四表格剖析《关键信息基础设施保护条例》

来源:大数据法律研究

文章摘要
8月17日,《关键信息基础设施安全保护条例》(下称“《条例》”)正式公布,将自2021年9月1日起正式实施。

8月17日,《关键信息基础设施安全保护条例》(下称“《条例》”)正式公布,将自2021年9月1日起正式实施。相较2017年7月发布的《关键信息基础设施安全保护条例(征求意见稿)》,《条例》在框架和内容上都进行了较大的改动,本文将通过表格梳理,深入解读《条例》重点内容。
一、CII安全保护和监督管理体系
《条例》将原征求意见稿中的负责指导和监督关键信息基础设施(Critical Information Infrastructure, CII)安全保护工作的监管部门从“各行业、各领域的国家行业主管或监管部门”修改为由国家网信部门统筹协调的如下安全保护和监督管理体系,体现了《条例》第四条所规定的“综合协调、分工负责、依法保护”的CII安全保护原则:

国家网信部门

统筹协调

(1)统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、关键信息基础设施运营者(Critical Information Infrastructure Operator, CIIO)以及网络安全服务机构等之间的网络安全信息共享;

(2)统筹协调国务院公安部门、保护工作部门对CII进行网络安全检查检测,提出改进措施。

国务院公安部门

国务院

电信主管部门

国务院

其他有关部门

省级人民政府

有关部门

指导监督CII安全保护工作

依照《条例》和有关法律、行政法规的规定,在各自职责范围内负责CII安全保护和监督管理工作

依据各自职责对CII实施安全保护和监督管理

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管部门、监督管理部门是负责CII安全保护工作的部门(下称“保护工作部门”),具体职责如下:

(1)制定本行业、本领域CII安全规划,明确保护目标、基本要求、工作任务、具体措施;

(2)建立健全本行业、本领域的CII网络安全监测预警制度,及时掌握本行业、本领域CII运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作;

(3)建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导CIIO做好网络安全事件应对处置,并根据需要组织提供技术支持与协助;

(4)定期组织开展本行业、本领域CII网络安全检查检测,指导监督CIIO及时整改安全隐患、完善安全措施。

其他有关部门职责:

(1)有关部门在开展CII网络安全检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查,检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务;

(2)国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助;

(3)网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在CII安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供;

(4)能源、电信行业应当采取措施,为其他行业和领域的CII安全运行提供重点保障;

(5)公安机关、国家安全机关依据各自职责依法加强CII安全保卫,防范打击针对和利用CII实施的违法犯罪活动。


二、CII认定规则
《条例》第二条未采纳《征求意见稿》具体罗列CII保护范围的做法,而是在《网络安全法》对于CII定义基础上,在“重要行业和领域”增加列举了“国防科技工业”,以“重要行业和领域”加“严重危害后果”的方式对CII进行“定性式”界定,避免了“过宽或过窄”的问题。[1]根据公安部于2020年7月发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护可能会被纳入CII。
《条例》第九条列举的认定规则制定的主要考虑因素和第十一条对发生较大变化的CII进行重新认定的要求体现了《信息安全技术关键信息基础设施边界确定方法(征求意见稿)》提出的“重要性”“业务安全”“整体性”及“动态识别”的CII边界识别基本原则。
此外,出于对国家安全等方面的考虑,《条例》仅要求将认定结果及时通知相关CIIO,并通报国务院公安部门,而未要求公开认定结果。若网络产品或服务提供者的客户存在被认定为CIIO的可能性,建议相关企业向客户询问确认。CIIO采购网络产品或服务,影响或可能影响国家安全的,需按《网络安全审查办法》进行网络安全审查。此时,相关网络产品或服务提供者应配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

定义重点

重要行业和领域

严重危害后果

范围

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等

其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益

重要网络设施、信息系统

认定规则

制定部门

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管部门、监督管理部门

认定规则应报国务院公安部门备案

认定部门

认定结果应及时通知CIIO并通报国务院公安部门

CII认定基本原则

重要性原则

(1)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度

认定规则制定主要考虑因素

业务安全原则

(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度

整体性原则

(3)对其他行业和领域的关联性影响

动态识别原则

CII发生较大变化,可能影响其认定结果的,CIIO应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知CIIO,并通报国务院公安部门。


三、CII责任义务
《条例》从制度制定、部门设置、人员配置、安全保护措施、事件报告及网络产品和服务采购等多个方面设置了多项CIIO责任义务。CIIO 除关注《条例》的相关要求外,还应关注分布在《网络安全法》《密码法》《网络安全审查办法》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等法律法规中的要求。
此前,信安标委陆续发布了《信息安全技术关键信息基础设施网络安全框架》《信息安全技术关键信息基础设施安全保护要求》《信息安全技术关键信息基础设施安全控制措施》《信息安全技术关键信息基础设施安全检查评估指南》《信息安全技术关键信息基础设施安全保障评价指标体系》《信息安全技术关键信息基础设施安全防护能力评价方法》等国家标准的征求意见稿,相关CIIO亦需密切关注相应国家标准及配套制度的发布与实施。

事项

具体要求

对应条款

制度制定

1.网络安全保护制度和责任制

2.网络安全管理、评价考核制度

3.个人信息和数据安全保护制度

4. 网络安全事件应急管理制度

5. 员工培训制度

6. 网络产品和服务安全审查制度

7. 对外报告制度

8.其他

《条例》第十三条、第十五条、第十七条、第十八条、第十九条、第二十一条

部门设置

设置要求

设置专门安全管理机构

《条例》第十四条

部门职责

具体负责本单位的CII安全保护工作,履行下列职责:

(1)建立健全网络安全管理、评价考核制度,拟订CII安全保护计划;

(2)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;

(3)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;

(4)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;

(5)组织网络安全教育、培训;

(6)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;

(7)对CII设计、建设、运行、维护等服务实施安全管理;

(8)按照规定报告网络安全事件和重要事项

《条例》第十五条

人员配置

配置要求

CIIO应保障专门安全管理机构配备相应的人员,设置专门安全管理机构负责人

《条例》第十六条

人员职责

1. CIIO主要负责人

对CII安全保护负总责,领导CII安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题

《条例》第十三条

2. 专门安全管理机构人员

参与CIIO的与网络安全和信息化有关的决策

《条例》第十六条

人员管理

1. 对专门安全管理机构负责人和关键岗位人员进行安全背景审查;

2. 定期对从业人员进行网络安全教育、技术培训和技能考核

《条例》第十四条

《网络安全法》第三十四条

安全保护措施

基本要求

1.确保CII具有支持业务稳定、持续运行的性能;

2.安全保护措施与CII同步规划、同步建设、同步使用

《条例》第十二条

《网络安全法》第三十三条

具体要求

1.履行网络安全等级保护义务

(拓展阅读:《五图表读懂网络安全等级保护制度与关键信息基础设施保护制度》

《条例》第六条

2. 在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,包括但不限于如下措施:

(1)对重要系统和数据库进行容灾备份;

(2)梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施;

(3)合理分区分域,收敛互联网暴露面,加强网络攻击威胁管控,强化纵深防御;

(4)积极利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,不断提升CII内生安全、主动免疫和主动防御能力;

(5)法律、行政法规和国家有关规定要求使用商用密码进行保护的CII,其CIIO应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估;

(6)自行或者委托网络安全服务机构对CII每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况;

(7)对保护工作部门开展的CII网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的CII网络安全检查工作予以配合

《条例》第六条、第十七条、第二十八条

《网络安全法》第三十四条

《密码法》第二十七条

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

事件报告

CII发生较大变化,可能影响其认定结果

及时将相关情况报告保护工作部门

《条例》第十一条

定期网络安全检测和风险评估后

按照保护工作部门要求报送情况

《条例》第十七条

CII发生重大网络安全事件或者发现重大网络安全威胁

CIIO应按照有关规定向保护工作部门、公安机关报告

《条例》第十八条

CIIO发生合并、分立、解散等情况

及时报告保护工作部门,并按照保护工作部门的要求对CII进行处置,确保安全

《条例》第二十一条

网络产品和服务采购

1.优先采购安全可信的网络产品和服务;

2.采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查;

3.与提供者签订安全保密协议,明确安全和保密义务与责任;

4. 采购涉及商用密码的网络产品和服务,可能影响国家安全的,应按《网络安全法》规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查

《条例》第十九条

《网络安全法》第三十五条第三十六条

《密码法》第二十七条

《网络安全审查办法》


四、法律责任
法律责任承担主体
违法情形
法律责任
CIIO
(1)在CII发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;
(2)安全保护措施未与CII同步规划、同步建设、同步使用的;
(3)未建立健全网络安全保护制度和责任制的;
(4)未设置专门安全管理机构的;
(5)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;
(6)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;
(7)专门安全管理机构未履行本条例第十五条规定的职责的;
(8)未对CII每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;
(9)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;
(10)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对CII进行处置的
由有关主管部门依据职责责令改正,给予警告
拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款
在CII发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告
由保护工作部门、公安机关依据职责责令改正,给予警告
拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款
采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查
由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款
违反《网络安全法》《数据安全法》《条例》等规定,在境外存储网络数据,或者向境外提供网络数据的
由有关主管部门责令改正,给予警告,没收违法所得,处5万元以上50万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;
对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款
对保护工作部门开展的CII网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的CII网络安全检查工作不予配合
由有关主管部门责令改正

拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款情节严重的,依法追究相应法律责任
个人
非法侵入、干扰、破坏CII(尚不构成犯罪)
——包括未经国家网信部门、国务院公安部门批准或者保护工作部门、CIIO授权,对CII实施漏洞探测、渗透性测试等可能影响或者危害CII安全的活动
(对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告)
依照《网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;
受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作
情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款;
受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作
单位
由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照《条例》第四十三条第一款规定处罚;
受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作
个人或单位
非法侵入、干扰、破坏CII
(构成犯罪)
可能根据《刑法》第二百八十五条第二百八十六条第二百八十八条第三百六十九条等条款规定承担相应刑事责任;
受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
网信部门、公安机关、保护工作部门和其他有关部门及其工作人员
未履行CII安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊
依法对直接负责的主管人员和其他直接责任人员给予处分
将在CII安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供
依法对直接负责的主管人员和其他直接责任人员给予处分
网络安全服务机构及其工作人员
将在CII安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供
依法对直接负责的主管人员和其他直接责任人员给予处分
公安机关、保护工作部门和其他有关部门
在开展CII网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务
由其上级机关责令改正,退还收取的费用
情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分

结 语
继《数据安全法》于6月正式发布,《网络安全审查办法(修订草案征求意见稿)》紧随其后向社会公开征求意见,《关键信息基础设施安全保护条例》将于今年9月1日正式生效,《个人信息保护法》近日进入三审,我国网络安全法律体系不断完善,网络运营者的网络安全保护义务愈发清晰,《条例》的落地不仅仅影响CIIO,所有网络运营者均应重视内部网络安全和数据合规体系的建立与完善。
[1]隐私护卫队:《关键信息基础设施保护条例:由行业监管部门负责制定认定规则》.(2021-08-19)[2021-08-19].https://mp.weixin.qq.com/s/fGsfe_vZ396fsCy_1lMvxw.

技术驱动法律,专业成就未来