『ネットワークデータセキュリティ管理条例』が2025年1月より施行

『サイバーセキュリティ法』、『データセキュリティ法』、『個人情報保護法』は、情報セキュリティ分野の3つの基礎法律である。上述の基礎法律における関連規定を一層具体化・明確化した『ネットワークデータセキュリティ管理条例』は2024年9月24日に公布されており、2025年1月1日から施行されることになった。

当該『条例』は非常に重要で、注目すべき点が多い。以下はネットワークデータ処理者共通の規定について整理する。

1、ネットワークデータセキュリティ制度の要求

『条例』第9条では、ネットワークデータ処理者が講じるべき必要な措置として、バックアップアクセス制御やセキュリティ認証などの技術的措置とその他の必要な措置の事例を追加し、企業実務に対してより多くの選択肢と指針が提供されている。企業は『GB/T41479-2022情報セキュリティ技術 ネットワークデータ処理セキュリティ要求』で規定されたネットワークデータの収集、保存、使用、加工、伝送、提供、公開などのデータ処理を展開するためのセキュリティ技術と管理要求に従い、自社の状況に合う規則や措置を制定することができる。 

2、ネットワーク製品サービスセキュリティリスクの報告義務

3つの基礎法律では、セキュリティ事件に係る報告の期限について規定していない。これに先立ち、工業・情報化部、国家インターネット情報弁公室、公安部によって2021年9月に公布された『ネットワーク製品のセキュリティ脆弱性管理規定』では、ネットワーク製品の提供者はその提供したネットワーク製品にセキュリティ脆弱性があることを発見し、または知った時より2日以内に工業・情報化部のネットワークセキュリティ脅威と脆弱性情報共有プラットフォームに対して関連脆弱性情報を報告することを義務付けている。『条例』第10条では、ネットワークデータ処理者は国家の安全、公共の利益にかかわる脆弱性などのリスクを24時間以内に報告することを義務付けている。

企業は所在地における報告期限の要求の有無にも注目すべきである。例えば、『上海市ネットワークセキュリティ事件緊急時対応マニュアル』4.1.1では、ネットワークセキュリティ事件が発生した組織は30分以内に口頭で、1時間以内に書面で上海市インターネット情報局、上海市緊急時対応連動センターと事件発生地域のネットワークセキュリティ主管部門に報告しなければならず、“比較的大きい”以上のネットワークセキュリティ事件又は特殊な情況である場合は、直ちに報告しなければならないと規定されている。 

3、ネットワークデータセキュリティ事件緊急時対応マニュアル制度

『条例』第11条では、ネットワークデータセキュリティ事件緊急時対応マニュアル制度における企業の3つの義務を明確にしている。

  • 報告義務。
  • 通知義務。『条例』では、「個人、組織の合法的権益に危害を与える」場合にのみ、影響を受ける個人と組織に通知する必要があることを明らかにしている。 
  • 違法犯罪の疑いがある手がかりを発見した場合の通報義務。

又、一部の地方規則と国家標準では、ネットワークセキュリティ事件の対応要求を定めている。例えば、『上海市ネットワークセキュリティ事件緊急時対応マニュアル』、GB/T20985『情報技術 セキュリティ技術 情報セキュリティ事件管理』、GB/T38645『情報セキュリティ技術 ネットワークセキュリティ事件緊急時対応訓練マニュアル』など。企業は上述の規定を総合して参考にすることができる。  

4、第三者とのネットワークデータ伝送の要求

『条例』第12条によると、送信者は第三者にネットワークデータ(個人情報と重要データに限る)を伝送する場合、契約を締結し、受信者を監督し、かつ記録し、3年間保存しなければならない。

『条例』第14~17条では受信者の義務を明確にしている。注意すべきことは、国家機関などへのサービス提供について、『条例』では監督管理の範囲を国家機関から重要情報インフラ運営者に拡大し、ネットワークデータ処理者が他の公共インフラ、公共サービスシステムの建設、運行、維持に関与する状況も監督管理の範囲に含まれたことだ。   

5、自動化採集技術の評価

「python」などの自動化ツールを使用したネットワークデータアクセス、収集に対して直接的な規定が行われるのは、『条例』第18条が初めてである。「他人のネットワークに不正侵入してはならない」ということに関しては、通常、robotsプロトコルを回避し、ウェブサイトの天然の暗号化ルールを解読し(例えば、アプリの暗号化アルゴリズムなどを解読する)、ウェブサイトの技術保護措置を破壊する(例えば、IP、UA、IDなどを偽造してシステムのIP障壁などの技術保護措置を回避する)などの行為は、他人のネットワークへの不正侵入と認定される可能性が高い。「ネットワークサービスの正常な運行を妨害してはならない」ということに関して、異なるネットワークサービスの正常な運用の統一基準を定義するのが難しいので、『条例』では、企業が自ら「ネットワークサービスへの影響を評価する」ことを義務付けているが、これによって法律執行の柔軟性の向上につながる。