2021.08.18 董潇 袁琼 周子威
《关键信息基础设施安全保护条例》(以下简称“《关保条例》”)于近日正式发布,并将自2021年9月1日起与《数据安全法》(以下简称“《数安法》”)同时生效。
2016年11月发布并于2017年6月1日生效的《网络安全法》(以下简称“《网安法》”)从国家法律层面引入关键信息基础设施(以下简称“关基”)的概念和监管要求。《网安法》第31条规定“关键信息基础设施的具体范围和安全保护办法由国务院制定”。自《网安法》生效后,关基的认定问题一直备受关注。随着《关保条例》的出台,上述问题的答案也逐渐明晰。
一、 立法进程及背景
2015年7月生效的《国家安全法》第25条规定,“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”。
2016年3月,《全国人民代表大会第四次会议关于国民经济和社会发展第十三个五年规划纲要的决议》明确提出“关键信息基础设施保护制度”,要求“建立关键信息基础设施保护制度,完善涉及国家安全重要信息系统的设计、建设和运行监督机制。集中力量突破信息管理、信息保护、安全审查和基础支撑关键技术,提高自主保障能力。加强关键信息基础设施核心技术装备威胁感知和持续防御能力建设。完善重要信息系统等级保护制度。健全重点行业、重点地区、重要信息系统条块融合的联动安全保障机制。积极发展信息安全产业。”
《网安法》对关基的定义、运营者的保护义务、运营者采购网络产品和服务的合规义务、数据本地化、跨境传输等内容作出了明确规定。
2017年7月,国家互联网信息办公室(以下简称“网信办”)发布《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《关保草案》”),其中包括广受关注的关基范围及保护要求的具体规定。
2020年9月,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下简称“《等保关保意见》”),规定公安机关指导监督关基安全保护工作,明确重要行业和领域的主管、监管部门负责制定本行业、本领域的关基认定规则并报公安部备案,并根据认定规则负责组织认定本行业、本领域的关基,及时向相关设施运营者通知认定结果并报公安部。
相比起《关保草案》,《关保条例》在监管体制、认定方式、具体义务各方面均做了较大的调整。从这些变化可以看出,随着《数安法》的制定和出台、重要数据范围的探索和界定、对不同行业的数据、网络安全的管理经验的逐步积累,关基认定很难做出一刀切的界定,而保护特定数据(如重要数据)并不一定要受限于关基的认定。换言之,网络分级保护、数据也要分级保护,但二者不必然相关联。普通的网络运营者如掌握有国家核心数据、重要数据的,亦要求其就这部分数据履行更为严格的管理责任;而关基的范围则不宜界定过宽,只有精准界定,才能落实加强关基保护的要求。
二、 《关保条例》要点简述
1. 对关基采概念式定义,将认定细则制定权交予各主管部门
《关保条例》第2条将关基定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”,该定义与《网安法》第31条对关键行业的表述基本相似,仅增加了“国防科技工业”。
《关保条例》第8条、第9条要求,以上所涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称“保护工作部门”)。保护工作部门将结合本行业实际制定认定规则,并报国务院公安部门备案。制定认定规则时应考虑以下因素:(1) 网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(3) 对其他行业和领域的关联性影响。
可见,《关保条例》基本延续了《网安法》下对于关基“行业标准”加“结果标准”的认定框架。但《关保条例》暂未明确要求保护工作部门公开认定规则,仅要求报国务院公安部门备案。
2. 明确要求保护工作部门认定关基后及时通知运营者
《关保条例》第10条明确规定,保护工作部门根据认定规则负责组织认定本行业、本领域的关基,及时将认定结果通知运营者,并通报国务院公安部门。
《关保条例》出台前,企业只能根据《网安法》的概括规定自行评估其是否有可能构成关基运营者。由于判断标准比较概括,企业的自我判断存在一定的不确定性。根据《关保条例》第10条的规定,我们理解,保护工作部门将在认定关基后及时告知企业该等认定结果。因此,在收到保护工作部门通知后,企业可明确知悉已落入关基运营者范围。
3. 关基运营者需承担的安全保护义务
基于《网安法》、《数安法》和网络安全等级保护制度等既有制度,《关保条例》对关基运营者提出了以下八项具体的责任和要求:
(1)三同步:安全保护措施应当与关基同步规划、同步建设、同步使用;
(2)主要负责人担责制度:关基运营者的主要负责人要对关基安全保护负总责;
(3)设立专门安全管理机构:设立专门机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。专门机构应履行建立制度、拟定计划、开展评估、制定应急预案、定期演练、处置安全事件、组织教育培训、履行个人信息和数据安全保护责任、对关基设计、建设、运行、维护等服务实施安全管理、报告网络安全事件等职责;
(4)运行保障:保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与;
(5)年度评测:自行或者委托网络安全服务机构对关基每年至少进行一次网络安全检测和风险评估,发现问题应当及时整改并报送;
(6)事件报告:关基发生重大或特别重大网络安全事件或者发现重大或特别重大网络安全威胁时,应当依法向相关保护工作部门、网信部门、公安部门报告;
(7)采购产品和服务须订立保密协议、开展安全审查:应优先采购安全可信的网络产品和服务;采购网络产品和服务,必须按照规定与服务提供方签订安全保密协议,若该网络产品和服务可能影响国家安全的,还应当按照国家网络安全规定进行安全审查;
(8)发生合并、分立、解散时的报告义务:如发生该等情况,应当及时报告保护工作部门,并对关基进行处置,确保安全。
三、 《关保条例》对企业的影响
我们认为《关保条例》的出台为关基的保护定下了明确的基调和监管框架,对企业而言:
1.关基认定方式相对更加清晰明确;
2.对于已经被通知构成关基运营者的企业,《关保条例》建立了第一责任人制度,明确列举了关基运营者的各项合规义务,未能履行合规义务的企业及直接负责的主管人员可能承担相应的法律后果;
3.对于已经被通知构成关基运营者的企业,除关注《关保条例》的要求外,还应关注可能散见于其他法律法规中对关基运营者的要求。例如,《网络安全审查办法》、《密码法》等;
4.对于关基运营者的网络产品、服务提供单位,关基运营者的采购将受到更严格的监管,因此,作为供应商,亦需更加积极合规,增加在网络安全、数据保护方面的投入,以在面对网络安全审查时或关基运营者对供应商开展尽职调查时证明其合规水平和“安全可信”。