关键信息基础设施(criticalinformationinfrastructure,CII)保护是加强网络安全立法的重点任务之一,正迎来顶层设计和法律法规的密集发布。
8月17日,国务院发布《关键信息基础设施安全保护条例》(下称《条例》),对CII安全保护的适用范围、监管主体、评估对象等基础要素做出界定,并为安全保护工作开展提供系统指引和工作遵循。《条例》将自今年9月1日起施行。
“这标志着我国网络安全保护进入了以CII安全保护为重点的新阶段。”中国信息通信研究院院长余晓晖表示,作为《网络安全法》的重要配套立法,《条例》积极应对国内外网络安全保护的主要问题和发展趋势,为下一步加强CII安全保护工作提供了重要法治保障。
中国社会科学院经济学博士方燕从事网络安全、平台反垄断等领域研究多年。他对第一财经表示,该《条例》让企业在CII安全保护方面的权利和责任得以合法化,也反映出政府在监管方面纵向横向贯通、各界共同参与网络安全治理的新方向。
历时4年
从《关键信息基础设施安全保护条例》(征求意见稿)(下称“征求意见稿”)的发布到《条例》的正式出炉,共历时四年有余。
2016年11月《网络安全法》出台,第一次正式提出“CII”这一概念,并指出“对于CII在网络安全等级保护制度的基础上进行重要的保护工作”。
2017年7月,国家网信办发布征求意见稿,但业界普遍认为,征求意见稿在CII的认定、法律保护范围等方面尚不明晰。
同年,国家标准化管理委员会对《信息安全技术CII安全保护要求》和《信息安全技术CII安全控制措施》进行立项,旨在压实CII运营者的基本责任。但截至目前,二者分别处于报批稿和草稿阶段,均尚未发布。
“当前,CII面临的网络安全形势日趋严峻,网络攻击威胁上升,事故隐患易发多发,安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题,亟待建立专门制度,明确各方责任,加快提升CII安全保护能力。”日前,司法部、网信办、工信部、公安部负责人就《条例》有关问题答记者问时称。
时隔4年,据司法部消息,7月30日,国务院总理李克强签署第745号国务院令,《条例》出台。随后,8月17日,中国政府网公开了《条例》全文,9月1日起,该《条例》将正式施行。
作为一份针对中国CII安全保护的专门性行政法规,和指导国家网络安全保障工作的基础性行政法规,《条例》对于此前一直存在的问题做出了回应,如CII的定义和认定范围不明确、运营者主体责任和监管部门职责分工不清晰等。
相较于2017年的征求意见稿,北京师范大学网络法治国际中心执行主任吴沈括对第一财经表示,《条例》更为体系化。
他表示,一方面,在综合协调、分工负责、依法保护原则指导下,《条例》进一步明确了统筹协调机关、指导监督机关以及保护和监督管理机关等各方主体的职责权限;另一方面,《条例》侧重厘清CII的认定标准,有助于更好发挥保护工作部门的主动性、积极性,便于各行业、各地区根据实际情况做出更有针对性的具体决定。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲对第一财经分析称,《网络安全法》实施已四年有余,针对CII的专门性法规才得以出台,由此可见,《条例》中诸多细节的复杂性和制定《条例》的审慎性。
“此前,各主管部门虽对重要信息系统和平台等有相应的增强式保护手段,但缺少长效保障机制,如今《条例》的出台,从法规层面明确了重点保护范围和措施,这让CII保护工作正式纳入日常工作的序列。”他说。
“一把手负责制”
根据《条例》,所谓“CII”,即指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《条例》称,强化和落实CII运营者(下称“运营者”)主体责任,运营者的主要负责人对CII安全保护负总责。
同时,在《网络安全法》的基础上,《条例》对运营者提出了更高的安全防护要求。
《条例》指出,落实“三同步”要求,要求安全保护措施与CII同步规划、同步建设、同步使用,确保落实覆盖全生命周期的安全保护。
其中,当发生CII整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,根据《条例》,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
“实行动态的预警和监控,是该《条例》的一大亮点,但如何实现对于关键基础设施的动态感知,又是《条例》落地的难点。”海问律师事务所合伙人杨建媛从事网络安全与数据合规、反腐败等领域法律服务多年,她在接受第一财经记者采访时说,《条例》给出了一个探索方向,即建立安全信息同享机制。
根据《条例》,国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
但由于网络安全信息共享涉及到众多部门、单位、行业和数据,何延哲认为,还需不断探索才能达成“一盘棋”的效果。“可以说,《条例》的发布只是工作的开始,还需要大量的实践来不断印证、完善。”
此外,何延哲还称,虽然《条例》或将给运营者带来额外的经营成本和风险,但也包含了多条保障和促进的条目,并明确国家、行业主管部门等对运营者的协助、帮扶事项。
“不过,正因为被认定为CII运营者既是责任也是权利,还需警惕运营者以安全防护之名,行抑制竞争之实。”方燕进一步表示,在《条例》落地后,或存在运营者打着“维护安全”的旗号,以维护数据和隐私等安全为名阻止同行业竞争对手接入自己的信息平台。“这需要后续监管更加精细化,否则存在隐患。”
互联网平台纳入监管?
不久之前,网络安全审查首次行动指向赴美上市的互联网公司,其依据为《网络安全法》第三十五条规定:“CII的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”
那么,《条例》落地后,是否意味着大型互联网平台会被纳入CII?
杨建媛认为,由于互联网平台拥有海量重要数据和个人数据,潜在的数据安全风险较大,且业务发展对社会经济运行产生重要影响,不排除会有一批大型互联网平台被认定为CII。
根据《条例》,CII认定需考虑三点因素:其一,网络设施、信息系统等对本行业、本领域关键核心业务的重要程度;其二,网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;其三,对其他行业和领域的关联性影响。
“由此可见,互联网平台应被纳入CII。但该《条例》并不是专门针对互联网平台而设置的,而是出于保障产业安全、网络安全和经济系统安全的需要,包含面会更广。”中国人民大学数字经济研究中心主任李三希对第一财经称。
《条例》公布的第二日,商务部就《直播电子商务平台管理与服务规范》行业标准(征求意见稿)公开征求意见,其中包含了信息安全管理要求。
李三希认为,网站(党政机关网站、新闻网站、企业网站等)、平台(社交、网购类等平台),以及生产业务类(办公业务类系统、工业控制系统、大型数据中心、云计算平台等)均应包含在CII中。
根据《条例》,运营者在负责本单位的CII安全保护工作时,应履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
事实上,在CII中的重要数据出境治理上,《网络安全法》第三十七条已做出规定。
方燕认为,当《条例》落地后,互联网平台会被纳入CII。这也就意味着其数据出境需遵循《网络安全法》中跨境数据流动的基本管理原则,即CII运营者在境内收集的个人信息和重要数据应当遵守“本地化存储+出境安全评估”的要求。
“《网络安全法》和《数据安全法》都属于一般性法律,而《条例》聚焦于网络安全方面的CII安全这一个点,是对《网络安全法》中相应部分的细化和落实,使得《网络安全法》中的CII部分内容具有可操作性。”方燕称。