『サイバーセキュリティ審査弁法』が2022年2月15日より施行
『データセキュリティ法』、『重要情報インフラセキュリティ保護条例』の公布に際し、元『サイバーセキュリティ審査弁法』(2020年6月1日施行、以下『2020弁法』という)における「セキュリティ審査」に関する規定と新しく交付される法令・条例を如何に結びつけるのかが課題となる。このような背景の下、国家インターネット情報弁公室等13部門は2021年12月28日に改正後の『サイバーセキュリティ審査弁法』(以下『2021弁法』という)を公布、2022年2月15日より施行されることになった。
以下は『2021弁法』のポイントを説明する。
1、セキュリティ審査対象の拡大
『2020弁法』では、重要情報インフラ運営者を審査対象としている。これに基づき、『2021弁法』では、「ネットワークプラットフォーム事業者」が審査対象として追加された。但し、『2020弁法』は、「ネットワーク製品・サービスを調達する行為」に対して審査を行い、『2021弁法』は、「データ処理活動」に対して審査を行う。
2、海外上場に対するセキュリティ審査管理の強化
『2021弁法』第7条には、「100万人以上のユーザーの個人情報を保有しているネットワークプラットフォーム事業者が海外で上場する場合、ネットワークセキュリティ審査弁公室にネットワークセキュリティ審査を申告しなければならない。」と規定している。
海外上場に対するセキュリティ審査の監督管理はさらに厳しくなる見込みである。新しく公布された『ネットワークデータセキュリティ管理条例(意見募集稿)』第13条によると、以下のいずれかの状況に該当する場合は、自主申告を行わなければならない。(1)国家の安全、経済の発展、公共の利益等に関するデータ資源を大量に保有するネットワークプラットフォーム事業者が国家の安全に影響を及ぼした、又は及ぼすおそれがある合併・組織再編・分割を行う場合。(2)データ処理者が香港で上場し、国家の安全保障に影響を及ぼした、又は及ぼすおそれがある場合。この点については、今後正式版の公布により一層明確にされる見込みである。
3、評価対象・評価情状の追加
『2020弁法』では4つの評価対象・評価情状を定めた。これに基づいて、『2021弁法』では、2つを新規追加した。
| 『2020弁法』 | 製品・サービスの使用によってもたらされる重要情報インフラの不法支配、妨害、損害のリスク |
| 製品・サービスの供給中断によってもたらされる重要情報インフラの業務継続性へのリスク | |
| 製品・サービスの安全性、開放性、透明性、提供元の多様性、供給ルートの信頼性、および政治的、外交的、貿易的などの理由により、供給が中断されるリスク | |
| 製品・サービス提供者による中国の法律、行政法規、部門規則の遵守 | |
| 『2021弁法』における新規追加の評価対象・評価情状 | コアデータ、重要データ又は大量の個人情報の窃取、漏洩、破壊、不正使用、不法越境移転のリスク |
| 上場により、重要情報インフラ、コアデータ、重要データ又は大量の個人情報が外国政府によって影響を受け、支配、悪意を持って利用されるリスク、ネットワーク情報セキュリティへのリスク |