查看原文
其他

汇业评论 | 等保及关保制度的最新监管实践与法律适用

黄春林 吴旻奇 网络与数据法律实务 2022-09-24

近日,公安部向国家有关部委、各地公安机关等下发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(下称“1960号文”),进一步明确了网络安全等级保护(下称“等保”)、 关键信息基础设施安全保护(下称“关保”)工作的监管格局、法律理解及工作重点等内容,为各地监管机关全面推进等保、关保工作指明了方向。

结合各地等保、关保监管执法实践及类似项目经验,汇业律师事务所黄春林律师团队简要解读1960号文及近期监管动态、政策变化如下,仅供参考。




等保及关保的最新监管动态




第一,首次明确了等保及关保的“一主多辅”监管格局。1960号文首次公开明确了关保工作的指导监督职能归公安部,即“公安部负责关键信息基础设施安全保护工作的顶层设计和规划部署,会同相关部门健全完善关键信息基础设施安全保护制度体系。”其次,各行业主管部门、监管部门负责本行业网络安全主管、监督工作,负责本行业等保定级指导及关基认定等工作。

第二,首次明确了等保制度与关保制度的关系。等保是网络安全保护的基本制度,而关保是针对特定行业的特殊保护制度。1960号文明确对所有网络实施分级保护、分级监管,同时重点保障关键信息基础设施和第三级及以上网络的安全。
第三,期各地加强了等保工作监管执法力度,相继约谈辖区内企业全面梳理和申报内部网络情况,明确定级范围,加快推进等保定级、备案及测评等工作。且明确要求等保合规前置,即新建第三级以上网络应在通过等级测评后方可投入商业化运行。
第四,体监管执法要求方面,明确要求网络运营者应当:(1)加强外部技术供应商的审查和管控;(2)加强供应链安全管理,确保业务连续性,使用的安全产品或服务符合国家规定;(3)对内部安全管理机构的负责人和关键岗位人员进行安全背景审查及全用工生命周期管理;(4)定期自行或委托外部专门力量开展网络安全合规自查和检测评估。
第五,部分行业主管/监督部门正在参照有关文件及标准,并结合行业特点制定本行业的等保定级指导意见及关保认定规则,将于近期向行业征求意见后正式发布。




等保及关保的最新法律理解与适用




 

首先,CII的范围严格限定在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,一般商业企业被认定为CIIO的可能性大大降低,最终以行业主管部门主动认定并报公安部的名录为准。但这并不意味着一般商业企业的网络安全合规责任降低,因为其仍然可能会按照等保制度的要求,被认定为等保三级或三级以上,进而遵从等保制度有关的合规要求。
其次,等保定级的对象扩大到信息系统、网络设施、数据资源等;同时,细化了定级范围,例如对于云计算的定级,明确云基础资源、云服务平台、云使用端分别单独定级。
再次,建立双备案制和双测评制,即:(1)要求二级及以上等保定级,同时向公安机关备案和行业主管部门报备;(2)三级及以上等保定级,应当使用合规的密码技术保护,且同步开展等保测评和密码安全评估。
此外,参照《互联网个人信息安全保护指南》等规定及等保制度有关要求,再次明确网络运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。
最后,根据相关法律文件及标准,企业主要负责人对本单位关保和等保工作负总责,相关主管人员和直接责任人员负直接责任因此,建议企业购买相适应的网络安全保险产品,保险产品包括相关的责任保险及相关案件的律师费用保险等,具体保险产品细节及购买渠道可以另行咨询汇业黄春林律师团队。
 



结语





随着等保及关保监管格局的确定,《网络安全等级保护条例》、《关键信息基础设施安全保护条例》等法律法规也会相继面世,《金融行业网络安全等级保护实施指引》等行业指引也将陆续发布,企业网络安全和数据保护的合规颗粒度必将进一步细化,相关的合规风险也会进一步显性化。

因此,汇业黄春林律师团队建议,企业应参照最新立法及监管要求,全面梳理企业网络及数据资源情况,逐项审查、评估企业的合规遵从情况,明确合规差距,对标行业实践经验,尽快补齐短板,全面整改网络及数据合规风险,提高网络安全和数据治理能力。




黄春林

汇业律师事务所高级合伙人

Ramon.huang@huiyelaw.com


黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。


往期文章推荐:

《网络数据处理安全规范》解读:功能定位、主要内容及规范创新

券商数据合规工作指引解读:五大关键合规控制项

《数据安全法(草案)》解读

网络安全审查的行政法律性质与救济路径

2020版《网络安全审查办法》解读:从技术安全走向供应链安全

《采购项目之网络安全审查与申报指引》要点索引(中英文版)

大数据行业之数据缓存合规:玫瑰如何赠,余香能否留

增值电信业务许可之告知承诺审批:羞答答的玫瑰静悄悄地开

带刺的玫瑰:上海自贸区离岸数据中心试点政策解读

2019年外商投资增值电信业务最新政策解读

中国央行数字货币DC/EP的十大法律猜想

金融区块链项目的主要法律合规问题

我国个人金融信息保护的法律与标准体系概览

金融场景使用人脸识别技术的主要合规问题(十问十答)

《个人金融信息保护技术规范》解读:全生命周期的技术与管理二元合规控制

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存