2025年10月28日、第十四期全国人民代表大会常務委員会第18回会議において、改正後の「中華人民共和国サイバーセキュリティ法」(中華人民共和国主席令第61号、以下「サイバーセキュリティ法」という。)が可決され、2026年1月1日より施行された。今回の改正は、2017年6月1日より施行された同法の初めての全面改正となる。以下では、改正されなかった内容と改正された内容をそれぞれ解説する。
一、改正されなかった内容:サイバーセキュリティ等級保護制度および関連義務の維持
サイバーセキュリティ等級保護制度は、ネットワークが妨害・破壊・不正アクセスを受け、またはネットワークデータが漏洩・窃取・改ざんされた場合の、個人・社会・国家への影響の度合いに応じて、ネットワーク運営者がそれに見合ったセキュリティ保護能力の保有を求めるものである。ネットワーク運営者は、サイバーセキュリティ等級保護義務を履行しなければならず、具体的には、セキュリティ責任者の選任、ウイルス対策など技術的措置の実施、ネットワーク動作状況やサイバーセキュリティ事象の監視・記録、関連ログの6か月以上の保存、データ分類・重要データのバックアップ・暗号化などが義務付けられている。
今回の改正では、等級保護制度自体およびその義務内容は変更されていないが、関連する法的責任が強化されたため、これらの義務を確実に履行することがより重要になっている。
二、改正された内容:AIなどの新規条項の追加および法的責任の強化
1.AI発展の促進に関する新規条項の追加
「サイバーセキュリティ法」第20条に「人工知能(AI)条項」が新たに設けられ、法律上で初めてAIの安全性および発展に関する原則的な規定が明文化された。同条項では、国家はAIの基礎理論研究およびアルゴリズム等の重要技術の開発を支援し、データ資源や計算能力等の基盤施設の整備を推進し、AIの倫理規範を整備し、リスクの監視評価および安全監督を強化し、AIの応用および健全な発展を促進すると明確に規定している。
2.他の関連法令との整合性の強化
「サイバーセキュリティ法」第4章では、「ネットワーク情報のセキュリティ」に関する内容が規定されており、ネットワーク情報の内容の管理だけでなく、個人情報の保護も含まれる。具体的に、「サイバーセキュリティ法」第42条に基づき、「ネットワーク運営者が個人情報を取り扱う場合、本法および『中華人民共和国民法典』、『中華人民共和国個人情報保護法』等の法律・行政法規を遵守しなければならない。」という内容である。個人情報保護に関する法的責任について、第71条は次のように規定している。「次の各号のいずれかの行為があった場合、関連法律・行政法規の規定に基づき処理・処罰する:(二)本法第24条第3項、第43条から第45条の規定に違反し、個人情報の権益を侵害した場合。」これらの条項を通じて、企業は「サイバーセキュリティ法」を遵守するだけでなく、「個人情報保護法」や「ネットワークデータセキュリティ管理条例」等の法律・法規に従って個人情報の取り扱いを行う義務が明確化された。
3.法的責任の強化
今回改正された「サイバーセキュリティ法」の特徴は、法的責任制度の整備および強化にあり、つまり、罰則の種類の追加(例えば違反者の公表、アプリケーションの停止等)、過料額の引き上げという点である。さらに、「他の直接責任者」を処罰対象者の範囲に含め、「個人情報保護法」および「データセキュリティ法」との整合性を図るとともに、いわゆる「両罰制」を導入した結果、直接責任を負う主管者および他の直接責任者(以下「関連責任者」という。)は、規定に基づき過料を科される可能性がある。
注目すべき点は、今回の改正が「寛厳併済(寛大な措置と厳格な措置の併用)」の方式を採用しており、行政処罰責任を一方的に加重するものではなく、明らかに軽微な行為については減免措置も規定されていることである。「サイバーセキュリティ法」第73条では、「行政処罰法」に規定される情状により処罰を軽減または免除する場合には、当該規定に従い処罰を軽減または免除することができると定められ、また、同規定は「行政処罰法」第32条、第33条の規定と一致している。法的責任に関する重要な新設条項および変更点は以下の通りである。
違法行為 | 改正前 | 改正後 |
サイバーセキュリティ保護義務の不履行 | 第59条 是正を拒否した場合やサイバーセキュリティに危害を及ぼす結果を招いた場合にのみ、過料が科されていた。 直接責任を負う主管者は最高10万元、企業は最高100万元の処罰を受ける可能性がある。 | 第61条 「三段階の罰則」を採用しており、関連責任者を処罰対象に含めている。 「サイバーセキュリティに深刻な危害を及ぼす結果」(主に大量のデータ漏えい、重要情報インフラの一部機能喪失等の状況を指す)を引き起こした場合、関連責任者は最高100万元、企業は最高1,000万元の処罰を受ける可能性がある。 |
安全なネットワーク製品およびサービスの提供義務の不履行 | 第60条 直接責任を負う主管者は最高10万元、企業は最高50万元の処罰を受ける可能性がある。 | 第61条、第62条 「三段階の罰則」を採用しており、関連責任者を処罰対象に含めている。 「サイバーセキュリティに深刻な危害を及ぼす結果」(主に大量のデータ漏えい、重要情報インフラの一部機能喪失等の状況を指す)を引き起こした場合、関連責任者は最高100万元、企業は最高1,000万元の処罰を受ける可能性がある。 |
ネットワーク重要設備およびサイバーセキュリティ専用製品の認証義務の不履行 | なし | 第63条 「違法所得を没収する」および「過料を併科する」と規定するとともに、「関連業務の一時停止、操業停止、関連の業務許可証または営業許可証を取り消すこと」といった処罰手段も追加された。 |
セキュリティホールの管理義務の不履行 | 第62条 直接責任を負う主管者は最高5万元、企業は最高10万元の処罰を受ける可能性がある。 | 第65条 「三段階の罰則」を採用しており、関連責任者を処罰対象に含めている。 「サイバーセキュリティに深刻な危害を及ぼす結果」(主に大量のデータ漏えい、重要情報インフラの一部機能喪失等の状況を指す)を引き起こした場合、関連責任者は最高100万元、企業は最高1,000万元の処罰を受ける可能性がある。 |
三、企業へのアドバイス
「サイバーセキュリティ法」に規定されたサイバーセキュリティ等級保護制度は、今回の改正により変更されておらず、むしろ、同法に定められた義務を履行しない場合の法的責任は強化された。現時点の実務の状況を見ると、日系企業を含む多くの企業は、「サイバーセキュリティ法」の規定に従い、サイバーセキュリティ等級保護制度を実施・運用しておらず、法的リスクが存在する。新法の正式な施行に伴い、未履行の法的義務に対する法執行はさらに厳格化されると考えられる。したがって、社内の情報システムに関してサイバーセキュリティ等級保護制度をまだ整備していない日系企業は、高額な処罰を回避するために、早急にサイバーセキュリティ等級保護等のサイバーセキュリティ関連義務を履行し、主要システムの等級保護のレベルの判定および届出を完了することを推奨する。
また、改正された「サイバーセキュリティ法」では、法的責任の面で大幅に強化されており、特に処罰の対象となる事由の拡大、過料上限の引き上げ、および関連責任者への処罰の強化を挙げられる。これを踏まえ、日系企業には、改正「サイバーセキュリティ法」の関連規定に従い、現時点で未履行または未完了の法的義務のリストを整理し、当該リストに基づき企業が直面する法的リスクを速やかに評価し、対応すべき是正措置を早急に完了することを強く推奨する。