2021年7月30日,國務院總理李克強簽署第745號國務院令,公佈《關鍵資訊基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行。該《條例》是我國針對關鍵資訊基礎設施安全保護的專門性行政法規,也是指導國家網路安全保障工作的基礎性行政法規。認真學習領會《條例》內容,對於推動關鍵資訊基礎設施安全保障能力建設,維護國家網路空間主權和安全利益具有深刻意義。日前,綠盟科技 CII 安全服務方案小組就《條例》內容進行解讀,參見下文:
一、《條例》的釋出背景
2003年,中辦發27號文中首次提出我們要對基礎網路和重要系統的安全進行重點保障。
2014年2月,中央網路安全和資訊化領導小組第一次會議,習近平總書記指示,抓緊制定國家關鍵資訊基礎設施保護等方面的專項法規。在2016年11月7日透過的《中華人民共和國網路安全法》(以下簡稱《網路安全法》)中提出在網路安全等級保護制度的基礎上對關鍵資訊基礎設施實行重點保護。
2021年4月27日,國務院第133次常務會議透過《條例》明確了關鍵資訊基礎設施安全保護涉及的範圍,管理監督的組織機構,運營者的職責等內容,並於2021年9月1日正式施行。
《網路安全法》作為關鍵資訊基礎設施安全保護的上位法,為關鍵資訊基礎設施保護工作提供了指導性檔案,同時《條例》也是《網路安全審查辦法》的重要依據。
二、《條例》涉及的範圍
《條例》正式釋出稿在《網路安全法》的基礎上,進一步明確“國防科技工業”也屬於關鍵資訊基礎設施的行業和領域。其物件是一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、資訊系統等。
解讀
在國與國之間的網路攻防對抗中,關鍵資訊基礎設施將是首當其衝的物件,在認定其範圍時,採取業務視角識別可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、資訊系統是關鍵。
三、關鍵資訊基礎設施保護工作的職能分工
《條例》中明確規定,國家網信部門作為統籌協調方、公安部門作為指導監管方,而電信主管部門則要履行保護和監督管理的工作,省級人民政府的有關部門要依據各自的職責,負責安全保護和監督管理。
根據《網路安全法》確立的框架下,進一步壓實各方責任,堅持綜合協調、分工負責、依法保護,強化和落實關鍵資訊基礎設施運營者主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵資訊基礎設施安全。
解讀
從正式釋出的《條例》可以看出,網信部門更多的是統籌協調和管理職責,公安部門在關鍵資訊基礎設施的安全保護方面承擔了相對其他主管部門更多的責任。《條例》中重點對關鍵資訊基礎設施運營者的責任義務進行了規定,明確了各類不同角色之間的關係,為不同角色在關鍵資訊基礎設施保護工作所處的位置和工作內容指明瞭方向。
四、《條例》的主要內容
《條例》共分為六章五十一條,對關鍵資訊基礎設施安全保護作出了一系列具體規定,包括總則(第一條-第七條)、關鍵資訊基礎設施認定(第八條-第十一條)、運營者責任義務(第十二條-第二十一條)、保障和促進(第二十二條-第三十八條)、法律責任(第三十九條-第四十九條)、附則(第五十條-第五十一條),為關鍵資訊基礎設施安全保護工作的具體落實指明瞭方向。
解讀
相對於徵求意見稿,正式釋出稿用專門章節明確關鍵資訊基礎設施的認定,說明了認定工作的絕對重要性。
五、關鍵資訊基礎設施保護合規遵循的要求
《條例》正式釋出明確了關鍵資訊基礎設施運營者應關注的內容:
首先,《網路安全法》是我國第一部全面規範網路空間安全管理方面問題的基礎性法律。在實行網路安全相關工作範疇內此法都將是基礎依據。而制定《條例》的依據也是《網路安全法》。由於關鍵資訊基礎設施是經濟社會執行的神經中樞,是網路安全的重中之重,在《網路安全法》中提出在網路安全等級保護制度的基礎上對關鍵資訊基礎設施實行重點保護。
其次,在《條例》的第六章附則中,明確說明關鍵資訊基礎設施中的密碼使用和管理,應滿足相關法律、行政法規,因此,在涉及密碼使用時應滿足《中華人民共和國密碼法》相關要求。
第三,《中華人民共和國資料安全法》作為《網路安全法》的配套法律,關鍵資訊基礎設施保護中應關注重要資料以及個人資訊等。
第四,關鍵資訊基礎設施在國家網路空間安全中具有重要戰略地位,為確保關鍵資訊基礎設施供應鏈安全,關鍵資訊基礎設施運營者應遵循《網路安全審查辦法》要求,選擇滿足其防護要求的產品及服務。
一些特殊情況,如儲存、處理涉及國家秘密資訊的關鍵資訊基礎設施保護還應當遵守相關的保密要求;重要行業的關鍵資訊基礎設施應滿足行業內的相關行政法規的要求。
解讀
由上可知,認定為關鍵資訊基礎設施的網路或資訊系統是安全保護的重點,將面臨更加嚴格的監管和合規約束。
六、關鍵資訊基礎設施認定規則和備案機制
《條例》中明確關鍵資訊基礎設施的範圍,其首要環節是認定。保護工作部門需要確定認定規則,並依據認定規則開展認定工作。
第一,關鍵資訊基礎設施認定的責任部門為關鍵資訊基礎設施安全保護工作的部門,在《條例》的第二章第八條中定義,重要行業和領域的主管部門、監督管理部門為保護工作部門。也就是說關鍵資訊基礎設施認定主要由保護工作部門進行。
第二,對保護工作部門的具體職責進行說明,要求保護工作部門制定本行業、本領域的關鍵資訊基礎設施認定規則,依據認定規則進行關鍵資訊基礎設施識別認定,並將認定結果通知運營者和報國務院公安部門備案。並明確制定認定規則可考慮系統對於行業的重要程度、系統破壞帶來的危害、最後就是系統對其他行業和領域的影響。
第三,明確認定結果是需要進行長期維護的,當關鍵資訊基礎設施發生較大變化時,運營者要主動上報變化情況,保護工作部門則應自收到報告起3個月內完成重新認定,並更新在國務院公安部門的備案情況。
解讀
保護工作部門是開展關鍵資訊基礎設施認定的責任部門,運營者需要根據認定的結果開展保護工作,對於關鍵資訊基礎設施發生變化的情況,需要及時上報保護工作部門,否則將受到相應的處罰。
七、關鍵資訊基礎設施保護獎勵和懲罰機制
第五章為《條例》的執行提供了責任保障。依照《網路安全法》有關規定,延續“誰主管、誰負責”的工作原則進行落實執行,在系統生命週期各階段明確責任部門及安全職責。
法律責任部分細化了安全保護全過程中各個環節的職責和違反相應《條例》的具體處罰措施。對關鍵資訊基礎設施相關人員(運營者、主管人員、監管部門、保護部門、服務機構、個人)可能觸發的違法違規行為進行了具體說明,並對相應的行為給出了具體的處罰措施(罰款、追究法律責任、拘留、治安管理處罰、刑事處罰)。
7.1 對運營者、主管責任人的相關責任約束
在安全事故發生前,運營者應當對關鍵資訊基礎設施的安全保護措施提前進行規劃建設,包括每年至少一次檢查、重大變化及時報告、採購安全產品或服務應進行安全審查以及配合管理部門的安全檢查等,拒不改正或導致安全後果的將處罰金甚至追究法律責任。
對於安全事故發生後,運營者未報告相關部門的,也會處以相應的罰金。
7.2 對個人的相關責任約束
個人或組織實施非法侵入、干擾、破壞關鍵資訊基礎設施,危害其安全活動的,根據其造成的危害情節,依照《網路安全法》,沒收違法所得,處15日以下拘留,並處相應的罰金。
對受到治安管理處罰的人員,5年內不得從事網路安全管理和網路運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網路安全管理和網路運營關鍵崗位的工作。
7.3 對監管、保護、服務等工作人員的相關責任約束
網信部門、公安機關、保護工作部門和其他有關部門及其工作人員未履行相關職責或者翫忽職守、濫用職權、徇私舞弊的、亦或者在檢查過程中收取費用或變相收取費用的、以及洩露、出售、非法向他人提供相關工作資訊的、或者發生重大責任事故的,會對相關監管、保護、服務人員給予處分,嚴重者會追究法律責任。
解讀
《條例》透過大量章節內容闡述了不同角色在違反《條例》規定的情況下所面臨的處罰措施,為《條例》的落地執行奠定了堅實的基礎。
八、《條例》對網路安全行業的影響
《條例》的正式釋出引發了網路安全行業的強烈關注,《條例》提出關鍵資訊基礎設施安全保護的具體要求,規定了對於關鍵資訊基礎設施安全保護的適用範圍、工作原則以及對運營者的處罰原則,明確了各部門對於關鍵資訊基礎設施安全保護的責任和義務,以及保障和促進措施,確定了關鍵資訊基礎設施的定義和認定流程等內容。為關鍵資訊基礎設施安全保護工作提供有力法治保障,使得關鍵資訊基礎設施安全保護工作的開展變得有章可循、有據可依,《條例》將是關鍵資訊基礎設施安全保護工作開展最為重要的指導檔案之一。
解讀
《條例》中明確多項責任義務和工作要求,並且對於關鍵資訊基礎設施運營者起到強制性要求。因此該《條例》的正式釋出,將大力推動我國關鍵資訊基礎設施安全保護工作的開展,從監管側和執行側為關鍵資訊基礎設施安全保護工作的具體落實指明瞭方向,網路安全行業也將迎來新的一波安全建設熱潮,關鍵資訊基礎設施進入強監管時代。