《关键信息基础设施安全保护条例》简述|MHP君悦评论
2021-08-245562
打开微信,扫一扫二维码
订阅我们的微信公众号
打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友
《中华人民共和国网络安全法》(“《网络安全法》”)要求对关键信息基础设施实行重点保护,但关键信息基础设施的具体范围和安全保护办法由国务院另行制定[1]。在《网络安全法》生效后,国家网信办曾于2017年7月10日发布了《关键信息基础设施安全保护条例(征求意见稿)》(“《征求意见稿》”)。随着《中华人民共和国密码法》、《中华人民共和国数据安全法》(“《数据安全法》”)、《中华人民共和国个人信息保护法》等法律法规的陆续出台、生效和制订,如何界定关键信息基础设施以及明确其运营者安全保护职责义务显得愈发紧要。国务院于2021年4月27日批准通过并于2021年7月30日正式发布了《关键信息基础设施安全保护条例》(“《保护条例》”)。《保护条例》将于2021年9月1日与《数据安全法》一同施行。
一、何为关键信息基础设施?
《保护条例》明确:关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
相比《征求意见稿》未给出确切定义,仅仅粗略罗列可能涉及关键信息基础设施的单位而使得关键信息基础设施范围过于宽广,《保护条例》通过上述定义,强调了关键信息基础设施是处于特定行业和领域的以及其它涉及国家安全、国计民生、公共利益的重要网络设施、信息系统等。
二、如何认定关键信息基础设施?
1、认定规则
关键信息基础设施的定义在实践中缺乏操作性。因此,《保护条例》要求其确定的保护工作部门(即关键信息基础设施定义涵盖的重要行业和领域的主管部门、监督管理部门)制订关键信息基础设施认定规则,并报国务院公安部门备案。
制订认定规则需考虑的因素包括:
(1)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(3)对其他行业和领域的关联性影响。
2、认定
保护工作部门负责依据制订的认定规则认定其主管行业或领域的关键信息基础设施,认定结果需通报国务院公安部门。
关键信息基础设施发生较大变化而可能影响其认定结果的,其运营者应及时报告相关保护工作部门,而保护工作部门应自收到报告之日起3个月内完成重新认定。
三、关键信息基础设施运营者有哪些责任与义务?
1、《网络安全法》下的责任与义务
关键信息基础设施的运营者须承担和履行《网络安全法》规定的网络运行安全与网络信息安全方面的责任与义务,特别是其中有关关键信息基础设施的运行安全的责任与义务。
2、《保护条例》下的责任与义务
除此之外,关键信息基础设施的运营还须承担和履行《保护条例》规定的更详尽的主体责任和义务,包括:
(1)在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性;
(2)安全保护措施与关键信息基础设施同步规划、同步建设、同步使用;
(3)建立健全网络安全保护制度与责任制,主要负责人对关键信息基础设施安全保护负总责;
(4)设置专门安全管理机构,具体负责本单位的关键信息基础设施安全保护工作,并对其负责人和关键岗位人员进行安全背景审查;
(5)自行或委托网络安全服务机构每年至少一次进行网络安全检测和风险评估;
(6)向保护工作部门和公安机关报告重大网络安全事件或重大网络安全威胁;
(7)优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,需进行网络安全审查;
(8)与网络产品和服务供应商订立安全保密协议;
(9)向保护工作部门报告合并、分立、解散等情况,并按照保护工作部门的要求对关键信息基础设施进行处置。
3、其它法律法规下的责任与义务
越来越多的法律法规要求关键信息基础设施运营者承担特别责任与义务:
《数据安全法》规定,关键信息基础设施运营者在中国境内运营中收集和产生的重要数据的出境安全管理均应按照《网络安全法》的规定办理;
《中华人民共和国个人信息保护法》规定,关键信息基础设施运营者应当将在中国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估;
《中华人民共和国密码法》要求,对于行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估;
《反间谍安全防范工作规定》要求,关键信息基础设施运营者须履行相应的反间谍安全防范义务,包括对单位安全管理机构负责人和关键岗位人员进行反间谍安全防范审查、定期对从业人员进行反间谍安全防范教育和培训等。
[1] 《网安法》第31条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
