中伦观点 |《关键信息基础设施安全保护条例(征求意见稿)》解读
2017年7月11日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》(“《保护条例》”)。作为《网络安全法》的重要配套法规,《保护条例》对关键信息基础设施(“CII”)的范围、各监管部门的职责、运营者的安全保护义务以及安全检测评估制度提出了更加具体、操作性也更强的要求,为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。
一、关键信息基础设施的范围
《网络安全法》对关键信息基础设施运营者(“CIIO”)的网络安全保护义务设定了更高的法律要求,但没有给出明确的CII认定标准。因此,CII的判定方式和范围一直是业内讨论的重点,也是众多企业法律咨询的重点。
《保护条例》第18条沿用了《网络安全法》第31条的规定,通过“非穷尽列举行业和领域+危害后果”的方式,给出了CII的范围,各企业可以依据下表初步评估所属网络系统是否构成CII。
在判定流程上,中央网络安全和信息化领导小组办公室于2016年6月编制的《国家网络安全检查操作指南》具有比较强的参考意义,即CII判定的三步法:一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
对于不在上述关键领域和行业,或不属于关键业务的单位而言,虽然《保护条例》包含兜底条款“其他重点单位”,总体而言,这些单位所运营和管理的信息系统被认定为CII的可能性相对较低。
为给企业提供更加明确的指引,依据《保护条例》第19条的规定,国家网信部门将会同国务院电信主管部门、公安部门等部门制定《关键信息基础设施识别指南》(“《识别指南》”)。CII所属的国家行业主管或监管部门(如电信行业的工信部,能源行业的发改委和能源局)将按照《识别指南》,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。依据该原则,我们认为各行业、领域的主管和监管部门将负责认定CII。
二、国家行业主管或监管部门的工作职责
《保护条例》确立了各部门统筹协作、分工负责的监管机制,所涉及的监管部门包括国家网信部门、国家行业主管或监管部门、国务院公安、国家安全、国家保密行政管理、国家密码管理部门以及县级以上地方人民政府有关部门等。
其中,国家网信部门负责统筹协调CII安全保护工作和相关监督管理工作,为CII保护实施的核心部门。国务院公安、国家安全、国家保密行政管理、国家密码管理部门的监管职责与《网络安全法》的要求基本一致,《保护条例》并没有赋予各部门特别的权利。
本文简单整理了《保护条例》赋予各国家行业主管或监管部门的监管权力和职责,具体如下表。
三、网络安全管理和责任人员
不同于普通网络运营者,依据《网络安全法》第34条的规定,CIIO应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
在此基础上,《保护条例》第25条对CII的安全管理负责人的职责做了更加具体的规定,包括:
(1) 组织制定网络安全规章制度、操作规程并监督执行;
(2) 组织对关键岗位人员的技能考核;
(3) 组织制定并实施本单位网络安全教育和培训计划;
(4) 组织开展网络安全检查和应急演练,应对处置网络安全事件;
(5) 按规定向国家有关部门报告网络安全重要事项、事件。
可以说,安全管理负责人的职责涵盖信息系统运行安全的各个方面,包括安全预防、演习、处置网络安全事件及报告责任。各企业可以根据该职责要求,加快落实负责人的任命以及安全管理机构的设立。
《保护条例》确立了“一把手责任制”,在第22条中明确规定“运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责”。此处的“运营者主要负责人”并不一定是“安全管理负责人”,如果两个负责人并不相同,发生网络安全事故的,两个负责人可能都要承担相应的法律责任。
《保护条例》第26条还对网络安全关键岗位专业技术人员的资质提出了新的要求,要求运营者网络安全关键岗位专业技术人员实行持证上岗制度,持证上岗具体规定将由国务院人力资源社会保障部门会同国家网信部门等部门制定。由于该持证上岗制度系首次引入,我们理解普通网络运营者的相关技术人员并不需要实施该持证上岗制度。
四、CIIO的安全保护义务
根据《保护条例》的规定,CIIO应当按照网络安全等级保护制度以及相关国家标准的强制性要求,履行以下安全保护义务:
各单位可以依据《保护条例》规定的安全保护要求,尽快梳理本单位现有的信息安全制度,逐步完善和调整,以满足《网络安全法》和《保护条例》的合规要求。
五、网络产品和服务安全
对于CIIO使用的网络产品和服务,《保护条例》在《网络安全法》的基础之上明确提出了两项新的法律要求:一项是对于“外包开发的系统、软件以及接受捐赠的网络产品”,上线应用前的安全检测要求(第32条);另一项是CII的境内运行维护要求(第34条),因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和公安部门。 对于境外远程维护CII的限制可能会对某些跨国公司的当前运营模式产生影响。
对于面向CII开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,《保护条例》也明确要求服务机构应当符合网信办会同国务院有关部门另行制定的具体要求(第35条)。
《保护条例》第30条和31条中规定的“网络关键设备和网络安全专用产品的采购要求”以及“网络产品和服务的安全审查要求”,与《网络安全法》的要求基本一致,而且《网络关键设备和网络安全专用产品目录(第一批)》、《网络产品和服务安全审查办法(试行)》已经成为了首批正式颁布实施的配套法规,各相关单位可以遵照相应的法规要求,采购经过安全认证或安全检查的网络关键设备和网络安全专用产品,如果网络产品和服务可能影响国家安全的,应按照法定程序申请安全审查。
特别声明:
以上所刊登的文章仅代表作者本人观点,不得视为北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜。并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 北京办公室
业务领域:知识产权, 反垄断与竞争法, 信息技术、电信、传媒与娱乐
知识产权部 北京办公室
作者往期文章推荐:
《China's New Measures (draft) on Data Cross-border Transmission》