作者:宁宣凤 吴涵 赵泱地 金杜律师事务所商务合规部
CII安全保护制度基本介绍
信息技术的广泛应用使得众多关系国家安全、国计民生和公共利益的行业和领域的运营都高度依赖于网络。这些行业和领域的重要网络系统一旦丧失功能、遭到破坏,将给国家安全带来不可估量的危害和损失。近年来,世界范围内针对CII的攻击活动频繁发生并造成严重破坏,例如之前的“零日”、“震网”病毒,以及近期的Petya袭击 我国的国家顶级域名系统也曾多次遭到大流量拒绝服务攻击,针对我国一些重要行业和政府机构网络的有组织攻击活动也呈上升趋势。当前,加强CII保护已经成为国际社会的共识,包括美国、英国、德国、日本在内的众多国家均通过制定法律建立CII保护制度,例如德国的CII保护制度主要通过《联邦信息技术安全法》建立,日本则主要通过《关键信息基础设施保护基本政策》确立了相关制度。同样地,CII保护制度在我国《网安法》构建的网络安全制度体系中具有根本性地位,未来《保护条例》的正式出台及实施将进一步推进我国网络安全保护制度的落实。
2. CII的范围
《保护条例》第十八条基本沿袭了《网安法》第三十一条对CII的定义,并在此基础上对落入CII的行业和领域进行了较为详细的非穷尽性列举:
《保护条例》第四、五、六章详细规定了CIIO应当履行的义务,第七章规定了CIIO不履行相应义务所应承担的法律责任。
在罚则部分,除了对CIIO作为单位的警告、责令改正等处罚以外,《保护条例》还明确规定了对直接负责的主管人员和其他直接责任人员处以个人罚款。[1]此外,CII发生重大网络安全事件,经调查确定为责任事故的,除应当查明运营单位责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。[2] 严格的责任人和第三方追责机制对CIIO在网络安全负责人和关键岗位人员的背景审查以及网络安全第三方服务机构的选聘方面提出了更高的审慎义务。
《保护条例》的制度亮点
《保护条例》对于CII的保护从时间、对象和主体多个方面设置了多层次的保护制度。
从保护时间来看,《保护条例》在CII建设初期就要求保证安全技术措施同步规划、同步建设、同步使用(第二十一条)。在CII运营过程中,从包括内部安全管理制度、技术防范措施、人员审查、技能培训、产品和服务采购、监测预警、检测评估等方面设置了多种制度以防范可能的网络安全风险。最后,也从容灾备份、补救漏洞、应急处置等角度规定了相应的责任和义务(第二十四、三十三、三十九条)。
《保护条例》还针对制度、软硬件、人员等不同对象对CII保护设置了规则。比如分别要求国家网信部门、行业主管监管部门和CIIO制定网络安全应急预案(第二十四条、第三十九条)、要求CIIO采购的可能影响国家安全的网络产品和服务通过网络安全审查,对于外包的系统等上线前进行安全检测(第三十一、三十二条)条,以及对于CIIO网络安全关键岗位专业技术人员要求持证上岗(第二十六条)。
总体而言,《保护条例》为CII保护建立了国家机关外部监督管理、运营者内部防范的基本制度。不仅如此,《保护条例》对于CII安全保护工作的具体实施从标准体系角度切入,将为CIIO提供更为具体的指导(第十条)。最后《保护条例》也鼓励科研机构、网络安全服务机构、其他网络运营者、行业组织、科研机构、专家等充分参与到安全保护工作中,发挥不同的作用(第五条、第十二条、第十九条)。
2. 统筹协作
CII涉及的范围较广,面临的安全风险和威胁来自多个方面,正是基于此,《保护条例》在CIIO和有关主管部门承担安全保护工作的基础上,确立了以国家网信部门为中心的统筹协作机制,发挥各方作用,共同应对风险和威胁。[3]具体如下表所示:
《保护条例》第三十九条规定了发生网络安全事件时各部门的应急协作机制,第十四条也明确了能源、电信、交通等行业为CII的网络安全事件应急处置与网络功能恢复提供电力、网络、交通等方面的重点保障和支持的义务。对于一些重大网络安全事件,CIIO可能难以单独进行应对和处置,需要由相关部门进行统筹协调并给予必要支持和协助,以提高网络安全事件应对处置的及时性和有效性,尽可能防止损害的扩大,并尽快恢复相关功能和业务。
进一步思考的问题
根据《保护条例》第十九条的规定,《识别指南》将由国家网信部门会同国务院电信主管部门、公安部门等部门联合制定。如上所述,《识别指南》将帮助国家机关和运营者澄清CII的范围,但实践中CII的范围和其保护规则可能存在一定程度的重叠。比如《保护条例》在第三十二条中对于外包开发的系统、软件、接受捐赠的网络产品在其上线应用前进行安全检测,但目前存在CII的部分系统服务由第三方外包完成或者协助维护的情况。
值得我们思考的是,考虑到第三方外包系统服务对于CII可能的重要性,是否可能将第三方外包系统服务纳入到CII的范围中?或者,是否能在CII内部安全管理制度和操作规程中设定防火墙、权限管理等,以隔离外包系统可能对于CII的影响,从而在安全保护办法的层面解决第三方外包的安全问题,避免将第三方纳入CII范围,造成CII的扩大化?
2. 有待进一步细化的规则
尽管《保护条例》建立了CII安全保护的具体框架,但仍存在着需要进一步细化的内容和制度。
比如,《保护条例》第二十六条规定了CIIO网络安全关键岗位专业技术人员实行持证上岗制度,而持证上岗具体规定仍有待国务院人力资源社会保障部门会同国家网信部门等部门制定。
再比如,《保护条例》第三十八条规定的“网络安全信息共享机制”,在其他国家有详细的实施细则。在美国《2015年网络安全法案》(“Cybersecurity Act of 2015”)中,就有关于网络信息共享“Title I—Cybersecurity Information Sharing” 的专门规定,就共享主体、共享范围、共享目的、共享性质、共享保护方式及共享权利限制等有具体的规定。 因此,可以预见的是我国还需要就“网络安全信息共享机制”做进一步细化的规定。
3.《保护条例》对于企业商业模式可能造成的影响
《保护条例》二十九条根据《网安法》的规定,进一步确认CIIO在中国境内运营中收集和产生的个人信息和重要数据应在境内存储,仅在业务确有需要,并经过安全评估后才能向境外提供。此外,《保护条例》第三十四条还要求CII的运行维护应在境内实施,确有业务需要进行境外远程维护的,需报备国家行业主管或监管部门和国务院公安部门。
《保护条例》的上述规定是为了确保CII中个人信息、重要数据以及系统的安全,但不可否认的是类似境内存储、境内维护的要求可能对CIIO目前的商业模式造成影响,比如国内采用国外云服务或者计算中心的企业可能要权衡安全评估的成本,采购境外网络产品和服务的CIIO可能需要考虑后续维护可能造成的安全问题和审核成本。
4.《保护条例》与各国个人信息保护规则可能存在的冲突
如我们在之前《“一带一路”背景下中国企业境外并购的网络安全和数据合规问题》文中所述,一方面,为了保护本国公民的合法权益,不少国家均要求网络运营者将在本国境内运营中收集和产生的个人信息数据储存在境内,甚至对于成立地在本国以外的机构来说,只要其在提供产品或者服务的过程中处理了本国/本司法辖区个体的个人数据,将需适用本国/本司法辖区的网络安全和数据保护规则。根据《网安法》第三十七条和《保护条例》第二十九条的规定,我国要求CIIO在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。我国关于网络安全和数据保护的“属地原则”和以欧盟为代表的 “属人原则”可能存在冲突。
另一方面,实践中,国外个人信息保护的执法机构还关注公民个人信息可能被中国政府获悉的风险。而根据《保护条例》第二十九、四十、四十一和四十二条的规定,国家有关部门无论在跨境安全评估、抽查检测、安全检测评估中都有可能接触到CII中的个人信息。尽管《保护条例》在四十三条中明确安全检测评估中获取的信息仅能用于维护网络安全的需要,但国外执法机构是否会因为该限制而打消疑虑仍不确定,实践中企业可能需要对数据进行精准分类、设置防火墙和不同访问权限来进一步澄清。
给企业的建议
注释:
[1] 《保护条例》第四十五、四十六、四十七条。
[2] 《保护条例》第五十一条。
[3] 《保护条例》第一、六章。