作者：通力律师事务所  陈巍 | 潘永建 | 李天航

2017年7月10日,国家互联网信息办公室下发通知, 就《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《征求意见稿》”)向社会公开征求意见。《征求意见稿》共8章55条, 在《网络安全法》关于关键信息基础设施保护的总体框架基础上, 明确了全面规制与保护原则, 设定了监管与责任主体, 完善了预警监测、应急处置和检测评估机制, 细化了支持与保障的内容, 进一步界定了关键信息基础设施的范围, 明确了运营者安全保护职责以及产品和服务的安全保护要求。笔者建议相关企业应仔细研究其中内容, 从企业发展角度比对自身业务和运营各环节的合规性并未雨绸缪做好各项应对。

关键信息基础设施系对国家安全、国计民生和社会稳定至关重要的网络, 《网络安全法》要求其实行高于一般网络保护标准的重点保护。《征求意见稿》规制了“在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施以及开展关键信息基础设施的安全保护”的全过程, 明确了“坚持顶层设计、整体防护, 统筹协调、分工负责的原则”。

《网络安全法》第五条规定了关键信息基础设施保护的基本原则, 即“国家采取措施, 监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁, 保护关键信息基础设施免受攻击、侵入、干扰和破坏, 依法惩治网络违法犯罪活动。”在此基础上, 《征求意见稿》第二章“支持与保障”规定了对关键信息基础设施的全面保护原则。

1. 明确了“1+4+X”的管理主体。《征求意见稿》明确了国家网信部门的统筹协调职责, 国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责网络安全保护和监督管理, 国家行业主管或监管部门负责指导和监督本行业、本领域安全保护管理体系建设。

2. 明确了对危害关键信息基础设施安全行为的举报机制, 将《网络安全法》规定的对危害网络安全行为的举报机制具体化为危害关键信息基础设施安全行为的举报机制。

1. 《网络安全法》提出“支持关键信息基础设施安全相关的技术、产品、服务创新, 推广安全可信的网络产品和服务, 培养和选拔网络安全人才” 。《征求意见稿》将支持措施进一步明确为“国家制定产业、财税、金融、人才等政策”。

2. 明确以网络安全标准体系指导、规范关键信息基础设施安全保护工作, 将关键信息基础设施安全保护工作纳入地市级以上人民政府的绩效考核评价。

3. 明确了国家行业主管或监管部门的人员编制和工作经费保障机制, 以及编制并组织实施本行业、本领域的网络安全规划的职责。

4. 明确了关于关键信息基础设施网络安全事件应急处置与网络功能恢复方面的电力供应、网络通信、交通运输保障。

5. 以刑事制裁保障关键信息基础设施安全, 并以《网络安全法》第二十七条为基础, 细化完善了应当给予治安管理处罚的危害关键信息基础设施的活动和行为。《征求意见稿》第十六条设定了禁止危害关键信息基础设施的活动和行为: (1)攻击、侵入、干扰、破坏关键信息基础设施; (2)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施的技术资料等信息; (3)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测; (4)明知他人从事危害关键信息基础设施的活动, 仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助; (5)其他危害关键信息基础设施的活动和行为。

6. 鼓励多层次、多部门间关于关键信息基础设施安全合作, 并积极开展关键信息基础设施安全领域的国际合作。

1. 《网络安全法》第三十一条采用列举和后果概括的方式对关键信息基础设施作了定义。《征求意见稿》基本沿袭这一定义模式, 但通过列举的形式对关键信息基础设施的范围作了进一步的细化与扩充: (1)将公共服务细化为卫生医疗、教育、社保、环境保护、公用事业, 并将电子政务扩充为政府机关网络设施和信息系统; (2)将公共通信和信息服务细化为电信网、广播电视网、互联网等信息网络, 以及提供云计算、大数据和其他大型公共信息网络服务; (3)新增“国防科工、大型装备、化工、食品药品等行业领域科研生产单位”和“广播电台、电视台、通讯社等新闻单位”的网络设施和信息系统。前述列举范围与2016年12月27日经中央网络安全和信息化领导小组批准, 国家互联网信息办公室发布的《国家网络空间安全战略》对关键信息基础设施范围的界定大体保持一致, 但是更加详细。值得注意的是, 除上述列举的行业之外, 其他行业单位仍可能因兜底条款 “其他重点单位”而被认定为关键信息基础设施。

2. 明确由国家网信部门会同国务院电信主管、公安部门等制定关键信息基础设施识别指南。该识别指南属于操作和实践层面的具体规范, 将进一步细化关键信息基础设施的界定标准。结合2016年6月中央网络安全和信息化领导小组办公室网络安全协调局下发的《国家网络安全检查操作指南》, 笔者认为, 属于《征求意见稿》中列举的关键信息基础设施范围领域的单位, 其运行和管理的网络设施和信息系统并不必然属于关键信息基础设施, 而是需要根据其网络设施和信息系统对其关键业务的支撑程度以及发生网络安全事件后造成的危害后果与程度加以判断。

3. 明确国家行业主管或监管部门对本行业、本领域关键信息基础设施的识别结果报送义务, 以及运营者对新建、停运关键信息基础设施或关键信息基础设施发生重大变化向国家行业主管或监管部门的报告义务。

《征求意见稿》根据《网络安全法》的总体要求, 在网络安全等级保护的基础上重点细化安全责任、人员管理和培训制度, 并完善了评估检测制度。

1. 明确运营者主要负责人为本单位关键信息基础设施安全保护工作的“第一责任人”, 负责建立健全网络安全责任制并组织落实, 对本单位关键信息基础设施安全保护工作全面负责。

2. 明确运营者网络安全管理负责人的具体职责, 规定网络安全关键岗位专业技术人员实行执证上岗制度, 并明确从业人员和关键岗位专业技术人员每年接受培训的最低时间要求。

3. 要求运营者建立健全关键信息基础设施安全检测评估制度, 并明确关键信息基础设施上线运行前或者发生重大变化时应当对其进行安全检测评估。

4. 明确运营者对于在中华人民共和国境内运营中收集和产生的个人信息和重要数据的跨境传输, 应当按照个人信息和重要数据出境安全评估办法进行评估。

针对关键信息基础设施运营者采购使用关键设备、网络安全专用产品以及网络产品和服务的安全义务, 《征求意见稿》第五章在《网络安全法》《网络产品和服务安全审查办法(试行)》相关规定的基础上, 进一步细化了以下内容: 

1. 对于外包开发的系统、软件和接受捐赠的网络产品, 上线应用前应当进行安全检测。

2. 对于网络产品、服务存在安全缺陷、漏洞等风险的, 应当及时采取措施消除风险, 涉及重大风险的应当按照规定向有关部门报告等相关义务。

3. 关键信息基础设施的运行维护应当在中国境内实施, 因业务需要, 确需进行境外远程维护的, 应当事先报国家行业主管或监管部门和国务院公安部门。

4. 向关键信息基础设施提供相关服务应当符合相关要求。

《网络安全法》第三十九条等规定了监测预警与应急处置机制, 中央网络安全和信息化领导小组办公室下发的《国家网络安全事件应急预案》亦有相应规定。《征求意见稿》进一步明确了关键信息基础设施安全保护工作中政府各部门的职责权限和义务。

1. 国家网信部门统筹建立关键信息基础设施安全监测预警和信息通报制度, 统一发布网络安全监测预警信息。国家行业主管或监管部门建立健全本行业、本领域的监测预警和信息通报制度, 掌握运行状况和安全风险, 向有关运营者通报安全风险和相关工作信息; 组织对安全监测信息的研判、按照国家网络安全事件应急预案的要求向有关部门报告。

2. 国家网信部门按照国家网络安全事件应急预案的要求, 统筹有关部门建立健全关键信息基础设施网络安全应急协作机制, 指导跨行业、跨地域网络安全应急演练。国家行业主管或监管部门组织制定本行业、本领域的网络安全应急预案, 开展定期演练并按照预案开展应对工作。

3. 国家行业主管或监管部门定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务情况的抽查, 国家网信部门统筹协调。

4. 明确有关部门组织开展关键信息基础设施安全检测评估时可以采取的措施, 要求有关部门对关键信息基础设施检测评估中获取的信息予以保密, 并明确检测评估免费以及禁止搭售产品和服务。

作为《网络安全法》的配套法规, 《关键信息基础设施安全保护条例(征求意见稿)》从操作层面对关键信息基础设施保护作了细化, 并为主管部门根据部门、行业的特点作进一步细化操作预留了空间, 对于涉及专门事项的, 直接授权国家网信部门或者国务院有关部门单独制定规章。该条例亦注重与其他领域相关法律法规的对接, 对于涉及制定国家标准的, 与正在修订的《中华人民共和国标准化法》(以下简称“《标准化法》”)进行对接; 涉及国家秘密的, 遵守国家保密相关法律、行政法规规定, 涉及密码管理的, 遵守密码相关法律、行政法规规定等。因此, 我们建议企业持续关注《关键信息基础设施安全保护条例》的立法动态, 以及后续相关配套的部委规章和国家标准的制定进程。

按照《征求意见稿》, 相关配套的部委规章和国家标准包括以下领域: (1)根据修订后的《标准化法》, 全国信息安全标准化技术委员会牵头制定完善关于关键信息基础设施安全保护的国家标准体系, 对关键信息基础设施的规划、建设、安全保护等方面明确相应标准; (2)国家网信部门会同国务院电信部门、公安部门等部门将共同下发关于关键信息基础设施识别指南的文件, 或者在相关国家标准中明确关键信息基础设施的识别指南; (3)国务院网信部门会同相关部门对关键信息基础设施安全评估、安全威胁信息发布、外部服务机构等方面制定实施细则。

虽然部分配套国家标准、配套规章等文件尚未公布, 但是根据《网络安全法》《征求意见稿》相关规定, 对于关键信息基础设施保护的相关要求基本明确, 企业一旦构成关键信息基础设施运营者或者涉及为关键信息基础设施提供相关服务的, 相较于普通网络运营者, 将承担更加严格的责任。因此, 笔者建议各相关企事业单位、民办非企业组织等网络运营者未雨绸缪, 对照《网络安全法》《征求意见稿》的要求, 做好合规前准备工作。

1. 聘请相关专业人员, 对本单位拥有、管理、运营的网络设施和信息系统开展梳理评估, 属于《征求意见稿》列举的单位的, 应当积极与国家或地方行业主管或监管部门沟通, 及早确认是否构成关键信息基础设施; 虽然不属于《征求意见稿》列举的单位, 若拥有、管理、运营的网络设施和信息系统涉及的个人信息数量较大或者数据较为重要的, 仍应当积极关注关键信息基础设施识别指南的制定进展, 以尽早确定是否构成关键信息基础设施。

2. 经评估, 若本单位拥有、管理、运营的网络设施和信息系统构成关键信息基础设施的可能性较大, 该单位应积极开展落实“第一责任人”和专门安全管理负责人, 通过责任人和负责人积极制定内部安全管理职责和操作规程等相关制度。

3. 为关键信息基础设施提供网络产品和服务、互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等服务的企业应严格按照《网络安全法》和《关键信息基础设施安全保护条例》等相关规定, 制定并落实合规流程, 符合安全义务相关规定。

作者简介：

通力法律评述 | 浅析违法广告的认定

通力法律评述 | 简评《外商投资产业指导目录(2017年修订)》

通力快讯 | 通力律师作为授课嘉宾参加中保协全国保险机构培训

通力快讯 | 通力代表的齐程网络科技入选上海首批国企改革员工持股试点企业

通力法律评述 | 《证券公司和证券投资基金管理公司合规管理办法》对证券投资基金管理公司影响浅析

通力法律评述 | 网络安全合规: 网络文化企业和投资机构应关注的新命脉 ——近期部分网络帐号关停事件的法律启示