ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国「サイバーセキュリティ審査規則」改訂パブコメ草案公開、重要な変更あり

2021/07/10、中国国家インターネット情報弁公室が「サイバーセキュリティ審査規則(网络安全审查办法)」の改訂草案を公開した。現行の同規則に対して重要な変更がされているようなので、WinMergeで比較してみた。

www.cac.gov.cn

以下、筆者が個人的にまとめただけなので、実務上の対応は当然ながら専門家への相談が必須。

f:id:todkm:20210710155951j:plain f:id:todkm:20210710160016j:plain f:id:todkm:20210710160026j:plain

まず第一条で、背景となる法律に2021年9月1日施行の「データセキュリティ法」が追加されている。(このブログを書いている時点では公布されたが未施行の状態)

次に第二条で規則の対象に重要な変更がある。

今までは「重要なインフラ施設運営者がネットワーク製品やサービスを購入する場合」が対象だったが、加えて「データ処理者がデータ処理活動を行う場合」が追加された。

これによって本法の規則対象が、何らかのデータ処理を行うすべての事業者へ一気に拡大されている。

第四条の監督機関に、証券監督管理委員会が追加されており、最近の中国政府による国外株式市場への上場取締りと明らかに関係していることが分かる。

第六条はまったく新たな条文として追加されており、「100万ユーザを超える個人情報を保有する運営者が、国外で上場する場合、必ずサイバーセキュリティ審査弁公室に申告し、サイバーセキュリティ審査を受けなければならない」とある。

やはり最近の中国当局による国外株式市場への上場取締りと明らかに連動している。

この第六条が追加されたため、以下、条文の番号が一つずつずれている。

第七条のサイバーセキュリティ審査を受ける際の提出資料として、(三)に「提出予定のIPO資料」が追加。これも国外上場に関連する規制。

第十条のサイバーセキュリティ審査で、国家安全リスクに対するリスク評価で重点的に評価される点として「データ処理活動および国外上場」が追加。

同(一)から、重要データの窃取、漏えい、毀損リスクがリスク評価対象から削除されているが、その代わりに以下の項目が追加されている。

同(五)で、重要データや個人情報の窃取、漏えい、毀損、違法利用、国外に移転されるリスクが評価項目として追加。

同(六)で、国外上場後の重要な情報インフラ施設、重要データ、大量の個人情報が、外国政府の影響、コントロール、悪意の利用を受けるリスクが評価項目として追加された。

このあたりは「データセキュリティ法」や草案審議中の「個人情報保護法」に書かれている国外移転リスクが盛り込まれたと思われる。

同(七)では、リスク評価の対象となる損害の可能性として、「国家安全」の文言が「国家データの安全」に変更されている。これは「データセキュリティ法」が反映されたものだろう。

十三条では、セキュリティ審査時に聴取する部門から、「重要情報インフラ施設の保守作業部門」が削除されている。これはあまり重要性はなさそう。

第十四条では、サイバーセキュリティ特別審査手続きの完了期限として、45営業日が3か月に緩和されている。

第十六条では、サイバーセキュリティ審査機関が審査を実施する場合として、これまでは国家の安全に影響あるいは影響する可能性のある事項に「ネットワーク製品とサービス」のみが書かれていたが、「データ処理活動および国外での上場行為」が追加された。

この点にも、国外上場規制と、データセキュリティ法が反映されている。

第二十条では依拠する法律としてデータセキュリティ法が追加。

第二十一条では、この法律の「ネットワーク製品とサービス」の定義として、今までは以下の項目があったがここに「重要な通信製品(重要通信产品)」が追加されている。

  • 重要なネットワーク設備
  • 高性能コンピュータとサーバー
  • 大容量ストレージ設備
  • ビッグデータとそのアプリケーション
  • ネットワークセキュリティ設備
  • クラウドコンピューティングサービス
  • その他重要な情報インフラ施設のセキュリティに重大な影響をもつネットワーク製品とサービス

なぜわざわざ「重要な通信製品」が追加されたのかはよく分からない。

以上、全体としてデータの越境に対する規制と国外上場規制の考え方が反映された改訂と言えそう。