弊所の呉月琴弁護士チームは『サイバーセキュリティー審査弁法』(中国語:《网络安全审查办法》)を一刻も早く日本語に翻訳しました。ご参考になれればと思います。
第1条 本弁法は、重要情報インフラのサプライチェーンのセキュリティを確保し、ネットワークセキュリティとデータセキュリティを保護し、国家安全保障を維持するために、『中華人民共和国国家安全保障法』、『中華人民共和国サイバーセキュリティ法』、『中華人民共和国データセキュリティ法』および『重要情報インフラのセキュリティ保護規制』に基づいて制定される。
第2条 重要情報インフラ事業者がネットワーク製品・サービスを調達する場合、およびネットワーク・プラットフォームの事業者が国家安全保障に影響を与え、または影響を与える可能性のあるデータ処理活動を行う場合、本弁法に基づきサイバーセキュリティ審査を受けるものとする。前項の重要情報インフラ事業者及びネットワーク・プラットフォーム事業者を総称して関係者という。
第3条 サイバーセキュリティ審査は、サイバーセキュリティリスクの予防と先端技術の応用の促進の組み合わせ、公正で透明なプロセスと知的財産権保護の組み合わせ、事前審査と継続的な監督の組み合わせ、企業のコミットメントと社会的監督の組み合わせ、製品やサービスおよびデータ処理活動安全性、国家安全保障上のリスクの観点から審査するものとする。
第4条 国家インターネット情報室は、ネットワーク安全情報化中央委員会の下で、中華人民共和国国家発展改革委員会、中華人民共和国工業·情報化部、中華人民共和国公安部、中華人民共和国国家安全部、中華人民共和国財政部、中華人民共和国商務部、中国人民銀行、国家市場監督管理局、国家ラジオテレビ総局(CCTV)、中国証券監督管理委員会、国家秘密局、国家暗号管理局と共に、国家ネットワークセキュリティ審査機構を設立する。サイバーセキュリティ審査室は、国家インターネット情報局に設置されており、ネットワークセキュリティ審査に関連するシステム仕様の策定やネットワークセキュリティ審査の組織化を担当する。
第5条 重要情報インフラ事業者は、ネットワーク製品及びサービスを購入する場合には、当該製品及びサービスの利用開始後発生する可能性のある国家安全保障上のリスクを予見しなければならない。国家安全保障に影響を与える、または影響を与える可能性がある場合、サイバーセキュリティ審査室に申告しなければならない。重要な情報インフラのセキュリティ保護に取り組んでいる部門は、それぞれの業界や分野で事前判断のガイドを策定することができる。
第6条 重要情報インフラ事業者は、サイバーセキュリティ審査のために申告された購買活動について、製品・サービス提供者に対し、購買文書及び契約書を通じて、製品・サービス提供者に製品・サービスの提供を通じて利用者のデータを不正取得利用者機器の不正制御・操作を行わないこと、正当な理由なく製品供給や必要な技術サポートサービスを中断しないことなどのサイバーセキュリティ審査への協力要請を行うものとする。
第7条 100万人以上のユーザーの個人情報を保有しているネットワークプラットフォーム事業者は、海外で上場する場合、サイバーセキュリティ審査室にサイバーセキュリティの審査を申告する必要がある。
第8条 当事者は、サイバーセキュリティ審査を申告するために、次の資料を提出しなければならない:(ア)申告書、(イ)国家安全保障への影響または影響の可能性に関する分析報告書、(ウ)購買文書、契約書、契約書の締結、新規株式公開(IPO)などの上場申請書類の提出、(エ)その他、サイバーセキュリティ審査の業務に必要な資料。
第9条 サイバーセキュリティ審査室は、本弁法第8条の要件に満たす審査申告資料の受領から10営業日以内に、審査の要否を決定し、当事者に書面で通知する。
第10条 サイバーセキュリティの審査は、関連する対象又は以下の国家安全保障上のリスク要因の評価に重点を置く:(Ⅰ)製品及びサービスの使用によってもたらされる重要情報インフラへの不正な制御、妨害又は損害のリスク;(Ⅱ)製品やサービスの供給中断による重要情報インフラの事業継続性への危険性;(Ⅲ)製品及びサービスのセキュリティ、公開性、透明性、ソースの多様性、供給ルートの信頼性および政治的・外交的・貿易的などの要因による供給中断のリスク;(Ⅳ) 製品およびサービスの提供者による中国の法律、行政法規および部門規則の順守状況;(Ⅴ) コアデータ、重要データまたは大量の個人情報の盗難、漏洩、破壊および不正使用または不正越境のリスク; (Ⅵ) 上場には重要情報インフラ、コアデータ、重要データまたは大量の個人情報が、外国政府による影響を受け、支配され、または悪意を持って使用されるリスクおよびネットワーク情報セキュリティのリスクがある;(Ⅶ)重要な情報インフラセキュリティ、ネットワークセキュリティ、データセキュリティを危険にさらす可能性がある他の要因。
第11条 サイバーセキュリティ審査室がサイバーセキュリティ審査の必要がある場合、関係者に書面通知を送信してから30営業日以内に予備審査を完了するものとする。審査結論の勧告を形成し、サイバーセキュリティ審査機構のメンバーと関連部門に送付し、コメントを求めなければならない。状況が複雑な場合、期間を15営業日延長することができる。
第12条 サイバーセキュリティ審査室のメンバーおよび関連部門は、審査の結論と勧告を受けた日から15営業日以内に書面でコメントするものとする。サイバーセキュリティ審査室のメンバー及び関連部門はコメントが一致している場合、サイバーセキュリティ審査室は審査結論を書面で関係者に通知する。意見が一致していない場合、審査は特別な審査手続きに従って処理され、関係者に通知するものとする。
第13条 特別な審査手続きで処理する場合、サイバーセキュリティ審査室は、関連部門と部門の意見を聴取し、綿密な分析と評価を行い、再度審査結論案を作成し、サイバーセキュリティ審査室のメンバーおよび関連部門の意見を求め、手続きに従って中央ネットワークセキュリティおよび情報化委員会に報告し、手続きに基づいて承認を得た後、審査結論を策定し、関係者に書面で通知するものとする。
第14条 特別審査手続きは、通常、90営業日以内に完了するものとするが、複雑な場合には延長することができる。
第15条 サイバーセキュリティ審査室が追加資料を要求する場合、当事者、製品やサービス提供者が協力するものとする。補足資料を提出する時間は審査時間に算入されない。
第16条 サイバーセキュリティ審査室のメンバーが国家安全保障に影響を与える、または影響を与える可能性があると考えるネットワーク製品、サービスおよびデータ処理活動は、サイバーセキュリティ審査室が中央ネットワークセキュリティ・情報化委員会に報告し、本弁法の規定に従って承認を求め、審査を受けるものとする。リスクを防止するために、関係者はサイバーセキュリティ審査の要求事項に従って、審査中のリスクを防止・軽減するための措置を講じるものとする。
第17条 サイバーセキュリティ審査に携わる関連機関および人員は、知的財産権を厳格に保護し、審査中に知り得た商業秘密、個人情報、当事者が提出した、製品・サービス提供者、その他審査で知り得た未公開情について、守秘義務を負い、情報提供者の同意なしに、無関係の第三者に公開したり、審査以外の目的で使用してはならない。
第18条 当事者またはネットワーク製品・サービス提供者は、審査員が客観的かつ公平でないと判断した場合、または審査作業で知られている情報に対する守秘義務を引き受けなかったと考える場合、サイバーセキュリティ審査室または関連部門に報告することができる。
第19条 当事者は、製品・サービス提供者に対し、サイバーセキュリティ審査におけるコミットメントを履行するよう促すものとする。ネットワークセキュリティ審査室は、報告書などの受理などを通じて、事前・中間・事後の監督を強化する。
第20条 当事者は本弁法の規定を違反した場合、『中華人民共和国ネットワークセキュリティ法』、『中華人民共和国データセキュリティ法 』の規定に基づいて対処する。
第21条 本弁法でいうネットワーク製品・サービスとは、主にコアネットワーク機器、重要通信製品、高性能コンピュータ・サーバ、大容量記憶装置、大規模データベース・アプリケーションソフトウェア、ネットワークセキュリティ機器、クラウドサービス及び重要情報インフラのセキュリティ、ネットワークセキュリティ、データセキュリティに大きな影響を与えるネットワーク製品・サービスを指す。
第22条 国家機密情報が含まれる場合、関連する国家機密規定に従い実施するものとする。国家がデータセキュリティー審査および外資セキュリティー審査に関する他の規定を設けている場合、その規定にも従うものとする。
第23条 本弁法は2022年2月15日に発効する。2020年4月13日に公布された『ネットワークセキュリティ審査弁法』(国家インターネット情報室、国家発展改革委員会、工業・情報化部、公安部、国家安全部、財政部、商務部、中国人民銀行、国家市場監督管理総局、国家ラジオ・テレビ局、国家秘密局、国家暗号管理局令第6号)を同時に廃止するものとする。