中国の全人代で、ネットワークセキュリティ法(中华人民共和国网络安全法)が可決されています。
このネットワークセキュリティ法については、いろいろな報道がなされています。
中国の新サイバーセキュリティー法は企業にとって悪いしらせ
とか
中国サイバーセキュリティ法可決で統制がさらに強化、外資IT企業への影響も
などがあるようです。
具体的な条文の構成としては
第一章 総則(总则)
第二章 ネットワークセキュリティの支援および促進(网络安全支持与促进)
第三章 ネットワーク運営セキュリティ(网络运行安全)
第一項 一般規定(一般规定)
第二項 重要インフラの運営におけるセキュリティ(关键信息基础设施的运行安全)
第四章 ネットワーク情報セキュリティ(网络信息安全)
第五章 モニタリング・早期警戒および緊急対応(监测预警与应急处置)
第六章 法律上の責任(法律责任)
第七章 附則(附则)
という構成がとられています。
でもって、分析に興味深い条文がてんこ盛りだったりします。ここら辺のインテリジェンスな分析は、もう趣味の域を超えるのでさておき、他のビジネス分析とは違う、マニアな見地からの注目条文をご紹介です。
その条文は、60条になります。
违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。
でもって、たぶんこの条文は、日本語に訳するときには、
本法22条1項、2項および48条1項の規定に反し、かつ、以下の行為のいずれかに反する場合において、権限ある当局が、命令をなし、警告がなされた場合において、是正することを拒絶し、または、危害が発生してネットワークセキュリティ侵害の結果を生じた場合においては、五万元以上五十万元以下の罰金、主たる責任を負うものについては、一万元以上十万元以下の罰金に処する
(1)悪意あるプログラムをインストールした場合
(2)その製品、もしくは、サービスにセキュリティ上の欠陥が存在し、それを回避する是正措置を直ちに採用することがない、もしくは、関連する当局の報告を利用者に伝えることのない場合
(3)製品を終了させることがない場合であって、セキュリティを維持する提供をなさない場合
ということになるかと思います。(これは、推測です-中国語のわかる方助けて)
このような意味だとすると、脆弱性について、これを修正する、もしくは、回避手段を提供することは法的な義務であって、それをなさないと当局が修正命令をなせるという立て付けになるかと思います。
我が国の脆弱性早期警戒パートナーシップが、みんなで努力しましょうねという感じですすめてきているのに対して法的な枠組みを整備している、と評価することができるかもしれません。
それ以外にも、いっぱい、分析したい事項がならんでいます。どこかから、調査ファンドが降ってこないかなあ。関係者様 よろしくです。