国家网络安全领域核心命脉:关键信息基础设施的合规要点解析
2018年9月4日,公安部网络安全保卫局总工程师9月4日在2018ISC互联网安全大会上透露,由中国网信办和公安部牵头,《国家关键信息基础设施安全保护条例》即将出台。2018年11月8日,全国信息安全标准化技术委员会秘书处在北京召开了国家标准《信息安全技术 关键信息基础设施安全检查评估指南》(报批稿)(以下简称“《评估指南》”)试点工作启动会,旨在验证《检查评估指南》标准内容的合理性和可操作性,为关键信息基础设施安全检查评估工作摸索经验。
《网络安全法》(以下称《网安法》)第三章第二节“关键信息基础设施”首次对关键信息基础设施运营者(以下简称“CIIO”)的网络安全义务法律化、具体化,对CIIO提出了比一般网络运营者更高的法定安全保护义务。随着相应配套文件的制定与公布,各行业CIIO的 合规要求得到进一步细化,本文将依据现有规定将对CIIO的合规要点进行梳理汇总。
一、合规责任主体
CIIO具有比一般网络运营者更高的安全运行保障义务,完成CII的识别与确定是合规整改的前提。《网安法》《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《安全保护条例》”)都采用了“领域识别+风险识别”的方式来对CII或CIIO进行定义。
表1:《网络安全法》及《安全保护条例》CII定义范围
《网络安全法》 第三十一条 | 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。 |
《安全保护条例》 第十八条 | 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围: (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; (二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; (三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位; (四)广播电台、电视台、通讯社等新闻单位; (五)其他重点单位。 |
参照表1对CII的定义,涉及相关领域的网络运营者应当针对自身情况开展CII的认定工作。《国家网络安全检查操作指南》(以下简称“《操作指南》”)“3.2 确定关键信息基础设施步骤”将CII的确定归纳为三个步骤。一是确定关键业务,即参考《操作指南》的“关键信息基础业务判定表”结合本地区、本部门、本行业实际梳理关键业务。需特别注意的是,如果行业主管单位已经对该行业的关键业务进行梳理的,应当参照行业梳理结果进行认定。二是确定支撑关键业务的信息系统或工业控制系统,即根据关键业务,对支撑关键业务运行或与关键业务相关的信息系统或工业控制系统进行逐一梳理,形成候选关键信息基础设施清单;三是认定CII,即根据在步骤二中形成的候选关键信息基础设施清单,结合本地区、本部门、本行业的实际情况,参照表2标准进行认定。
表2:《国家网络安全检查操作指南》 “3.2 确定关键信息基础设施步骤”
A.网站类 | 1.县级(含)以上党政机关网站。 2.重点新闻网站。 3.日均访问量超过100万人次的网站 4.一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地级市政区30%以上人口的工作、生活; (3)造成超过100万个人信息泄露; (4)造成大量机构、企业敏感信息泄露; (5)造成大量地理、人口、资源等国家基础数据泄露; (6)严重损害政府形象、社会秩序,或危害国家安全。 5.其他应当认定为关键信息基础设施。 |
B.平台类 | 符合以下条件之一的,可认定为关键信息基础设施: 1. 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。 2. 日均成交订单额或交易额超过1000万元。 3. 一旦发生网络安全事故,可能造成以下影响之一的: (1)造成1000万元以上的直接经济损失; (2)直接影响超过1000万人工作、生活; (3)造成超过100万人个人信息泄露; (4)造成大量机构、企业敏感信息泄露; (5)造成大量地理、人口、资源等国家基础数据泄露; (6)严重损害社会和经济秩序,或危害国家安全。 4.其他应当认定为关键信息基础设施。 |
C.生产业务类 | 符合以下条件之一的,可认定为关键信息基础设施: 1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。 2. 规模超过1500个标准机架的数据中心。 3. 一旦发生安全事故,可能造成以下影响之一的: (1)影响单个地市级行政区30%以上人口的工作、生活; (2)影响10万人用水、用电、用气、用油、取暖或交通出行等; (3)导致5人以上死亡或50人以上重伤; (4)直接造成5000万元以上经济损失; (5)造成超过100万人个人信息泄露; (6)造成大量机构、企业敏感信息泄露; (7)造成大量地理、人口、资源等国家基础数据泄露; (8)严重损害社会和经济秩序,或危害国家安全。 4.其他应当认定为关键信息基础设施。 |
完成梳理确定本单位CII的网络经营者,按《操作指南》“3.3 关键信息基础设施信息登记”的要求对CII完成登记备案工作。此外,CIIO对其所有的关键信息基础设施应当在网络安全等级保护制度的基础上,实施重点保护。
二、合规义务
(一)践行三同步原则
《网安法》第三十三条规定:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。 即要求CIIO在系统生命周期各阶段明确责任部门及安全职责,在全过程中推行安全工作同步开展,强化安全工作前移。CIIO需要重视CII的系统全生命周期、全流程的网络安全应对工作,切实遵循“三同步原则”落实安全保障目标。由于三同步原则在《安全生产法》《环境影响评价法》中都有类似规定,在具体落实三同步原则时,CIIO可以关注其他法规中的三同步原则的细化规定。例如,CIIO可以从以下方面理解三同步原则:
同步规划 | 在业务规划的阶段,应当同步纳入安全要求,引入安全措施。如同步建立信息资产管理情况检查机制,指定专人负责信息资产管理,对信息资产进行统一编号、统一标识、 统一发放,并及时记录信息资产状态和使用情况等安全保障措施。 |
同步建设 | 在项目建设阶段,通过合同条款落实设备供应商、厂商和其他合作方的责任,保证相关安全技术措施的顺利准时建设。保证项目上线时,安全措施的验收和工程验收同步,外包开发的系统需要进行上线前安全检测,确保只有符合安全要求的系统才能上线。 |
同步使用 | 安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平,且运营者每年对关键信息基础设施需要进行一次安全检测评估。 |
(二)落实信息安全等级保护制度
《评估指南》为CIIO自行开展监测评估提供了实施依据。《评估指南》要求检查评估方了解关键信息基础设施中信息系统的等级保护工作落实情况,查看关键信息基础设施近一年的信息安全等级保护定级、备案、测评和整改情况。关于定级,CIIO在具体确定信息系统安全等级时应当参照《信息系统安全等级保护实施指南》的规定,先确定侵害对象、客体,再综合评估侵害程度,最后分别确定业务信息安全和系统服务安全的安全保护等级,取其中较高者作为最终安保等级。关于备案,《信息安全等级保护管理办法》(以下称“《管理办法》”)要求无论是新建的还是已运营的第二级以上的信息系统均应当在投入运行或安全保护等级确定后30日内由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续,符合上述条件的CIIO在关键信息基础设施完成定级或建设完毕后应及时履行上述义务,填写《信息系统安全等级保护备案表》。关于测评, CIIO应当选择符合条件的测评机构,在依据《信息系统安全等级保护测评要求》等技术措施的基础上开展等级测评,未达到相应要求的,及时制定整改方案,提供整改报告。(详细内容可参见 本团队原创:信息安全技术 关键信息基础设施安全检查评估指南(征求意见稿)》发布,CII安全检查评估亟待落实)
(三)网络产品和服务的采购
《网安法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”《网络产品和服务安全审查办法(试行)》明确“重点审查网络产品和服务的安全性、可控性”。《安全保护条例》第三十一条、第三十二条明确对影响国家安全的系统采购的产品及服务需要通过网络安全审查,外包开发的系统需要进行上线前安全检测。CIIO进行网络产品和服务的采购时,应当与CII的网络产品和服务提供者签订安全保密协议,明确安全和保密义务与责任。对外包开发的系统、软件,接受捐赠的网络产品,应当在其上线应用前进行安全检测,并完善内部的采购审批流程,加强风险管理。
(四)数据境内存储及境内运维
《网安法》第三十七条规定要求CIIO在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。同时,CIIO也是数据跨境传输制度的规范主体——因业务需要,确需向境外提供的数据涉及重要数据和个人信息的,还应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。CIIO可以参照《数据出境安全评估指南(征求意见稿)》开展个人信息和重要数据出境安全评估工作,制定并完善包含评估流程、评估内容和结果判定等相关内容的自我安全评估制度。完成自我评估流程后,将评定为重要数据或个人信息的,按程序上报给相关部门进行安全评估。
需重点关注的是,《安全保护条例》第三十四条规定“关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门”。即除了满足《网安法》规定的将个人信息与重要数据的存储服务器放置在境内外,CIIO还应当对CII的全部运营、维护、技术支持都必须在境内实施,因业务需要,确需境外远程访问、维护、调试等操作的,都必须应事先向相关部门报批。
(五)人员管理制度
《网安法》第三十四条要求CIIO应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查,定期对从业人员进行网络安全教育、技术培训和技能考核。《安全保护条例》第二十二条则明确运营者主要负责人是本单位CII安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位CII安全保护工作全面负责。《评估指南》也指出CIIO应设置专门的安全管理机构和安全管理负责人,并对安全管理负责人和关键岗位的人员进行安全背景审查,同时定期组织从业人员的网络安全教育、技术培训以及技能考核等内容。则CIIO需要完善本单位的相关人员管理制度,明确各岗位的职能和责任,并对安全管理负责人和关键岗位的人员进行安全背景审查并对审查结果进行记录备案,同时,还需要制定人员考核制度,定期对从业人员进行教育培训,对培训成果进行考核,建议将考核成果纳入绩效考核标准,督促网络安全岗位从业人员增强自身网络安全管理能力。
三、法律责任
(一)行政处罚
《网安法》对CIIO的法律责任的规定,集中在第五十九条第二款、第六十五条和第六十六条(见下表3):
表3:违反关键信息基础设施保护制度的行政责任
条目 | 详细内容 |
第五十九条第二款 | 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 |
第六十五条 | 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
第六十六条 | 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
综上所述,《网安法》对违反CII安全保护义务的法律责任落实到个人,明确规定直接负责人员的行政法律责任,即除违法单位需承担违法后果外,其直接负责的主管人员和其他直接责任人员也需承担相应的责任,只是采取的处罚措施的方式有所不同:
(1)对企业:责令改正,给予警告,罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等;
(2)对直接责任人员:罚款。
(二)刑事责任
刑事责任的主要法律依据为《刑法》第二百八十六条拒不履行网络安全管理义务罪的规定,即网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,具有造成违法信息大量传播、用户信息泄漏,造成严重后果等情形的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。该条的第二款还规定,对于直接负责人依照前款的规定处罚,即直接负责人承担刑事责任的形式有:三年以下有期徒刑、拘役、管制、罚金。
四、小结
CII一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益,因此CII安全天然具有公共属性,这就使得CII的安全保护成为当代网络安全保护的重要任务。多方联动,多面提升CII的安全保障体系以应对日趋严峻的网络安全形势,方可切实保障国家网络安全领域的核心命脉。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com