关保条例最新解读:监管体系、认定标准及合规义务
发布日期:2021-08-29
来源:数字科技说
2021年8月17日,历经三年以上征求意见,国务院正式发布《关键信息基础设施安全保护条例》(下称“关保条例”),将于2021年9月1日起与《数据安全法》同步实施。
结合相关立法趋势、监管执法实践及项目经验,汇业律师事务所网数法律团队简要解读《关保条例》如下,仅供业界参考。
一、部分法律文件
二、分级保护
通过一系列立法、执法实践,我国开创性的建立起网络、数据监管与保护的分类分级模式,其中就包括“分等级保护、分等级监管”,具体体现在:
(一)网络分级
根据《网络安全法》、《关保条例》及1960号文等规定,等保是基础,关保是重点保护,但二者没有直接的对应关系。即,尽管有 “重点保障关键信息基础设施和第三级以上网络的安全”的要求,但实践中,MLPS3的网络或系统不必然等同于CII。
(二)数据分级
(三)个人信息分级
按照敏感度程度,可以分为:
按照必要性程序,可以分为:
三、监管体系
综合《网络安全法》、《关保条例》及1960号文等规定,当前我国关保监管体系如下:
四、认定标准
关于CII的认定标准,《关保条例》摒弃了《关键信息基础设施安全保护条例(征求意见稿)》的概括加列举的认定模式,基本延续了《网络安全法》的“行业+风险”的双重认定模式。即,下列网络设施、信息系统等可能会被认定为CII:
(1)行业标准:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业(注:新增)等重要行业和领域的网络设施、信息系统;
(2)风险标准:虽然不在上述行业和领域,但一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益,或者会对其他行业或领域造成重大关联影响的重要网络设施、信息系统;
(3)其他标准:此外,《网络安全法(草案)》在CII认定时还有用户数量标准,即“用户数量众多的网络服务提供者所有或者管理的网络和系统”也会被认定为CII,后续坊间流传的《关键信息基础设施确定指南》也有参考用户数量这一指标,后续各保护工作部门在制定关键信息基础设施认定规则时是否会考虑用户数这一指标,有待进一步明确;此外,1960号文还从系统功能特征的维度提出了CII的认定标准,即“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施”。
值得注意的是,上述“行业+风险”的双重认定标准还是非常宽泛的。例如,其中的“信息服务”领域,若按照《互联网信息服务管理办法》的认定标准,除了典型的互联网公司外,大多数触网的企业都可能会被认定为提供“信息服务”。
《关保条例》进一步明确,是否属于CII,由保护工作部门根据认定规则负责组织认定并将认定结果通知运营者,而无需运营者自行判断、评估是否属于CIIO。据汇业黄春林律师团队介绍,之前已经有部分企业收到了主管部门的认定通知。
五、合规义务
综合《关保条例》及前述法律法规及监管执法实践,汇业黄春林律师团队提示,CIIO应当依法履行的合规义务包括但不限于:
(1)依法开展网络安全等级保护测评、定级等工作;
(2)采购网络产品和服务、处理重要数据等可能影响国家安全的,或者赴国外上市,应当按照《网络安全审查办法》等规定开展网络安全审查;
(3)应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改;
(4)依法使用商用密码产品或服务,对重要系统和数据库进行容灾备份;
(5)安全保护措施应与关键信息基础设施同步规划、同步建设、同步使用;
(6)采购网络产品和服务,应当确保供应链安全,遵从进出口管制相关规定,并应按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督;
(7)依法履行数据及个人信息本地化义务,确需出境的,依法开展安全评估或认证;
(8)应当建立健全网络安全及数据保护相关制度、机制;
(9)主要负责人对关键信息基础设施安全保护负总责;
(10)应当设置专门安全管理机构和安全管理负责人,保障其运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与;
(11)应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查,定期对从业人员进行网络安全教育、技术培训和技能考核;
(12)制定网络安全事件应急预案,并定期进行演练,发生重大网络安全事件或者发现重大网络安全威胁时,应当按照有关规定向保护工作部门、公安机关报告;
(13)发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全;
(14)发生较大变化可能影响其CII认定结果的,应当及时将相关情况报告保护工作部门并重新认定;等等。
