この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。
中華人民共和国国務院令
第790号
「ネットワークデータセキュリティ管理条例」は2024年8月30日に国務院第40回常務会議で可決され、ここに公布し、2025年1月1日より施行する。
総理 李 強
2024年9月24日
ネットワークデータセキュリティ管理条例
第一章 総則
第一条 ネットワークデータ処理活動を規範化し、ネットワークデータのセキュリティを保障し、ネットワークデータの法に基づく合理的かつ有効な利用を促進し、個人、組織の合法的権益を保護し、国家のセキュリティと公共の利益を維持するため、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」等の法律に基づいて、本条例を制定する。
第二条 中華人民共和国国内におけるネットワークデータ処理活動及びそのセキュリティ監督管理を展開し、本条例を適用する。
中華人民共和国国外で中華人民共和国内の自然人個人情報を処理する活動は、「中華人民共和国個人情報保護法」第3条第2項の規定状況に合致する場合、本条例も適用される。
中華人民共和国の国外でネットワークデータ処理活動を展開し、中華人民共和国の国家セキュリティ、公共利益又は公民、組織の合法的権益を損害した場合、法に基づいて法律責任を追及する。
第三条 ネットワークデータのセキュリティ管理活動は中国共産党の指導を堅持し、全体的な国家セキュリティ観を貫徹し、ネットワークデータの開発利用の促進とネットワークデータのセキュリティ保障を統一的に計画する。
第四条 国は各業界、各分野におけるネットワークデータの革新的な応用を奨励し、ネットワークデータのセキュリティ防護能力の構築を強化し、ネットワークデータ関連技術、製品、サービスの革新をサポートし、ネットワークデータのセキュリティ広報教育と人材育成を展開し、ネットワークデータの開発利用と産業発展を促進する。
第五条 国は、経済社会の発展におけるネットワークデータの重要度、及び改竄、破壊、漏洩又は不法取得、不法利用により、国家のセキュリティ、公共利益又は個人、組織の合法的権益に与える危害の程度に基づいて、ネットワークデータに対して分類し、ランク分けをして保護を実行する。
第六条 国はネットワークデータのセキュリティに関する国際規則と基準の制定に積極的に参加し、国際交流と協力を促進する。
第七条 国は関連業界組織が規約に基づき、ネットワークデータのセキュリティ行為規範を制定し、業界の自律を強化し、会員にネットワークデータのセキュリティ保護を強化するよう指導し、ネットワークデータのセキュリティ保護レベルを高め、業界の健全な発展を促進する。
第二章 一般規定
第八条 いかなる個人、組織もネットワークデータを利用して不法活動に従事してはならず、ネットワークデータを盗み取ったり、その他の不法な方法で取得したり、不法に販売したり、他人にネットワークデータを不法に提供したりする等の不法なネットワークデータ処理活動に従事してはならない。
いかなる個人、組織も前項の不法活動に特化したプログラム、ツールを提供してはならない。他人が前項の不法活動に従事していることを知っている場合は、インターネットアクセス、サーバホスティング、ネットワークストレージ、通信伝送等の技術サポートを提供したり、広告普及、支払決済等の支援を提供したりしてはならない。
第九条 ネットワークデータ処理者は、法律、行政法規の規定と国家基準の強制的な要求に基づき、ネットワークのセキュリティ等級保護の基礎の上で、ネットワークデータのセキュリティ保護を強化し、ネットワークデータのセキュリティ管理制度を確立し、健全化し、暗号化、バックアップ、アクセス制御、セキュリティ認証等の技術措置とその他の必要な措置をとり、ネットワークデータを改竄、破壊、漏洩または不正取得、不正利用から保護し、ネットワークデータのセキュリティ事案を処理し、ネットワークデータに対する違法犯罪活動を防止し、利用したネットワークデータのセキュリティに対して主体的責任を負うべきである。
第十条 ネットワークデータ処理者が提供するネットワーク製品、サービスは関連する国家基準の強制性要求に合致しなければならない。ネットワーク製品、サービスにセキュリティ上の欠陥、脆弱性等のリスクがあることを発見した場合、直ちに救済措置をとり、規定に従って速やかにユーザーに知らせ、関係主管部門に報告しなければならない。国家のセキュリティ、公共利益に危害を及ぼす場合、ネットワークデータ処理者は24時間以内に関係主管部門に報告しなければならない。
第十一条 ネットワークデータ処理者は、ネットワークデータのセキュリティ事案の応急対策を確立し、健全化しなければならない。ネットワークデータのセキュリティ事案が発生した場合、直ちに対策を開始し、危害の拡大を防止し、セキュリティ上の危険性を取り除き、規定に従って関係主管部門に報告しなければならない。
ネットワークデータのセキュリティ事案が個人、組織の合法的権益に危害を与えた場合、ネットワークデータ処理者は直ちにセキュリティ事案とリスク状況、危害結果、すでに取った救済措置等を電話、ショートメール、インスタント通信ツール、電子メールまたは公告等の方法で利害関係者に通知しなければならない。法律、行政法規の規定により通知が不要な場合は、その規定に従う。ネットワークデータ処理者がネットワークデータのセキュリティ事案を処理する過程で違法犯罪の疑いがある手がかりを発見した場合は、規定に従って公安機関、国家安全機関に通報し、捜査、調査、処理に協力しなければならない。
第十二条 ネットワークデータ処理者が他のネットワークデータ処理者に個人情報及び重要データの提供、委託処理を行う場合は、契約等を通じてネットワークデータ受信者と処理目的、方法、範囲及びセキュリティ保護義務等を約定し、ネットワークデータ受信者が義務を履行する状況を監督しなければならない。他のネットワークデータ処理者に個人情報と重要データの処理状況記録を提供、委託するには、少なくとも3年間保存しなければならない。
ネットワークデータ受信者は、ネットワークデータのセキュリティ保護義務を履行し、約定の目的、方法、範囲等に従って個人情報と重要データを処理しなければならない。
2つ以上のネットワークデータ処理者が共同で個人情報と重要データの処理目的と処理方法を決定する場合、それぞれの権利と義務を約定しなければならない。
第十三条 ネットワークデータ処理者がネットワークデータ処理活動を展開し、国家のセキュリティに影響を与え又は影響を与える可能性がある場合、国家の関連規定に従って国家セキュリティ審査を行わなければならない。
第十四条 ネットワークデータ処理者が合併、分割、解散、破産等の原因でネットワークデータを移転する必要がある場合、ネットワークデータ受信者はネットワークデータのセキュリティ保護義務を引き続き履行しなければならない。
第十五条 国の機関は他人に電子政務システムの構築、運営、維持を委託し、政務データを記憶、加工し、国の関連規定に従って厳格な承認手続きを経て、受託者のネットワークデータ処理権限、保護責任等を明確にし、受託者がネットワークデータのセキュリティ保護義務を履行することを監督しなければならない。
第十六条 ネットワークデータ処理者が国家機関、重要情報インフラ運営者にサービスを提供し、またはその他の公共インフラ、公共サービスシステムの建設、運行、維持に参与する場合、法律、法規の規定と契約の約定に従ってネットワークデータのセキュリティ保護義務を履行し、セキュリティ、安定、持続的なサービスを提供しなければならない。
前項に規定されたネットワークデータ処理者は委託先の同意を得ず、ネットワークデータにアクセス、取得、保存、使用、漏洩または他人にネットワークデータを提供してはならず、ネットワークデータに関連分析を行ってはならない。
第十七条 国家機関にサービスを提供する情報システムは、電子政務システムの管理要求を参照してネットワークデータのセキュリティ管理を強化し、ネットワークデータのセキュリティを保障しなければならない。
第十八条 ネットワークデータ処理者は自動化ツールを用いてネットワークデータにアクセスし、収集し、ネットワークサービスに与える影響を評価し、他人のネットワークに不法に侵入してはならず、ネットワークサービスの正常な運行を妨害してはならない。
第十九条 生成式人工知能サービスを提供するネットワークデータ処理者は、訓練データと訓練データ処理活動のセキュリティ管理を強化し、有効な措置を講じてネットワークデータのセキュリティリスクを防止し、処置しなければならない。
第二十条 社会に向けて製品、サービスを提供するネットワークデータ処理者は、社会的監督を受け、利便的なネットワークデータのセキュリティ苦情、通報ルートを構築し、苦情、通報方法等の情報を公表し、ネットワークデータのセキュリティ苦情、通報を適時に受理し、処理しなければならない。
第三章 個人情報保護
第二十一条 ネットワークデータ処理者が個人情報を処理する前に、個人情報処理規則を制定する方法を通じて法に基づいて個人に通知する場合、個人情報処理規則は集中的に公開、展示しなければならず、訪問しやすく、目立つ位置に置かなければならず、内容は明確で具体的で、明確でわかりやすく、以下の内容を含むが、それに限らない。
(一)ネットワークデータ処理者の名称又は名前と連絡方法
(二)個人情報を処理する目的、方法、種類、慎重な対応を必要とする個人情報を処理する必要性及び個人権益への影響
(三)個人情報の保存期限と期限切れ後の処理方法で、保存期限が確定しにくい場合、保存期限の確定方法を明確にしなければならない。
(四)個人が個人情報の閲覧、複製、移転、訂正、補充、削除、制限処理及びアカウントの抹消、同意の撤回方法と経路等。
ネットワークデータ処理者が前項の規定に従って個人から個人情報を収集し、他のネットワークデータ処理者に提供する目的、方法、種類及びネットワークデータ受信者情報を通知する場合は、リスト等の形式で記載しなければならない。ネットデータ処理者が14歳未満の未成年者の個人情報を処理する場合は、専門的な個人情報処理規則を制定しなければならない。
第二十二条 ネットワークデータ処理者が個人の同意に基づいて個人情報を処理する場合、以下の規定を遵守しなければならない。
(一)個人情報の収集は製品またはサービスの提供に必要であり、範囲を超えて個人情報を収集してはならず、誤誘導、詐欺、脅迫等の方法で個人の同意を得てはならない。
(二)生物識別、宗教信仰、特定身分、医療健康、金融口座、行方軌跡等の慎重な対応を必要とする個人情報を処理する場合、個人の単独同意を得なければならない。
(三)満14歳未満の未成年者の個人情報を処理する場合、未成年者の両親またはその他の保護者の同意を得なければならない。
(四)個人の同意した個人情報処理目的、方法、種類、保存期限を超えて個人情報を処理してはならない。
(五)個人が個人情報の処理に同意しないことを明確に表明した後、頻繁に同意を求めてはならない。
(六)個人情報の処理目的、方法、種類が変更された場合、改めて個人の同意を得なければならない。
法律、行政法規は慎重な対応を必要とする個人情報を処理するには書面による同意を得なければならないと規定しており、その規定に従う。
第二十三条 個人がその個人情報の閲覧、複製、訂正、補充、削除、制限処理、または個人がアカウントを抹消し、同意を撤回した場合、ネットワークデータ処理者は速やかに受理し、個人の権利行使を容易に支持する方法とルートを提供しなければならず、不合理な条件を設けて個人を制限する合理な要求を設定してはならない。
第二十四条 自動収集技術等を用いて不必要な個人情報を収集したり、法に基づいて個人の同意を得ていない個人情報を収集したり、個人がアカウントを抹消したりすることを避けることができない場合、ネットワークデータ処理者は個人情報を削除したり、匿名化処理を行ったりしなければならない。法律、行政法規に規定された保存期間が満了していない、または個人情報の削除、匿名化処理が技術的に実現しにくい場合、ネットワークデータ処理者は保存と必要なセキュリティ保護措置を講じる以外の処理を停止しなければならない。
第二十五条 次の条件を満たす個人情報転送要求に対して、ネットワークデータ処理者は個人が指定した他のネットワークデータ処理者のために個人情報をアクセスし、取得するために経路を提供しなければならない。
(一)請求人の真実の身分を検証することができること。
(二)移転を要求したのは本人が提供に同意した、または契約に基づいて収集した個人情報であること。
(三)個人情報の移転には技術的実行可能性があること。
(四)個人情報の移転は他人の合法的権益を損なわないこと。
個人情報の転送要求回数等が明らかに合理的な範囲を超えている場合、ネットワークデータ処理者は個人情報の転送コストに応じて必要な費用を受け取ることができる。
第二十六条 中華人民共和国国外ネットワークデータ処理者は国内の自然人個人情報を処理し、「中華人民共和国個人情報保護法」第五十三条の規定に従って国内に専門機関を設立するか、代表を指定する場合、関係機関の名前または代表の名前、連絡先等を所在地に設置された市級ネット情報部門に報告しなければならない。ネット情報部門は直ちに同級の関係主管部門に通報しなければならない。
第二十七条 ネットワークデータ処理者は、定期的に自身によりまたは専門機関に委託して、個人情報処理に関して、法律、行政法規の遵守状況に対するコンプライアンス監査を行わなければならない。
第二十八条 ネットワークデータ処理者が1000万人以上の個人情報を処理する場合は、本条例第三十条、第三十二条の重要データを処理するネットワークデータ処理者(以下、重要データ処理者と略称する)に対する規定も遵守しなければならない。
第四章 重要なデータセキュリティ
第二十九条 国家データセキュリティ業務協調メカニズムは関係部門を統一的に調整して重要データ目録を制定し、重要データの保護を強化する。各地域、各部門はデータ分類等級保護制度に基づき、当該地域、当該部門及び関連業界、分野の重要データの具体的な目録を確定し、目録に登録されたネットワークデータを重点的に保護しなければならない。
ネットワークデータ処理者は、国の関連規定に従って重要なデータを識別し、申告しなければならない。重要なデータであることが確認された場合、関連する地域、部門は、ネットワークデータ処理者に速やかに通知または公開しなければならない。ネットワークデータ処理者は、ネットワークデータのセキュリティ保護責任を履行しなければならない。
国は、ネットワークデータ処理者がデータラベル標識等の技術と製品を使用して、重要なデータセキュリティ管理レベルを高めることを奨励している。
第三十条 重要データ処理者は、ネットワークデータのセキュリティ責任者とネットワークデータのセキュリティ管理機構を明確にしなければならない。ネットワークデータのセキュリティ管理機構は、以下のネットワークデータのセキュリティ保護責任を履行しなければならない。
(一)ネットワークデータセキュリティ管理制度、操作規程とネットワークデータセキュリティ事案緊急対応策を制定、実施する。
(二)ネットワークデータのセキュリティリスク監視、リスク評価、応急訓練、広報教育訓練等の活動を定期的に組織し、展開し、ネットワークデータのセキュリティリスクと事案を適時に処理する。
(三)ネットワークデータのセキュリティ苦情、通報を受理し、処理する。
ネットワークデータのセキュリティ責任者はネットワークデータのセキュリティの専門知識と関連管理職歴を備えなければならず、ネットワークデータ処理者の管理層メンバーが担当し、関連主管部門に直接ネットワークデータのセキュリティ状況を報告する権利がある。
関係主管部門が規定した特定の種類、規模の重要なデータを把握するネットワークデータ処理者は、ネットワークデータのセキュリティ責任者と重要な職場の人員に対してセキュリティ背景審査を行い、関係者の訓練を強化しなければならない。審査時には、公安機関、国家安全機関の協力を申請することができる。
第三十一条 重要データ処理者が重要データを提供、委託処理、共同処理する前に、リスク評価を行わなければならないが、法定職責または法定義務を履行する場合を除く。
リスク評価では、次のことを重点的に評価する必要があります。
(一)ネットワークデータの提供、委託処理、共同処理、及びネットワークデータ受信者がネットワークデータを処理する目的、方法、範囲等が合法、正当、必要であるか。
(二)提供、委託処理、共同処理されたネットワークデータが改竄、破壊、漏洩又は不正取得、不正利用されるリスク、及び国家セキュリティ、公共利益又は個人、組織の合法的権益にもたらすリスク。
(三)ネットワークデータ受信者の誠実さ、法律遵守等の状況。
(四)ネットワークデータ受信者と締結または締結予定の関連契約におけるネットワークデータのセキュリティに関する要求がネットワークデータ受信者にネットワークデータのセキュリティ保護義務の履行を効果的に規制できるか。
(五)採用または計画した技術と管理措置等はネットワークデータが改竄、破壊、漏洩または不正取得、不正利用等のリスクを有効に防止できるか。
(六)関係主管部門が規定したその他の評価内容。
第三十二条 重要データ処理者が合併、分割、解散、破産等で重要データのセキュリティに影響を与える可能性がある場合は、ネットワークデータのセキュリティを保障するための措置を講じ、省級以上の関係主管部門に重要データ処理案、受信者の名前または名前と連絡先等を報告しなければならない。主管部門が明確でない場合は、省レベル以上のデータセキュリティ作業協調メカニズムに報告しなければならない。
第三十三条 重要データ処理者は年度ごとにそのネットワークデータ処理活動に対してリスク評価を展開し、省クラス以上の関係主管部門にリスク評価報告書を報告し、関係主管部門は直ちに同級のネット情報部門、公安機関に通報しなければならない。
リスク評価レポートには、次のものが含まれている必要がある。
(一)ネットワークデータ処理者の基本情報、ネットワークデータのセキュリティ管理機構情報、ネットワークデータのセキュリティ責任者の名前と連絡先等
(二)重要なデータを処理する目的、種類、数量、方法、範囲、記憶期限、記憶場所等、ネットワークデータ処理活動を展開する場合、ネットワークデータの内容自体を含まない
(三)ネットワークデータのセキュリティ管理制度及び実施状況、暗号化、バックアップ、ラベル標識、アクセス制御、セキュリティ認証等の技術措置とその他の必要な措置及びその有効性
(四)発見されたネットワークデータのセキュリティリスク、発生したネットワークデータのセキュリティベント及び処置状況
(五)重要データの提供、委託処理、共同処理のリスク評価状況
(六)ネットワークデータの国外への状況
(七)関係主管部門が規定したその他の報告内容
重要なデータを処理する大型ネットワークプラットフォームサービスプロバイダが報告するリスク評価報告書は、前項で規定した内容を含むほか、重要な業務とサプライチェーンネットワークデータのセキュリティ等の状況を十分に説明しなければならない。
重要なデータの処理者が国家のセキュリティを害する可能性のある重要なデータ処理活動が存在する場合、省クラス以上の関係主管部門は重要なデータの処理を改善または停止する等の措置を取るよう命じなければならない。重要なデータの処理者は、関連する要求に応じて直ちに措置を取らなければならない。
第五章 ネットワークデータの国境を越えたセキュリティ管理
第三十四条 国家インターネット情報部門は関係部門を統一的に調整し、国家データ出国セキュリティ管理特別業務メカニズムを構築し、国家ネットワークデータ出国セキュリティ管理に関する政策を研究、制定し、ネットワークデータ出国セキュリティ重要事項を協調して処理する。
第三十五条 次の条件の一つに該当する場合、ネットワークデータ処理者は海外に個人情報を提供することができる。
(一)国家インターネット情報部門が組織したデータ出国セキュリティ評価を通過する。
(二)国家インターネット情報部門の規定に従って専門機関による個人情報保護認証を行う。
(三)国家インターネット情報部門が制定した個人情報出国基準契約に関する規定に合致する。
(四)個人が当事者である契約を締結、履行するために、確かに国外に個人情報を提供する必要がある。
(五)法に基づいて制定された労働規則制度と法に基づいて締結された集団契約に基づいて国境を越えた人的資源管理を実施し、確かに海外に従業員の個人情報を提供する必要がある。
(六)法定職責又は法定義務を履行するために、確かに国外に個人情報を提供する必要がある。
(七)緊急時に自然人の生命健康と財産のセキュリティを保護するために、確かに国外に個人情報を提供する必要がある。
(八)法律、行政法規又は国家インターネット情報部門が規定したその他の条件。
第三十六条 中華人民共和国が締結または参加する国際条約、協定は中華人民共和国の国外に個人情報を提供する条件等に規定がある場合、その規定に従って実行することができる。
第三十七条 ネットワークデータ処理者が中華人民共和国国内で運営中に収集し、生成した重要なデータを確実に国外に提供する必要がある場合は、国家ネットワーク情報部門が組織したデータ出国セキュリティ評価を通過しなければならない。ネットワークデータ処理者が国の関連規定に従って重要データを識別、申告するが、関連地域、部門から重要データとして知られていない、または公開されていない場合、重要データ申告データとして出国セキュリティ評価を行う必要はない。
第三十八条 データ出国セキュリティ評価を通過した後、ネットワークデータ処理者が海外に個人情報と重要データを提供した場合、評価時に明確なデータ出国目的、方法、範囲と種類、規模等を超えてはならない。
第三十九条 国は、ネットワークデータの国境を越えたセキュリティリスクと脅威を防止、処置するための措置をとる。いかなる個人、組織も、技術措置を破壊し、避けるためのプログラム、ツール等を提供してはならない。他人が破壊や技術的措置を避ける等の活動に従事していることを知っている場合は、技術的なサポートや支援を提供してはならない。
第六章 ネットワークプラットフォームサービス提供者の義務
第四十条 ネットワークプラットフォームサービス提供者は、プラットフォーム規則または契約等を通じて、そのプラットフォームにアクセスする第三者製品とサービス提供者のネットワークデータのセキュリティ保護義務を明確にし、第三者製品とサービス提供者にネットワークデータのセキュリティ管理の強化を促すべきである。
アプリケーションをプリインストールするスマート端末等の機器生産者は、前項の規定を適用する。
第三者の製品及びサービス提供者が法律、行政法規の規定又はプラットフォーム規則、契約約定に違反してネットワークデータ処理活動を展開し、ユーザーに損害を与えた場合、ネットワークプラットフォームサービス提供者、第三者の製品及びサービス提供者、プリインストールアプリケーションのスマート端末等の設備生産者は法に基づいて相応の責任を負わなければならない。
国は保険会社がネットワークデータ損害賠償責任保険種の開発を奨励し、ネットワークプラットフォームサービス提供者、アプリケーションをプリインストールしたスマート端末等の設備生産者の保険加入を奨励している。
第四十一条 アプリケーション配布サービスを提供するネットワークプラットフォームサービス提供者は、アプリケーション検証規則を確立し、ネットワークデータのセキュリティ関連検証を展開しなければならない。配布されるアプリケーションまたは配布されたアプリケーションが、法律、行政法規の規定または国家基準の強制的な要件に適合していないことが判明した場合は、警告、配布しない、配布を一時停止または中止する等の措置を取らなければならない。
第四十二条 ネットワークプラットフォームサービス提供者が自動意思決定方法を通じて個人に情報のプッシュを行う場合、理解しやすく、アクセスと操作が容易な個性的な推奨クローズオプションを設定し、ユーザーにプッシュ情報の受信を拒否し、その個人特徴に対するユーザーラベルを削除する等の機能を提供しなければならない。
第四十三条 国はネットワーク身分認証公共サービスの建設を推進し、政府の誘導、ユーザーの自発的な原則に基づいて普及・応用を行う。
ネットワークプラットフォームサービスプロバイダは、ユーザーが国家ネットワークアイデンティティ認証公共サービスを使用して登録し、真実のアイデンティティ情報を検証することをサポートすることを奨励する。
第四十四条 大型ネットワークプラットフォームサービス提供者は、個人情報保護措置と効果、個人の権利行使の申請受付状況、主に外部メンバーからなる個人情報保護監督機構の職責履行状況等を含むがこれらに限定されない個人情報保護社会責任報告書を年度ごとに発行しなければならない。
第四十五条 大型ネットワークプラットフォームサービス提供者は国境を越えてネットワークデータを提供し、国家データ国境を越えたセキュリティ管理要求を遵守し、関連技術と管理措置を健全化し、ネットワークデータ国境を越えたセキュリティリスクを防止しなければならない。
第四十六条 大型ネットワークプラットフォームサービス提供者は、ネットワークデータ、アルゴリズム及びプラットフォーム規則等を利用して以下の活動に従事してはならない。
(一)ユーザーがプラットフォーム上で発生したネットワークデータを誤誘導、詐欺、脅迫等の方法で処理する。
(二)正当な理由なくユーザーのアクセスを制限し、プラットフォーム上で生成されたネットワークデータを使用する。
(三)ユーザーに対して不合理な差別待遇を実施し、ユーザーの合法的権益を損害する
(四)法律、行政法規で禁止されているその他の活動。
第七章 監督管理
第四十七条 国家インターネット情報部門はネットワークデータのセキュリティと関連監督管理の統一的な調整を担当する。
公安機関、国家安全機関は関連法律、行政法規と本条例の規定に基づいて、それぞれの職責範囲内でネットワークデータのセキュリティ監督管理の職責を引き受け、法に基づいてネットワークデータのセキュリティを危害する違法犯罪活動を防止し、取り締まる。
国家データ管理部門はデータ管理業務を具体的に担当する中で相応のネットワークデータセキュリティ職責を履行する。
各地域、各部門は、本地域、本部門の作業中に収集し、発生したネットワークデータ及びネットワークデータのセキュリティに責任を負う。
第四十八条 各関係主管部門は本業界、本分野のネットワークデータのセキュリティ監督管理の職責を担い、本業界、本分野のネットワークデータのセキュリティ保護業務機構を明確にし、統一的に本業界、本分野のネットワークデータのセキュリティ事案の緊急対応策を制定し、組織して実施し、定期的に本業界、本分野のネットワークデータのセキュリティリスク評価を組織し、展開し、ネットワークデータ処理者がネットワークデータのセキュリティ保護義務を履行する状況に対して監督検査を行い、ネットワークデータ処理者が存在するリスクの改善を適時に行うよう指導しなければならない。
第四十九条 国家インターネット情報部門は関係主管部門が適時にネットワークデータのセキュリティリスクに関する情報を集約、研究、判断、共有、発表することを統一して計画、協調し、ネットワークデータのセキュリティ情報共有、ネットワークデータのセキュリティリスクと脅威監視警報及びネットワークデータのセキュリティ事案の応急処置を強化する。
第五十条 関係主管部門は以下の措置を取ってネットワークデータのセキュリティを監督検査することができる。
(一)ネットワークデータ処理者及びその関係者に監督検査事項について説明するよう要求する。
(二)ネットワークデータのセキュリティに関するファイル、記録を閲覧、コピーする。
(三)ネットワークデータセキュリティ対策の運行状況を検査する.。
(四)ネットワークデータ処理活動に関連する設備、物品を検査する。
(五)法律、行政法規に規定されたその他の必要な措置。
ネットワークデータ処理者は、関係主管部門が法に基づいて展開したネットワークデータのセキュリティ監督検査に協力しなければならない。
第五十一条 関係主管部門がネットワークデータのセキュリティ監督検査を展開するには、客観的で公正でなければならず、被検査部門から費用を受け取ってはならない。
関係主管部門はネットワークデータのセキュリティ監督検査においてネットワークデータのセキュリティとは関係のない業務情報にアクセス、収集してはならず、取得した情報はネットワークデータのセキュリティを維持する必要があり、その他の用途に使用してはならない。
関係主管部門はネットワークデータ処理者のネットワークデータ処理活動に大きなセキュリティリスクが存在することを発見した場合、規定された権限とプログラムに従ってネットワークデータ処理者に関連サービスの一時停止、プラットフォーム規則の改正、技術措置の改善等を要求し、ネットワークデータのセキュリティ上の潜在的なリスクを除去することができる。
第五十二条 関係主管部門はネットワークデータのセキュリティ監督検査を展開する際、協力、情報の疎通を強化し、検査頻度と検査方法を合理的に確定し、不要な検査と交差重複検査を回避しなければならない。
個人情報保護コンプライアンス監査、重要データリスク評価、重要データ出国セキュリティ評価等は、重複評価、監査を避けるために接続を強化しなければならない。重要なデータリスク評価とネットワークセキュリティ等級評価の内容が一致している場合、関連結果は相互に信頼できる。
第五十三条 関係主管部門及びその従業員は、職責の履行において知り得たプライバシー、個人情報、商業秘密、秘密保持ビジネス情報等のネットワークデータを法に基づいて秘密にしなければならず、他人に漏らしたり、不法に提供したりしてはならない。
第五十四条 国外の組織、個人が中華人民共和国の国家セキュリティ、公共利益を危害し、又は中華人民共和国公民の個人情報権益を侵害するネットワークデータ処理活動に従事する場合、国家ネット情報部門は関係主管部門と共同で法に基づいて相応の必要な措置を講じることができる。
第八章 法的責任
第五十五条 本条例第十二条、第十六条から第二十条、第二十二条、第四十条第一項と第二項、第四十一条、第四十二条の規定に違反した場合、インターネット通信、電信、公安等の主管部門はそれぞれの職責に基づいて是正を命じ、警告を与え、違法所得を没収する。改正を拒否したり、情状が深刻な場合は、100万元以下の罰金を科したり、関連業務の一時停止、休業整備、関連業務許可証の取り消し、または営業許可証の取り消しを命じたりすることができ、直接責任を負う主管者とその他の直接責任者には1万元以上10万元以下の罰金を科すことができる。
第五十六条 本条例第十三条の規定に違反した場合、ネット通信、電信、公安、国家セキュリティ等の主管部門はそれぞれの職責に基づいて是正を命じ、警告を与え、10万元以上100万元以下の罰金を併置することができ、直接責任を負う主管者とその他の直接責任者には1万元以上10万元以下の罰金を科すことができる。是正を拒否する或いは、情状が深刻な場合は、100万元以上1000万元以下の罰金を科し、関連業務の一時停止、休業整備、関連業務許可証の取り消しまたは営業許可証の取り消しを命じ、直接責任を負う主管者とその他の直接責任者に10万元以上100万元以下の罰金を科すことができる。
第五十七条 本条例第二十九条第二項、第三十条第二項と第三項、第三十一条、第三十二条の規定に違反した場合、ネット通信、電信、公安等の主管部門はそれぞれの職責に基づいて是正を命じ、警告を与え、5万元以上50万元以下の罰金を追徴することができ、直接責任を負う主管者とその他の直接責任者には1万元以上10万元以下の罰金を科すことができる。改正を拒否或いは、大量のデータ漏洩等の深刻な結果をもたらしたりした場合、50万元以上200万元以下の罰金を科し、関連業務の一時停止、休業整備、関連業務許可証の取り消し、または営業許可証の取り消しを命じ、直接責任を負う主管者とその他の直接責任者に5万元以上20万元以下の罰金を科すことができる。
第五十八条 本条例のその他の関連規定に違反した場合、関係主管部門は「中華人民共和国サイバーセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」等の法律の関連規定に基づいて法律責任を追及する。
第五十九条 ネットワークデータ処理者が自発的に違法行為の危害を除去または軽減した結果、違法行為が軽微でタイムリーに改正され、危害の結果をもたらしていない、または初めて違法で危害の結果が軽微でタイムリーに改正されていない等の状況がある場合、「中華人民共和国行政処罰法」の規定に基づいて軽微、軽減または行政処罰しない。
第六十条 国家機関が本条例に規定されたネットワークデータのセキュリティ保護義務を履行しない場合、その上級機関又は関係主管部門は是正を命じ、直接責任を負う主管者とその他の直接責任者に対して法に基づいて処分を与える。
第六十一条 本条例の規定に違反し、他人に損害を与えた場合、法に基づいて民事責任を負う。治安管理違反行為を構成する場合、法により治安管理処罰を与える。犯罪を構成する場合は、法に基づいて刑事責任を追及する。
第九章 附則
第六十二条 本条例の以下の用語の意義
(一)ネットワークデータとは、ネットワークを介して処理され、生成される様々な電子データを指す。
(二)ネットワークデータ処理活動とは、ネットワークデータの収集、記憶、使用、加工、転送、提供、公開、削除等の活動を指す。
(三)ネットワークデータ処理者とは、ネットワークデータ処理活動において処理目的と処理方法を自主的に決定する個人、組織を指す。
(四)重要なデータとは、特定の領域、特定の集団、特定の領域、または一定の精度と規模に達し、改竄、破壊、漏洩または不法に取得、不法利用されると、国家のセキュリティ、経済運営、社会の安定、公共の健康とセキュリティに直接危害を及ぼす可能性のあるデータを指す。
(五)委託処理とは、ネットワークデータ処理者が個人、組織に委託し、約定の目的と方法に従って展開するネットワークデータ処理活動を指す。
(六)共同処理とは、2つ以上のネットワークデータ処理者が共同でネットワークデータの処理目的と処理方法を決定するネットワークデータ処理活動を指す。
(七)単独同意とは、個人がその個人情報に対して特定の処理を行い、具体的で明確な同意をすることを指す。
(八)大型ネットワークプラットフォームとは、登録ユーザーが5000万以上または月間アクティブユーザーが1000万以上で、業務タイプが複雑で、ネットワークデータ処理活動が国家セキュリティ、経済運営、国家経済民生等に重要な影響を与えるネットワークプラットフォームを指す。
第六十三条 核心データのネットワークデータ処理活動を展開し、国の関連規定に従って実行する。
自然人が個人または家庭の事務のために個人情報を処理する場合は、本条例は適用されない。
国家秘密、業務秘密に関するネットワークデータ処理活動を展開し、「中華人民共和国保守国家秘密法」等の法律、行政法規の規定を適用する。
第六十四条 本条例は2025年1月1日から施行する。
(中国語原文)
https://www.gov.cn/zhengce/zhengceku/202409/content_6977767.htm