2017年7月11日,国家互联网信息办公室公布了《关键信息基础设施安全保护条例(征求意见稿)》(以下称“《保护条例》”),向社会公开征求意见,这是《网络安全法》(以下称“《网安法》”)实施后的又一重要配套落地法规。
《保护条例》以八章共五十五条的篇幅对关键信息基础设施(以下称“CII”)安全保护做了相较于《网安法》更为详细的规定,其中包括总则,支持与保障,关键信息基础设施范围,运营者安全保护,产品和服务安全,监测预警、应急处置和检测评估,法律责任以及附则,构建了关键信息基础设施安全保护的整体框架。本文将从《保护条例》的三大亮点来解读,旨在为广大数据信息企业梳理新规,分析新规对可能落入关键信息基础设施运营者(以下称“CIIO”)范围的数据信息企业带来的合规挑战并给出合规建议。
一、细化关键信息基础设施范围
从以下对比可以看出,《保护条例》在《网安法》对CII范围规定的基础上,在行业领域上进行了更为详细的列举。
下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
值得注意的是,《保护条例》将“提供云计算、大数据和其他大型公共信息网络服务的单位”也明确列为CII,但却没有更为细化的解释何为“其他大型公共信息网络服务的单位”,另外,“其他重点单位”的兜底也让CII的具体范围更为难以界定。目前看来,《保护条例》CII范围基本覆盖政府机关和各重要公用事业单位,国内各大媒体、互联网公司以及重要的存储及处理数据关系国家安全、国计民生、公共利益的云服务、大数据企业等。
新规虽然从行业领域上进行了列举,但CII的范围仍有不确定性,任何未被列举行业领域的数据信息企业都应当从自身运营信息系统是否关系国家安全、国计民生、公共利益来判断是否可能落入CII的范围。
可以期待的是,《保护条例》第十九条规定了国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。建议数据信息企业严密关注相关部门制定的识别指南,及主管监管部门发布的本行业、本领域的CII名录。
二、增加跨境运维规制
《保护条例》第二十九条,延续了《网安法》数据跨境传输的规制,规定CIIO在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
此外,《保护条例》第三十四条首次对CIIO跨境运维进行了规制,规定关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
诚然,无论是数据跨境还是跨境运维规制,都是为了保护关系国家安全、公共利益及个人利益的信息和数据安全,这也为落入CIIO的数据信息企业提出了新的合规挑战,例如,使用服务器设在境外的云服务或采购境外网络产品和服务,都要事先谨慎考虑安全评估和运维报请的问题。
三、执证上岗制度及教育培训要求
《保护条例》第二十三条、第二十四条规定的CIIO安全保护义务,与《网安法》的要求基本一致,规定了CIIO须(一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;(四)制定网络安全事件应急预案并定期进行演练;(五)法律、行政法规规定的其他义务。
值得注意的是,《保护条例》第二十六条规定运营者网络安全关键岗位专业技术人员实行执证上岗制度。执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
另外,《保护条例》第二十七条也对《网安法》中就提到的网络安全教育进行了细化,规定运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
据此,可能属于CIIO的数据信息企业应关注相关部门关于执证上岗的具体规定,并注意保留从业人员及关键岗位专业技术人员的培训记录。
结语
由于《保护条例》在CIIO范围界定上的不确定性,在识别指南及各行业领域CII名录发布之前,CII的具体范围仍未明确。但政府机关和各重要公用事业单位,国内各大媒体、互联网公司以及重要的存储及处理数据关系国家安全、国计民生、公共利益的云服务、大数据企业等已极大可能落入CII范围,建议广大CIIO,尤其是可能属于CIIO的数据信息企业,尽快依据《保护条例》及《网安法》的要求建立、调整网络安全保护制度,比对CIIO的各项网络安全保护义务进行整改,并严密关注后续立法执法及具体规定动向。
作者吴丹君律师、王渝伟律师均为首席数据官联盟专家组成员。