作为《网络安全法》的重要配套立法,2017年7月10日,国家互联网信息办公室制定的《关键信息基础设施安全保护条例》(征求意见稿)出炉。经过历时四年的征求意见与制定,2021年8月17日,国务院公布了其于2021年4月27日第133次常务会议上通过的《关键信息基础设施安全保护条例》(以下简称“《关基保护条例》”),该条例将于2021年9月1日起与《数据安全法》同步施行。
至此,我国已经构建起了如下关键信息基础设施安全的法律保护链条:
其中,《网络安全法》作为核心法律,从保护网络运行安全与网络信息安全两个方面构筑起我国网络安全的整体框架;《关基保护条例》从关键信息基础设施(即重要的网络载体)保护的角度支撑起网络安全;而《网络安全审查办法》进一步从关键信息基础设施供应链安全层面,对关键信息基础设施进行加固保护。
《关基保护条例》总共六章,五十一条,围绕关键信息基础设施(下称“CII”)认定、关键信息基础设施运营者(下称“CIIO”)责任义务、保障和促进、法律责任等方面进行了规定。本文将从如何规定CII、如何认定监管部门、如何规范CIIO的义务和职责、如何规定境内外存储提供数据、如何认定法律责任等问题出发进行初步解读。
一、《关基保护条例》如何规定CII?
《关基保护条例》的第二条规定,“关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”从上述规定可以看出,《关基保护条例》在继承了《网络安全法》“列举+后果概括”的定义方式基础之上,增加了国防科技工业领域,进一步确定关键信息基础设施的范围。
鉴于《关基保护条例》第二条为概括性规定,具体各行各业的CII认定,仍有赖于重要行业和领域的主管、监管部门出台具体的认定规则。在目前阶段,2016年6月公布的《国家网络安全检查操作指南》中规定的“CII认定三步法”仍具有较强的参考意义,如下图所示:
此外,《关基保护条例》首次提出保护工作部门重新认定关键信息基础设施的期限为3个月内,值得注意。
二、《关基保护条例》如何确定监管部门?
根据《关基保护条例》第三条,依照职责角色,监管部门可以划分为三类主体:国家网信部门、国务院公安部门、国务院电信主管部门和其他有关部门。在中央层面,国家网信部门担当统筹协调角色,国务院公安部门负责指导监督工作,国务院电信主管部门和其他有关部门在各自职责范围内落实安全保护和监督管理工作;在地方层面,省级人民政府有关部门同样参与落实CII安全保护和监督管理工作。
而其他有关部门的范围,结合《关基保护条例》第八条规定,主要指重要行业和领域的主管部门、监督管理部门等负责CII安全保护工作的部门。
三、《关基保护条例》如何规范CIIO的义务和职责?
立足《网络安全法》,《关基保护条例》在《关基保护条例》(征求意见稿)基础之上,进一步明确CIIO的几大主要义务与重点职责。具体见下图:
1. 主要义务
其中,信息上报义务含四大情形:其一,专门安全管理机构应按照规定报告网络安全事件和重要事项;其二,运营者开展网络安全检测和风险评估时,应当按照保护工作部门要求报送情况;其三,发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告;其四,运营者发生合并、分立、解散等情况,应当及时报告保护工作部门。
2. 重点职责
在CIIO的义务和职责中,应重点关注《关基保护条例》的新增规定。本次《关基保护条例》正式稿公布后,新增了安全管理机构人员必须参与进行决策的规定,新增了CIIO合并、分立、解散情况下的报告义务,并对公安机关、国家安全机关协助对专门安全管理机构负责人和关键岗位人员进行安全背景审查首次提出要求。
四、境内存储、境外提供数据如何进行规定?
在《关基保护条例》(征求意见稿)中,规定了个人信息和重要数据应在境内存储、向境外提供应进行评估、CII运行维护应在境内实施等要求,否则面临责令改正、警告、没收违法所得、罚款、停业吊销等处罚措施。正式出台的《关基保护条例》对上述规定予以删除。
然而,这并不意味着法律放松了对上述问题的监管要求。个人信息和重要数据的境内存储、对外提供与评估等要求已在《网络安全法》第三十七条及第六十六条、《数据安全法》第三十一条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条明确规定。因此,涉及跨境数据处理的CIIO,在跨境数据合规措施方面,应与之前保持一致。
五、法律责任如何规定?
经对比分析,在条款设计及用语方面,《关基保护条例》相比《关基保护条例》(征求意见稿)进行了一些调整和处理。但在重大违规事宜及处罚措施方面,《关基保护条例》变动幅度不大。下图将《关基保护条例》提及的法律责任主体分为三类,分别进行总结归纳。
责任主体 | 重大违规事宜 | 处罚措施 |
CIIO | CIIO未按要求建立网络安全保护制度、未践行“三同步”义务,未设置专门机构和人员,未进行安全背景审查,未进行网络安全检测和风险评估,未于采购时签订安全保密协议、未履行信息上报义务等 | 责令改正、警告、10万元以上100万元以下罚款等处罚措施 |
CIIO采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查 | 责令改正、采购金额1倍以上10倍以下罚款等处罚措施 | |
CIIO对有关部门开展的网络安全检查检测工作拒不配合的 | 责令改正、5万元以上50万元以下罚款等处罚措施 | |
CIIO直接负责的主管人员和其他责任人员 | 基本与CIIO重大违规事宜一致 | 1万元以上10万元以下罚款的处罚措施 |
其他主体 | 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪 | 个人:由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款 单位:由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚 |
关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故 | 查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。 |
六、影响及关注
根据上文分析,有以下几点影响值得企业关注:
1. 企业应注意《关基保护条例》与《网络安全法》的衔接。无论是在监管部门抽查检测、组织网络安全应急演练、促进网络安全信息共享、提供技术支持和协助等方面,还是在CII落实网络安全产品采购安全审查和安全保密义务、定期安全检测评估等方面,本条例与《网络安全法》关于CII的重要条款,做到了对应的良好衔接。
2. 可能涉及CII及CIIO的企业,应注意对内建立健全网络安全保护制度,厘清内部人员责任及分工,设置专门安全管理机构,落实安全背景审查,并对发现的问题及时整改;对外与监管部门、网络安全服务机构等之间建立良好的网络安全信息共享机制,配合进行网络安全检查检测。
3. 未涉及CII及CIIO认定的企业及个人,也可能受本条例约束。此类企业及个人,应注意避免涉嫌非法侵入、干扰、破坏关键信息基础设施,实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动的风险。此外,网络安全服务机构及有关部门,应留意在发生重大及特别重大网络安全事件情况下责任的连带承担,提前采取防范措施。
整体而言,《关基保护条例》为我国完善关键信息基础设施保护法律体系、提升网络安全与关键基础设施保护水平奠定了良好基础。然而,鉴于《关基保护条例》未对CII的含义进行创新,当企业不知自身是否涉及CII及CIIO时,应留意本行业领域的主管、监管部门出台的具体认定规则的出台,并进行进一步判断。
