CII新規(guī)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》解讀

信息化基礎(chǔ)設(shè)施大數(shù)據(jù)

吳丹君王渝偉 | 2017-07-13 11:59

【數(shù)據(jù)猿導(dǎo)讀】 2017年7月11日，國家互聯(lián)網(wǎng)信息辦公室公布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（以下稱“《保護(hù)條例》”），向社會(huì)公開征求意見，這是《網(wǎng)絡(luò)安全法》（以下稱“《網(wǎng)安法》”）實(shí)施后的又一重要配套落地法規(guī)

CII新規(guī)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》解讀

來源：數(shù)據(jù)猿作者：吳丹君王渝偉

2017年7月11日，國家互聯(lián)網(wǎng)信息辦公室公布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（以下稱“《保護(hù)條例》”），向社會(huì)公開征求意見，這是《網(wǎng)絡(luò)安全法》（以下稱“《網(wǎng)安法》”）實(shí)施后的又一重要配套落地法規(guī)。

《保護(hù)條例》以八章共五十五條的篇幅對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施（以下稱“CII”）安全保護(hù)做了相較于《網(wǎng)安法》更為詳細(xì)的規(guī)定，其中包括總則，支持與保障，關(guān)鍵信息基礎(chǔ)設(shè)施范圍，運(yùn)營者安全保護(hù)，產(chǎn)品和服務(wù)安全，監(jiān)測(cè)預(yù)警、應(yīng)急處置和檢測(cè)評(píng)估，法律責(zé)任以及附則，構(gòu)建了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的整體框架。本文將從《保護(hù)條例》的三大亮點(diǎn)來解讀，旨在為廣大數(shù)據(jù)信息企業(yè)梳理新規(guī)，分析新規(guī)對(duì)可能落入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下稱“CIIO”）范圍的數(shù)據(jù)信息企業(yè)帶來的合規(guī)挑戰(zhàn)并給出合規(guī)建議。

一、細(xì)化關(guān)鍵信息基礎(chǔ)設(shè)施范圍

從以下對(duì)比可以看出，《保護(hù)條例》在《網(wǎng)安法》對(duì)CII范圍規(guī)定的基礎(chǔ)上，在行業(yè)領(lǐng)域上進(jìn)行了更為詳細(xì)的列舉。

《保護(hù)條例》第十八條

《網(wǎng)安法》第三十一條

下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：

（一）政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；

（二）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；

（三）國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

（四）廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位；

（五）其他重點(diǎn)單位。

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

值得注意的是，《保護(hù)條例》將“提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位”也明確列為CII，但卻沒有更為細(xì)化的解釋何為“其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位”，另外，“其他重點(diǎn)單位”的兜底也讓CII的具體范圍更為難以界定。目前看來，《保護(hù)條例》CII范圍基本覆蓋政府機(jī)關(guān)和各重要公用事業(yè)單位，國內(nèi)各大媒體、互聯(lián)網(wǎng)公司以及重要的存儲(chǔ)及處理數(shù)據(jù)關(guān)系國家安全、國計(jì)民生、公共利益的云服務(wù)、大數(shù)據(jù)企業(yè)等。

新規(guī)雖然從行業(yè)領(lǐng)域上進(jìn)行了列舉，但CII的范圍仍有不確定性，任何未被列舉行業(yè)領(lǐng)域的數(shù)據(jù)信息企業(yè)都應(yīng)當(dāng)從自身運(yùn)營信息系統(tǒng)是否關(guān)系國家安全、國計(jì)民生、公共利益來判斷是否可能落入CII的范圍。

可以期待的是，《保護(hù)條例》第十九條規(guī)定了國家網(wǎng)信部門會(huì)同國務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南。國家行業(yè)主管或監(jiān)管部門按照關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南，組織識(shí)別本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，并按程序報(bào)送識(shí)別結(jié)果。建議數(shù)據(jù)信息企業(yè)嚴(yán)密關(guān)注相關(guān)部門制定的識(shí)別指南，及主管監(jiān)管部門發(fā)布的本行業(yè)、本領(lǐng)域的CII名錄。

二、增加跨境運(yùn)維規(guī)制

《保護(hù)條例》第二十九條，延續(xù)了《網(wǎng)安法》數(shù)據(jù)跨境傳輸?shù)囊?guī)制，規(guī)定CIIO在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法進(jìn)行評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

此外，《保護(hù)條例》第三十四條首次對(duì)CIIO跨境運(yùn)維進(jìn)行了規(guī)制，規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)應(yīng)當(dāng)在境內(nèi)實(shí)施。因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程維護(hù)的，應(yīng)事先報(bào)國家行業(yè)主管或監(jiān)管部門和國務(wù)院公安部門。

誠然，無論是數(shù)據(jù)跨境還是跨境運(yùn)維規(guī)制，都是為了保護(hù)關(guān)系國家安全、公共利益及個(gè)人利益的信息和數(shù)據(jù)安全，這也為落入CIIO的數(shù)據(jù)信息企業(yè)提出了新的合規(guī)挑戰(zhàn)，例如，使用服務(wù)器設(shè)在境外的云服務(wù)或采購境外網(wǎng)絡(luò)產(chǎn)品和服務(wù)，都要事先謹(jǐn)慎考慮安全評(píng)估和運(yùn)維報(bào)請(qǐng)的問題。

三、執(zhí)證上崗制度及教育培訓(xùn)要求

《保護(hù)條例》第二十三條、第二十四條規(guī)定的CIIO安全保護(hù)義務(wù)，與《網(wǎng)安法》的要求基本一致，規(guī)定了CIIO須（一）設(shè)置專門網(wǎng)絡(luò)安全管理機(jī)構(gòu)和網(wǎng)絡(luò)安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查；（二）定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；（三）對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份，及時(shí)對(duì)系統(tǒng)漏洞等安全風(fēng)險(xiǎn)采取補(bǔ)救措施；（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期進(jìn)行演練；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

值得注意的是，《保護(hù)條例》第二十六條規(guī)定運(yùn)營者網(wǎng)絡(luò)安全關(guān)鍵崗位專業(yè)技術(shù)人員實(shí)行執(zhí)證上崗制度。執(zhí)證上崗具體規(guī)定由國務(wù)院人力資源社會(huì)保障部門會(huì)同國家網(wǎng)信部門等部門制定。

另外，《保護(hù)條例》第二十七條也對(duì)《網(wǎng)安法》中就提到的網(wǎng)絡(luò)安全教育進(jìn)行了細(xì)化，規(guī)定運(yùn)營者應(yīng)當(dāng)組織從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn)，每人每年教育培訓(xùn)時(shí)長不得少于1個(gè)工作日，關(guān)鍵崗位專業(yè)技術(shù)人員每人每年教育培訓(xùn)時(shí)長不得少于3個(gè)工作日。

據(jù)此，可能屬于CIIO的數(shù)據(jù)信息企業(yè)應(yīng)關(guān)注相關(guān)部門關(guān)于執(zhí)證上崗的具體規(guī)定，并注意保留從業(yè)人員及關(guān)鍵崗位專業(yè)技術(shù)人員的培訓(xùn)記錄。

結(jié)語

由于《保護(hù)條例》在CIIO范圍界定上的不確定性，在識(shí)別指南及各行業(yè)領(lǐng)域CII名錄發(fā)布之前，CII的具體范圍仍未明確。但政府機(jī)關(guān)和各重要公用事業(yè)單位，國內(nèi)各大媒體、互聯(lián)網(wǎng)公司以及重要的存儲(chǔ)及處理數(shù)據(jù)關(guān)系國家安全、國計(jì)民生、公共利益的云服務(wù)、大數(shù)據(jù)企業(yè)等已極大可能落入CII范圍，建議廣大CIIO，尤其是可能屬于CIIO的數(shù)據(jù)信息企業(yè)，盡快依據(jù)《保護(hù)條例》及《網(wǎng)安法》的要求建立、調(diào)整網(wǎng)絡(luò)安全保護(hù)制度，比對(duì)CIIO的各項(xiàng)網(wǎng)絡(luò)安全保護(hù)義務(wù)進(jìn)行整改，并嚴(yán)密關(guān)注后續(xù)立法執(zhí)法及具體規(guī)定動(dòng)向。

注：

本文由 觀韜中茂（上海）律師事務(wù)所 投稿數(shù)據(jù)猿發(fā)布。

歡迎更多大數(shù)據(jù)企業(yè)、愛好者投稿數(shù)據(jù)猿，來稿請(qǐng)直接投遞至：tougao@datayuan.cn

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會(huì)注明來源與作者；轉(zhuǎn)載我們?cè)瓌?chuàng)內(nèi)容時(shí)，也請(qǐng)務(wù)必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會(huì)受到數(shù)據(jù)猿追責(zé)。