既に新聞等の報道でも見られるように、中国の国家インターネット情報弁公室ほか11部門は、2020年4月13日に「ネットワーク安全審査弁法」(中文:网络安全审查办法。以下「本弁法」といいます。)を発布しました。本弁法は、2020年6月1日に施行されます。
本弁法は、22条で構成される比較的短い法規ですが、今の中国を見るのには格好の資料のようにも思われます。
そこで、本弁法について2回に分けてお話ししたいと思います。今回は、Part 1として、本弁法の概要をご説明します。
1 適用対象
本弁法は、基幹情報インフラ運営者(中文:关键信息基础设施运营者。以下「運営者」といいます。)がネットワーク製品及びサービスを調達する場合において、国の安全に影響をもたらし、又はもたらす可能性のあるときに実施されるとする「ネットワーク安全審査」の手続について定めています(第2条)。
そして、ここでいう運営者とは、基幹情報インフラ保護業務部門が認定する運営者をいいます(第20条第1項)。ただ、その性質にかんがみれば、日本企業・日系企業が該当する状況は、決して多くないかもしれません。
一方、「ネットワーク製品及びサービス」とは「革新的ネットワーク設備、高性能コンピューター及びサーバー、大容量ストレージ設備、大型データベース及びアプリケーションソフトウェア、クラウドコンピューティングサービスその他の基幹情報インフラの安全に重大な影響をもたらすネットワーク製品及びサービスをいいます(第20条)。これについては、日本企業・日系企業も関わる場面が多くなるのではないでしょうか。
2 安全審査手続の流れ
(1) 運営者による調達時の事前判断(第5条)
運営者がネットワーク製品及びサービスを調達する場合に行う手続であり、これを使用に投入した後に生じうる国家安全リスクについて判断を行います。その結果、リスクがあり、又はその可能性があると判断した場合には、ネットワーク安全審査弁公室に安全審査を申請・報告する必要が生じます。
(2) 運営者と製品及びサービス提供者との間の合意等の形成(第6条)
安全審査を申請・報告する調達活動に際しては、運営者が書面及び合意等を通じて、これらの提供者との間でネットワーク安全に協力する旨を要求しなければなりません。当該要求には、製品及びサービスの提供という便宜的条件を利用してユーザデータを不法取得し、及びユーザ設備の不法なコントロール及び操縦をしないこと、並びに正当な理由なくして製品供給又は必要な技術サポートサービスを中断しないこと等への承諾を含みます。当該内容については、提供者となりうる日本企業・日系企業にとり歓迎しない事項が含まれるかもしれませんので、慎重な対応が必要となるといえます。
(3) ネットワーク審査弁公室による審査の要否の判断(第8条)
ネットワーク安全審査弁公室は、運営者からの安全審査の申請・報告を接受した後10業務日内に審査の要否を確定し、かつ、運営者にその結果を書面により通知します。
(4) 初歩的審査(第10条)
ネットワーク安全審査弁公室は、運営者に(3)所定の結果を通知した日から30業務日(状況が複雑な場合には、プラス15業務日)内に初歩的審査を完了させます。当該初歩的審査には、審査結論の建議の形成及びネットワーク安全審査業務メカニズム成員単位及び関連機関情報インフラ施設保護業務部門(なお、具体的にどのような成員及び部門をいうのかは、本弁法では明らかではありません。)への当該建議の意見徴求のための送付を含みます。
(5) ネットワーク安全審査業務メカニズム成員単位及び関連機関情報インフラ施設保護業務部門による検討及び意見のフィードバック及び審査結果の回答(第11条)
ネットワーク安全審査業務メカニズム成員単位及び関連機関情報インフラ施設保護業務部門は、上記建議を接受した日から15日内に書面でそれぞれ意見を回答します。両者の意見が一致した場合には、審査結果を運営者に通知します。一方、両者の意見が一致しなかった場合には、次に掲げる特別審査手続に入ります。
(6) 特別審査(第12条及び第13条)
特別審査手続においては、ネットワーク安全審査弁公室が関連部門及び単位の意見を聴取し、深く分析・評価して再度審査結論建議を作成し、それにつき(5)と同様に意見を求めます。その後、中央ネットワーク安全及び情報化委員会が認可した審査結論が運営者に通知されます。
また、これらの手続は、原則45日業務日内に行われますが、状況が複雑な場合には相応に延長されます。
3 その他
(1) 補充資料の徴求に対する協力義務(第14条)
ネットワーク安全審査弁公室が資料の補充を要求した場合には、運営者並びに製品及びサービス提供者は、これに協力しなければなりません。また、当該補充期間は、上記の審査の期間に含まれません。
(2) 運営者による申請・報告を契機としない審査(第15条)
ネットワーク安全審査業務メカニズム成員単位が国の完全に影響を及ぼし、又はそのおそれのあるネットワーク製品及びサービスと判断した場合には、ネットワーク安全審査弁公室が中央ネットワーク安全及び情報化委員会に報告して認可を経た後に審査を実施します。
(3) 秘密保持(第16条)
ネットワーク安全審査に参与する関連機構及び人員に対して課されます。秘密保持の対象は、企業の商業秘密及び知的財産権、運営者並びに製品及びサービス提供者が提供する未公開資料並びに審査業務中に知り得たその他の未公開情報です。
なお、本弁法発出に併せて行われた国家インターネット情報安全弁公室の担当者の記者会見でも、秘密保持に関しては同条に基づき確保される旨が強調されています。
(4) 罰則(第19条)
運営者がこの法律に違反した場合には、「ネットワーク安全法」第65条による処罰がなされます。具体的には、①関係主管部門が使用を停止するよう命じ、②調達金額相当額以上10倍以下の罰金を科し、③直接に責任を負う主管人員その他直接責任人員に対しては、1万元以上10万元以下の罰金を科する、というものです。
なお、本弁法においては、製品及びサービス提供者に対する罰則は規定されてません。ただ、このことは、実務上の何らかの不利益が生ずる可能性を排除するものではありません。
4 まとめ
本弁法の概要は以上のとおりですが、規定上その意味するところが必ずしも明確でない点も散見されます。この点は、実務を通じて明らかになると考えられます。
なお、本弁法は、それ自体日本企業・日系企業とのかかわりは決して大きくないようにも思われます。ただ、上記各所で示したように、製品及びサービスの提供者側としてかかわる場面がもっともありうるケースと考えられ、また、その際の提供者側の義務については一定の注意を要すると考えられます。
今回は、本弁法自体の内容に言及するに留めましたが、次回(Part 2)では、その背景に見える中国の「姿」を少し見ていこうと考えています。私としては、本弁法の意義はむしろPart 2に述べる事項にあるのではないかと考えている次第です。