http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm