この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。
中華人民共和国サイバーセキュリティ法
(2016年11月7日第十二届全国人民代表大会常务委员会第24回会議で可決 2025年10月28日第十四届全国人民代表大会常务委员会第18回会議における「中華人民共和国サイバーセキュリティ法改正に関する決定」に基づき改正)
目 次
第一章 総 則
第二章 ネットワークセキュリティの支援と促進
第三章 ネットワーク運用安全
第一節 一般規定
第二節 重要情報インフラの運用安全
第四章 ネットワーク情報セキュリティ
第五章 監視警報及び緊急対応
第六章 法的責任
第七章 付 則
第一章 総 則
第一条 ネットワークの安全を保障し、ネットワーク空間の主権と国家の安全、社会公共の利益を維持し、公民、法人及びその他の組織の合法的権益を保護し、経済社会の情報化の健全な発展を促進するために、本法を制定する。
第二条 中華人民共和国国内におけるネットワークの構築、運営、維持、使用、及びネットワークセキュリティの監督管理については、本法を適用する。
第三条 サイバーセキュリティ活動は中国共産党の指導を堅持し、全体的な国家安全観を貫徹し、発展と安全を統一的に計画し、サイバー強国の構築を推進する。
第四条 サイバーセキュリティと情報化の発展を共に重視することを堅持し、積極的に利用し、科学的に発展し、法に基づいて管理し、安全を確保する方針に従い、ネットワークインフラ構築と相互接続を推進し、ネットワーク技術の革新と応用を奨励し、サイバーセキュリティ人材の育成を支援し、サイバーセキュリティ保障システムを確立し、健全化し、サイバーセキュリティ保護能力を高める。
第五条 サイバーセキュリティ戦略を制定し、絶えず改善し、サイバーセキュリティを保障する基本的な要求と主要な目標を明確にし、重点分野のサイバーセキュリティ政策、仕事の任務と措置を提出する。
第六条 国は措置をとり、中華人民共和国国境内外のサイバーセキュリティリスクと脅威を監視、防御、処置し、重要な情報インフラを攻撃、侵入、妨害、破壊から保護し、法に基づいてサイバー違法犯罪活動を処罰し、サイバー空間の安全と秩序を守る。
第七条 国は誠実で信用を守り、健康で文明的なネットワーク行為を提唱し、社会主義の中核的価値観の伝播を推進し、社会全体のサイバーセキュリティ意識と水準を高めるための措置をとり、社会全体が共同でサイバーセキュリティを促進する良好な環境を形成する。
第八条 国はネットワーク空間の管理、ネットワーク技術の研究開発と基準の制定、ネットワーク違法犯罪の取り締まり等の面での国際交流と協力を積極的に展開し、平和、安全、開放、協力のネットワーク空間の構築を推進し、多国間、民主、透明なネットワーク管理システムを構築する。
第九条 国家網信部門はネットワークセキュリティ業務と関連監督管理業務の統一的な調整を担当する。国務院電信主管部門、公安部門及びその他の関係機関は、本法及び関連法律、行政法規の規定に基づき、それぞれの職責範囲内でネットワークセキュリティ保護及び監督管理の仕事を担当する。
県級以上の地方人民政府の関連部門のサイバーセキュリティ保護と監督管理の職責は、国の関連規定に基づいて確定される。
第十条 ネットワーク運営者は経営とサービス活動を展開し、法律、行政法規を遵守し、社会の公徳を尊重し、商業道徳を遵守し、誠実で信用し、サイバーセキュリティ保護義務を履行し、政府と社会の監督を受け、社会的責任を負わなければならない。
第十一条 ネットワークを構築、運営する、またはネットワークを通じてサービスを提供するには、法律、行政法規の規定と国家基準の強制的な要求に基づいて、技術措置とその他の必要な措置をとり、ネットワークの安全、安定した運営を保障し、ネットワークの安全事件に効果的に対応し、ネットワークの違法犯罪活動を防止し、ネットワークデータの完全性、機密性、可用性を維持しなければならない。
第十二条 ネットワーク関連業界組織は規約に基づき、業界の自律を強化し、サイバーセキュリティ行為規範を制定し、会員にサイバーセキュリティ保護の強化を指導し、サイバーセキュリティ保護水準を高め、業界の健全な発展を促進する。
第十三条 国は公民、法人及びその他の組織が法に基づいてネットワークを使用する権利を保護し、ネットワークアクセスの普及を促進し、ネットワークサービス水準を向上させ、社会に安全で便利なネットワークサービスを提供し、ネットワーク情報が法に基づいて秩序正しく自由に流れることを保障する。
いかなる個人や組織がネットワークを使用するにも、憲法・法律を遵守し、公共秩序を遵守し、社会の公徳を尊重し、ネットワークの安全を危害してはならず、ネットワークを利用して国家の安全、栄誉、利益を危害し、国家政権の転覆、社会主義制度の転覆を扇動し、分裂国家を扇動し、国家統一を破壊し、テロリズム、極端主義を宣伝し、民族憎しみ、民族差別を宣伝し、暴力、わいせつな情報を伝播し、虚偽の情報をでっち上げ、伝播して経済秩序と社会秩序を乱し、他人の名誉、プライバシー、知的財産権とその他の合法的権益を侵害する。
第十四条 国は未成年者の健全な成長に資するネットワーク製品とサービスの研究開発を支援し、法に基づいてネットワークを利用して未成年者の心身の健康を害する活動に従事することを処罰し、未成年者に安全で健康なネットワーク環境を提供する。
第十五条 いかなる個人及び組織は、ネットワークの安全を害する行為に対して、インターネット通信、電信、公安等の部門に通報する権利を有する。通報を受けた部門は速やかに法に基づいて処理しなければならない。本部門の職責に属さない場合は、速やかに処理する権利のある部門に移送しなければならない。
関係部門は通報者の関連情報を秘密にし、通報者の合法的権益を保護しなければならない。
第二章 ネットワークセキュリティの支援と促進
第十六条 国はサイバーセキュリティ基準システムを構築し、整備する。国務院標準化行政主管部門と国務院のその他の関係部門はそれぞれの職責に基づいて、サイバーセキュリティ管理及びネットワーク製品、サービス及び運行安全に関する国家基準、業界基準を制定し、適時に改訂する。
国家は企業、研究機関、高等学校、ネットワーク関連業界組織がネットワークセキュリティ国家基準、業界基準の制定に参加することを支援する。
第十七条 国務院と省、自治区、直轄市の人民政府は統一的に計画を立て、投入を増やし、重点サイバーセキュリティ技術産業とプロジェクトを支援し、サイバーセキュリティ技術の研究開発と応用を支援し、安全で信頼できるネットワーク製品とサービスを普及させ、ネットワーク技術の知的財産権を保護し、企業、研究機構と高等学校等が国家サイバーセキュリティ技術革新プロジェクトに参加することを支援しなければならない。
第十八条 国はサイバーセキュリティ社会化サービスシステムの構築を推進し、関連企業、機関がサイバーセキュリティ認証、検査、リスク評価等のセキュリティサービスを展開することを奨励する。
第十九条 国はネットワークデータの安全保護と利用技術の開発を奨励し、公共データ資源の開放を促進し、技術革新と経済社会の発展を推進する。
第二十条 国は人工知能基礎理論研究とアルゴリズム等の重要技術の研究開発を支援し、訓練データ資源、計算力等のインフラ構築を推進し、人工知能倫理規範を完備させ、リスクモニタリング評価と安全監督管理を強化し、人工知能の応用と健全な発展を促進する。
国はネットワークセキュリティ管理方式の革新をサポートし、人工知能等の新技術を運用し、ネットワークセキュリティ保護水準を向上させる。
第二十一条 各級人民政府及びその関係部門は、経常的なサイバーセキュリティ宣伝教育を組織し、展開し、関係部門にサイバーセキュリティ宣伝教育の仕事をしっかりと行うよう指導、督促しなければならない。
マスメディアは、ネットワークの安全性を社会に的確に宣伝する教育をしなければならない。
第二十二条 国は企業と高等学校、職業学校等の教育訓練機関がサイバーセキュリティに関する教育と訓練を展開することを支援し、多種の方式を採用してサイバーセキュリティ人材を育成し、サイバーセキュリティ人材の交流を促進する。
第三章 ネットワーク運用安全
第一節 一般規定
第二十三条 国はサイバーセキュリティ等級保護制度を実施する。ネットワーク運営者は、ネットワークセキュリティ等級保護制度の要求に従い、次のセキュリティ保護義務を履行し、ネットワークが干渉、破壊、または許可されていないアクセスから保護し、ネットワークデータの漏洩または盗難、改ざんを防止しなければならない。
(一)内部安全管理制度と運用規程を制定し、サイバーセキュリティ責任者を確定し、サイバーセキュリティ保護責任を実行する、
(二)コンピュータウイルスとサイバー攻撃、ネットワーク侵入等のサイバーセキュリティに危害を及ぼす行為を防止する技術措置をとる、
(三)ネットワークの運行状態、ネットワークセキュリティ事件を監視、記録する技術措置をとり、規定に従って関連するネットワークログを6ヶ月以上保存する、
(四)データ分類、重要なデータバックアップと暗号化等の措置を取る、
(五)法律、行政法規に規定されたその他の義務。
第二十四条 ネットワーク製品、サービスは関連する国の基準の強制的な要求に合致しなければならない。ネットワーク製品、サービスの提供者は悪意のあるプログラムを設定してはならない、そのネットワーク製品、サービスにセキュリティ上の欠陥、脆弱性等のリスクがあることを発見した場合、直ちに救済措置をとり、規定に従って速やかにユーザーに知らせ、関係主管部門に報告しなければならない。
ネットワーク製品、サービスの提供者は、その製品、サービスに対して継続的に安全なメンテナンスを提供しなければならない。規定または当事者が約定した期限内に、安全維持の提供を中止してはならない。
ネットワーク製品、サービスにユーザー情報を収集する機能がある場合、その提供者はユーザーに明示し、同意を得なければならない。ユーザーの個人情報に関わる場合は、本法及び関連法律、行政法規の個人情報保護に関する規定を遵守しなければならない。
第二十五条 ネットワーク重要設備とネットワークセキュリティ専用製品は、関連する国家基準の強制的な要求に従って、資格を備えた機関のセキュリティ認証に合格し、またはセキュリティ検査に合格した後、販売または提供することができる。国家ネット情報部門は国務院の関係部門と共同で、ネットワーク重要設備とネットワークセキュリティ専用製品カタログを制定、公表し、セキュリティ認証とセキュリティ検査結果の相互認証を推進し、重複認証、検査を回避する。
第二十六条 ネットワーク運営者は、ユーザーのためにネットワークアクセス、ドメイン名登録サービスを行い、固定電話、携帯電話等のネットワーク接続手続きを行い、またはユーザーのために情報発信、インスタントメッセージング等のサービスを提供し、ユーザーと契約を締結或いは、サービスの提供を確認する際に、ユーザーに正体情報の提供を要求しなければならない。ユーザーが正体情報を提供していない場合、ネットワーク運営者は関連サービスを提供してはならない。
国はネットワーク信頼性アイデンティティ戦略を実施し、安全で便利な電子アイデンティティ認証技術の研究開発をサポートし、異なる電子アイデンティティ認証間の相互認証を推進する。
第二十七条 ネットワーク運営者は、ネットワークセキュリティインシデントの緊急対応策を制定し、システムの脆弱性、コンピュータウイルス、サイバー攻撃、ネットワーク侵入等のセキュリティリスクを適時に処理しなければならない。ネットワークセキュリティに危害を及ぼす事件が発生した場合、直ちに応急対策を開始し、相応の救済措置をとり、規定に従って関係主管部門に報告する。
第二十八条 ネットワークセキュリティ認証、検査、リスク評価等の活動を展開し、システムの脆弱性、コンピュータウイルス、サイバー攻撃、ネットワーク侵入等のネットワークセキュリティ情報を社会に発信するには、国の関連規定を遵守しなければならない。
第二十九条 いかなる個人及び組織も、他人のネットワークに不法侵入し、他人のネットワークの正常な機能を妨害し、ネットワークデータを盗む等、ネットワークの安全を害する活動に従事してはならない。ネットワークへの侵入、ネットワークの正常な機能妨害及び保護措置、ネットワークデータの盗み取り等のネットワークセキュリティに危害を及ぼす活動に特化したプログラム、ツールを提供してはならない、他人がサイバーセキュリティに危害を及ぼす活動に従事していることを知っている場合は、技術サポート、広告普及、支払い決済等の支援を提供してはならない。
第三十条 ネットワーク運営者は、公安機関、国家安全機関が法に基づいて国家の安全を維持し、犯罪を捜査する活動に技術支援と協力を提供しなければならない。
第三十一条 国はネットワーク運営者間のサイバーセキュリティ情報の収集、分析、通報、応急処置等の面での協力を支援し、ネットワーク運営者の安全保障能力を高める。
関連業界組織は当業界のサイバーセキュリティ保護規範と協力メカニズムを確立し、健全化し、サイバーセキュリティリスクの分析評価を強化し、定期的に会員にリスク警告を行い、会員のサイバーセキュリティリスクへの対応を支援し、協力する。
第三十二条 ネット情報部門と関係部門がネットワークセキュリティ保護の職責を履行する中で得た情報は、ネットワークセキュリティを維持する必要があり、その他の用途に使用してはならない。
第二節 重要情報インフラの運用安全
第三十三条 国は、公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務等の重要な業界と分野、およびその他が破壊され、機能を失ったり、データが流出したりすると、国家の安全、家計、公共利益に深刻な危害を及ぼす可能性がある重要な情報インフラに対して、サイバーセキュリティ等級保護制度に基づいて、重点保護を実行する。重要な情報インフラの具体的な範囲と安全保護方法は国務院が制定した。
国は、重要な情報インフラ以外のネットワーク運営者が重要な情報インフラ保護システムに自発的に参加することを奨励している。
第三十四条 国務院が規定した職責分業に基づき、重要情報インフラの安全保護活動を担当する部門は、業界、分野の重要情報インフラの安全計画をそれぞれ作成し、組織し、実施し、重要情報インフラの安全保護活動の運営を指導し、監督する。
第三十五条 重要な情報インフラを構築するには、業務の安定、持続的な運用をサポートする性能を確保し、安全技術措置の同時計画、同時構築、同時使用を保証しなければならない。
第三十六条 本法第二十三条の規定に加えて、重要な情報インフラストラクチャの運営者は、以下の安全保護義務を履行しなければならない。
(一)専門安全管理機構と安全管理責任者を設置し、当該責任者と重要部署の人員に対して安全背景審査を行う、
(二)定期的に従業員に対してサイバーセキュリティ教育、技術訓練と技能審査を行う、
(三)重要なシステムとデータベースに対するディザスタリカバリバックアップ、
(四)サイバーセキュリティ事件の応急対策案を制定し、定期的に訓練を行う、
(五)法律、行政法規に規定されたその他の義務。
第三十七条 重要な情報インフラストラクチャの運営者がネットワーク製品とサービスを購入することは、国家安全に影響を与える可能性がある場合、国家網信部門が国務院の関係部門と共同で組織した国家安全審査を通過しなければならない。
第三十八条 重要な情報インフラストラクチャの運営者がネットワーク製品とサービスを購入するには、規定に従って提供者と安全秘密保持協定を締結し、安全と秘密保持の義務と責任を明確にしなければならない。
第三十九条 重要な情報インフラストラクチャの運営者が中華人民共和国国内で運営中に収集し、生成した個人情報と重要なデータは国内に保管しなければならない。業務上の必要があり、国外に提供する必要がある場合は、国家網信部門が国務院の関係部門と共同で制定した方法に基づいて安全評価を行わなければならない。法律、行政法規に別途規定がある場合は、その規定に従う。
第四十条 重要情報インフラストラクチャの運営者は、ネットワークの安全性と存在する可能性のあるリスクについて、毎年少なくとも1回の検査評価をネットワークセキュリティサービス機構に自らまたは委託し、検査評価の状況と改善策を重要情報インフラストラクチャの安全保護に責任を負う関連部門に報告しなければならない。
第四十一条 国家網信部門は、重要な情報インフラストラクチャの安全保護に関する関係部門の統一的な調整に以下の措置を取らなければならない。
(一)重要な情報インフラストラクチャのセキュリティリスクをサンプル検査し、改善措置を提出し、必要な時にネットワークセキュリティサービス機構にネットワークに存在するセキュリティリスクの検査評価を依頼することができる、
(二)重要な情報インフラストラクチャの運営者を定期的に組織してサイバーセキュリティ緊急時対応訓練を行い、サイバーセキュリティ事件に対応する水準と協同協力能力を高める、
(三)関係部門、重要情報インフラの運営者及び関連研究機関、ネットワークセキュリティサービス機構等間のネットワークセキュリティ情報共有を促進する、
(四)ネットワークセキュリティイベントの応急処置とネットワーク機能の回復等に対して、技術サポートと協力を提供する。
第四章 ネットワーク情報セキュリティ
第四十二条 ネットワーク運営者は、収集したユーザー情報に対して厳格に秘密保持し、ユーザー情報保護制度を確立し、健全にしなければならない。
ネットワーク運営者が個人情報を処理するには、本法と「中華人民共和国国民法典」、「中華人民共和国個人情報保護法」等の法律、行政法規の規定を遵守しなければならない。
第四十三条 ネットワーク運営者が個人情報を収集、使用するには、合法、正当、必要な原則に従い、収集、使用規則を公開し、収集、使用情報の目的、方式、範囲を明示し、収集者の同意を得なければならない。
ネットワーク運営者は、提供するサービスとは関係のない個人情報を収集してはならず、法律、行政法規の規定と双方の約定に違反して個人情報を収集、使用してはならず、そして法律、行政法規の規定とユーザーとの約定に基づいて、保存した個人情報を処理しなければならない。
第四十四条 ネットワーク運営者は収集した個人情報を漏洩、改ざん、毀損してはならない。収集者の同意を得ずに、他人に個人情報を提供してはならない。ただし、処理を経て特定の個人を識別できず、復元できない場合を除く。
ネットワーク運営者は、収集した個人情報の安全を確保し、情報の漏洩、毀損、紛失を防止するための技術的措置とその他の必要な措置を講じなければならない。個人情報の漏洩、毀損、紛失が発生または発生する可能性がある場合は、直ちに救済措置をとり、規定に従って速やかにユーザーに知らせ、関係主管部門に報告しなければならない。
第四十五条 個人がネットワーク運営者により法律、行政法規の規定又は双方の約定に違反してその個人情報を収集、使用していることを発見した場合、ネットワーク運営者にその個人情報の削除を要求する権利がある、ネットワーク運営者が収集、保存した個人情報に誤りがあることを発見した場合、ネットワーク運営者に訂正を求める権利がある。ネットワーク運営者は削除または訂正するための措置を講じなければならない。
第四十六条 いかなる個人及び組織も個人情報を盗んだり、その他の不法な方法で取得したりしてはならず、個人情報を不法に販売したり、他人に不法に提供したりしてはならない。
第四十七条 法に基づいてサイバーセキュリティ監督管理の職責を負う部門及びその従業員は、職責の履行において知り得た個人情報、プライバシー及び商業秘密に対して厳格に秘密にしなければならず、漏洩、売却又は不法に他人に提供してはならない。
第四十八条 任意の個人及び組織は、ネットワークを使用する行為に責任を負わなければならず、詐欺を実施し、犯罪方法を伝授し、禁制品、管制品等の違法犯罪活動を作成又は販売するためのウェブサイト、通信グループを設立してはならず、インターネットを利用して詐欺に関与し、実施し、禁制品、管制品及びその他の違法犯罪活動の情報を作成又は販売してはならない。
第四十九条 ネットワーク運営者は、そのユーザーが発表した情報の管理を強化し、法律、行政法規により発表または転送が禁止されている情報を発見した場合、直ちにその情報の転送を停止し、消去等の処置措置をとり、情報の拡散を防止し、関連記録を保存し、関連主管部門に報告しなければならない。
第五十条 いかなる個人及び組織が送信する電子情報、提供するアプリケーションも、悪意のあるプログラムを設定してはならず、法律、行政法規によって発行又は転送が禁止されている情報を含んではならない。
電子情報送信サービス提供者とアプリケーションダウンロードサービス提供者は、セキュリティ管理義務を履行し、そのユーザーが前項の規定行為をしていることを知っている場合は、サービスの提供を停止し、消去等の処置措置をとり、関連記録を保存し、関連主管部門に報告しなければならない。
第五十一条 ネットワーク運営者は、ネットワーク情報セキュリティ苦情、通報制度を確立し、苦情、通報方式等の情報を公表し、ネットワーク情報セキュリティに関する苦情と通報を適時に受理し、処理しなければならない。
ネットワーク運営者は、インターネット通信部門と関係部門が法に基づいて実施した監督検査に対して、協力しなければならない。
第五十二条 国家網信部門と関係部門は法に基づいてネットワーク情報安全監督管理の職責を履行し、法律、行政法規によって発行または転送が禁止されている情報を発見した場合、ネットワーク運営者に転送を停止し、除去等の処置措置をとり、関連記録を保存するように要求しなければならない。中華人民共和国国外からの上記情報については、関係機関に技術的措置とその他の必要な措置を講じて伝播を遮断するよう通知しなければならない。
第五章 監視警報及び緊急対応
第五十三条 国はサイバーセキュリティ監視警報と情報通報制度を確立する。国家ネット情報部門は関係部門がサイバーセキュリティ情報の収集、分析、通報を強化することを統一的に計画、協調し、規定に従ってサイバーセキュリティ監視警報情報を統一的に発表しなければならない。
第五十四条 重要な情報インフラの安全保護活動を担当する部門は、当業界、当分野のサイバーセキュリティ監視警報と情報通報制度を確立し、健全化し、規定に従ってサイバーセキュリティ監視警報情報を報告しなければならない。
第五十五条 国家網信部門は関係部門と協調してサイバーセキュリティリスク評価と緊急時対応業務のメカニズムを確立、健全化し、サイバーセキュリティ事件の緊急時対応策を制定し、そして定期的に訓練を組織する。
重要な情報インフラストラクチャのセキュリティ保護を担当する部門は、業界、分野のネットワークセキュリティインシデントの緊急対応策を制定し、定期的に訓練を組織しなければならない。
サイバーセキュリティ事件の応急対策は、事件発生後の危害の程度、影響範囲等の要素に基づいてサイバーセキュリティ事件を分類し、相応の応急処置措置を規定しなければならない。
第五十六条 サイバーセキュリティ事件が発生するリスクが増大した場合、省クラス以上の人民政府関係部門は、規定された権限と手順に従い、サイバーセキュリティリスクの特徴ともたらす可能性のある危害に基づいて、以下の措置を講じなければならない。
(一)関係部門、機関及び人員に対して適時に関連情報を収集、報告し、ネットワークセキュリティリスクの監視を強化するよう要求する、
(二)関係部門、機構と専門人員を組織し、サイバーセキュリティリスク情報に対して分析評価を行い、事件発生の可能性、影響範囲と危害程度を予測する、
(三)社会にサイバーセキュリティリスク警報を発表し、危害を回避、軽減する措置を発表する。
第五十七条 サイバーセキュリティ事件が発生した場合、直ちにサイバーセキュリティ事件の緊急対応策を起動し、サイバーセキュリティ事件に対して調査と評価を行い、ネットワーク運営者に技術措置とその他の必要な措置をとり、セキュリティ上の危険性を取り除き、危害の拡大を防止し、公衆に関する警告情報を速やかに社会に発信するよう要求しなければならない。
第五十八条 省級以上の人民政府関係部門がサイバーセキュリティ監督管理の職責を履行する中で、ネットワークに大きなセキュリティリスクが存在したり、セキュリティ事件が発生したりしたことを発見した場合、規定の権限と手順に従って当該ネットワークの運営者の法定代表者または主要責任者に対して会談を行うことができる。ネットワーク運営者は要求に応じて措置をとり、改善を行い、隠れた危険を取り除かなければならない。
第五十九条 サイバーセキュリティ事件により、突発事件又は生産セキュリティ事故が発生した場合、「中華人民共和国突発事件対応法」、「中華人民共和国安全生産法」等の関連法律、行政法規の規定に基づいて処理しなければならない。
第六十条 国の安全と社会公共秩序を維持し、重大な突発的な社会安全事件を処理する必要がある場合、国務院の決定または承認を経て、特定の地域でネットワーク通信に制限を与える等の臨時措置をとることができる。
第六章 法 的 責 任
第六十一条 ネットワーク運営者が本法第二十三条、第二十七条に規定されたネットワークセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、1万元以上5万元以下の罰金を科すことができる。改正を拒否或いは、サイバーセキュリティに危害を及ぼす等の結果を招いた場合、5万元以上50万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に1万元以上10万元以下の罰金を科す。
重要な情報インフラの運営者が本法第三十五条、第三十六条、第三十八条、第四十条に規定されたサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、5万元以上10万元以下の罰金を科すことができる。是正を拒否或いは、サイバーセキュリティに危害を及ぼす等の結果を招いた場合、10万元以上100万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に1万元以上10万元以下の罰金を科す。
前の2つの行為があり、大量のデータ漏洩、重要な情報インフラの局所機能喪失等の深刻なサイバーセキュリティ危害の結果をもたらした場合、関係主管部門は50万元以上200万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者には5万元以上20万元以下の罰金を科し、重要な情報インフラストラクチャの主要機能の喪失等、ネットワークセキュリティに特に深刻な危害を及ぼす結果をもたらした場合、200万元以上1千万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に20万元以上100万元以下の罰金を科す。
第六十二条 本法第二十四条第一項、第二項及び第五十条第一項の規定に違反し、以下の行為の一つがある場合、関係主管部門は是正を命じ、警告を与える。是正を拒否或いは、サイバーセキュリティに危害を及ぼす等の結果を招いた場合、5万元以上50万元以下の罰金を科し、直接責任を負う主管者に1万元以上10万元以下の罰金を科す。
(一)悪意のあるプログラムを設定した場合
(二)その製品、サービスに存在する安全欠陥、脆弱性等のリスクに対して直ちに救済措置を取らなかった、或いは規定に従って適時にユーザーに知らせて関係主管部門に報告しなかった場合
(三)勝手に製品、サービスの安全維持を提供することを終了した場合
前項第一項、第二項の行為があり、本法第六十一条第三項の規定の結果をもたらした場合は、同項の規定に基づいて処罰する。
第六十三条 本法第二十五条の規定に違反し、安全認証、安全検査または安全認証不合格、安全検査不適合の要求を受けていないネットワーク重要設備とサイバーセキュリティ専用製品を販売または提供した場合、関係主管部門は販売停止または提供を命じ、警告を与え、違法所得を没収する。違法所得がないか、違法所得が10万元未満の場合は、2万元以上10万元以下の罰金を科す。違法所得が10万元以上の場合、違法所得の倍以上5倍以下の罰金を科す。情状が深刻な場合、関連業務の一時停止、休業整備、関連業務許可証の取り消し、または営業許可証の取り消しを命じることができる。法律、行政法規に別途規定がある場合は、その規定に従う。
第六十四条 ネットワーク運営者が本法第二十六条第一項の規定に違反し、ユーザーに真実な身分情報の提供を要求していない、または真実な身分情報を提供していないユーザーに関連サービスを提供する場合、関係主管部門は是正を命じ、是正を拒否或いは、情状が深刻な場合は、5万元以上50万元以下の罰金を科し、関連業務の一時停止、休業整備、サイトまたはアプリケーションの閉鎖、関連業務許可証の取り消し、または営業許可証の取り消しを命じ、直接責任を負う主管者とその直接責任者に1万元以上10万元以下の罰金を科すことができる。
第六十五条 本法第二十八条の規定に違反し、サイバーセキュリティ認証、検査、リスク評価等の活動を展開し、あるいは社会にシステム脆弱性、コンピュータウイルス、サイバー攻撃、サイバー侵入等のサイバーセキュリティ情報を発表した場合、関係主管部門は是正を命じ、警告を与え、1万元以上10万元以下の罰金を科すことができる。是正を拒否或いは、情状が深刻な場合は、10万元以上100万元以下の罰金を科し、関連業務の一時停止、休業整備、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取り消し、または営業許可証の取り消しを命じ、直接責任を負う主管者とその他の直接責任者に1万元以上10万元以下の罰金を科すことができる。
前項の行為があり、本法第六十一条第三項に規定された結果をもたらした場合は、同項の規定に基づいて処罰する。
第六十六条 本法第二十九条の規定に違反し、サイバーセキュリティに危害を及ぼす活動に従事し、またはサイバーセキュリティに危害を及ぼす活動に専門的に従事するためのプログラム、ツールを提供し、または他人がサイバーセキュリティに危害を及ぼす活動に従事するための技術支援、広告普及、支払い決済等の援助を提供し、犯罪を構成していない場合、公安機関が違法所得を没収し、5日以下の拘留に処し、5万元以上50万元以下の罰金を併置することができる。情状が重い場合は、5日以上15日以下に拘留し、10万元以上100万元以下の罰金を科すことができる。
会社が前項の行為をした場合、公安機関が違法所得を没収し、10万元以上100万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者を前項の規定に基づいて処罰する。
本法第二十九条の規定に違反して、治安管理処罰を受けた人員は、5年以内にサイバーセキュリティ管理とネットワーク運営の重要な持ち場の仕事に従事してはならない。刑事処罰を受けた人は、一生ネットワークセキュリティ管理とネットワーク運営の重要な職場の仕事に従事してはならない。
第六十七条 重要情報インフラの運営者が本法第三十七条の規定に違反し、安全審査または安全審査を経ていないネットワーク製品またはサービスを使用した場合、関係主管部門は期限付きで改正、使用停止、国家安全への影響を取り除き、購入金額の倍以上10倍以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に1万元以上10万元以下の罰金を科すよう命じた。
第六十八条 本法第四十八条の規定に違反し、違法犯罪活動を実施するためのウェブサイト、通信グループを設立し、またはインターネットを利用して違法犯罪活動の実施に関する情報を発信し、まだ犯罪を構成していない場合、公安機関が5日以下に拘留し、1万元以上10万元以下の罰金を科すことができる。情状が重い場合は、5日以上15日以下に拘留し、5万元以上50万元以下の罰金を科すことができる。違法犯罪活動を実施するためのウェブサイト、通信グループを閉鎖する。
単位が前項の行為をした場合、公安機関は10万元以上50万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者は前項の規定に従って処罰する。
第六十九条 ネットワーク運営者が本法第四十九条の規定に違反し、法律、行政法規の公布禁止または転送された情報の転送停止、除去等の処置措置を講じず、関連記録の保存、関連主管部門への報告、または本法第五十二条の規定に違反し、関連部門の要求に従わず、法律、行政法規の公布禁止または転送された情報の転送停止、除去等の処置措置、関連記録の保存を行った場合、関連主管部門は是正を命じ、警告を与え、通報し、5万元以上50万元以下の罰金を科すことができる。是正を拒否したり、情状が深刻な場合は、50万元以上200万元以下の罰金を科し、関連業務の一時停止、休業整備、サイトまたはアプリケーションの閉鎖、関連業務許可証の取り消し、または営業許可証の取り消しを命じ、直接責任を負う主管者とその他の直接責任者に5万元以上20万元以下の罰金を科すことができる。
前項の行為があり、特に深刻な影響、特に深刻な結果をもたらした場合、関係主管部門は200万元以上1千万元以下の罰金を科し、関連業務の一時停止、休業整備、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取り消しまたは営業許可証の取り消しを命じ、直接責任を負う主管者とその他の直接責任者には20万元以上100万元以下の罰金を科す。
電子情報送信サービス提供者、アプリケーションダウンロードサービス提供者が、本法第五十条第二項に規定する安全管理義務を履行しない場合は、前二項の規定に従って処罰する。
第七十条 ネットワーク運営者が本法の規定に違反し、以下の行為の一つがある場合、関係主管部門は是正を命じ、是正を拒否或いは、情状が深刻な場合は、5万元以上50万元以下の罰金を科し、直接責任を負う主管者とその他の直接責任者に対して、1万元以上10万元以下の罰金を科す。
(一)関係部門が法に基づいて実施する監督検査を拒否し、阻害した場合
(二)公安機関、国家安全機関に技術支援と協力を提供しない場合
第七十一条 次の行為の一つがある場合、関連法律、行政法規の規定に基づいて処理、処罰する。
(一)本法第十三条第二項及びその他の法律、行政法規により公布又は転送が禁止されている情報を公布又は転送した場合
(二)本法第二十四条第三項、第四十三条から第四十五条の規定に違反し、個人情報の権益を侵害した場合
(三)本法第三十九条の規定に違反して、重要な情報インフラストラクチャの運営者が海外で個人情報と重要なデータを保存或いは、海外に個人情報と重要なデータを提供した場合
本法第四十六条の規定に違反し、個人情報を盗取、その他の不法な方法で取得、不法に販売、或いは、他人に不法に提供した際に、犯罪を構成していない場合、公安機関は関連法律、行政法規の規定に基づいて処罰する。
第七十二条 本法に規定する違法行為がある場合は、関連法律、行政法規の規定に基づいて信用書類に記入し、公示する。
第七十三条 本法の規定に違反しているが、「中華人民共和国行政処罰法」に規定された軽微、軽減または処罰しない場合、その規定に従って軽微、軽減または処罰しない。
第七十四条 国家機関の政務ネットワークの運営者が本法に規定するサイバーセキュリティ保護義務を履行しない場合、その上級機関又は関係機関が是正を命じ、直接責任を負う主管者とその他の直接責任者に対して法に基づいて処分を与える。
第七十五条 インターネット通信部門と関係部門が本法第三十二条の規定に違反し、ネットワークセキュリティ保護の職責を履行する中で取得した情報をその他の用途に使用する場合、直接責任を負う主管者とその他の直接責任者に対して法に基づいて処分を与える。
インターネット通信部門と関係部門の従業員が職務怠慢、職権乱用、私情にとらわれて不正行為を行い、まだ犯罪を構成していない場合は、法に基づいて処分する。
第七十六条 本法の規定に違反し、他人に損害を与えた場合、法に基づいて民事責任を負う。
本法の規定に違反し、治安管理違反行為を構成する場合、法に基づいて治安管理処罰を与える。犯罪を構成する場合は、法に基づいて刑事責任を追及する。
第七十七条 国外の機関、組織、個人が中華人民共和国のサイバーセキュリティに危害を及ぼす活動に従事している場合、法に基づいて法律責任を追及する。深刻な結果をもたらした場合、国務院公安部門と関係部門は、当該機関、組織、個人に対して財産凍結またはその他必要な制裁措置を講じることを決定することができる。
第七章 附 則
第七十八条 本法の以下の用語の意義は下記のとおりである。
(一)ネットワークとは、コンピュータ又は他の情報端末及び関連機器からなる一定の規則及びプログラムに従って情報を収集、記憶、伝送、交換、処理するシステムを指す。
(二)ネットワークセキュリティとは、必要な措置をとることによって、ネットワークへの攻撃、侵入、妨害、破壊と不正使用及び意外な事故を防止し、ネットワークを安定的で信頼性のある運行状態にし、及びネットワークデータの完全性、機密性、可用性を保障する能力を指す。
(三)ネットワーク運営者とは、ネットワークの所有者、管理者、およびネットワークサービス提供者を指す。
(四)ネットワークデータとは、ネットワークを介して収集、記憶、伝送、処理及び生成される各種電子データを指す。
(五)個人情報とは、自然人の氏名、生年月日、身分証明書番号、個人生物識別情報、住所、電話番号等を含むがこれらに限定されない、電子またはその他の方法で記録された自然人の個人識別を識別することができる各種情報を指す。
第七十九条 国の秘密情報を格納、処理するネットワークの運用安全保護は、本法を遵守すべきほか、秘密保持法、行政法規の規定を遵守しなければならない。
第八十条 軍事ネットワークの安全保護は、中央軍事委員会が別途規定する。
第八十一条 本法は2017年6月1日から施行する。
(中国語原文)
https://www.cac.gov.cn/2025-12/29/c_1768735112911946.htm