2017年7月11日,国家互联网信息办公室公布了《关键信息基础设施安全保护条例(征求意见稿)》(以下称“《保护条例》”),向社会公开征求意见,这是《网络安全法》(以下称“《网安法》”)实施后的又一重要配套落地法规。
《保护条例》以八章共五十五条的篇幅对关键信息基础设施(以下称“CII”)安全保护做了相较于《网安法》更为详细的规定,其中包括总则,支持与保障,关键信息基础设施范围,运营者安全保护,产品和服务安全,监测预警、应急处置和检测评估,法律责任以及附则,构建了关键信息基础设施安全保护的整体框架。本文将从《保护条例》的三大亮点来解读,旨在为广大数据信息企业梳理新规,分析新规对可能落入关键信息基础设施运营者(以下称“CIIO”)范围的数据信息企业带来的合规挑战并给出合规建议。
一、细化关键信息基础设施范围
从以下对比可以看出,《保护条例》在《网安法》对CII范围规定的基础上,在行业领域上进行了更为详细的列举。
下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
值得注意的是,《保护条例》将“提供云计算、大数据和其他大型公共信息网络服务的单位”也明确列为CII,但却没有更为细化的解释何为“其他大型公共信息网络服务的单位”,另外,“其他重点单位”的兜底也让CII的具体范围更为难以界定。目前看来,《保护条例》CII范围基本覆盖政府机关和各重要公用事业单位,国内各大媒体、互联网公司以及重要的存储及处理数据关系国家安全、国计民生、公共利益的云服务、大数据企业等。
新规虽然从行业领域上进行了列举,但CII的范围仍有不确定性,任何未被列举行业领域的数据信息企业都应当从自身运营信息系统是否关系国家安全、国计民生、公共利益来判断是否可能落入CII的范围。
可以期待的是,《保护条例》第十九条规定了国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。建议数据信息企业严密关注相关部门制定的识别指南,及主管监管部门发布的本行业、本领域的CII名录。
二、增加跨境运维规制
《保护条例》第二十九条,延续了《网安法》数据跨境传输的规制,规定CIIO在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
此外,《保护条例》第三十四条首次对CIIO跨境运维进行了规制,规定关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
诚然,无论是数据跨境还是跨境运维规制,都是为了保护关系国家安全、公共利益及个人利益的信息和数据安全,这也为落入CIIO的数据信息企业提出了新的合规挑战,例如,使用服务器设在境外的云服务或采购境外网络产品和服务,都要事先谨慎考虑安全评估和运维报请的问题。