2021年8月17日,歷經三年以上征求意見,國務院正式發布《關鍵信息基礎設施安全保護條例》(下稱“關保條例”),將于2021年9月1日起與《數據安全法》同步實施。
結合相關立法趨勢、監管執法實踐及項目經驗,匯業律師事務所網數法律團隊簡要解讀《關保條例》如下,僅供業界參考。
一、部分法律文件
二、分級保護
通過一系列立法、執法實踐,我國開創性的建立起網絡、數據監管與保護的分類分級模式,其中就包括“分等級保護、分等級監管”,具體體現在:
(一)網絡分級
根據《網絡安全法》、《關保條例》及1960號文等規定,等保是基礎,關保是重點保護,但二者沒有直接的對應關系。即,盡管有 “重點保障關鍵信息基礎設施和第三級以上網絡的安全”的要求,但實踐中,MLPS3的網絡或系統不必然等同于CII。
(二)數據分級
(三)個人信息分級
按照敏感度程度,可以分為:
按照必要性程序,可以分為:
三、監管體系
綜合《網絡安全法》、《關保條例》及1960號文等規定,當前我國關保監管體系如下:
四、認定標準
關于CII的認定標準,《關保條例》摒棄了《關鍵信息基礎設施安全保護條例(征求意見稿)》的概括加列舉的認定模式,基本延續了《網絡安全法》的“行業+風險”的雙重認定模式。即,下列網絡設施、信息系統等可能會被認定為CII:
(1)行業標準:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(注:新增)等重要行業和領域的網絡設施、信息系統;
(2)風險標準:雖然不在上述行業和領域,但一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益,或者會對其他行業或領域造成重大關聯影響的重要網絡設施、信息系統;
(3)其他標準:此外,《網絡安全法(草案)》在CII認定時還有用戶數量標準,即“用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統”也會被認定為CII,后續坊間流傳的《關鍵信息基礎設施確定指南》也有參考用戶數量這一指標,后續各保護工作部門在制定關鍵信息基礎設施認定規則時是否會考慮用戶數這一指標,有待進一步明確;此外,1960號文還從系統功能特征的維度提出了CII的認定標準,即“應將符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施”。
值得注意的是,上述“行業+風險”的雙重認定標準還是非常寬泛的。例如,其中的“信息服務”領域,若按照《互聯網信息服務管理辦法》的認定標準,除了典型的互聯網公司外,大多數觸網的企業都可能會被認定為提供“信息服務”。
《關保條例》進一步明確,是否屬于CII,由保護工作部門根據認定規則負責組織認定并將認定結果通知運營者,而無需運營者自行判斷、評估是否屬于CIIO。據匯業黃春林律師團隊介紹,之前已經有部分企業收到了主管部門的認定通知。
五、合規義務
綜合《關保條例》及前述法律法規及監管執法實踐,匯業黃春林律師團隊提示,CIIO應當依法履行的合規義務包括但不限于:
(1)依法開展網絡安全等級保護測評、定級等工作;
(2)采購網絡產品和服務、處理重要數據等可能影響國家安全的,或者赴國外上市,應當按照《網絡安全審查辦法》等規定開展網絡安全審查;
(3)應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改;
(4)依法使用商用密碼產品或服務,對重要系統和數據庫進行容災備份;
(5)安全保護措施應與關鍵信息基礎設施同步規劃、同步建設、同步使用;
(6)采購網絡產品和服務,應當確保供應鏈安全,遵從進出口管制相關規定,并應按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任,并對義務與責任履行情況進行監督;
(7)依法履行數據及個人信息本地化義務,確需出境的,依法開展安全評估或認證;
(8)應當建立健全網絡安全及數據保護相關制度、機制;
(9)主要負責人對關鍵信息基礎設施安全保護負總責;
(10)應當設置專門安全管理機構和安全管理負責人,保障其運行經費、配備相應的人員,開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與;
(11)應當對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查,定期對從業人員進行網絡安全教育、技術培訓和技能考核;
(12)制定網絡安全事件應急預案,并定期進行演練,發生重大網絡安全事件或者發現重大網絡安全威脅時,應當按照有關規定向保護工作部門、公安機關報告;
(13)發生合并、分立、解散等情況,應當及時報告保護工作部門,并按照保護工作部門的要求對關鍵信息基礎設施進行處置,確保安全;
(14)發生較大變化可能影響其CII認定結果的,應當及時將相關情況報告保護工作部門并重新認定;等等。
