作者:宁宣凤(合伙人) 吴涵(资深律师) 赵泱地(律师)

7月11日,国家互联网信息办公室(“网信办”)发布了《关键信息基础设施安全保护条例(征求意见稿)》(“《保护条例》”)。关键信息基础设施(CII)安全保护制度作为《网络安全法》(“《网安法》”)建立的若干信息网络安全制度中的核心和重中之重,早在2013年国家信息网络立法规划中就被认定为整个信息网络立法的最基础层。《保护条例》对CII范围、运营者安全保护义务、产品和服务安全、监测预警、应急处置和检测评估等一系列事项进行了详细的规定,构建了CII安全保护制度的具体框架。《保护条例》的制度框架要求发挥关键信息基础设施运营者(CIIO)的主观能动性,调动多方资源共享合作,体现了国家将CII筑成“金城汤池”,捍卫网络空间主权的决心。

本文拟梳理《保护条例》的相关制度体系,厘清需要进一步澄清的问题,分析条例将为CIIO带来的合规义务和挑战并提出实用建议。

CII安全保护制度基本介绍

1. CII保护迫在眉睫

信息技术的广泛应用使得众多关系国家安全、国计民生和公共利益的行业和领域的运营都高度依赖于网络。这些行业和领域的重要网络系统一旦丧失功能、遭到破坏,将给国家安全带来不可估量的危害和损失。近年来,世界范围内针对CII的攻击活动频繁发生并造成严重破坏,例如之前的“零日”、“震网”病毒,以及近期的Petya袭击 我国的国家顶级域名系统也曾多次遭到大流量拒绝服务攻击,针对我国一些重要行业和政府机构网络的有组织攻击活动也呈上升趋势。当前,加强CII保护已经成为国际社会的共识,包括美国、英国、德国、日本在内的众多国家均通过制定法律建立CII保护制度,例如德国的CII保护制度主要通过《联邦信息技术安全法》建立,日本则主要通过《关键信息基础设施保护基本政策》确立了相关制度。同样地,CII保护制度在我国《网安法》构建的网络安全制度体系中具有根本性地位,未来《保护条例》的正式出台及实施将进一步推进我国网络安全保护制度的落实。

2. CII的范围

《保护条例》第十八条基本沿袭了《网安法》第三十一条对CII的定义,并在此基础上对落入CII的行业和领域进行了较为详细的非穷尽性列举:

尽管上述列举澄清了部分应当纳入CII保护范围的行业和领域,在一定程度上缓解了之前过于宽泛的定义带来的极大不确定性,但作为一个开放性的定义,任何未被明确列举的行业和领域的主体所运营的网络设施和信息系统只要关系国家安全等均有可能被认定为CII,因此《保护条例》第十八条并不能完全消除网络运营者在判断自己是否落入CII的范围时所面临的不确定性。

但值得注意的是,《保护条例》第十九条授权国家网信部门会同电信和公安部门制定CII识别指南(“《识别指南》”),行业主管或监管部门按照识别指南组织识别本行业的CII。可以预期,未来相关部门会发布CII识别指南和经识别的各行业CII具体清单,解决目前《网安法》实施过程中所面临的CII范围的不确定性。

3. CIIO的责任和义务

《保护条例》第四、五、六章详细规定了CIIO应当履行的义务,第七章规定了CIIO不履行相应义务所应承担的法律责任。

在罚则部分,除了对CIIO作为单位的警告、责令改正等处罚以外,《保护条例》还明确规定了对直接负责的主管人员和其他直接责任人员处以个人罚款。[1]此外,CII发生重大网络安全事件,经调查确定为责任事故的,除应当查明运营单位责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。[2] 严格的责任人和第三方追责机制对CIIO在网络安全负责人和关键岗位人员的背景审查以及网络安全第三方服务机构的选聘方面提出了更高的审慎义务。

1. 多层次全方位保护

《保护条例》对于CII的保护从时间、对象和主体多个方面设置了多层次的保护制度。

从保护时间来看,《保护条例》在CII建设初期就要求保证安全技术措施同步规划、同步建设、同步使用(第二十一条)。在CII运营过程中,从包括内部安全管理制度、技术防范措施、人员审查、技能培训、产品和服务采购、监测预警、检测评估等方面设置了多种制度以防范可能的网络安全风险。最后,也从容灾备份、补救漏洞、应急处置等角度规定了相应的责任和义务(第二十四、三十三、三十九条)。

《保护条例》还针对制度、软硬件、人员等不同对象对CII保护设置了规则。比如分别要求国家网信部门、行业主管监管部门和CIIO制定网络安全应急预案(第二十四条、第三十九条)、要求CIIO采购的可能影响国家安全的网络产品和服务通过网络安全审查,对于外包的系统等上线前进行安全检测(第三十一、三十二条)条,以及对于CIIO网络安全关键岗位专业技术人员要求持证上岗(第二十六条)。

总体而言,《保护条例》为CII保护建立了国家机关外部监督管理、运营者内部防范的基本制度。不仅如此,《保护条例》对于CII安全保护工作的具体实施从标准体系角度切入,将为CIIO提供更为具体的指导(第十条)。最后《保护条例》也鼓励科研机构、网络安全服务机构、其他网络运营者、行业组织、科研机构、专家等充分参与到安全保护工作中,发挥不同的作用(第五条、第十二条、第十九条)。

2. 统筹协作

CII涉及的范围较广,面临的安全风险和威胁来自多个方面,正是基于此,《保护条例》在CIIO和有关主管部门承担安全保护工作的基础上,确立了以国家网信部门为中心的统筹协作机制,发挥各方作用,共同应对风险和威胁。[3]具体如下表所示:

统筹协作是CII保护制度的核心。例如,美国在确定10个联邦主管部门负责相关领域CII保护工作外,建立了由国土安全部牵头负责统筹协调的工作机制;德国将CII安全保护工作的统筹协作职能赋予内政部下属的联邦信息技术安全局。《保护条例》建立统筹协作机制,充分与国际先进经验接轨,为CII安全保护提供了有效的制度保障。

3. 信息共享、应急协作

《保护条例》第三十八条确立了网络安全信息共享机制。我们理解,各相关机构共享网络安全信息,对于主管机关而言,可以不断增强网络安全风险的感知能力,为网络安全形势的研判、网络风险的预警、网络安全事件的应急处置,以及完善相关管理制度提供依据。同时,CIIO可以分享网络安全保护的经验,借鉴其他CIIO的最佳实践,提升其安全保护能力。再者,有关研究机构、网络安全服务机构也可以借此提升本机构的研究和服务水平。

《保护条例》第三十九条规定了发生网络安全事件时各部门的应急协作机制,第十四条也明确了能源、电信、交通等行业为CII的网络安全事件应急处置与网络功能恢复提供电力、网络、交通等方面的重点保障和支持的义务。对于一些重大网络安全事件,CIIO可能难以单独进行应对和处置,需要由相关部门进行统筹协调并给予必要支持和协助,以提高网络安全事件应对处置的及时性和有效性,尽可能防止损害的扩大,并尽快恢复相关功能和业务。

进一步思考的问题

1.《保护条例》和《识别指南》的衔接问题

根据《保护条例》第十九条的规定,《识别指南》将由国家网信部门会同国务院电信主管部门、公安部门等部门联合制定。如上所述,《识别指南》将帮助国家机关和运营者澄清CII的范围,但实践中CII的范围和其保护规则可能存在一定程度的重叠。比如《保护条例》在第三十二条中对于外包开发的系统、软件、接受捐赠的网络产品在其上线应用前进行安全检测,但目前存在CII的部分系统服务由第三方外包完成或者协助维护的情况。

值得我们思考的是,考虑到第三方外包系统服务对于CII可能的重要性,是否可能将第三方外包系统服务纳入到CII的范围中?或者,是否能在CII内部安全管理制度和操作规程中设定防火墙、权限管理等,以隔离外包系统可能对于CII的影响,从而在安全保护办法的层面解决第三方外包的安全问题,避免将第三方纳入CII范围,造成CII的扩大化?

2. 有待进一步细化的规则

尽管《保护条例》建立了CII安全保护的具体框架,但仍存在着需要进一步细化的内容和制度。

比如,《保护条例》第二十六条规定了CIIO网络安全关键岗位专业技术人员实行持证上岗制度,而持证上岗具体规定仍有待国务院人力资源社会保障部门会同国家网信部门等部门制定。

再比如,《保护条例》第三十八条规定的“网络安全信息共享机制”,在其他国家有详细的实施细则。在美国《2015年网络安全法案》(“Cybersecurity Act of 2015”)中,就有关于网络信息共享“Title I—Cybersecurity Information Sharing” 的专门规定,就共享主体、共享范围、共享目的、共享性质、共享保护方式及共享权利限制等有具体的规定。 因此,可以预见的是我国还需要就“网络安全信息共享机制”做进一步细化的规定。

3.《保护条例》对于企业商业模式可能造成的影响

《保护条例》二十九条根据《网安法》的规定,进一步确认CIIO在中国境内运营中收集和产生的个人信息和重要数据应在境内存储,仅在业务确有需要,并经过安全评估后才能向境外提供。此外,《保护条例》第三十四条还要求CII的运行维护应在境内实施,确有业务需要进行境外远程维护的,需报备国家行业主管或监管部门和国务院公安部门。

《保护条例》的上述规定是为了确保CII中个人信息、重要数据以及系统的安全,但不可否认的是类似境内存储、境内维护的要求可能对CIIO目前的商业模式造成影响,比如国内采用国外云服务或者计算中心的企业可能要权衡安全评估的成本,采购境外网络产品和服务的CIIO可能需要考虑后续维护可能造成的安全问题和审核成本。

4.《保护条例》与各国个人信息保护规则可能存在的冲突

如我们在之前《“一带一路”背景下中国企业境外并购的网络安全和数据合规问题》文中所述,一方面,为了保护本国公民的合法权益,不少国家均要求网络运营者将在本国境内运营中收集和产生的个人信息数据储存在境内,甚至对于成立地在本国以外的机构来说,只要其在提供产品或者服务的过程中处理了本国/本司法辖区个体的个人数据,将需适用本国/本司法辖区的网络安全和数据保护规则。根据《网安法》第三十七条和《保护条例》第二十九条的规定,我国要求CIIO在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。我国关于网络安全和数据保护的“属地原则”和以欧盟为代表的 “属人原则”可能存在冲突。

另一方面,实践中,国外个人信息保护的执法机构还关注公民个人信息可能被中国政府获悉的风险。而根据《保护条例》第二十九、四十、四十一和四十二条的规定,国家有关部门无论在跨境安全评估、抽查检测、安全检测评估中都有可能接触到CII中的个人信息。尽管《保护条例》在四十三条中明确安全检测评估中获取的信息仅能用于维护网络安全的需要,但国外执法机构是否会因为该限制而打消疑虑仍不确定,实践中企业可能需要对数据进行精准分类、设置防火墙和不同访问权限来进一步澄清。

给企业的建议

可以预见,在《识别指南》及相应识别清单出台之前,CII的具体范围仍然会在一段时间内无法明确。虽然尚存在极大的不确定性,但至少目前明确列举的行业和领域之内的企业已存在极大的落入CII保护范围的可能性,因此,应当尽快开始梳理其内部网络安全制度和体系,比照CIIO项下的义务进行内部调整和校准。

除此之外,对于其他未予以明确列举的行业和领域的企业,可能面临着难以判断是否会落入CII保护范围内的困境,从而在履行相关网络安全保护义务方面无法适从。我们建议在此过渡时期,企业应当谨慎处理相关问题。例如在拟向境外传输数据时,尽量首先自行进行安全评估;在采购网络设备或产品、服务时应当优先采购通过安全审查或经国家认证的产品;在搭建内部网络安全架构时,尽量按照较高的安全等级标准进行。

另外,重要行业和领域的企业应当尽快加强人员网络安全意识和技能的培训,为企业落实CII安全保护义务提供强有力的人员支持;考虑到有关CII安全保护制度的配套措施和细节仍在制定中,但据悉相关执法活动已开始逐步开展,企业应当积极参与立法并提出建议,时时关注执法动态,确保合法合规运营。