文:上海君倫律師事務所
《關鍵資訊基礎設施安全保護條例》(下稱“《關保條例》”)已經2021年4月27日國務院第133次常務會議通過,於2021年8月17日正式公佈,並將於2021年9月1日起正式施行。
關鍵資訊基礎設施對國家網路主權與安全、經濟發展與穩定方面具有重要影響,因此,是資料合規關注的重點領域之一。近日,作為關鍵資訊基礎設施保護的監管機構的國家網信辦對某一赴美上市的關鍵資訊基礎設施運營企業啟動網路安全審核,更是引發了業界對關鍵資訊基礎設施合規的關注,尤其針對關鍵資訊基礎設施的認定等。
本次出臺《關保條例》明確了關鍵資訊基礎設施的範圍、認定流程、各方主體的義務和責任等內容。本文將對《關保條例》中關鍵資訊基礎設施的範圍以及關鍵資訊基礎設施保護的監管機構作簡略介紹。
一、關鍵資訊基礎設施(CII)的範圍與認定
關鍵資訊基礎設施
關鍵資訊基礎設施是指公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、資訊系統等(《關保條例》第二條)。
從上述表述上看,正式通過的《關保條例》對CII的範圍採用了非窮盡列舉與後果概述相結合的開放式定義方式。《關保條例》所列舉的重要行業和領域除了《網路安全法》已列舉的“公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務”外,增加了“國防科技工業”。
除列舉項目外,《關保條例》中規定CII還包括“其他一旦遭受破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、資訊系統等”。由此可見,最終認定是否屬於CII是由負責關鍵資訊基礎設施安全保護工作的部門(下稱“保護工作部門”)確定。
對於保護工作部門認定關鍵資訊基礎設施的規則方面,《關保條例》並未明確規定具體的判定標準,其原因主要在於各行業、各領域的認定標準需結合具體行業實踐進行判斷。因此,僅規定了認定時主要考慮因素,即(一)網路設施、資訊系統等對於本行業、本領域關鍵核心業務的重要程度;(二)網路設施、資訊系統等一旦遭到破壞、喪失功能或者資料洩露可能帶來的危害程度;(三)對其他行業和領域的關聯性影響(關保條例》第九條)。
對於認定流程,保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵資訊基礎設施,及時將認定結果通知運營者,並通報國務院公安部門(《關保條例》第十條)。並且,針對關鍵資訊基礎設施發生較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告保護工作部門;保護工作部門自收到報告之日起3個月內完成重新認定,將認定結果通知運營者,並通報國務院公安部門(《關保條例》第十一條)。鑒於,運營者業務範圍、規模的變化,均可能導致對關鍵資訊基礎設施認定的結果變化,因此,運營者須定期就是否需要重新認定進行內部評估,並主動報告相應的變化,否則,有關主管部門可依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
二、關鍵資訊基礎設施保護的監管機構
關於關鍵資訊基礎設施保護的監管機構,《關保條例》與2017年公佈的《關鍵資訊基礎設施安全保護條例(徵求意見稿)》(以下簡稱為“《徵求意見稿》”)的規定有所不同,具體如下:
| 《徵求意見稿》 | 《關保條例》 |
| 第四條國家行業主管或監管部門按照國務院規定的職責分工,負責指導和監督本行業、本領域的關鍵資訊基礎設施安全保護工作。
國家網信部門負責統籌協調關鍵資訊基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責範圍內負責相關網路安全保護和監督管理工作。 縣級以上地方人民政府有關部門按照國家有關規定開展關鍵資訊基礎設施安全保護工作。 |
第三條在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵資訊基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定,在各自職責範圍內負責關鍵資訊基礎設施安全保護和監督管理工作。
省級人民政府有關部門依據各自職責對關鍵資訊基礎設施實施安全保護和監督管理。 |
由此可見,《關保條例》與《徵求意見稿》均規定網信部門負責統籌協調,但負責指導監督關鍵資訊基礎設施安全保護工作的監管主體由“各行業、領域的行業主管或監管部門”變更為“公安部門”,並且將地方負責的政府部門的層級從縣級提升至省級部門。
三、關鍵資訊基礎設施運營者的保護義務
《關保條例》對《網路安全法》規定的關鍵資訊基礎設施運營者(下稱“運營者”)的安全保護義務進行了細化及補充。
首先,就運營者的義務進行了原則性規定,要求運營者需要依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,防範網路攻擊和違法犯罪活動,保障關鍵資訊基礎設施安全穩定運行,維護資料的完整性、保密性和可用性(《關保條例》第六條)。
其次,就運營者的具體義務進行了明確。運營者的具體義務主要包括如下內容:
| 序號 | 運營者義務 | 《關保條例》規定 |
| 1 | 同步規劃、建設、使用安全保護措施與關鍵資訊基礎設施 | 第十二條 安全保護措施應當與關鍵資訊基礎設施同步規劃、同步建設、同步使用。 |
| 2 | 設置專門安全管理機構,保障人力、財力、物力投入 | 第十三條 運營者應當建立健全網路安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵資訊基礎設施安全保護負總責,領導關鍵資訊基礎設施安全保護和重大網路安全事件處置工作,組織研究解決重大網路安全問題。
第十四條 運營者應當設置專門安全管理機構,並對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時,公安機關、國家安全機關應當予以協助。 第十六條 運營者應當保障專門安全管理機構的運行經費、配備相應的人員,開展與網路安全和資訊化有關的決策應當有專門安全管理機構人員參與。 |
| 3 | 每年進行網路安全檢測和風險評估,及時整改,並向保護工作部門報送情況 | 第十七條 運營者應當自行或者委託網路安全服務機構對關鍵資訊基礎設施每年至少進行一次網路安全檢測和風險評估,對發現的安全問題及時整改,並按照保護工作部門要求報送情況。 |
| 4 | 報告、報送情況義務 | 第十一條關鍵資訊基礎設施發生較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定,將認定結果通知運營者,並通報國務院公安部門。
第十五條(八)按照規定報告網路安全事件和重要事項。 第十七條運營者應當自行或者委託網路安全服務機構對關鍵資訊基礎設施每年至少進行一次網路安全檢測和風險評估,對發現的安全問題及時整改,並按照保護工作部門要求報送情況。 第十八條 關鍵資訊基礎設施發生重大網路安全事件或者發現重大網路安全威脅時,運營者應當按照有關規定向保護工作部門、公安機關報告。 發生關鍵資訊基礎設施整體中斷運行或者主要功能故障、國家基礎資訊以及其他重要資料洩露、較大規模個人資訊洩露、造成較大經濟損失、違法資訊較大範圍傳播等特別重大網路安全事件或者發現特別重大網路安全威脅時,保護工作部門應當在收到報告後,及時向國家網信部門、國務院公安部門報告。 第二十一條運營者發生合併、分立、解散等情況,應當及時報告保護工作部門,並按照保護工作部門的要求對關鍵資訊基礎設施進行處置,確保安全。 |
| 5 | 優先採購安全可信的網路產品和服務,並與供應商簽署安全保密協議,如影響國家安全,應通過安全審查 | 第十九條運營者應當優先採購安全可信的網路產品和服務;採購網路產品和服務可能影響國家安全的,應當按照國家網路安全規定通過安全審查。
第二十條運營者採購網路產品和服務,應當按照國家有關規定與網路產品和服務提供者簽訂安全保密協定,明確提供者的技術支援和安全保密義務與責任,並對義務與責任履行情況進行監督。 |
