西盟斯数据观察|《关键信息基础设施安全保护条例》速览解读

2017年生效的《网络安全法》首次提出了关键信息基础设施（CII）这一重要概念，但有关CII的具体范围与认定规则、CII运营者的合规义务等重要问题一直有待进一步厘清。国家网信办于2017年1月发布了《关键信息基础设施安全保护条例（征求意见稿）》，但之后一直未有下文，以至2017年6月即已生效的《网络安全法》中有关CII的重点保护规定难以落实。及至今年8月17日，国务院审议通过的《关键信息基础设施安全保护条例》（下简称《条例》）终于正式发布，并将于今年9月1日起实施。

与《网络安全法》和4年前公布的征求意见稿相比，《条例》对CII的认定考虑因素、CII保护部门的职责划分、CII运营者的合规义务以及违法责任作出了更为清晰的规定，对于建立落实CII安全保护体系有着积极的推动作用，也为企业评估自身是否属于CII以及履行CII保护义务提供了更具操作性的指引。

《条例》的出台进一步表明，我国网络安全和数据保护法律体系正在加速建立、完善。随着数据安全法在9月1日正式生效，个人信息保护法在今天正式通过并将于11月1日正式生效，预计其他的配套法规、规章、标准也将陆续推出，监管执法也会迅速跟上。企业很难再以法律规定不明、缺乏操作指引等理由规避自身的法定义务，而需要尽快对照法律法规梳理自身实践、找出合规差距，及时建立内部制度、采取必要的安全保护措施。

CII 的范围与认定

《条例》提出了在识别认定CII时应当主要考虑的因素，即：（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。《条例》还明确规定CII的认定结果应当及时通知运营者，并通报公安部。这些变化有助于企业更准确地判断自身是否可能被认定为CII运营者，或是否有可能随着业务发展而成为CII运营者。一旦企业被通知其设施认定为CII，就应当立即开始履行CII运营者所承担的合规义务，而这些合规义务实际上是需要全面的系统和流程支持的，并非一日之功。因此我们建议企业主动对照《条例》提出的认定因素以及后续发布的认定细则，评估自身是否可能被认定为CII运营者，从而提前为网络设施及信息系统的安全保护，以及CII运营者需要承担的各项合规义务做好准备。

在认定CII的考虑因素中，有关各行业、各领域"关键核心业务"的范围，衡量危害程度的指标（例如网站访问量、数据量、受影响个人的数量等）等，仍然有待保护工作部门通过具体认定规则进行明确。

另外，根据公安部于2020年7月向各部委、国务院机构、事业单位和央企印送的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（下简称《指导意见》），CII的具体类型包括基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等。涉及以上设施类型的企业尤其应当关注和尽早开展CII认定的自我评估。

CII 安全保护的责任部门及其职责范围

《条例》明确了CII保护工作的主管部门及其职责划分，规定公安部门将负责指导监督CII安全保护工作，使相关职权更为集中。这一安排将尤其有助于防范外部的网络安全威胁、处置重大网络安全事件、加强网络安全监管，和打击危害网络安全的违法犯罪活动。《条例》和前述公安部《指导意见》还进一步明确了相关部门的职责分工。

CII 运营者的合规义务

《条例》设专章规定了CII运营者的责任义务，包括：设置主要负责人、专门的安全管理机构以及该机构负责人的职责划分，保障安全管理机构的经费、人员，以及对网络安全决策的参与；采取安全措施；开展网络安全监测、检测和风险评估；网络安全事件报告、网络安全审查等。

《条例》规定CII运营者应当依法依规采取技术保护措施和其他必要措施，但未就具体的网络日志保存期限、备份、加密等作特别要求。而公安部《指导意见》则对CII运营者应采取的安全措施作出了建议，包括（但不限于）：

• 合理分区分域，收敛互联网暴露面；

• 有条件的运营者应组建自己的安全服务机构，承担CII安全保护任务，也可通过迁移上云或购买安全服务等方式，提高网络安全专业化、集约化保障能力；

• 建立并落实重要数据和个人信息安全保护制度；

• 对CII中的重要网络和数据库进行容灾备份；

• 采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等技术措施。

在《网络安全法》规定的报告义务基础上，《条例》进一步明确了针对重大网络安全事件或重大网络安全威胁的报告流程。CII运营者应当将上述情况报告给保护工作部门和公安机关，满足一定条件时，再由保护工作部门向国家网信办、公安部报告。此外，《条例》还新增规定，CII运营者需要将其合并、分立、解散等情况及时告知保护工作部门。

违规后果

CII运营者违反《条例》规定的下列各项义务，可能面临责令改正、警告、罚款等处罚（罚款上限在大多数情况下为100万元，例外情况见以下单独说明），甚至治安管理处罚或刑事责任。违规行为对他人造成损害的，还须依法承担民事责任。

• 在CII发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门；

• 安全保护措施未与CII同步规划、同步建设、同步使用；

• 未建立健全网络安全保护制度和责任制；

• 未设置专门安全管理机构；

• 未对专门安全管理机构负责人和关键岗位人员进行安全背景审查；

• 开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与；

• 专门安全管理机构未履行其法定职责；

• 未对CII每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况；

• 采购网络产品和服务，未进行安全审查（罚款上限为采购金额的10倍），或未与网络产品和服务提供者签订安全保密协议；

• 发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对CII进行处置；

• 在CII发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告；

对保护工作部门开展的CII网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的CII网络安全检查工作不予配合（罚款上限为50万元）。

对非 CII 运营者的影响

《条例》第19、20条对CII运营者采购网络产品和服务时应注意的事项作出了规定。这意味着，对于自身非CII运营者的企业，如果其为CII运营者提供网络产品或服务，仍有可能间接受到《条例》的影响，具体来说可能包括：与CII运营者签署安全保密协议，为CII运营者提供技术支持，以及按照《网络安全审查办法》对其网络安全审查。