この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。
重要情報インフラセキュリティ保護条例
中華人民共和国国務院令第745号
「重要情報インフラセキュリティ保護条例」は2021年4月27日に国務院第133回常務会議で採択され、ここに公布され、2021年9月1日から施行する。
李克強総理
2021年7月30日
重要情報インフラセキュリティ保護条例
第一章 総則
第一条 重要情報インフラセキュリティを保障し、ネットワークセキュリティを維持するため、「中華人民共和国ネットワークセキュリティ法」に基づき、本条例を制定する。
第二条 本条例でいう重要情報インフラとは、公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業等の重要な業界と分野、およびその他の破壊、機能喪失、或はデータ漏洩の場合に、国家安全、国家経済・民生、公共利益に深刻な危害を及ぼす可能性がある重要なネットワーク施設、情報システム等を指す。
第三条 国家インターネット情報部門の統一的な調整の下で、国務院の公安部門は重要情報インフラセキュリティ保護業務の指導・監督する責任を担う。国務院電気通信主管部門とその他の関連部門は、本条例と関連法律、行政法規の規定に基づいて、それぞれの職責範囲内で重要情報インフラセキュリティ保護と監督管理業務を担当する。
省級人民政府の関連部門は、それぞれの職責に基づいて重要情報インフラセキュリティ保護と監督管理を実施する。
第四条 重要情報インフラセキュリティ保護は総合的な協調、分業責任、法律に基づく保護を堅持し、重要情報インフラ運営者(以下運営者と略称する)の主体責任を強化し、実施し、政府及び社会の各方面の役割を十分に発揮し、重要情報インフラセキュリティを共同で保護する。
第五条 国家は重要情報インフラに対して重点的な保護を実行し、措置を講じ、中華人民共和国国内外からのネットワークセキュリティリスクと脅威を監視、防御、処理し、重要情報インフラを攻撃、侵入、妨害、破壊から保護し、法律に基づいて重要情報インフラセキュリティに危害を及ぼす違法犯罪活動を処罰する。
いかなる個人または組織も、重要情報インフラへの不法な侵入、妨害、破壊する活動を実施してはならず、重要情報インフラセキュリティに危害を及ぼすことをしてはならない。
第六条 運営者は本条例と関連法律、行政法規の規定及び国家基準の強制的な要求に基づき、ネットワークセキュリティ等級保護の基礎の上で、技術保護措置とその他の必要な措置を講じ、ネットワークセキュリティ事件に対応し、ネットワーク攻撃と違法犯罪活動を防止し、重要情報インフラの安全かつ安定した運行を保障し、データの完全性、機密性と可用性を維持する。
第七条 重要情報インフラセキュリティ保護業務において顕著な成績を収めたまたは顕著な貢献をした組織及び個人に対して、国家の関連規定に基づいて表彰する。
第二章 重要情報インフラの認定
第八条 本条例第二条に関する重要な業界・分野の主管部門、監督管理部門は、重要情報インフラセキュリティ保護業務を担当する部門(以下、保護業務部門と略称する)である。
第九条 保護業務部門は本業界、本分野の実際と結合し、重要情報インフラの認定規則を制定し、国務院公安部門に報告して備案を提出する。
認定規則の制定は主に以下の要素を考慮しなければならない。
(一)ネットワーク施設、情報システム等の本業界、本分野の重要なコア業務に対する重要度。
(二)ネットワーク施設、情報システム等が一旦破壊された場合、機能喪失、データ漏洩による危害を及ぼす程度。
(三)他の業界と分野に対する関連性の影響。
第十条 保護業務部門は認定規則に基づいて、本業界、本分野の重要情報インフラの認定を組織し、適時に認定結果を運営者に通知し、国務院公安部門に通報する。
第十一条 重要情報インフラに大きな変化が発生し、その認定結果に影響を与える可能性がある場合、運営者は適時に関連状況を保護業務部門に報告しなければならない。保護業務部門は報告を受けた日から3カ月以内に再認定を完了し、認定結果を運営者に通知し、国務院公安部門に通報する。
第三章 運営者責任義務
第十二条 セキュリティ保護措置は、重要情報インフラと同時に計画し、同時に構築し、同時に使用しなければならない。
第十三条 運営者はネットワークセキュリティ保護制度と責任制度を確立し、健全化し、人的、財政的、物資的投入を保障しなければならない。運営者の主な責任者は重要情報インフラセキュリティ保護に全体的な責任を負い、重要情報インフラセキュリティ保護と重大なネットワークセキュリティ事件の処理を指導し、重大なネットワークセキュリティ問題の解決に関する研究を行う。
第十四条 運営者は専門安全管理機構を設置し、専門安全管理機構の責任者と重要な職位の人員に対して安全背景審査を行わなければならない。審査の際、公安機関、国家安全機関は協力しなければならない。
第十五条 専門安全管理機構は具体的に本部門の重要情報インフラセキュリティ保護業務を担当し、以下の職責を履行する:
(一)ネットワークセキュリティ管理、評価審査制度を確立し、健全化し、重要情報インフラセキュリティ保護計画を立案する。
(二)ネットワークセキュリティ保護能力の構築を推進することを組織し、ネットワークセキュリティの監視、測定、リスク評価を展開する。
(三)国家及び業界ネットワークセキュリティ事件の応急対策案に基づき、本部門の応急対策案を制定し、定期的に緊急訓練を展開し、ネットワークセキュリティ事件を処理する。
(四)ネットワークセキュリティの重要な職位を認定し、ネットワークセキュリティ作業評価を組織し、奨励と処罰の提案を提出する。
(五)ネットワークセキュリティ教育、研修を組織する。
(六)個人情報とデータのセキュリティ保護責任を履行し、個人情報とデータのセキュリティ保護制度を確立し、健全化する。
(七)重要情報インフラの設計、構築、運行、メンテナンス等のサービスに対してセキュリティ管理を実施する。
(八)規定に基づいてネットワークセキュリティ事件と重要事項を報告する。
第十六条 運営者は専門安全管理機構の運営経費を保障し、相応の人員を配置し、ネットワークセキュリティと情報化に関する意思決定を展開するには専門安全管理機構の人員が参加しなければならない。
第十七条 運営者は、重要情報インフラに対して毎年少なくとも一回のネットワークセキュリティ測定とリスク評価を自らまたはネットワークセキュリティサービス機構に委託し、発見されたセキュリティ問題に対して適時に改善し、かつ保護業務部門の要求に従って状況を報告しなければならない。
第十八条 重要情報インフラに重大なネットワークセキュリティ事件が発生した場合、または重大なネットワークセキュリティ脅威が発見された場合、運営者は関連規定に従って保護業務部門、公安機関に報告しなければならない。
重要情報インフラの全体的な運行中断または主要な機能の障害、国家基礎情報およびその他の重要データの漏洩、より大規模な個人情報の漏洩、より大規模な経済損失の発生、違法情報のより広い範囲の伝播等の特別重大なネットワークセキュリティ事件が発生した場合、または特別な重大なネットワークセキュリティ脅威が発見された場合、保護業務部門は報告を受けた後、適時に国家インターネット情報部門、国務院公安部門に報告しなければならない。
第十九条 運営者は安全で信頼できるネットワーク製品とサービスを優先的に調達しなければならない。ネットワーク製品とサービスの調達が国家安全に影響を与える可能性がある場合は、国のネットワークセキュリティ規定に従ってセキュリティ審査に合格しなければならない。
第二十条 運営者がネットワーク製品とサービスを調達するには、国家の関連規定に従ってネットワーク製品とサービス提供者とセキュリティ及び秘密保持契約を締結し、提供者の技術サポートとセキュリティ秘密保持義務と責任を明確にし、義務と責任の履行状況を監督しなければならない。
第二十一条 運営者に合併、分割、解散等の状況が発生した場合、適時に保護業務部門に報告し、かつ保護業務部門の要求に従って重要情報インフラ施設を処理し、安全を確保しなければならない。
第四章 保障と促進
第二十二条 保護業務部門は、本業界、本分野の重要情報インフラセキュリティ計画を制定し、保護目標、基本的な要求、業務任務、具体的な措置を明確にしなければならない。
第二十三条 国家インターネット情報部門は関連部門を統一的に調整してネットワークセキュリティ情報共有メカニズムを構築し、適時にネットワークセキュリティの脅威、脆弱性、事件等の情報をまとめ、研究、判断、共有、発表し、関連部門、保護業務部門、運営者及びネットワークセキュリティサービス機構等の間のネットワークセキュリティ情報共有を促進する。
第二十四条 保護業務部門は、本業界、本分野の重要情報インフラネットワークセキュリティ監視及び早期警戒制度を確立し、健全化し、本業界、本分野の重要情報インフラの運行状況、安全態勢を適時に把握し、ネットワークセキュリティ脅威と潜在的な危険を早期に警戒・通知し、セキュリティ防止対策を指導する。
第二十五条 保護業務部門は、国家ネットワークセキュリティ事件緊急対応策の要求に基づき、本業界、本分野のネットワークセキュリティ事件緊急対応策を確立、健全化し、定期的に緊急訓練を組織しなければならない。運営者にネットワークセキュリティ事件への対応・処理を指導し、必要に応じて技術サポートと支援を提供できるように組織する。
第二十六条 保護業務部門は定期的に本業界、本分野の重要情報インフラネットワークセキュリティ検査・測定を組織し、運営者に適時に潜在的な安全上の危険を適時に改善し、安全措置を改善するよう指導・監督しなければならない。
第二十七条 国家インターネット情報部門は国務院公安部門、保護業務部門を統一的に調整し、重要情報インフラに対するネットワークセキュリティ検査・測定を組織し、改善措置を提起する。
関連部門は重要情報インフラネットワークセキュリティ検査を展開する際、不必要な検査と重複検査を避けるために、調整と協力、情報伝達を強化しなければならない。検査業務は費用を徴収してはならず、検査対象企業に指定したブランドまたは指定した生産、販売企業の製品とサービスを購入するように要求してはならない。
第二十八条 運営者は保護業務部門が展開する重要情報インフラネットワークセキュリティ検査・測定業務、及び公安、国家安全、秘密保持行政管理、パスワード管理等の関連部門に法律に基づいて展開する重要情報インフラネットワークセキュリティ検査業務に協力させなければならない。
第二十九条 重要情報インフラセキュリティ保護業務において、国家インターネット情報部門と国務院電気通信主管部門、国務院公安部門等は保護業務部門の必要に応じて、適時に技術サポートと支援を提供しなければならない。
第三十条 インターネット情報部門、公安機関、保護業務部門等の関連部門、ネットワークセキュリティサービス機構及びその従業員は、重要情報インフラセキュリティ保護業務において取得した情報に対して、ネットワークセキュリティの維持にのみ使用することができ、かつ関連する法律、行政法規の要求に厳格に基づいて情報セキュリティを確保し、漏洩、販売、または他人に違法に提供してはならない。
第三十一条 国家インターネット情報部門、国務院公安部門の承認または保護業務部門、運営者の承認を得ず、いかなる個人や組織も重要情報インフラに対する脆弱性探査、浸透性テスト等の重要情報インフラセキュリティに影響または危害を及ぼす可能性のある活動を実施してはならない。基礎電気通信ネットワークに対する脆弱性探査、浸透性テスト等の活動の実施は、事前に国務院電気通信主管部門に報告しなければならない。
第三十二条 国家は、エネルギー、電気通信等の重要情報インフラの安全運行を優先的に保障するための措置を講じる。
エネルギー、電気通信業界は、他の業界と分野の重要情報インフラの安全運行に重点保障を提供するための措置を講じなければならない。
第三十三条 公安機関、国家安全機関はそれぞれの職責に従い法律に基づいて重要情報インフラセキュリティ保障を強化し、重要情報インフラを対象とし、利用する違法犯罪活動を防止、取り締まらなければならない。
第三十四条 国家は重要情報インフラセキュリティ基準を制定し、改善し、重要情報インフラセキュリティ保護業務を指導し、規範化する。
第三十五条 国家は、ネットワークセキュリティ専門人材が重要情報インフラセキュリティ保護に従事することを奨励するための措置を講じ、運営者の安全管理者、安全技術者の研修を国家の継続教育システムに組み入れる。
第三十六条 国家は重要情報インフラセキュリティ保護技術のイノベーションと産業発展を支援し、組織力を組織して重要情報インフラセキュリティ技術の研究を実施するための力を組織する。
第三十七条 国家はネットワークセキュリティサービス機構の構築と管理を強化し、管理要求を制定し、監督指導を強化し、サービス機構の能力レベルを継続的に向上させ、重要情報インフラセキュリティ保護における役割を十分に発揮させる。
第三十八条 国家はネットワークセキュリティの軍民融合を強化し、軍と地方が協力して重要情報インフラセキュリティを保護する。
第五章 法律責任
第三十九条 運営者が以下状況のいずれか一つに該当する場合、関連主管部門は職責に基づいて是正を命じ、警告を与える。是正を拒否し、或はネットワークセキュリティに危害を及ぼす等の結果を招いた場合、10万元以上100万元以下の罰金を科し、直接責任を負う主管者に1万元以上10万元以下の罰金を科す:
(一)重要情報インフラに大きな変化が発生し、認定結果に影響を与える可能性がある場合、関連状況を保護業務部門に適時に報告しなかった場合。
(二)セキュリティ保護措置が重要情報インフラと同時に計画、同時に構築、同時に使用されていない場合。
(三)ネットワークセキュリティ保護制度と責任制を確立、健全化していない場合。
(四)専門安全管理機構が設置されていない場合。
(五)専門安全管理機構の責任者と重要な職位の人員に対して安全背景審査を行っていない場合。
(六)ネットワークセキュリティと情報化に関する意思決定を展開するために専門安全管理機構の人員が参加していない場合。
(七)専門安全管理機構が本条例第十五条に規定された職責を履行していない場合。
(八)重要情報インフラに対して毎年少なくとも一回のネットワークセキュリティ測定とリスク評価を行っておらず、発見されたセキュリティ問題に対して適時に改善していない、或いは保護業務部門の要求に従って状況を報告していない場合。
(九)ネットワーク製品とサービスを購入し、国家の関連規定に基づいてネットワーク製品とサービスの提供者とセキュリティ秘密保持契約を締結していない場合。
(十)合併、分割、解散等の状況が発生し、保護業務部門に適時に報告していない、または保護業務部門の要求に従って重要情報インフラを処理していない場合。
第四十条 運営者が、重要情報インフラで重大なネットワークセキュリティ事件の発生、または重大なネットワークセキュリティ脅威を発見した場合に、関連規定に従って保護業務部門、公安機関に報告していない場合、保護業務部門、公安機関は職責に基づいて是正を命じ、警告を与える。是正を拒否し、或はネットワークセキュリティに危害を及ぼす等の結果を招いた場合、10万元以上100万元以下の罰金を科し、直接責任を負う主管者に1万元以上10万元以下の罰金を科す。
第四十一条 運営者が国家安全に影響を与える可能性のあるネットワーク製品とサービスを購入し、国家ネットワークセキュリティ規定に従ってセキュリティ審査を行っていない場合、国家インターネット情報部門等の関連主管部門は職責に基づいて是正を命じ、購入金額の1倍以上10倍以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に1万元以上10万元以下の罰金を科す。
第四十二条 運営者が保護業務部門により展開される重要情報インフラネットワークセキュリティ検査・測定業務、及び公安、国家安全、秘密保持行政管理、パスワード管理等の関連部門が法律に基づいて展開する重要情報インフラネットワークセキュリティ検査業務に協力しない場合、関連主管部門は是正を命じ、是正を拒否した場合、5万元以上50万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に1万元以上10万元以下の罰金を科す。情状が深刻な場合は、法律に基づいて相応の法律責任を追及する。
第四十三条 重要情報インフラに不法侵入、妨害、破壊し、その安全に危害を及ぼす活動が犯罪を構成しない場合、「中華人民共和国ネットワークセキュリティ法」の関連規定に基づき、公安機関が違法所得を没収し、5日以下の拘留に処し、5万元以上50万元以下の罰金を併科することができる。情状が深刻な場合は、5日以上15日以下の拘留に処し、10万元以上100万元以下の罰金を科すことができる。
組織が前項の行為を行った場合、公安機関が違法所得を没収し、10万元以上100万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者を前項の規定に基づいて処罰する。
本条例第五条第二項及び第三十一条の規定に違反し、治安管理処罰を受けた人員は、5年以内にネットワークセキュリティ管理とネットワーク運営の重要な職位の業務に従事してはならない。刑事処罰を受けた人員は、ネットワークセキュリティ管理とネットワーク運営の重要な職位の業務に終身従事してはならない。
第四十四条 インターネット情報部門、公安機関、保護業務部門及びその他の関連部門及びその業務員が重要情報インフラセキュリティ保護と監督管理の職責を履行していない、または職責を怠り、職権を濫用し、私利私欲により不正行為を行った場合、法律に基づいて直接責任を負う主管者とその他の直接責任者に処分を与える。
第四十五条 公安機関、保護業務部門及びその他の関連部門が重要情報インフラネットワークセキュリティ検査を展開中に費用を徴収し、または検査対象企業に指定したブランドまたは指定した生産、販売部門の製品及びサービスを購入するように要求した場合、その上級機関は是正を命じ、徴収した費用を返還する。情状が深刻な場合、法律に基づいて直接責任を負う主管者とその他の直接責任者に処分を与える。
第四十六条 インターネット情報部門、公安機関、保護業務部門等の関連部門、ネットワークセキュリティサービス機構及びその従業員が重要情報インフラセキュリティ保護業務において取得した情報をその他の用途に使用し、或は漏洩、売却、不法に他人に提供した場合、法律に基づいて直接責任を負う主管者とその他の直接責任者に処分を与える。
第四十七条 重要情報インフラにおいて重大かつ特別重大なネットワークセキュリティ事件が発生し、調査の結果、責任事故と確定した場合、運営者の責任を明らかにし、法律に基づいて追及するほか、関連するネットワークセキュリティサービス機構及び関連部門の責任を明らかにし、職務怠慢、背任及びその他の違法行為があった場合、法律に基づいて責任を追及しなければならない。
第四十八条 電子政務重要情報インフラの運営者が本条例に規定されたネットワークセキュリティ保護義務を履行しない場合は、「中華人民共和国ネットワークセキュリティ法」の関連規定に基づいて処理する。
第四十九条 本条例の規定に違反し、他人に損害を与えた場合、法律に基づいて民事責任を負う。
本条例の規定に違反し、治安管理違反行為を構成する場合、法律に基づいて治安管理処罰を与える。犯罪を構成する場合は、法律に基づいて刑事責任を追及する。
第六章 附則
第五十条 国家秘密情報に関わる重要情報インフラセキュリティ保護の保管・処理は、秘密保持法、行政法規の規定も遵守しなければならない。
重要情報インフラにおけるパスワードの使用と管理は、関連する法律、行政法規の規定も遵守しなければならない。
第五十一条 本条例は2021年9月1日から施行する。
(中国語原文)
http://www.cac.gov.cn/2021-08/17/c_1630785976988160.htm