数据合规看过来!关键信息基础设施认定标准出炉

君伦律师事务所 2021-09-15 17:36


《关键信息基础设施安全保护条例》(下称“《关保条例》”)已经2021年4月27日国务院第133次常务会议通过,于2021年8月17日正式公布,并将于2021年9月1日起正式施行。

关键信息基础设施对国家网络主权与安全、经济发展与稳定方面具有重要影响,因此,是数据合规关注的重点领域之一。近日,作为关键信息基础设施保护的监管机构的国家网信办对某一赴美上市的关键信息基础设施运营企业启动网络安全审核,更是引发了业界对关键信息基础设施合规的关注,尤其针对关键信息基础设施的认定等。

本次出台《关保条例》明确了关键信息基础设施的范围、认定流程、各方主体的义务和责任等内容。本文将对《关保条例》中关键信息基础设施的范围以及关键信息基础设施保护的监管机构作简略介绍。

一、关键信息基础设施(CII)的范围与认定

关键信息基础设施

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等(《关保条例》第二条)。

从上述表述上看,正式通过的《关保条例》对CII的范围采用了非穷尽列举与后果概述相结合的开放式定义方式。《关保条例》所列举的重要行业和领域除了《网络安全法》已列举的“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”外,增加了“国防科技工业”

除列举项目外,《关保条例》中规定CII还包括“其他一旦遭受破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。由此可见,最终认定是否属于CII是由负责关键信息基础设施安全保护工作的部门(下称“保护工作部门”)确定

对于保护工作部门认定关键信息基础设施的规则方面,《关保条例》并未明确规定具体的判定标准,其原因主要在于各行业、各领域的认定标准需结合具体行业实践进行判断。因此,仅规定了认定时主要考虑因素,即(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响(关保条例》第九条)。

对于认定流程,保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门(《关保条例》第十条)。并且,针对关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门;保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门(《关保条例》第十一条)。鉴于,运营者业务范围、规模的变化,均可能导致对关键信息基础设施认定的结果变化,因此,运营者须定期就是否需要重新认定进行内部评估,并主动报告相应的变化,否则,有关主管部门可依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。

二、关键信息基础设施保护的监管机构

关于关键信息基础设施保护的监管机构,《关保条例》与2017年公布的《关键信息基础设施安全保护条例(征求意见稿)》(以下简称为“《征求意见稿》”)的规定有所不同,具体如下:

《征求意见稿》

《关保条例》

第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。

县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。

第三条在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。


由此可见,《关保条例》与《征求意见稿》均规定网信部门负责统筹协调,但负责指导监督关键信息基础设施安全保护工作的监管主体由“各行业、领域的行业主管或监管部门”变更为“公安部门”,并且将地方负责的政府部门的层级从县级提升至省级部门。

三、关键信息基础设施运营者的保护义务

《关保条例》对《网络安全法》规定的关键信息基础设施运营者(下称“运营者”)的安全保护义务进行了细化及补充。

首先,就运营者的义务进行了原则性规定,要求运营者需要依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性(《关保条例》第六条)。

其次,就运营者的具体义务进行了明确。运营者的具体义务主要包括如下内容:

序号

运营者义务

《关保条例》规定

1

同步规划、建设、使用安全保护措施与关键信息基础设施

第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

2

设置专门安全管理机构,保障人力、财力、物力投入

第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。

第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。

第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。


3

每年进行网络安全检测和风险评估,及时整改,并向保护工作部门报送情况

第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。

4

报告、报送情况义务

第十一条关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。

第十五条(八)按照规定报告网络安全事件和重要事项。

第十七条运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。

第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。

发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。

第二十一条运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。


5

优先采购安全可信的网络产品和服务,并与供应商签署安全保密协议,如影响国家安全,应通过安全审查

第十九条运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。

第二十条运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。



公 司 事 务 部


Mainstream Corporate Department

君伦公司事务部是君伦内设的主要负责处理投资并购和日常公司事务的专业部门。该部门不仅为世界500强企业、众多跨国企业、外商投资企业等公司类客户提供投资架构规划、资产证券化(设计资产证券化项目方案,协助确定基础资产并构建资产池、起草和审查相关的交易文件和出具法律意见等)、日常法律顾问、帮助申请地区总部和功能性机构、企业并购重组及商业活动的法律服务,如公司设立、合同和法律意见书起草、劳动人事、法律财税专项培训、发律师函、商业谈判等,还重视资源的整合,为企业提供投资建议、政策分析、项目落地的指导,为政府部门、产业园区等推荐优质项目。

君伦“集中登记地”系市场监督管理局批准设立,可供300家企业登记入驻,君伦可以提供设立或迁址入驻、注册地址维持、政府部门文书转达、代理记账、申报纳税、年度企业信息公示、争取政府财政扶持、企业变更登记、常年法律顾问等一条龙服务。此外,君伦还深耕于区块链领域法律服务,荣获了上海区块链技术协会“2020年度协会工作贡献奖”。君伦可以为区块链业务相关企事业单位提供架构设计、数字资产发行、尽职调查、政策分析、合规审查、交易税务筹划等法律服务。

往期分享

金融机构云集,“破局金融合同纠纷,巧用商事仲裁”讲座成功举办

직장 성희롱, 고용주에도 책임이 있다!

法律服务标准化,君伦入围全国首批“ISO卓越服务国际标准试点企业”

君伦再次荣登2022 IFLR 1000银行与金融领域榜单

推荐阅读