2021年8月17日,《关键信息基础设施安全保护条例》(下称“《条例》”)公布,自2021年9月1日起施行。2017年7月,国家网信办发布《关键信息基础设施安全保护条例(征求意见稿)》,历经四年时间,条例正式落地。这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,对于维护国家安全和网络安全,保障经济社会健康发展和公民信息权益,具有重要意义。
《条例》一共6章,51个条款,涵盖了对于关键信息基础设施保护相关的一系列要素,包括适用范围、监管主体、评估对象、评估机制和法律责任等。此外,《条例》还体现了对关键信息基础设施的动态全链条保护思维,在《网络安全法》构建的体系下,做了更具体的落地规定。
相比征求意见稿,《条例》在监管体制、认定方式、运营者义务等各方面均做了较大的调整。征求意见稿通过非穷尽式列举行业和领域以及危害后果的形式,给出了关键信息基础设施运营者的范围。此种列举方式可能导致两个弊端,其一是列举不全,其二是列举宽泛,比如电信、广播电视等,某些基层地方的新闻单位未必属于关键信息基础设施。但是,关键信息基础设施关联到国家安全和国家命脉,范围若完全公开,可能成为未来网络攻击中的靶子。对此,《条例》沿用了《网络安全法》开放式列举的方式,明确了“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统”属于关键信息基础设施。针对专门安全管理机构的职责,《条例》提出具体规范。其包含建立健全网络安全管理、评价考核制度;组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;制定网络安全事件应急预案并定期应急演练;认定网络安全关键岗位,开展考核,提出奖励和惩处建议;组织网络安全教育、培训;履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;对关键信息基础设施设计、建设、运行、维护等服务实施安全管理等。具体而言,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责,对关键信息基础设施实施安全保护和监督管理。
针对关键信息基础设施的认定,《条例》从我国国情出发,借鉴国外通行做法,明确了认定工作的组织方式和认定程序。保护工作部门在制定认定规则时应考虑以下因素:
1.网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
2.网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
当关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。
这一认定方式,从总体上明确了认定规则和标准,具体则由重要领域和行业的主管部门、监管部门来进行划定。一方面,保证了关键信息基础设施划定当中标准的统一协调,另一方面有助于发挥保护工作部门的主观能动性,更好结合各自行业及部门的实际做出认定,对于各类风险态势的感知和应对更具可行性。
《条例》对关键信息基础设施运营者义务和责任,作了具体规定:
1.三同步:安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
2.实行“一把手负责制”:运营者的主要负责人对关键信息基础设施安全保护负总责。
3.设置专门安全管理机构:设置专门机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
4.运行保障:保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策,应当有专门安全管理机构人员参与。
5.年度测评:自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,发现问题应当及时整改并报送。
6.事件报告制度:发生重大或特别重大网络安全事件或者发现重大或特别重大网络安全威胁时,应当依法向相关保护工作部门、网信部门、公安部门报告。
7. 采购产品和服务须订立保密协议、开展安全审查:若该网络产品和服务可能影响国家安全的,还应当按照国家网络安全规定进行安全审查。这与《网络安全审查办法》的规定保持一致。
8.发生合并、分立、解散时的报告义务:如发生该等情况,应当及时报告保护工作部门,并对关键信息基础设施进行处置,确保安全。
保障关键信息基础设施安全,需要统筹资源和力量,全方位实施保护。在保障方面,《条例》对制定行业安全保护规划、建立信息共享机制、建立健全监测预警制度、明确网络安全事件应急处置要求、组织安全检查检测、提供技术支持和协助等作了规定。在促进方面,《条例》从人才培养、技术创新和产业发展、网络安全服务机构建设与管理、军民融合、表彰奖励等方面作了相应规定。
实务中,有个人或组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,严重影响关键信息基础设施安全。
《条例》从以下几个方面明确了法律责任:
一是对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况,规定了处罚、处分、追究刑事责任等处理措施,明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
三是对实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以处罚,在法律责任章节中专门规定了相应罚则。
《条例》为关键信息基础设施的保护构建了清晰的监管框架与制度保障。对企业而言,建议从以下几点推进相关合规工作。1.由于《条例》对于关键信息基础设施的定义和认定方式更为清晰,企业可先行根据认定因素展开自查,预估自己是否属于关键信息基础设施运营者,并密切关注本行业主管、监管部门在识别认定方面的最新动态。2.对于后续被通知构成关键信息基础设施运营者的企业,《条例》实行“一把手负责制”,企业应当按照前述关键信息基础设施运营者的各项合规义务开展工作。否则,对未能履行合规义务的企业及直接负责的主管人员,可能承担相应的法律后果。3.对于后续被通知构成关键信息基础设施运营者的企业,除关注《条例》的要求外,还应关注散见于其他法律法规和全国信息安全标准化技术委员会(以下简称信安标委)的相关标准中的要求。
信安标委发布的相关规范性文件,虽然不具有正式法律法规的强制约束力,但对企业开展数据合规工作,能提供很好的参考借鉴。以下文件在实操指引上值得企业重点关注:
4.《条例》施行之后,关键信息基础设施运营者的采购将受到更严格的监管。对于其网络产品和服务的提供方,应当针对《条例》中规定的相关条款积极对自身活动的合规性展开自查,对其中不完善、不合规,或存在制度性缺陷的地方尽快整改规范,以适应新形势下对于关键信息基础设施的全新监管与合规要求。
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。
