“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標。”在此基礎上,國務院依據《中華人民共和國網絡安全法》制定《關鍵信息基礎設施安全保護條例》(下稱“條例”),《條例》的出臺一定意義上為關鍵信息基礎設施運營者提供了方向性規定,但具體實操性標準等還需各部門或者國家標準待具體規定。本文僅就《條例》對《網絡安全法》細化規則進行對比和解讀,以便為大家實務操作提供參考。
一、對關鍵信息基礎設施的認定
《條例》明確了關鍵信息基礎設施的定義,是“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等”。《條例》從定義、主體、認定依據三個方面對關鍵信息基礎設施進行的規定,具體為:
(一)定義
從《條例》的規定中我們可以看出,“關鍵信息基礎設施是重要行業和領域的重要網絡設施、信息系統等,或者其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等”,從定義上看,不僅是重要行業和領域,一般的行業和領域,只要其重要的網絡設施、信息系統一旦遭到破壞,可能嚴重危害三大利益的,也可以被認定為關鍵信息基礎設施。這里面需要注意的是不管是重要行業和領域,還是一般行業和領域,被認定為關鍵信息基礎設施的均為重要的網絡設施、信息系統,而非一般的網絡設施、信息系統。
(二)認定依據方面
《條例》將行業和領域的主管部門、監督管理部門認定為保護工作部門,而保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,并報國務院公安部門備案。這里需要說明的是《條例》第三條授予公安部門負責指導監督關鍵信息基礎設施安全保護工作,也屬于保護工作部門。各行業、領域的認定規則按照規定公安部門是可以參與的,但公安部門參與制定的規則是否會涉及自己給自己備案。本文認為,《條例》第九條的保護工作部門并不包括公安部門,否則會存在自己給自己備案的情形,既是裁判又是運動員。
《條例》規定了認定關鍵信息基礎設施的認定規則,主要考慮以下三個方面“(一)網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度;(二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;(三)對其他行業和領域的關聯性影響。”雖然該認定規則為保護工作部門考慮的依據,我們認為企業也可以將此作為自己合規的參考規則,今后各行業主管部門也將出臺行業內細化的認定規則。
二、運營者的義務
《條例》主要規定了運營者的六項義務,主要為:
(一)安全保護措施的同步
運營者對關鍵信息基礎設施采取的安全保護措施應當與其同步規劃、同步建設、同步使用。這是《網絡安全法》第三十三條的要求,主要是針對未建和在建的關鍵信息基礎設施;針對已建成的關鍵信息基礎設施也應當參照《條例》的規定進行合規整改。
(二)網絡安全保護制度
《網絡安全法》規定 “一把手負責制”,建立健全網絡安全保護制度和責任制,保障該領域的人力、財力、物力投入。《條例》第十三條規定明確“運營者的主要負責人對關鍵信息基礎設施安全保護負總責”,“主要負責人”是指一把手,還是專門安全管理機構的負責人?是需要探討的,我們認為應當是專門安全管理機構的負責人,因為該部門主要負責公司的關鍵信息基礎設施的安全保護工作。
(三)設立專門安全管理機構
運營者應當設置專門安全管理機構,并對機構負責人和關鍵崗位人員進行安全背景審查。專門安全管理機構參與本單位與網絡安全和信息化有關的決策,同時負責履行《網絡安全法》第三十四條規定的和《條例》第十五條細化的網絡安全保護職責,具體包括:
建立健全網絡安全管理、評價考核制度,擬訂關鍵信息基礎設施安全保護計劃;
組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估;
按照國家及行業網絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網絡安全事件;
認定網絡安全關鍵崗位,組織開展網絡安全工作考核,提出獎勵和懲處建議;
組織網絡安全教育、培訓;
履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;
對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;
按照規定報告網絡安全事件和重要事項。
(四)安全檢測和風險評估
運營者每年應當對關鍵信息基礎設施進行至少一次網絡安全檢測和風險評估,可以自行進行也可以委托網絡安全服務機構進行。發現的安全問題要及時整改,結果應按要求報送有關部門。這里需要說明的是每年至少一次網絡安全檢測和風險評估,亦即網絡安全檢測和風險評估各一次,并非“或”的關系。
(五)及時報告
運營者應當在關鍵信息基礎設施發生重大網絡安全事件或者發現“重大網絡安全威脅時”,按規定向保護工作部門和公安機關報告。運營者發生合并、分立、解散等情況,也應當及時上報并按照有關部門要求處置關鍵信息基礎設施,確保安全。
(六)采購產品或服務
運營者應當“優先采購”“安全可信”的網絡產品和服務;什么樣的產品和服務才算是安全可信?“優先采購”是否涉嫌違反上位法《招投標法》的采購精神?可能影響國家安全的,還要應當按《網絡安全審查辦法》的規定通過安全審查。該規定同樣可見于《網絡安全法》第三十五條、第三十六條。而可能影響國家安全的采購活動,在安全審查結果尚未定論,建議企業應當設置附條件生效的條款,以便國家安全審查不通過給企業帶來不必要的損失。
三、有關部門的職責
《條例》明確了國家各部門關鍵信息基礎設施保護工作的分工,規定國家網信部門負責統籌協調,國務院公安部門負責指導監督,各行業、領域主管部門負責職責范圍內的安全保護和監督管理工作,省級政府有關部門依職責實施安全保護和監督管理。《條例》主要從以下四個方面確定了有關部門的職責:
(一)信息方面的職責
國家建立網絡安全信息共享機制,并于第三十條規定國家機關及網絡安全服務機構在工作中獲取的信息只能用于維護網絡安全,不得泄露、出售或者非法向他人提供。
(二)預防方面的職責
保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度和網絡安全事件應急預案,定期組織應急演練和檢查檢測。
(三)檢查方面的禁止事項
有關部門應當避免不必要的檢查和交叉重復檢查,檢查不得收費,不得要求運營者購買指定的產品或服務。
(四)優先保障的行業
國家優先保障能源、電信行業的關鍵信息基礎設施安全,能源、電信行業應當為其他行業的關鍵信息基礎設施安全提供保障。
四、漏洞探測、滲透性測試批準與授權
《條例》第三十一條規定,未經國家網信部門、公安部門批準或者保護工作部門、運營者授權,任何組織和個人不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關其安全的活動。對基礎電信網絡進行此類活動的,還要事先向國務院電信主管部門報告。為何國家網信部門、公安部門是批準,而保護工作部門、運營者是授權?兩者之間是“或”的關系,也就意味著二選一的關系。上文中提到公安部門也屬于保護工作部門,網信辦屬于統籌協調部門,但也存在部分監督管理職權,是否也屬于保護工作部門。我們認為,國家網信部門、公安部門和行業監督或主管部門均屬于保護工作部門,《條例》第三十一條保護工作部門授權主要還是行業主管部門,否則則本身就存在沖突,無法實操。另外,行業主管部門作為保護工作部門授權如何解釋,期待實操層面更進一步的明確。
