近日,国务院互联网信息办公室公布《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《条例意见稿》),面向社会公开征求意见。本文将从关键信息基础设施的范围、运营者的责任义务、政府部门监管等方面,对该《条例意见稿》的主要内容进行简要分析。
2017年7月10日,国务院互联网信息办公室公布《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《条例意见稿》),面向社会公开征求意见。在正式通过之后将作为2016年11月7日出台的《中华人民共和国网络安全法》(以下简称《网络安全法》)的重要配套法规之一的《关键信息基础设施安全保护条例》,对关键信息基础设施的范围、运营者的责任义务、政府部门监管等方面进行了细化规定。
1细化关键信息基础设施的范围
《网络安全法》规定关键信息基础设施范围为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息”,并提出了对于关键信息基础设施及其运营者的一系列特殊要求。因此,“关键信息基础设施”的范围界定及具体规制制度,一直是包括跨国公司在内的各类主题关注的热点话题。本次的《条例意见稿》沿用《网络安全法》的“列举+兜底”形式,从安全性和行业性两个层面对关键信息基础设施的范围进行界定:
安全性要求 | 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益 |
行业性要求 | 政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位 |
电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位 | |
国防科工、大型装备、化工、食品药品等行业领域科研生产单位 | |
广播电台、电视台、通讯社等新闻单位 | |
其他重点单位 |
与《网络安全法》的规定相比,《条例意见稿》无疑扩大了关键信息基础设施的范围,明确增加“卫生医疗、教育、环境保护、国防科工、大型装备、化工、食品药品”等行业领域,明确“公共通信和信息服务”包括“电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息的网络服务”。很多与此类行业及业务相关的跨国公司均将落入规制的范围之内。
还需要特别注意的是,《条例意见稿》并未规定对关键信息基础设施的识别措施,后续国家网信部门将可能会同国务院电信主管部门、公安部门等制定关键信息基础设施识别指南,该指南将对如何认定各行业的关键信息基础设施作出具体规定,值得持续予以关注。
2加强运营者的义务和责任
《条例意见稿》在《网络安全法》的基础上,为关键信息基础设施的运营者设定了更加严格的义务。当运营者不履行相关义务时,除了对运营者责令改正、予以警告、处以罚款外,对于直接负责的主管人员等还会处以一万元以上、十万元以下的罚款。
首先,《条例意见稿》详细列举了运营者的安全保护义务,明确运营者的主要负责人为安全保护工作的第一责任人。此外,还明确了运营者网络安全管理负责人的安全保护义务:
运营者义务 | 制定内部安全管理制度和操作规程,严格身份认证和权限管理 |
采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为 | |
采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月 | |
采取数据分类、重要数据备份和加密认证等措施 | |
设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查 | |
定期对从业人员进行网络安全教育、技术培训和技能考核 | |
对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施 | |
制定网络安全事件应急预案并定期进行演练 | |
网络安全管理负责人义务 | 组织制定网络安全规章制度、操作规程并监督执行 |
组织对关键岗位人员进行技能考核 | |
组织制定实施本单位网络安全教育和培训计划 | |
组织开展网络安全减产和应急演练等义务 | |
按规定向国家有关部门报告网络安全重要事项、事件 |
其次,《条例意见稿》增设了关键信息基础设施运营者的产品和服务安全保障义务。除沿用《网络安全法》和《网络产品和服务安全审查办法(试行)》的相关规定,即运营者应当“符合法律法规和行业标准,对于影响国家安全的进行安全审查”外,新增了以下两项规定:
一是运营者对外包开发的系统、软件,接受捐赠的网络产品,在其上线前应当进行安全检测;对存在安全风险的网络产品和服务,应当及时消除隐患,存在重大风险时,还应当履行向相关部门的报告义务。二是关键信息基础设施的运行维护应当在境内实施,因业务需要,确需进行境外远程维护的,应事先向国家行业主管/监管部门和国务院公安部门进行报告,据此,可能对外资企业网络设施的运行和维护模式产生影响。
此外,《条例意见稿》还明确了运营者对关键信息基础设施的新建、停运或重大变化的报告义务、境内存储个人信息和重要数据的义务、健全安全检测评估制度并配合进行安全检测等义务。
3明确政府部门的监管方式
鉴于关键信息基础设施内容的广泛性和重要性,可能受到来自多方面的安全风险,《条例意见稿》确定了以国家网信部门为中心,各行业主管/监管部门协调运作的监管方式。一方面,国家网信部门将对关键信息基础设施进行统筹监管。针对关键信息基础设施的保护,建设网络安全监测预警体系、信息通报制度、应急协作机制等基础制度。另一方面,各行业的主管/监管部门负责本行业内安全监测预警体系、信息通报制度、应急协作机制等具体制度的制定和完善,开展关键信息基础设施的识别和抽查工作,并接受针对相关违规行为的举报。
4评价
《条例意见稿》从关键信息基础设施的范围、运营者的责任义务、监管措施等方面完善了关键信息基础设施的保护制度,增加了该制度可操作性。对于可能落入关键信息基础设施范畴的企业,应当及时审查企业内部的相关制度,持续关注后续出台的细则性文件,确保企业运营及业务开展的合规性。
法规原文链接:
《关键信息基础设施安全保护条例(征求意见稿)》
http://www.cac.gov.cn/2017-07/11/c_1121294220.htm
