《关键信息基础设施安全保护条例》简析
2021年8月17日,《关键信息基础设施安全保护条例》(以下简称为“《关保条例》”)正式公布,并将与《数据安全法》和《网络产品安全漏洞管理规定》自2021年9月1日起正式施行。
近期赴美上市企业被启动网络安全审查,以及网信办紧急启动《网络安全审查办法》的修订工作,引发了业界对“关键信息基础设施”的认定、供应链安全监管等问题的高度关注。此次《关保条例》的出台,明晰了关键信息基础设施的监管机构及角色分工、认定的考虑因素、认定流程,以及关键信息基础设施运营者(以下简称为“运营者”)的安全保护义务及对关键信息基础设施实施漏洞探测、渗透性测试需经主管部门审批的要求、运营者授权等方面。
关键信息基础设施保护的监管机构是什么?
本次《关保条例》相较于2017年公布的《关键信息基础设施安全保护条例(征求意见稿)》(以下简称为“《征求意见稿》”)在监管机构上有所变化。《关保条例》第3条将负责指导监督关键信息基础设施安全保护工作的监管主体从《征求意见稿》中的“各行业、领域的行业主管或监管部门”统一为了在国家网信部门统筹协调下,由公安部负责关键信息基础设施安全保护工作的指导监督。
《关保条例》将制定关键信息基础设施认定规则和组织认定的职权均划分给重要行业的主管部门(“保护工作部门”),即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管部门。[1]我们将《关保条例》中各监管部门的角色分工梳理如下:
《关保条例》中关键信息基础设施认定的
考虑因素是什么?
相较于《征求意见稿》在关键信息基础设施范围上从特定行业、特定单位入手,《关保条例》第9条对关键信息基础设施的认定着眼于“设施”本身,即考虑“网络设施、信息系统等”设施对行业内关键核心业务的重要程度;“网络设施、信息系统等”设施遭到破坏、丧失功能或者数据泄露时的危害程度及其他行业领域的关联性影响。
目前《关保条例》仅提出了制定认定规则的考虑因素,各行业主管部门将如何结合行业实践对《关保条例》第9条所列出的上述因素进行细化还有待相关行业主管部门认定规则的出台,例如是否包括重要数据以及大量用户个人信息的处理等要素。
如何认定关键信息基础设施?
2020年6月1日起施行的《网络安全审查办法》第20条规定(近期的《网络安全审查办法(修订版征求意见稿)》没有对此条进行修改),关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。从《网络安全审查办法》及其征求意见稿、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》到《关保条例》,均明确了由相关监管机构认定关键信息基础设施及其运营者。由于关键信息基础设施的定义以及范围均比较宽泛,并且技术以及网络安全的要求会不断地更新迭代,监管机构对于行业内的企业的具体的信息基础设施应该也会在一个持续的了解和认定的过程。
《关保条例》规定了认定、评估及通知、通报的认定流程,其第10条规定保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
《关保条例》第11条还要求关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。实践中,随着运营者的业务规模扩大、业务重心或行业的变化,均可能导致对关键信息基础设施认定的结果变化。该条规定意味着运营者应定期核查自身业务、关键信息基础设施中的数据量、数据字段情况,以内部评估是否需要进行重新认定,并主动报告相应的变化以便监管机构进行重新认定。如果运营者未及时报告的,可能面临警告、责令改正或最高100万元的罚款。
关键信息基础设施运营者有哪些
保护义务和责任?
《关保条例》对《网络安全法》规定的关键信息基础设施运营者的安全保护义务进行了细化及补充,具体包括:
运营者违反安全保护义务的,可能面临最高100万元罚款;运营者涉及采购网络产品和服务不符合《关保条例》要求的,可能面临最高10倍采购金额的罚款。个人违反《关保条例》,例如实施非法侵入、干扰、破坏关键信息基础设施的行为,也可能面临罚款、拘留或5年乃至终身禁止从事网络安全管理和网络运营关键岗位工作的处罚。
《关保条例》中其他新的规则?
《关保条例》要求相关监管部门参与到运营者的“一线”运营中,加强“事前”、“事中”监管与协助,公私紧密合作,[2]以达到充分发挥政府及社会各方面的作用,做好安全防范工作的目的。例如:
运营者进行安全背景审查时,公安机关、国家安全机关应予以协助。(第14条)
保护工作部门应制定本行业的应急预案,并定期组织本行业运营者进行应急演练。(第25条)
保护工作部门应指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。(第25条)
《关保条例》第31条规定,未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告,并规定了相应罚则。
很多企业因过去的《征求意见稿》以“单位”为标准划定关键信息基础设施范围,进而认为一旦企业自身被认定为关键信息基础设施运营单位后,企业的所有系统包括HR系统、财务系统等均需要进行本地化设置。这是这几年许多企业的困惑,也导致了许多企业在业务系统的本地化上反复讨论落地缓慢。《关保条例》以“设施”本身作为关键信息基础设施的认定标准,可能意味着即便企业的业务系统被认定为关键信息基础设施,也不代表企业的其他系统,如员工系统、财务系统等与主要业务系统不相关联的企业自身运作的系统也自动地被相应认定为关键信息基础设施。
本次《关保条例》的答记者问中,有记者提出关键信息基础设施中重要数据出境的问题。需要提示的是,重要数据不仅与关键信息基础设施运营者相关,非关键信息基础设施网络运营者也可能收集、处理重要数据。[3]在重要数据的出境问题上,需要企业继续关注相关安全评估措施及配套出境安全管理办法的落地。
1.《关键信息基础设施安全保护条例》第2条:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2. 洪延青:《网络和信息系统安全 | 主体责任与综合共治 关键信息基础设施保护的新格局》
https://mp.weixin.qq.com/s/rAoibaXgaGixAqavqVOh5w,最后访问于2021年8月18日。
3.《数据安全法》,第31条。
尹云霞(Kate Yin)
合伙人
kate.yin@fangdalaw.com
执业领域:专攻政府调查及公司合规业务
张毅(Gil Zhang)
合伙人
gil.zhang@fangdalaw.com
执业领域:专攻数据保护、网络安全、监管合规业务
郭庆营(Patrick Guo)
方达律师事务所
刘燕彬(Yanbin Liu)
方达律师事务所
本微信公众号所发布的资讯或文章仅为交流讨论目的,不代表方达律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定(无论作为或不作为)以及因此造成的法律后果,方达律师事务所不承担任何责任。如果您需要相关法律意见或法律服务,欢迎与方达律师事务所相关律师联系。