ネット時代における中国の暗号法規制と企業のコンプライアンス対応策
北京市金杜法律事務所(King & Wood Mallesons)パートナー弁護士
中国政法大学大学院 特任教授
劉 新 宇
Ⅰ はじめに
近年、情報技術及びインターネットの急速な発展に伴い、ビッグデータ、ブロックチェーン[1]等の新たな事象が現れている。一方、ネットワーク上の情報の安全に対する意識の不足や不十分な安全管理措置に起因する情報漏洩も数多く発生しており、ネットワーク上の情報の安全は、企業にとって重視すべき課題となっている。ネットワーク上の情報の安全を保護するうえでは、暗号が一つの基幹的な技術手段となり、その暗号の使用を適切に管理するためには、専門的な法的規制が必要となる。
中国の暗号関連分野において、商用暗号については1999年10月7日に公布・施行された行政法規である商用暗号管理条例[2](以下、「管理条例」という)、商用暗号製品生産管理規定[3]等があり、その他の暗号に関する規定は国家秘密保守法[4]などの法令に散在しているが、急速に発展する暗号技術に追い付かず、商用以外の暗号による国の安全の基本的な制度への保障等に関する法規制が不十分で、新時代の暗号管理のニーズに適応できていないという問題が生じた。このような背景の下、2014年12月の起草開始後、社会に対する意見公募、全国人民代表大会常務委員会における2回の審議を経て、2019年10月26日、暗号の応用や管理の規則について定めた暗号分野初の法律として、「中華人民共和国暗号法」(以下、「本法」という)が可決され、今年1月1日に施行された。
そこで、本稿では、本法の原則を紹介し、従来の商用暗号行政管理制度との相違、外資系企業による市場参入の平等な取扱い、サイバーセキュリティ法、中国輸出管制法及びブロックチェーン技術との関係等、外資系企業において注目すべき点について説明したうえ、本法に関わる外資系企業のコンプライアンス上の対応策を提言するものとしたい。
Ⅱ 本法の要点
本法は総則、コア暗号・一般暗号、商用暗号、法律責任、附則という5つの章と44の条から構成されている。以下、その要点につき、管理条例その他関連法令も踏まえて論じていく。
1. 暗号の定義
日常的に「暗号」といえば、アカウント等にログインするために用いるパスワードが想起されるが、それは1つの基本的な身分認証方法にすぎない。本法では「暗号」を、情報に対して特定の変換方法を加えることで、暗号化して保護され、安全が認証された技術、商品、サービスをいうものと定義し(2条)、従来よりも広範に、「技術、商品」から「技術、商品及びサービス」にまで拡大している。
「管理条例」は商用暗号のみを適用対象としていたが、本法は区分管理の原則に沿って、暗号が保護する秘密のレベルに基づき、さらにコア暗号、一般暗号、商用暗号の3類型に分け、下表1のようにそれぞれ異なる規制を行っている(6条、7条、8条)。
| 類型 | 性質 | 保護対象 | 用途及び管理使用規則 |
| コア暗号 | 国家機密 | 国家機密に該当する極秘レベル、機密レベル、秘密レベルの情報 |
|
| 一般暗号 | 国家機密に該当する機密レベル、秘密レベルの情報 | ||
| 商用暗号 | 非国家機密 | 国家機密に該当しない情報 |
|
2. 商用暗号の行政許可管理制度
従来、「管理条例」及びその関連法令は、商用暗号製品生産審査・許可、販売単位許可、輸入許可等の一連の商用暗号行政許認可制度を定めていたが、2015年から、行政許可事項の一部廃止に関する国務院の一連の決定[5]に基づき、商用暗号製科学研究認定機関の認可、商用暗号製品生産企業の認可、商用暗号製品販売企業の認可、外資系企業による国外暗号製品の使用の認可、外国の組織・個人による暗号製品又は暗号技術を含む設備の中国における使用の認可など、その多くが廃止された。
下表2は、本法公布前から存在する商用暗号の許認可と本法施行後の取扱いを簡単に比較したものとなるが、一部の未変更の許認可も、今後は廃止又は変更の可能性があることから、国家暗号管理局及び他の関連機関が発する通知等に注意する必要がある。
| 許認可の名称 | 本法施行後の取扱い |
| ① 商用暗号製品型番証書の取得[6] | 商用暗号製品の検査認証制度へと変更 |
| ② 商用暗号製品品質検査・測定機構の認可 | 検査測定認証機能の資格を保留 |
| ③ 商用暗号製品の輸出許可証の取得[7] | 適用範囲を変更 |
| ④ 暗号製品及び暗号技術を含む設備の輸入許可証[8] | 適用範囲を変更 |
| ⑤ 情報安全等級による商用暗号の保護に関する評価機関の認可 | サイバーセキュリティ法の規定と関連 |
| ⑥ 電子政務電子認証サービス機構の認定 | 変更なし |
| ⑦ 電子認証サービスの暗号使用の認可 | 変更なし |
| ⑧ 商用暗号科学研究成果の審査・鑑定 | 変更なし |
表2のうち、一般の外資系企業にとって最も身近な許認可事項は、商用暗号製品に関する①、③及び④である。そのうち①の商用暗号製品型番証書は、本法施行後に廃止され、商用暗号製品検査認証制度が実施されており、商用暗号製品の事業者は事業内容に応じて強制的に又は任意に商用暗号の検査認証を行うこととなる。さらに、2019年12月30日に公布された「商用暗号製品管理方法の調整に関する暗号管理局、市場監督管理総局の公告」により、商用暗号化製品の品種及び型番に関する認可は不要となり、2020年1月1日以降の受付はなされず、既に「商用暗号化製型番証書」を有する企業は2020年6月30日までに商用暗号製品検査認証証書[9]に切り替えることができ、「商用暗号製品型番証書」は2020年6月30日をもって失効するとされた。なお、③及び④については後出Ⅱ4を参照されたい。
3. 外資系企業の区別なき市場参入
本法施行前は、「管理条例」の下、商用暗号製品の生産、販売等を行うには国家暗号管理局による資格認可が必要とされ、実際にこの認可を受けた外資系企業は少数にとどまっていた。2017年に「一部行政許可事項の廃止に関する決定」[10]及び「国家暗号管理局公告第32号-一部管理規定の廃止及び改正に関する決定」(以下、「32号公告」という)[11]が公布され、商用暗号製品生産企業及び販売企業の認可が廃止された。ただし、生産・販売する商用暗号製品の品種と型番については、依然として国家暗号管理局の認可を要するものとされた。
また、国外暗号製品の使用については、かつて商用暗号製品使用管理規定(以下、「使用規定」という)[12]により、国外で生産された商用暗号製品を中国の内資企業において使用することは認められず、他方、外資系企業においては、確実な業務上の必要のため国外の暗号製品を用いて国外と連絡を取らなければならない場合に限り、国家暗号管理局の許可を得て使用しなければならないとされていたが、2017年の「32号公告」によりこの「使用規定」が廃止され、内資企業に対する使用禁止、外資系企業に対する使用許可という二つの制度も撤廃された。これにより内資企業と外資系企業が同じ扱いになったと考えられる[13]。
このように、商用暗号関連分野において、外資系企業は基本的に中国内資企業と同等の待遇を受けるようになった。
この内資企業と区別のない外資系企業の市場参入に関し、本法は、「各レベルの人民政府及び関連機関は、区別なしの原則を順守し、法に則って外資系企業を含む暗号の科学的研究、生産、販売、サービス、輸出入に関わる事業者を平等に扱う。国は、外資系企業の投資において、自発的な意思に基づく、商業ルールに則った商用暗号技術に関する提携を奨励する」という原則を定めているほか、今年1月1日に施行された外商投資法22条2項[14]の規定を踏襲し、商用暗号分野において「行政機関と職員は、行政手段を用いて商用暗号技術の移転を強制してはならない」と明確に規定している(21条)[15]。今後は商用暗号業務への外資系企業の更なる参入・発展が期待される。
4.商用暗号の輸入許可と輸出規制
前出Ⅱ2のとおり、本法の施行前は、「管理条例」の下、商用暗号の輸出入に際しては、暗号製品と暗号技術を含む設備の輸入許可証、商用暗号製品の輸出許可証を取得しなければならなかった。また、国家暗号管理局による商用暗号製品輸入許可証の申請ガイドライン[16]により、輸入を許可された製品は輸入者のみ使用することができ、その他の企業又は個人への譲渡、転売等は禁じられていた。そのうち、「暗号製品及び暗号技術を含む設備」については、税関総署と国家暗号管理局が2013年第27号公告として「暗号製品及び暗号技術を含む設備輸入管理目録」(以下、「管理目録」という)を公布し、そこに掲載された製品を輸入するには輸入許可証を取得する必要がある。また、国家暗号管理局、税関総署が公布した2009年第18号公告によると、管理目録に掲載されていなくても、輸入者が輸入する製品に暗号技術が含まれることを知り又は知りうる場合には、輸入許可証を取得し、輸入時に税関に提出しなければならなかった。
この点に関し、本法28条は、あらゆる商用暗号について輸入許可と輸出規制を実施するのではなく、下表3のように商用暗号の類型に応じて異なる規制を行うとしている。
| 商用暗号の類型 | 本法による規制 |
| 国の安全、社会の公共利益と関わり、暗号化保護機能を有する商用暗号 | 輸入許可 |
| 国の安全、社会の公共利益と関わり、又は中国が国際的な義務を負う商用暗号 | 輸出規制 |
| 一般消費者向け商品に用いる商用暗号[17] | 規制なし |
また、本法28条1項は、商用暗号の輸入許可と輸出管制のリストは商務部が国家暗号管理局及び税関総署と共同で制定すると定めているが、これら3機関が2019年12月31日に発した第38号公告によると、これらのリストが制定されるまで、従来の許可条件と手続に従った輸出入管理が引き続き実施される。
さらに、輸入者に関し、本法施行前は、外資系企業、国外の組織・個人に限って暗号製品・暗号技術を含む設備の輸入許可を申請することができ、この許可の下でのみ輸入、自己使用を行いうるとされ、これらに該当しない国内の主体は、国外で生産された暗号製品の輸入を禁じられていた。これに対し、本法は、外資系企業と内資企業とで輸出入規制を区分せず、商用暗号の類型のみに応じた輸出入規制を行うとしている(28条)。
なお、昨今の中国・アメリカ間の貿易摩擦を受け、各国の輸出規制も注目されている。中国の現行の輸出管理法体系は、核、生物、化学、ミサイル、軍用品等の物品を規制する6つの行政法規と部門規則により構成され、国際的に一般化した方法に照らし、リスト管理のモデルが導入されてきた。現時点において、商用暗号及び商用暗号製品を対象として制定された特別な輸出規制リストはなく、主に関連分野の規制リストによる管理が行われている。例えば、「核両用品及び関連技術輸出管制リスト」第3節(ウラン同位体分離装置及びコンポーネント)第3.4条は、3.1.1号に定める特性に達し又はこれを超過すべく、3.1.1号の未規制設備の性能上の特性を強化、発揮するために設計された「ソフトウェア」又は暗号化キー・コードと定めている。
これに対し、日本の場合、暗号技術や装置は、武器、原子力関連物質や化学兵器、その他の機器等と同じく、その輸出[18]は経済産業省の安全保障上の規制下に置かれ、外国為替及び外国貿易法に基づく輸出許可の手続[19]を原則として経なければならないが、暗号輸出関連の政省令等により、一定の要件を満たせば輸出許可の申請が不要となる場合もある[20]。アメリカの場合、輸出管制法(EAR)において商用暗号製品も規制物品とされている。同国「商業管制リスト」(以下、「CCL」という)には暗号化物品(Encryption Item,以下、「EI」という)が明確に記載され、ワッセナー・アレンジメントの順列構造[21]と類似し、一部の暗号化製品が一定の要件を満たす場合には許可証例外(ECN)が適用されうる。例外的状況として、一般消費者向けに販売される電子消費類製品[22]としての商用暗号製品は、通常、最終ユーザー、目的地及び最終用途に関する輸出規制に適合することを前提として、アメリカ商務省に届け出た後に輸出又は販売をすることができ、事前の輸出許可証の取得を要しない。
このように、暗号化製品の輸出規制の範囲について、日本、アメリカ等の主要国や地域と比較して、中国の規制は極めて限定的といえる。それゆえ、現在検討中の輸出管理法(草案)に関しては、中国の国としての安全及び社会の利益を守るため、外国の手法に照らし、商用暗号製品にも触れ、輸出規制統一リストのシステムの下で管理することにより、中国の輸出規制をさらに整備することが望まれる。
5. サイバーセキュリティ法との整合性
⑴ 重要情報インフラ運営者による応用セキュリティ評価制度及び安全審査制度
本法は、国の安全に関わる重要情報インフラ運営者に対し、商用暗号の購入と使用に関する特別な要件を定めている。重要情報インフラ運営者とは、サイバーセキュリティ法76条に定めるネットワーク運営者[23]のうち、そのネットワーク施設又は情報システムの機能が破壊され若しくは失われ、又はそのデータが漏洩した場合、国の安全、国の経済、人民の生活、公共の利益が著しく損なわれる可能性のある重要情報インフラを運営する者をいう。その判断基準に関し、重要情報インフラ安全保護条例(意見募集稿)を含むサイバーセキュリティ法の付属法令には明確な定めがないため[24]、今後、関係政府機関によるガイドラインの公布が期待される。
商用暗号の応用セキュリティ評価制度について、本法によれば、関連法令に基づき商用暗号を使用して保護する必要がある重要情報インフラに関しては、重要情報インフラ運営者が商用暗号を使用してそれを保護し、商用暗号の検査機構に委託して又は自己において商用暗号の応用セキュリティ評価を実施しなければならない。また、商用暗号の応用セキュリティ評価は、重要情報インフラの安全検査測定評価及びネットワークセキュリティレベル測定評価制度とリンクし、重複する評価・測定を回避しなければならない(27条1項)。
また、安全審査制度について、本法は、重要情報インフラ運営者が商用暗号に関する商品やサービスを購入する際には、国の安全に対する影響を考慮し、サイバーセキュリティ法の規定に沿って、国家インターネット情報機関や国家暗号管理機関などの関連機関・組織の安全審査を受けなければならないと定めている(27条2項)。この規定は、サイバーセキュリティ法35条、重要情報インフラ安全保護条例(意見募集稿)31条及びネット安全審査弁法2条[25]の関連規定[26]の趣旨を踏まえた商用暗号分野に適用される規定である。なお、重要情報インフラ運営者が応用セキュリティ評価義務又は安全審査義務に違反した場合、警告、是正命令、過料などに処される(本法37条)[27]。
⑵ 一部商用暗号製品の強制的検査認証制度
商用暗号製品の検査認証について、「管理条例」はあらゆる強制的な検査認証を要求していたが、本法では、商用暗号製品に対する強制的又は任意の検査認証制度を定めている(25条、26条)。サイバーセキュリティ法と関連することから、強制的な検査認証に関しては、①国の安全、国の経済と人民の生活、社会公共の利益と関わる商用暗号製品は、法により「ネット重要設備及びネット安全専用製品目録」[28]に含めるべきであり、サイバーセキュリティ法の関連規定に基づき、資格を有する検査認証機関による商用暗号の検査認証を受けなければならず、これを受けずに販売又は対外提供することはできないこと、②ネット重要設備及びネット安全専用製品を使用した商用暗号サービスについては、資格を有する検査認証機関による認証を経て合格しなければならないことが定められ[29]、その一方で、任意の検査認証に関しては、一般的な商用暗号事業者に対し自発的にその商用暗号製品の検査認証を受けることが推奨されている。
なお、「商用暗号検査測定認証職務の展開に関する実施意見」[30]によると、国家市場監督管理総局、国家暗号管理局が共同して商用暗号の検査測定認証、認証機関及びその活動に対して監督管理を行い、違法な行為を処罰するとともに、商用暗号認証目録を制定して公布し、市場監督管理総局が商用暗号認証規則を公布するものとされている。したがって、企業は今後、商用暗号認証目録に掲げる製品につき、認証規則に従って、相応の資格を有する認証機関に委託して認証を行うことができると解される。
また、従来の実務においては、商用暗号製品の検査測定認証にあたり中国政府と関係する認証機関にソースコードを提供するよう配慮されていたため、本法は、暗号管理機関の職員に対し、商用暗号関連企業又は認証機関にソースコードなどの専用情報を提供するよう要求することを禁じるとともに、その職務遂行において知りえた営業秘密及びプライバシーの保護を義務づけた(31条)。こうして商用暗号の知的財産権保護を強化する姿勢が示された点は、外資系企業にも有利に作用するものと思われる。
6. ブロックチェーン技術との関係
本法が可決される2日前の2019年10月24日、中国共産党中央政治局が開催したブロックチェーン研究会の場で、習近平国家主席は、各国との競争に備え、ブロックチェーンの分野で中国を最前線に導き、産業における新たな優位性の取得に向け努力する必要があると強調し、ブロックチェーン[31]技術の発展を後押しする発言をした。これを背景として、本法はブロックチェーン関連のプロジェクトやデジタル通貨開発[32]を推進する重要な起点としても注目されている。
本法は「ブロックチェーン」に直接言及せず、より広範な「暗号化」という文言を用いているが、暗号化技術はブロックチェーン技術に不可欠な土台であることから、暗号化技術の研究・開発は、ブロックチェーン分野での競争力向上をめざす中国の取組みにおいて重要な役割を果たすと期待される。また、本法は、商用暗号化技術の研究開発を促しつつ、商用暗号基準システムの構築、商用暗号に従事する企業に有資格機関のテスト・認証を受けることを推奨している(21条、22条、25条)。
本法の施行により、ブロックチェーンに関する暗号化は、その発展に向けてより明確な技術上の基準が得られるほか、商用暗号に従事する企業がテスト・認証を受け、重要情報インフラ運営者が関連安全審査を受けることで市場・業務が規範化され、ユーザーの権理・利益がより厚く保護されることになる。
Ⅲ 企業による暗号分野のコンプライアンス上の留意点
本法の公布に伴い、企業がその事業内容に応じ暗号分野において負うべき義務や留意点としては、次のことが挙げられる。
1. 商用暗号製品の生産・販売企業
- ① 暗号管理機関の最新の要求や、「管理条例」その他関連規定の改正に注意を払うこと。
- ② 生産・販売する商用暗号製品の類型を整理し、その結果に基づき、強制的又は任意の検査認証制度を採用すること。また、特定類型の商用暗号か、それとも「一般消費者向け商品」に使用される商用暗号かに応じ、異なる輸出入管理制度を採用すること。
- ③ 暗号製品を供給する企業は、販売先が重要情報インフラ経営者か否かを判断し、それが肯定される場合、販売先が行う商用暗号製品に対するセキュリティ評価及び安全審査義務の履行に協力すること。
2. 一般のネットワーク運営者
- ① ネットワーク製品・サービスの調達管理手続において、調達予定の商用暗号製品の類型及びその検査認証の適法性に注意し、「ネット重要設備及びネット安全専用製品目録」所定の商用暗号製品・サービスを使用する場合には、商用暗号・サービスの提供者に対し、資格を有する機関が発行した検査認証合格証書の提示を求めること。
- ② 輸入商用暗号製品を使用する必要がある場合には、暗号管理機関の最新の要求に注意し、当該製品が「一般消費者向け商品」か否かを判断し、それが否定されるときは、法により輸入許可を受けること。
- ③ ネットワーク運営者が国家秘密を保護する必要がある場合、相応の資格を有する暗号機関が提供するコア暗号又は一般暗号を使用すること。
3. 重要情報インフラ運営者
重要情報インフラ運営者は、一般的なネットワーク運営者が負う義務や注意すべき点以外に、さらに次の事項に注意することが望まれる。
- ① 採用する商用暗号がそのシステムを保護・維持することを確保し、かつ、法令の要求に基づき商用暗号の応用セキュリティ評価を行うこと。なお、本法27条は、商用暗号の応用セキュリティ評価と重要情報インフラの安全検査測定評価制度はリンクすると定めているが、現時点では重要情報インフラ安全検査測定評価制度が実施されていないため、重要情報インフラ運営者は、これらの制度に関する立法や監督管理の動向に特に注意しなければならない。
- ② 重要情報インフラ運営者による商用暗号と関わる製品・サービスを調達する行為が国の安全に影響を及ぼしうる場合には、ネット安全審査弁法及び今後の関連ガイドラインに照らしてネット安全審査を申請する必要があること。
Ⅳ おわりに
近年の情報化社会において、暗号技術は様々な場面で必要とされる基本的な技術として注目されている。本法は、暗号関連分野の初めての基本法として、従来の規制の空白を埋めるため、暗号技術の進歩、暗号産業の発展及び規範的な運用を促進するうえで多大な意義を有する。一方で、暗号分野におけるコンプライアンス対応も不可欠であり、日系企業を含め、各種外資系企業においては、本法及びサイバーセキュリティ法の規定に基づき、今後の関連法令の動向にも注意を払い、自社の全面的なネットワークセキュリティ体系を構築・運用することが必要となるのであろう。
以上
[1] ブロックチェーンとは、分散型データ保存、ポイントツーポイント伝送、コンセンサスメカニズム、暗号化アルゴリズムなどのコンピューターテクノロジーの新たなアプリケーションモードをいう。
[2] 1999年10月7日公布・施行。
[3] 2006年1月1日施行、2017年12月1日改正。
[4] 1989年5月1日施行、2010年10月1日改正。
[5] 行政審査対象事項の一部廃止に関する国務院の決定(2015年2月24日施行)、行政許可事項の一部廃止に関する決定(2017年9月22日施行)。
[6] 商用暗号製品生産管理規定7条は、商用暗号製品を生産する企業に対し、国家暗号管理局にそのサンプルを提出して、製品の品種及び型番の申告をすることを義務付けていた。
[7] 「管理条例」13条によると、暗号製品及び暗号技術を含む設備の輸入又は商用暗号製品の輸出を行うためには、国家暗号管理局の許可を得なければならず、いかなる単位又は個人も、国外の暗号製品を販売してはならない。
[8] 前注[7]参照。
[9] 同公告により、国家暗号管理局は今後、市場監督管理総局と連携して国レベルの統一的な商用暗号検査認証制度を構築する。
[10] 2017年9月22日公布・施行。
[11] 2017年12月1日公布・施行。
[12] 2007年5月1日施行、2017年12月1日に「32号公告」により廃止。
[13] 「32号公告」施行後に筆者が国家暗号管理局に照会した際も 同旨の見解が示された。
[14] 外商投資法22条2項は、国は外商投資の過程で自由意思の原則及び商業規則に基づく技術提携の展開を奨励すること、技術提携の条件については各投資者が公平原則に基づき平等な立場で協議のうえ確定すること、行政機関及びその職員が行政手段を用いて技術移転を強要してはならないことを定めている。
[15] 外商投資法の詳細については、拙稿「中国外商投資の新時代における法整備と実務の変化――外商投資法実施条例等付属法令の施行」商事2221号(2020)34頁参照。
[16]〈https://portal.shojihomu.co.jp/wp-content/uploads/2020/07/18152d009045481a9103bf911f3a1ee5.pdf〉参照。
[17] 本法はこれに関する定義規定を設けておらず、国家暗号管理局のホームページ(http://www.oscca.gov.cn/sca/xxgk/2020-04/02/content_1060694.shtml)では、「社会の公衆が制限なく通常の販売網を通じて購入することができ、それを個人の使用に供し、暗号機能を容易に変更しえない製品又は技術をいう」との解釈が示されており、これには一定の参考的価値があると思われる。
[18] この「輸出」には、暗号機能を内蔵した機器やソフトウェアを日本国外へ持ち出す場合、又は国内外の非居住者に提供する場合が含まれる。
[19] 輸出令別表第1の9の項(通信関係)における(7)には、「暗号装置又はその部分品」が掲げられている。
[20] 例えば、市販のパソコンに内蔵の暗号装置は、使用者による変更不可、供給者による使用時の技術サポート不要の設計になっているため、貨物等省令第8条第九号タに該当し、輸出許可を要しない。
[21] 主にCCLの第5類の電信及び「情報安全」第二パートの情報安全(Information Security)にあり、輸出管制分類コード(ECCN)は5A002、5D002、5E002である。
[22] 例えば、暗号化機能を有する携帯電話、タブレット及び消費類ソフトウェアは、米国輸出管制条例(EAR)における一般消費者向け市場(Mass Market)の定義に適合する場合、CCLに記載された暗号化物品に該当するとしても、暗号化物品(EI)及び国家安全(NS)を理由とする規制を受けない。
[23] 「ネットワーク運営者」とは、ネットワークの所有者、管理者及びネットワークサービス提供者をいう(サイバーセキュリティ法76条)。その範囲はより広く、ホームページ等を開設する一般企業もこれに該当すると解される。
[24] 「重要情報インフラ安全保護条例(意見募集稿)」(2017年7月10日公布、同年8月10日まで意見公募)には、重要情報インフラの範囲に関する細かな規定があるが、実務上、その判断は、会社の事業分野、収集する情報の種類及び規模、ネットワークシステムの設置及び運用状況などの要素を勘案し、主管機関に意見を求めて行われる。
[25] 2020年4月27日公布、2020年6月1日施行。
[26] これらの規定によると、重要情報インフラ運営者は、ネットワーク製品及びサービスの購入に際して秘密保持契約を締結する必要があり、国の安全に影響が及びうる目的物を購入するには、国家ネット安全審査弁公室の安全審査に合格しなければならない。
[27] 応用セキュリティ評価義務を怠った重要情報インフラ運営者は、暗号管理機関により是正命令及び警告を受け、この命令を拒否し、又はネットワークセキュリティに損害を与えた場合、10万元以上100万元以下の過料に処され、直接の責任者は1万元以上10万元以下の過料となる。また、安全審査に合格していない商品やサービスを使用した重要情報インフラ運営者は、暗号管理機関により使用の停止を命じられるとともに、購入額の1倍以上10倍以下の過料に処され、直接の責任者は1万元以上10万元以下の過料となる。
[28] 2017年6月1日、ネット重要設備及びネット安全専用製品目録(第一期)の公告がなされた。
[29] 国家暗号管理局がそのホームページ(http://www.oscca.gov.cn/sca/xxgk/2020-03/25/content_1060686.shtml)で示した見解によると、商用暗号サービスとは、他人のためにインテグレーション、運営、監督などの暗号サポート及び保障を提供する活動をいい、暗号機能の実現には特殊性があり、ネット重要設備とネット安全専用製品目録そのものの合格のみならず、これらの製品を使用する商用暗号サービスも安全でなければならないことから、強制的検査認証の対象とされている。
[30] 2020年3月26日公布・施行。
[31] ブロックチェーンに関し、中国では、2019年1月に公布された「ブロックチェーン情報サービス管理規定」がブロックチェーン情報サービス業界を規制する枠組みを定めるとともに、その定義を補充している。
[32] 2019年10月28日に上海で開催された外灘金融サミットにおいて、政府系研究機関・中国国際経済交流センターの黄奇帆副理事長は、中国人民銀行が発行するブロックチェーン技術に基づくいわゆるデジタル人民元たるDCEP(Digital Currency Electric Payments)の技術が成熟してきており、国家デジタル通貨を発行する世界初の中央銀行になる可能性が高いと発言した。