I.法律
この法律は、中国でネットワークを構築、運用、維持、および使用する所有者、管理者、およびネットワークサービスプロバイダー(以下「オペレーター」と呼びます)に適用されます。 この法律の要点は次のとおりです。
(1)オペレーターは、ネットワークアクセス、ドメイン名登録、電話ネットワークアクセス、情報公開、インスタントメッセージングなどのサービスをユーザーに提供する際に、ユーザーの身元を確認するものとします。
(2)個人情報および重要なデータは中国に保管する必要があります。 データの輸出は、規制当局の審査の対象となります。
(3)運営者は、公安機関および国家安全保障当局に技術的支援および支援を提供するものとする。
(4)海外の機関、組織または個人の攻撃が中国の重要な情報インフラストラクチャに侵入、妨害、破壊、またはその他の方法で損害を与え、重大な結果を引き起こした場合、違反者は法律に従って法的責任を負うものとします。 公安機関および関連部門は、機関、組織、または個人の資産を凍結するか、その他の必要な制裁措置を講じることを決定する場合があります。
2.ネットワーク情報の保護強化に関する決定(2012)関連加强所属络信息保护的决定
この決定は、中国で初めて、個人情報の収集と使用に関する規則、および個人情報を保護するためのネットワークサービスプロバイダーの義務を確立します。
その後2018年に公布されたサイバーセキュリティ法は、決定のほとんどの内容を採用しています。
3.インターネットセキュリティの維持に関する決定(2000)
この決定は、サイバーセキュリティに関する中国の最初のルールであり、重要なポイントは次のとおりです。
(1)コンピュータシステムをハッキングまたは破壊することは犯罪を構成します。
(2)国家権力を破壊し、国民の団結と国籍の団結を破壊し、国家機密を盗み、インターネット上に情報を公開することによってカルトを含む活動に従事することは犯罪を構成する。
(3)インターネット上で他人の正当な権利を侵害することは犯罪を構成します。
II。行政規則
1.コンピュータ情報ネットワークへの国際接続のセキュリティ保護のための管理措置(2011)计算机信息XNUMX络国际联י安全保护管理办法
対策の要点は次のとおりです。
(1)公安省は、中国のコンピュータネットワークと国際インターネットとの間の接続を保護する責任があります。
(2)いかなるエンティティも、国際インターネットを使用して違法なコンテンツを公開したり、コンピュータのセキュリティを危険にさらしたりしてはなりません。
2.中国のコンピュータ情報システムのセキュリティ保護に関する規則(2011)计算机信息系安全保护条例
対策の要点は次のとおりです。
(1)規則は、中国の領土内のコンピュータ情報システムのセキュリティを保護することを目的としています。
(2)公安省はこの分野の管轄当局であり、その機能と権限には関連するセキュリティ保護の監督が含まれます。 コンピュータのセキュリティを危険にさらす違法行為を調査し、罰する。
3.サイバーセキュリティ保護のレベルに関する規制(コメント募集草案)(正式には公布されていません)(2018)(XNUMX络安全等级保护条例)
27年2018月21日、公安省は、サイバーセキュリティ法第XNUMX条に基づき、「サイバーセキュリティ保護のレベルに関する規則」を起草し、一般の人々から意見を求めるための草案を発表しました。 現在のところ、草案はまだ正式に公布された法律にはなっていない。
ドラフトの要点は次のとおりです。
(1)ネットワークシステムは、国家安全保障、経済建設、社会生活における重要性に応じて、XNUMXつのセキュリティ保護レベルに分けられます。
ネットワークシステムの重要性は、第15レベルから第XNUMXレベルへと徐々に高まります。 (第XNUMX条)
さまざまなレベルのネットワークシステムは、次のように、そのレベルのネットワークシステムでネットワークセキュリティインシデントが発生した場合に、関連する利益が損なわれる可能性がある程度を示します。
レベル1:国家安全保障、社会秩序および公益が危険にさらされることはありません。
レベル2:社会秩序と公益が危険にさらされ、国家安全保障が危険にさらされることはありません。
レベル3:社会秩序と公益が深刻に危険にさらされるか、国家安全保障が危険にさらされるでしょう。
レベル4:社会秩序と公益が特に深刻に危険にさらされるか、国家安全保障が深刻に危険にさらされる。
レベル5:国家安全保障は特に深刻な危険にさらされています。
(2)ネットワーク事業者は、計画および設計段階でネットワークのセキュリティ保護レベルを決定し、専門家および管轄当局がそのレベルを確認するものとします。 レベルが確認された後、ネットワーク事業者は公安機関にも提出する必要があります。 (第16条、第17条、第18条)
(3)ネットワーク事業者は必要なセキュリティ義務を実行する必要があり、レベル3を超えるネットワークの事業者も特別なセキュリティ保護義務を実行する必要があります。 (第20条および第21条)
(4)ネットワーク事業者が購入したネットワーク製品およびサービスが国家安全保障に影響を与える可能性がある場合、そのような製品およびサービスは規制当局によって組織された国家安全保障レビューを受ける必要があります。 (第28条)
(5)レベル3を超えるネットワークは国内で維持され、海外での遠隔技術保守は許可されないものとします。 (第29条)
(6)ネットワーク事業者は、ネットワークセキュリティの監視と早期警告情報およびネットワークセキュリティインシデントを規制当局に報告し、重要なデータおよび個人情報のセキュリティ保護メカニズムを確立し、ネットワークセキュリティの緊急計画を策定して実行する必要があります。 (第30条、第31条、第32条)
III。部門の規制
1.中国のサイバーセキュリティレビュー対策(2020)ر络安全审查办法
この措置は、重要な情報インフラストラクチャ事業者(以下「事業者」という)によるネットワーク製品およびサービスの購入が国家安全保障に影響を与えるかどうかを監視することを目的としています。 対策の要点は次のとおりです。
(1)事業者によるネットワーク製品およびサービスの購入が国家安全保障に影響を与える、または影響を与える可能性がある場合、事業者はネットワークセキュリティレビューのために中国サイバースペース管理局に所属するネットワークセキュリティレビューオフィスに報告するものとします。
(2)ネットワーク製品またはサービスには、コンピューター、サーバー、ストレージデバイス、データベース、ソフトウェア、およびクラウドサービスが含まれます。
(3)ネットワークセキュリティレビューオフィスは、以下のリスクをレビューします。そのような製品またはサービスを使用する施設が損傷するかどうか。 データが漏洩するかどうか。 そのような製品またはサービスの供給チャネルが安全で安定しているかどうか。 そのような製品またはサービスのサプライヤーが中国の法律に準拠しているかどうか。
2.クラウドコンピューティングサービスのセキュリティ評価方法(2019)️计算服务安全评估办法
このセキュリティ評価方法は、党、政府機関、および主要な情報インフラストラクチャ事業者が購入したクラウドコンピューティングサービスのセキュリティと制御可能性を評価することを目的としています。 重要なポイントは次のとおりです。
(1)クラウドコンピューティングサービスのセキュリティ評価は、以下に焦点を当てます。(i)クラウドプラットフォームオペレーターの基本情報。 (ii)クラウドサービスプロバイダーの背景と安定性。 (ii)クラウドプラットフォームテクノロジー、製品、およびサービスのサプライチェーンのセキュリティ。 (vi)クラウドサービスプロバイダーのセキュリティ管理能力とセキュリティ対策。 (v)顧客データ移行の実現可能性と利便性。 (iv)クラウドサービスプロバイダーのビジネス継続性。
(2)クラウドサービスプロバイダーは、党、政府機関、および主要な情報インフラストラクチャ事業者にクラウドコンピューティングサービスを提供するクラウドプラットフォームのセキュリティ評価を申請できます。
3.公安機関によるサイバーセキュリティの監督と検査に関する規制(2018)公安机関連関联XNUMX安全监督检查规定
この規則は、公安機関がインターネットサービスプロバイダーとインターネットユーザーによるサイバーセキュリティ義務の履行についてセキュリティの監視と検査をどのように実施するかを指定することを目的としています。
4.コンピュータ情報ネットワークへの国際接続のセキュリティ保護のための管理措置(2011)计算机信息XNUMX络国际联י安全保护管理办法
対策の要点は次のとおりです。
(1)公安省は、中国のコンピュータネットワークと国際インターネットとの間の接続を保護する責任があります。
(2)いかなるエンティティも、国際インターネットを使用して違法なコンテンツを公開したり、コンピュータのセキュリティを危険にさらしたりしてはなりません。
5.サイバーセキュリティの技術的対策に関する規則(2006)
この規則 インターネットサービスプロバイダーとインターネットユーザーを監督してサイバーセキュリティの技術的対策を講じ、サイバーセキュリティの技術的対策が正常に機能するようにすることを目的としています。 公安機関の広報ネットワークセキュリティ監督部門は、サイバーセキュリティの技術的対策の実施を監督する責任があります。
IV。 ポリシー
1.公共インターネットの安全緊急事態に関する緊急時対応計画(2017)公共互联ꑄ络安全突P事件発生急预案
この緊急時対応計画は、公共インターネット安全緊急事態のための緊急組織システムと作業メカニズムを確立することを目的としています。
2.パブリックインターネットのサイバーセキュリティに対する脅威の監視と処理に関する対策(2017)公共互联XNUMXי络安全威胁监的与五办法
この措置は、パブリックインターネットのサイバーセキュリティに対する脅威に対する作業の監視と処理を強化し、セキュリティリスクを排除し、攻撃を阻止し、危害を回避し、セキュリティリスクを軽減することを目的としています。 パブリックインターネットのサイバーセキュリティに対する脅威とは、パブリックインターネットに存在または拡散し、公衆に害を及ぼす可能性のある、またはすでに引き起こしている可能性のあるネットワークリソース、悪意のあるプログラム、セキュリティリスク、またはセキュリティインシデントを指します。
3.重要なネットワーク機器と独占的なサイバーセキュリティ製品のカタログ(第2017バッチ、XNUMX年)
カタログには15種類の機器と製品が記載されています。 中国のサイバーセキュリティ法は、重要な情報インフラストラクチャを攻撃、侵入、干渉、および損傷から保護することを義務付けています。 カタログは、重要な情報インフラストラクチャに属する機器と製品の種類を指定します。
4.インターネット情報セキュリティマネジメントシステムの利用と運用維持のための行政措置(2016年試験実施)
この措置は、インターネットデータセンター(インターネットリソースコラボレーションサービスを含む)、インターネットアクセスサービス、コンテンツ配信ネットワーク、およびインターネットの使用と運用保守を管理するその他のサービスに従事する地方の規制当局およびインターネットアクセス企業の管理作業をガイドすることを目的としています。情報セキュリティ管理システム。
5.国家ネットワークセキュリティ標準化の強化に関するいくつかの意見(2016)
この意見は、統一された権威ある国家ネットワークセキュリティ標準システムと標準化メカニズムの確立を促進することを目的としています。 重要なポイントは次のとおりです。
(1)ネットワークセキュリティ標準システムを確立し、継続的に改善します。
(2)サイバースペースの国際ルールや国際標準ルールの策定に積極的に参加する。
6.サイバーセキュリティのための規律開発と人材育成に関する意見(2016年)
この意見は、中国のサイバーセキュリティアカデミーの規律開発と人材育成を強化することを目的としています。
7.党および政府機関のウェブサイトの安全管理の強化に関する通知(2014)関連加强党政机
この通知は、すべての政府部門に公式Webサイトのセキュリティ保護を改善するよう促すことを目的としています。
8.インダストリアルインターネットセキュリティの強化に関するご意見のお知らせ(2019)加强工业連联י安全工作的指導意见的通知
この通知は、3年末までに中国が最初に産業用インターネットセキュリティシステムを確立することを促進することを目的として、2020つの部分に分かれています。
V.技術基準
1.ネットワークセキュリティレベル保護の評価要件信息安全技
2.ネットワークセキュリティレベルの保護基本要件信息安全技
3.ネットワークセキュリティレベルの保護セキュリティ設計要件信息安全技SCPつの络安全等级保护安全設計计長
UnsplashのJéanBéller(https://unsplash.com/@jeanbeller)による写真