《关键信息基础设施安全保护条例》企业合规速览
关键信息基础设施是数字经济时代社会运行的神经中枢, 是网络安全的重中之重。保障关键信息基础设施安全, 对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。基于此, 国务院通过《关键信息基础设施安全保护条例》(“《条例》”)并于近日正式公布, 旨在规范关键信息基础设施安全保护工作, 维护网络安全。笔者将借本文, 简要介绍关键信息基础设施(“CII”)及关键信息基础设施运营者(“CIIO”)的认定规则, 并以企业视角, 分析9月1日该《条例》生效后, 被认定为CIIO的企业需要履行哪些义务, 以及《条例》是否可能适用于未被认定为CIIO的企业。
一
关键信息基础设施由“保护工作部门”认定
《条例》对CII的定义保持了此前《网络安全法》等法律的认定标准, 即CII是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的, 以及其他一旦遭到破坏、丧失功能或者数据泄露, 可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。定义延续了过往CII相关法律文件所采用的“行业列举+后果概括”的复合定义方式。应当注意的是, “后果概括”为CII作出了兜底性的规定, 因此CII可能不仅仅存在于定义中列举出8个重点行业和领域之中, 其他行业和领域也可能有网络设施和信息系统被认定为CII, 且并非上述8个行业和领域的所有设施系统均属于CII。
《条例》明确规定由保护工作部门(指的是相关重要行业、领域的主管部门和监督管理部门)结合本行业、本领域实际, 制定CII认定规则, 根据认定规则负责认定本行业、本领域的CII, 并将认定结果通知相关运营者。因此, 对于企业而言, 无需担心因错误评估导致未能履行CIIO义务进而遭到处罚的风险, 企业只需密切关注本行业、本领域关于CII认定的立法规则, 与保护工作部门保持沟通交流, 遵从保护工作部门的认定意见即可。
当然, 这并不意味着企业的自我评估便不重要, 因为企业一旦被保护工作部门认定为CIIO, 即应开始履行CIIO的法定义务, 而从下文可以看出, 这些义务的履行并不是一蹴而就, 相反, 是需要经过长期的布局和积累的, 因此, 我们建议处于上述列举行业中的企业在保护工作部门认定前, 结合《条例》等法规对自身是否可能构成CIIO进行评估, 如果自我评估后认为该等可能性较高的, 则需要提前为履行CIIO的义务进行准备。
二
关键信息基础设施运营者的义务
我们在第一部分中说到, CII认定的主动权在保护工作部门, 待CII认定完毕后, 就CII的安全保护工作, 《条例》建立了“综合协调、分工负责、依法保护”的责任结构, 即:
为明确CIIO的主体责任, 《条例》进一步规定CIIO的主要负责人须对CII的安全保护负总责, 这意味着, 企业层面的CII安全保护义务须由CIIO的主要负责人来牵头落实。从《条例》所规定的违反CII安全保护义务的法律责任条款中, 我们也能看出, 一旦CII的保护措施缺位, CIIO的主要负责人难辞其咎。
基于此思路, 我们结合过往有关CII和CIIO的法律文件, 总结了CIIO的被动义务(配合保护工作部门等有关部门的义务)和主动义务(自发采取的安全保护措施), 以及怠于履行时对CIIO主要负责人和企业本身带来的法律后果, 供读者参考:
附录中, 我们总结了CII保护工作的实践操作指引, 供企业在具体开展CII安全保护工作予以参考。
三
非关键信息基础设施运营者的义务
《条例》是以CIIO的视角来起草的, 但这并非意味着《条例》对于没有被认定为CIIO的企业没有影响。如果非CIIO的企业为CIIO提供服务, 受制于《条例》第二十条和《网络安全审查办法》的规定, 需要配合CIIO履行网络安全审查义务, 与CIIO签订安全保密协议, 包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备, 无正当理由不中断产品供应或必要的技术支持服务等。
违反相关的技术支持和安全保密义务, 不仅可能导致合同责任, 还可能引发行政责任, 触发包括非法获取计算机信息系统数据、非法控制计算机信息系统罪在内的多项罪名的刑事风险, 严重情节下, 主要责任人员可能面临7年以下有期徒刑, 并处罚金的刑事责任。
四
结语
《条例》明确了CII监督及保护工作中许多亟待解决的问题, 为CII的安全稳健运行奠定了坚实的基础。我们期待关于CII的认定措施和细节尽快出台, 使得各行业CII的范围予以明确, CIIO也可以尽快落实其法律义务。
附录
关键信息基础设施保护工作的主要法律依据和实操指引
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
朱晓阳 律师 |
| 王雪莹 |
往期分享
企业上市: 网络与数据安全一样都不能少——《网络安全审查办法(修订草案)》对企业境外上市影响之Q&A
见微知萌—从滴滴出行案谈网络安全审查制度
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!