中澳關(guān)鍵基礎(chǔ)設(shè)施法案對比研究

基礎(chǔ)設(shè)施大數(shù)據(jù) 法律

吳丹君周天一 | 2017-12-14 11:38

【數(shù)據(jù)猿導(dǎo)讀】對比我國《網(wǎng)安法》及《征求意見稿》的規(guī)定，《草案》更加注重對相關(guān)信息的搜集以及部長義務(wù)的履行，其針對關(guān)鍵基礎(chǔ)設(shè)施的登記冊制度值得我國借鑒，而我國對CII的定義范圍明顯寬于澳大利亞，對跨境運(yùn)維也提出了更為嚴(yán)格的要求

作者：吳丹君周天一北京觀韜中茂（上海）律師事務(wù)所

2017年10月12日，澳大利亞政府發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施安全法案草案》（以下稱“《草案》”）并公開征詢意見，《草案》旨在強(qiáng)化和提升澳大利亞政府對于外商投資關(guān)鍵基礎(chǔ)設(shè)施業(yè)務(wù)所產(chǎn)生的一系列國家安全風(fēng)險(xiǎn)的管控能力，確立政府對于關(guān)鍵基礎(chǔ)設(shè)施的監(jiān)管框架，明確規(guī)定關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)的認(rèn)定、關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)登記冊制度、相關(guān)主體的信息報(bào)告和通知義務(wù)以及授權(quán)部長獲取相關(guān)信息和針對特定行為發(fā)布指令的權(quán)力。這是繼2009年11月23日發(fā)布的《國家信息安全戰(zhàn)略》之后，澳大利亞政府首次發(fā)布的對該國關(guān)鍵基礎(chǔ)設(shè)施的詳細(xì)安全保護(hù)法案，補(bǔ)齊了澳大利亞關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全法律的這一短板。

同時(shí)，該法案也成為世界主要經(jīng)濟(jì)發(fā)達(dá)國家和地區(qū)中較晚發(fā)布的基礎(chǔ)設(shè)施安全法案。今年7月，國家網(wǎng)信辦發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（以下稱“《征求意見稿》”），以八章五十五條的篇幅對關(guān)鍵信息基礎(chǔ)設(shè)施（以下稱“CII”）的安全保護(hù)做了較于《網(wǎng)絡(luò)安全法》（以下稱“《網(wǎng)安法》”）更為詳細(xì)的規(guī)定。本文旨在對比梳理中國和澳大利亞關(guān)鍵基礎(chǔ)設(shè)施法律法規(guī)的不同之處，并歸納出針對我國關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下稱“CIIO”）的合規(guī)建議。

規(guī)制范圍

《征求意見稿》

《草案》

第十八條下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：

（一）政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；

（二）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；

（三）國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

（四）廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位；

（五）其他重點(diǎn)單位。

9 Meaning of critical infrastructure asset

(1) a critical electricity asset; or

(a) a critical electricity port; or

(b) a critical water asset; or

(e) an asset prescribed by the rules for the purpose of this paragraph.

(3) The Minister must not prescribe an asset for the purpose of paragraph (1)(e) unless the Minister is satisfied that:

(a) the asset is critical to:

(i) the social or economic stability of Australia or its people; or

(ii) the defence of Australia; or

(iii) national security; and

(b) there is a risk, in relation to the asset, that may be prejudicial to security.

澳大利亞《草案》中明確規(guī)定了關(guān)鍵基礎(chǔ)設(shè)施的范圍，其中第九條將關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)定義為五種具體的類型，即關(guān)鍵電力資產(chǎn)、關(guān)鍵港口、關(guān)鍵水資源資產(chǎn)、部長認(rèn)為影響或可能影響國家安全并通過書面形式認(rèn)定為關(guān)鍵基礎(chǔ)設(shè)施的資產(chǎn)、《草案》規(guī)定的其他關(guān)鍵基礎(chǔ)資產(chǎn)。

在確定了關(guān)鍵基礎(chǔ)設(shè)施的總體范圍后，《草案》還分別對關(guān)鍵電力資產(chǎn)、關(guān)鍵港口進(jìn)行了細(xì)化規(guī)定。關(guān)鍵電力資產(chǎn)是指滿足下列條件的電力設(shè)施：

（1）傳輸、分流電力的網(wǎng)絡(luò)、系統(tǒng)或連接設(shè)備；

（2）對于確保一州范圍內(nèi)電網(wǎng)、電力系統(tǒng)的安全、穩(wěn)定十分重要的發(fā)電站。關(guān)鍵港口主要是依據(jù)2003年的《海上運(yùn)輸和海上設(shè)施安全法案》的規(guī)定，列舉了達(dá)爾文、布里斯班、悉尼等20個(gè)重要的港口。

相較《草案》，《征求意見稿》的內(nèi)容更加詳細(xì)具體，應(yīng)當(dāng)注意的是，除了“政府機(jī)關(guān)、能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位”外，還將“提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位”也列為CII，明確了相關(guān)云服務(wù)企業(yè)應(yīng)當(dāng)作為CIIO接受《征求意見稿》規(guī)制。鑒于目前未有針對“其他重點(diǎn)單位”這一兜底規(guī)定的詳細(xì)解釋，我國現(xiàn)行CII的范圍仍存在一定不確定性。

可以預(yù)見的是，《征求意見稿》第十九條規(guī)定了國家網(wǎng)信部門將會(huì)同國務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南，相關(guān)CIIO應(yīng)當(dāng)嚴(yán)密關(guān)注相關(guān)部門制定的識(shí)別指南，及主管監(jiān)管部門發(fā)布的本行業(yè)、本領(lǐng)域的CII名錄，以保證及時(shí)獲取必要信息。

信息報(bào)送

《征求意見稿》及《網(wǎng)安法》

《草案》解釋文件

《征求意見稿》

第三十六條　國家網(wǎng)信部門統(tǒng)籌建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系和信息通報(bào)制度，組織指導(dǎo)有關(guān)機(jī)構(gòu)開展網(wǎng)絡(luò)安全信息匯總、分析研判和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。

第三十七條　國家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度，及時(shí)掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況和安全風(fēng)險(xiǎn)，向有關(guān)運(yùn)營者通報(bào)安全風(fēng)險(xiǎn)和相關(guān)工作信息。

國家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)組織對安全監(jiān)測信息進(jìn)行研判，認(rèn)為需要立即采取防范應(yīng)對措施的，應(yīng)當(dāng)及時(shí)向有關(guān)運(yùn)營者發(fā)布預(yù)警信息和應(yīng)急防范措施建議，并按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求向有關(guān)部門報(bào)告。

《網(wǎng)安法》

第五十二條　負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。

167. Subsection 22(2) sets out the information that each reporting entity must provide. Paragraph 22(2)(a) requires the responsible entity to provide the operational information for that asset. Operational information is defined in section 7 as information relating to the responsible entity and any other entity that is operating the asset or part of the asset on behalf of the operator. It specially includes:

the location of the asset
a description of the area that the asset services, and
for each entity that is the responsible entity for, or an operator of, the asset

- the name of the entity

- address of the entity’s head office or principal place of business

- incorporation details in Australia or another country

- where the entity is incorporated, formed, created in another country, the name of that country, and

details of the arrangement under which an operator is operating the asset.

登記冊制度是澳大利亞《草案》中的一大重要舉措，鑒于澳大利亞現(xiàn)有的諸多關(guān)鍵基礎(chǔ)設(shè)施為私人所有或由政府以商業(yè)模式運(yùn)營，設(shè)立登記冊制度的主要目的是為了記錄相關(guān)關(guān)鍵基礎(chǔ)設(shè)施所有者和管理者的詳細(xì)信息以便政府及時(shí)解決可能存在的信息漏洞。

根據(jù)登記冊制度內(nèi)容，兩類主體應(yīng)當(dāng)履行信息的提交和通知義務(wù)，即責(zé)任實(shí)體（responsible entity）和直接利益持有者（direct interest holder），前者需要的信息包括關(guān)鍵基礎(chǔ)設(shè)施的位置、服務(wù)的領(lǐng)域、責(zé)任主體和運(yùn)營商的名稱、主要辦公場所地址、分部所在的其他國家的信息、最高運(yùn)營官信息和運(yùn)營安排細(xì)節(jié)等運(yùn)行信息（operational information），后者需要提交的信息為關(guān)鍵基礎(chǔ)設(shè)施的利益和控制信息（interest and control information）。

對比《草案》內(nèi)容，《征求意見稿》和現(xiàn)行《網(wǎng)安法》并未明確CIIO具體應(yīng)當(dāng)報(bào)送哪些信息，僅規(guī)定由國家網(wǎng)信部門和行業(yè)主管部門負(fù)責(zé)建立健全CII的網(wǎng)絡(luò)安全監(jiān)測和信息通報(bào)制度，向有關(guān)運(yùn)營者及時(shí)通報(bào)安全風(fēng)險(xiǎn)和工作信息，內(nèi)容較為寬泛。

此外，由于關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南并未制訂完成，我國目前尚不具備針對CII進(jìn)行大規(guī)模的登記備案的條件，但《草案》中規(guī)定的登記冊制度無疑值得借鑒。具體到廣大CIIO上，在處理數(shù)據(jù)信息時(shí)，CIIO應(yīng)當(dāng)根據(jù)《征求意見稿》規(guī)定，及時(shí)采取技術(shù)措施監(jiān)測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)和網(wǎng)絡(luò)安全事件，留存網(wǎng)絡(luò)日志不少于六個(gè)月，必要時(shí)對數(shù)據(jù)進(jìn)行分類、備份和加密認(rèn)證，并根據(jù)國家網(wǎng)信部門的要求及時(shí)提供相關(guān)數(shù)據(jù)信息。

跨境運(yùn)維

《征求意見稿》及《網(wǎng)安法》

《草案》解釋文件

《征求意見稿》

第二十九條　運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法進(jìn)行評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第三十四條　關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)應(yīng)當(dāng)在境內(nèi)實(shí)施。因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程維護(hù)的，應(yīng)事先報(bào)國家行業(yè)主管或監(jiān)管部門和國務(wù)院公安部門。

《網(wǎng)安法》

第三十七條　關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

216. An example of a direction may be that the Minister directs a critical infrastructure asset operator to move currently stored offshore corporate and operating data to a more secure data storage provider. The direction will provide a specific timeframe within which the entity must comply. A further example of a direction is the Minister may direct a critical infrastructure asset owner to not outsource operations of its core network to certain providers. This direction may specify that the condition exists in perpetuity. Alternatively, the Minister may specify in the direction that the entity must consult the Government before entering into future outsourcing arrangements.

縱覽整個(gè)《草案》，澳大利亞政府主要采取了兩大措施，登記冊制度和部長指令，前者為事前監(jiān)管，以保證及時(shí)監(jiān)測關(guān)鍵基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)，后者則屬于事后補(bǔ)救措施，著重為關(guān)鍵基礎(chǔ)設(shè)施所面臨的安全風(fēng)險(xiǎn)提供解決措施。

在數(shù)據(jù)傳輸和儲(chǔ)存過程以及可能涉及外國供應(yīng)商的問題上，《草案》賦予了部長為降低安全風(fēng)險(xiǎn)向特定主體發(fā)送行為指令的權(quán)力，在滿足相關(guān)要素的前提下，部長有權(quán)要求關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商將目前存儲(chǔ)的運(yùn)營數(shù)據(jù)存放至更安全的數(shù)據(jù)存儲(chǔ)供應(yīng)商處；有權(quán)要求相關(guān)主體在訂立服務(wù)外包協(xié)議之前必須咨詢政府；有權(quán)要求關(guān)鍵基礎(chǔ)設(shè)施的所有者不得將其核心網(wǎng)絡(luò)業(yè)務(wù)的運(yùn)營外包給特定的供應(yīng)商等。這部分規(guī)定極大地強(qiáng)化了政府干預(yù)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營的能力，同時(shí)也使得政府對于國家安全風(fēng)險(xiǎn)的控制力度所有提升。

我國現(xiàn)行《網(wǎng)安法》明確規(guī)定CIIO在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)，確有需要向境外提供的，應(yīng)當(dāng)進(jìn)行安全評估。根據(jù)今年4月發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下稱“《安全評估辦法》”）的規(guī)定，CIIO若需數(shù)據(jù)出境應(yīng)當(dāng)重點(diǎn)評估出境的必要性、涉及個(gè)人信息情況、涉及重要數(shù)據(jù)情況、數(shù)據(jù)接收方的安全保護(hù)措施能力水平以及相關(guān)風(fēng)險(xiǎn)等，滿足特定條件的，還應(yīng)報(bào)請行業(yè)主管或監(jiān)管部門組織安全評估。我國現(xiàn)行法律體系下對CII的監(jiān)管力度較澳大利亞更為嚴(yán)格，在具體操作過程中，CIIO應(yīng)當(dāng)參照《安全評估辦法》以及8月30日發(fā)布的《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》的要求，完善數(shù)據(jù)出境合規(guī)，及時(shí)進(jìn)行安全評估。

結(jié)語

本次澳大利亞發(fā)布《草案》主要基于三個(gè)原因，首先是關(guān)鍵基礎(chǔ)設(shè)施關(guān)系國計(jì)民生且與網(wǎng)絡(luò)的聯(lián)系日益加強(qiáng)，其次是外資的進(jìn)入加大了關(guān)鍵基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)，最后則是澳大利亞目前尚未形成對關(guān)鍵基礎(chǔ)設(shè)施的有效統(tǒng)一管理機(jī)制，因此亟待立法保護(hù)國家網(wǎng)絡(luò)及信息安全。

對比我國《網(wǎng)安法》及《征求意見稿》的規(guī)定，《草案》更加注重對相關(guān)信息的搜集以及部長義務(wù)的履行，其針對關(guān)鍵基礎(chǔ)設(shè)施的登記冊制度值得我國借鑒，而我國對CII的定義范圍明顯寬于澳大利亞，對跨境運(yùn)維也提出了更為嚴(yán)格的要求。

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會(huì)注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時(shí)，也請務(wù)必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會(huì)受到數(shù)據(jù)猿追責(zé)。