TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

中華人民共和国暗号法 / 中国暗号法 (まとめ)

【概要】

名称 対象
中核暗号 国家機密(最高機密情報) = 極秘レベル
一般暗号 国家機密
商業用暗号 国家機密以外の情報


【ニュース】

◆【全訳掲載】中国「暗号法」=習近平政権下で成立した全44条 (仮想通貨Watch, 2019/11/01 06:00)

暗号を「国家機密」と「商業用」に分類

https://crypto.watch.impress.co.jp/docs/news/1215987.html
https://malware-log.hatenablog.com/entry/2019/11/01/000000_11

◆中国の「密码法(暗号法)」と中国サイバーセキュリティ法における暗号化対策 (SB Cloud, 2020/01/10)
https://www.sbcloud.co.jp/entry/2020/01/10/152228
https://malware-log.hatenablog.com/entry/2020/01/10/000000_9

◆中国でのVPN利用はもう不可能?通信制限を回避できるVPNとは (ITreview, 2020/02/05)
https://www.itreview.jp/blog/archives/3803
https://malware-log.hatenablog.com/entry/2020/02/05/000000_3


【関連まとめ記事】

全体まとめ

◆法律・制度 (まとめ)
https://malware-log.hatenablog.com/entry/Law

【法律】-- 仮想通貨Watch による全文訳 --

中華人民共和国暗号法

第一章 総則

第一条
暗号の利用・管理のルールを整備し、暗号事業の発展を促進し、ネットワークと情報セキュリティを保障し、国家の安全と社会の公共利益を維持し、国民、法人、その他の組織の合法的な権利を保護するために、本法を制定する。


第二条
本法上の「暗号」は、情報に対して特定の変換方法を加えることで、暗号化して保護され、安全が認証された技術、商品、サービスを指す。


第三条
暗号に関わる業務は、国の安全観に基づき、統一された指導を守り、各部署で責任を持ち、イノベーションを発展させ、国全体、社会の利益に基づいてサービスを提供し、法に則って管理し、安全の原則を保障する。


第四条
中国共産党は暗号業務の指揮を執る。中央政府の暗号業務の指導組織は全国の暗号業務を統一的に指導し、国の暗号業務の重要方針・政策を制定し、国の暗号重要プロジェクトや重要業務と足並みをそろえ、国が暗号法体系を整えることを推進する。


第五条
国の暗号管理部門は全国の暗号業務の責任を負う。県級以上の地方の暗号管理部門はその行政区域の暗号業務の責任を負う。政府機関と暗号業務に関係する組織は、その職責の範囲内で暗号業務の責任を負う。


第六条
国は暗号を、「中核暗号」「一般暗号」「商業用暗号」に分類して管理する。


第七条
中核暗号、一般暗号は国の機密情報の保護に使われる。中核暗号が保護する最高機密情報は、「極秘」レベルであり、一般暗号が保護する最高機密情報は「機密」レベルである。中枢暗号、一般暗号ともに国家機密であり、暗号管理部門は本法と関連法律、行政法規に則って厳格に
統一管理を実施する。


第八条
商業用暗号は国家機密以外の情報を保護する。公民、法人、その他の組織は法に則って商業用暗号を使用し、ネットワークと情報セキュリティを保護する。


第九条
政府は暗号テクノロジーの研究と実用化を奨励し、法に則った暗号分野の知的財産権を保護し、暗号テクノロジーの進歩とイノベーションを促進する。政府は暗号人材の育成やチーム作りを強化し、暗号業務で特に貢献した組織や個人に対し、国の規定に基づき顕彰する。


第十条
国はさまざまな形式を用いて暗号セキュリティ教育を強化し、暗号セキュリティ教育を国民や公務員の教育システムに組み込み、公民、法人、その他組織の暗号セキュリティ意識を高める。


第十一条
県級以上の人民政府は暗号業務を国民経済と社会発展計画に組み込み、必要経費を予算に計上すること。


第十二条
いかなる組織、個人も他人の暗号で保護された情報を盗んだり、他人の暗号保障システムに違法に侵入してはならない。いかなる組織、個人も暗号を国家セキュリティや社会の公共利益、他人の合法的な権利などに危害を加える犯罪活動に利用してはならない。

第二章 中核暗号、一般暗号

第十三条
政府は中核暗号、一般暗号の科学計画、管理、使用を強化し、制度の構築や管理の徹底を推敲し、暗号のセキュリティ保障能力を高める。


第十四条
有線、無線通信で送受信される国家機密情報および国家機密情報の保存、処理の情報システムは、法律、行政法規、国家の関連規定に則って、中核暗号、一般暗号を保護し、安全認証して使用する。


第十五条
中核暗号、一般暗号の研究、生産、サービス、検査、設備、使用、廃棄などの業務にかかわる機関(以下、暗号業務機関とする)は、法律、行政法規、国家関連規定および中核暗号、一般暗号の標準の要求に則って、健全な安全管理制度を構築し、厳格な機密保持措置、機密保持責任制度を実行し、中核暗号、一般暗号の安全を確保する。


第十六条
暗号管理部門は法に則って暗号業務機関の中核暗号、一般暗号業務の指導、監督、検査を行い、暗号業務機関は協力する。


第十七条
暗号管理部門は業務の必要に応じて中核暗号、一般暗号のセキュリティ監視警戒、セキュリティリスク評価、情報通報、重要事項の協議や緊急処置などを、関連部門と連携する体制を構築し、中核暗号と一般暗号のセキュリティ管理に向けて、協力体制や効率的な運営を確保する。
暗号業務機関が中核暗号、一般暗号の漏えいや、中核暗号、一般暗号のセキュリティに影響を及ぼす問題、リスクを発見した場合、すぐに必要措置を講じ、機密保持行政管理部門、暗号管理部門に報告し、これら部門などの関連組織と調査、措置を行うほか、関連暗号業務機関のセキュリティリスクを解消すべく指導する。


第十八条
国は暗号業務機関の構築に注力し、業務の職責履行を保障する。国は中核暗号、一般暗号の業務に必要な人材の雇用、選出、機密保持、評価、研修、待遇、賞罰、交流、退職などの管理制度を適切に整備する。


第十九条
暗号管理部門は業務の必要に応じ、国の関連規定に基づいた上で、警察、交通運輸、税関などに対し、中核暗号、一般暗号に関する物品や人員に関する検査免除などの便宜を求めることができる。関連部門は協力すること。


第二十条
暗号管理部門と暗号業務機関は健全かつ厳格な監督・セキュリティ評価制度を構築すること。業務従事者は法律や紀律を守り監督を行い、法に則って必要措置を講じ、定期・不定期にセキュリティ評価を実施する。

第三章 商業用暗号

第二十一条
国は商業用暗号の研究開発、学術交流、成果移転、普及活用および健全で統一された開放的、競争的、秩序ある商業用暗号市場システムを奨励し、商業用暗号産業の発展を奨励・促進する。
各レベルの人民政府および関連部門は無差別の原則を順守し、法に則って外資企業も含む暗号の科学研究、生産、販売、サービス、輸出入に関わる事業者(以下、商業用暗号事業者)を平等に扱う。国は外資企業の投資において、自発的な意思に基づき、商業ルールに則り、商業用暗号技術に関する協業を推進する。行政機関と職員は行政手段を用いて、商業用暗号技術の移転を強制してはならない。
商業用暗号の科学研究、生産、販売、サービス、輸出入においては、国家セキュリティ、社会公共利益、他人の合法的な権利を侵害してはならない。


第二十二条
国は商業用暗号の標準システムを構築・整備する。
国務院標準化行政主管部門と国家暗号管理部門はそれぞれの職責に基づき、商業用暗号の国家標準や業界標準を制定する。
国は社会団体、企業が生み出した新技術を利用して、国家標準、業界標準を上回る関連技術が求める商業用暗号団体標準、企業標準を制定することをサポートする。


第二十三条
国は商業用暗号の国際標準づくりを推進し、商業用暗号の国際標準の制定に参画し、商業用ビジネスの中国標準と海外標準の相互運用を推進する。
国は企業、社会団体、教育・科学研究機関が商業用暗号の国際標準化活動に参画することを推進する。


第二十四条
商業用暗号事業者が商業暗号ビジネスを展開する際は、関連法律、行政法規、商業用暗号の強制力を持つ国家標準および当該組織が公開している技術的な基準に合致しなければならない。
国は商業用暗号事業者が商業用暗号の強制力を持たない国家標準、業界標準を適用し、商業用暗号の防御能力やユーザーの合法的な権利を保護することを推奨する。


第二十五条
国は商業用暗号のテスト・認証システムの構築や商業用暗号のテスト・認証技術のルール作りを推進し、商業用暗号事業者が自主的に商業用暗号のテスト・認証を行い、市場競争力を高めることを推奨する。
商業用暗号のテスト・認証機関は法に則って必要な条件を満たし、法律、行政法規、商業用暗号のテスト・認証技術ルールに則り、商業用暗号のテスト・認証を実施する。
商業用暗号のテスト・認証機関はその商業用暗号のテスト・認証において取得した国家機密や商業機密を保護する義務を負う。


第二十六条
国家のセキュリティ、国家の経済と国民の生活、社会公共利益の商業用暗号商品は、法に則ってネットワークの基幹設備とネットワークセキュリティ専用商品リストに入れ、有資格機関のテスト・認証に合格後、販売や提供ができる。商業用暗号商品のテスト・認証は「中華人民共和国サイバーセキュリティ法」の関連規定を適用し、テスト・認証の重複を避ける。
ネットワーク基幹設備とネットワークセキュリティ商品を使用する商業用暗号のサービスは、商業用暗号認証機関による商業用暗号サービス認証に合格する必要がある。


第二十七条
法律、行政法規と国家関連規定は商業用暗号の使用で保護された基幹情報インフラを使い、その運営者は商業用暗号を保護し、商業用暗号のテスト機関に委託するか自身において商業用暗号の安全性評価を実施する必要がある。商業用暗号の応用安全性評価は基幹情報インフラ安全テスト評価、ネットワークセキュリティレベル評価制度などと連携し、重複評価を避ける。
基幹情報インフラの運営者が商業用暗号に関する商品やサービスを購入する際は、国家セキュリティへの影響を考慮し、「中華人民共和国サイバーセキュリティ法」の規定に沿って、国家インターネット情報部門や国家暗号管理部門など関連部門・組織の国家セキュリティ審査を受ける。


第二十八条
国務院の商務主管部門と国家暗号管理部門は法に則って、国家セキュリティ、社会公共利益に関連し、かつ暗号化保護機能を持つ商業用暗号に対して輸入許可を出すとともに、国家セキュリティ、社会公共利益に関連する、あるいは中国が国際的義務を請け負う商業用暗号について輸出を制限する。商業用暗号の輸入許可リストと輸出制限リストは国務院商務主管部門会と国家暗号管理部門、税関総署が制定、公布する。
コンシューマー向け商品に使われる商業用暗号については、輸入許可、輸出制限制度の対象外とする。


第二十九条
国家暗号管理部門は電子行政事務、電子認証サービスに商業用暗号技術を用いる機関を認定し、関連部門とともに行政事務活動に使用する電子署名や音声、メールなどのデータ管理に責任を持つ。


第三十条
商業用暗号分野の業界団体などの組織は法律、行政法規、規約などの規定に則り、商業用暗号事業者に情報、技術、研修などのサービスを提供し、商業用暗号事業者が法に則った商業暗号活動を展開することを指導し、業界の秩序を維持し、業界の信用構築や健全発展に努める。


第三十一条
暗号管理部門と関連部門は通常の監督管理体制や抜き打ち検査を組み合わせた、商業用暗号の事中・事後の監督管理制度を構築し、商業用暗号監督管理情報プラットフォームを整備し、事中・事後の監督管理と社会の信用システムをリンクさせ、商業用暗号事業者の自律的な活動や社会監督を強化する。
暗号管理部門と関連部門、そして業務従事者は商業用暗号事業者と商業用暗号のテスト・認証機関に対し、ソースコードなどの非開示かつ暗号に関連する情報の開示を要求してはならない。職務上知り得た商業上の秘密や個人のプライバシーは厳格に保護し、漏えいしたり違法に他人に提供してはならない。

第四章 法律責任

第三十二条
本法第十二条に違反し、他人の暗号化された保護情報を盗んだり、他人の暗号保障システムに違法に侵入したり、暗号業務を利用して国家セキュリティ、社会の公共利益、他人の合法的な権利に危害を加えるなどの違法行為を行ったものは、関連部門は「中華人民共和国サイバーセキュリティ法」、その他の法律、行政法規の規定に則り、法律責任を問う。


第三十三条
本法第十四条の規定に反して、中核暗号、一般暗号の使用の要求に従わない場合、暗号管理部門は改善や違法行為の停止を命令し、警告を行う。情状が悪質な場合、暗号管理部門は関連する国家機関、組織が直接の責任者などに処分を行うよう提案する。


第三十四条
本法規定に違反し、中核暗号、一般暗号の漏えいが発生した際は、機密保持行政管理部門、暗号管理部門は関連国家機関、組織に対して直接の責任者の処分を行うよう提案する。
本法第十七条第二款規定に違反し、中核暗号、一般暗号の漏えいや中核暗号、一般暗号のセキュリティの重大リスクを発見してもすぐに対応措置を取らなかったり、報告を怠った場合、機密保持行政管理部門、暗号管理部門は関連国家機関、組織に対して直接の責任者の処分を行うよう提案する。


第三十五条
商業用暗号のテスト・認証機関が本法第二十五条第二款、第三款規定に違反して商業用暗号のテスト・認証を行った際は、市場監督管理部門と暗号管理部門は改善命令や違法行為の停止命令、警告を行い、違法に得た所得を没収する;違法所得が三十万元以上の場合、違法所得の倍以上三倍以下の罰金を科すことができる;違法所得が三十万元以下もしくは違法所得がない場合、十万元以上三十万元以下の罰金を科すことができる;情状が悪質な場合は法に則り資格を取り消す。


第三十六条
本法第二十六条規定に違反し、認証を得てなかったり認証に不合格だった商業用暗号商品を販売した場合、あるいは認証を得ていなかったり認証に不合格だった商業用暗号サービスを提供した場合、市場監督管理部門と暗号管理部門は改善命令や違法行為の停止命令、警告を行い、違法に得た所得を没収する;違法所得が三十万元以上の場合、違法所得の倍以上三倍以下の罰金を科すことができる;違法所得が三十万元以下もしくは違法所得がない場合、十万元以上三十万元以下の罰金を科すことができる


第三十七条
基幹情報インフラの運営者が本法第二十七条第一款の規定に違反し、商業用暗号の使用の要求や、商業用暗号の応用安全性評価の要求に従わなかった場合、暗号管理部門は改善を命令し警告する。改善を拒否したり、ネットワークセキュリティに損害を与えた場合は、十万元以上百万元以下の罰金を科し、直接の責任者に一万元以上十万元以下の罰金を科す。
基幹情報インフラの運営者が本法第二十七条第二款の規定に違反し、セキュリティ審査に合格していない商品やサービスを提供した場合、関連主管部門は使用の停止を命じ、購入金額の倍以上十倍以下の罰金を科す;直接責任を負う主管職員やその他の直接責任を負う職員は、一万元以上十万元以下の罰金を科す。


第三十八条
本法第二十八条で定めた輸入許可や輸出制限の規定に反して商業用暗号の輸出入を行った際は、国務院商務主管部門あるいは税関が法に則って処罰する。


第三十九条
本法第二十九条規定に違反し、必要な手続きを取らずに電子行政事務や電子認証サービスを行った際は、暗号管理部門は改善あるいは違法行為の停止を命じ、警告し、違法商品や違法所得を没収する。違法所得が三十万元以上の場合、違法所得の倍以上三倍以下の罰金を科すことができる;違法所得が三十万元以下もしくは違法所得がない場合、十万元以上三十万元以下の罰金を科すことができる


第四十条
暗号管理部門と関連部門、組織の業務従事者が暗号業務で職権を乱用したり、職務を怠ったり、不正行為を働いたり、秘密を漏えいしたり、職務上知り得た商業秘密や個人情報を他人に提供した際は法に則って処分する。


第四十一条
本法規定に違反し、犯罪要件を満たした場合は刑事責任を追及する;他人に損害を与えた場合は法に則り民事責任を追及する。

第五章 附則

第四十二条
国家暗号管理部門は法律、行政法規の規定に沿って、暗号管理の規則を制定する。


第四十三条
中国人民解放軍と中国人民武装警察部隊の暗号業務管理弁法は、中央軍事委員会が法に則り制定する。


第四十四条
本法は2020年1月1日に施行する。

出典: https://crypto.watch.impress.co.jp/docs/news/1215987.html


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020