從四大變化解讀《關鍵信息基礎設施安全保護條例》
作者:吳衛明 劉昀東 2021-08-202021年8月17日,中國政府網(www.gov.cn)發布了《關鍵信息基礎設施安全保護條例》(2021年7月30日通過,2021年9月1日施行,以下簡稱《條例》),將《網絡安全法》(2017年6月1日施行)確立的關鍵信息基礎設施(Critical Information Infrastructures,以下簡稱“CII”)保護制度進一步細化要求,推動了落地進程。
在2017年7月10日,國家互聯網信息辦公室即就《關鍵信息基礎設施安全保護條例(征求意見稿)》(以下簡稱《征求意見稿》)向社會公開征求意見,引起了行業廣泛關注,但一直未正式發布。相比于《征求意見稿》,《條例》從框架到內容上都具有非常大的變化。
為了更好地聚焦重點問題,了解CII保護制度的主要要求,從內容變化挖掘監管關注點的變化,明晰政策導向,本文將從體例、監督管理體制、CII認定方式、運營者責任這四個主要方面的變化進行對比分析,對一些細節要點進行說明。
一、體例變化 從以上對比內容可以看出,除了《征求意見稿》和《條例》均有的規定框架和原則的“總則”、明確法律后果的“法律責任”和基于文本完整性需求進行補充的“附則”,《征求意見稿》整體上是從上至下、從前到后的邏輯按照“事項”進行排列——“支持與保障”體現國家政策上的傾向,“關鍵信息基礎設施范圍”體現國家如何劃定CII范圍,“運營者安全保護”體現CII運營者(以下簡稱“CIIO”)運行CII應當注意的安全事項,“產品和服務安全”體現CIIO采購和使用產品服務應當注意的安全事項,“監測預警、應急處置和檢測評估”體現國家如何監控和處置安全風險;而《條例》則是圍繞著不同類型“主體”來排列——在CII認定上區分出負責CII保護工作的監管主體“保護工作部門”(具體指重要行業和領域的主管部門、監督管理部門,如公共通信和信息服務行業的主管部門工信部)及采取保護措施的執行主體“運營者”,然后通過“運營者責任義務”和“保障和促進”針對運營者的責任和保護工作部門(及相關部門)的職責作出規定。 這一從事項維度到主體維度的轉變,使得不同主體可以更聚焦于自己需要或應當負責的工作,也標志著《條例》對于各主體如何切實履行責任的重視。這一結論同樣可以通過《征求意見稿》第五條中CIIO“負”主體責任和《條例》第四條中“強化和落實”CIIO主體責任的細微表述區別中推導出來。 二、監督管理體制變化 《征求意見稿》和《條例》都明確規定由國家網信部門統籌協調,但是《條例》相對于《征求意見稿》將重要行業和領域的主管部門、監督管理部門的負責“指導和監督”變更為負責“安全保護工作”,在此基礎上還明確了國務院公安部門負責“負責指導監督”。同時,不再總則中強調“國家安全、國家保密行政管理、國家密碼管理”這些部門,而由“國務院電信主管部門和其他有關部門”來替代。 以上變化在保持網信部門統籌、行業領域主管部門直接監督管理的基礎上,明確了公安部門的指導責任,在一定程度上為緩解“九龍治水”的局面作出了有益嘗試,可以在部門間出現分歧時提高決策效率。另外對于其他部門列舉方式的變化則與《網絡安全法》一脈相承,重視了電信部門在CII保護中的特殊性。不過列舉方式的變化并沒有削弱國家安全、保密行政管理、密碼管理等部門介入CII保護的途徑——《條例》第二十八條明確前述部門可以依法開展CII網絡安全檢查工作的內容。 在對地方政府的規定上,將“縣級以上”變更為“省級”,提升了CII安全保護工作的行政區劃管理層級,并未將相關管理工作進行進一步下放,既體現了對于CII安全保護工作的重視,又體現了高級別集中管理的導向,這一點與同樣屬于強監管領域的金融監管具有相似之處。 三、CII認定方式變化 《網絡安全法》并沒有明確規定CII的定義,僅對應當重點保護的CII的兩方面特征作出形容:一是行業和領域特征,二是風險危害特征。可以看到前者起到一定的定位作用,但是其范圍因為有兜底表述“其他”,可能覆蓋到各行各業各領域,并未起到限制范圍的作用,后者才是決定性的特征,即“一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益”這一特征。同時《網絡安全法》將劃定CII具體范圍的權力授予國務院。 《征求意見稿》試圖從單位的角度做進一步的細化規定,列舉了很多與《網絡安全法》提及的重要行業和領域有關的單位,將“公共通信和信息服務”這一概念展開,表述為“電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務”,將“公共服務”這一概念展開,表述為“衛生醫療、教育、社保、環境保護、公用事業”,并且將行業領域的列舉拓展出“國防科工、大型裝備、化工、食品藥品”等概念。同時,《征求意見稿》將CII具體指代的對象明確為符合一定特征的“網絡設施和信息系統”。 《條例》舍棄了《征求意見稿》從單位出發的角度,基本回歸了《網絡安全法》的表述。相對于《網絡安全法》,《條例》在行業領域中新增了“國防科技工業”,并且保留了《征求意見稿》對于CII指代對象是“網絡設施和信息系統”這一內容,同時用“等”保留了一定靈活性。 這種轉變意味著從《征求意見稿》先找責任人再找CII的方法,回歸到《網絡安全法》先找CII再找責任人的方法,優先聚焦設備系統層面,也與下文中CII認定程序加強銜接。新增的“國防科技工業”則體現了網絡安全是國家安全的衍生這一基本原則。 《條例》沒有保留《征求意見稿》中由網信部門、電信部門、公安部門聯合制定具有普遍適用性的識別指南的做法,而是改由保護工作部門分別制定認定規則并報公安部門備案。說明各個重點行業領域區別較大,制定適用各個重點行業領域的統一標準存在比較大的困難,各行各業CII的數據敏感度、穩定性要求都可能存在重大區別。因此,《條例》僅規定識別的原則:重要性標準(對于本行業、本領域關鍵核心業務的重要程度)、風險危害標準(一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度)、關聯影響標準(對其他行業和領域的關聯性影響),將制定具體標準的權力授予保護工作部門,依靠其更貼近行業的信息優勢來制定更符合國情認定規則。接下來各個重點行業領域的主管部門可能會出臺相應認定規則,建議持續關注。 其次,《條例》將《征求意見稿中》籠統的“按程序報送識別結果”明確為“將認定結果通知運營者,并通報國務院公安部門”,增加了行政透明度,也為各運營者明確自己的定位提供了依據。雖然啟動認定程序的規則尚未明確,但是《條例》明確規定了變更認定結果的程序(第十一條),三個月的時限對于運營者來說變得可預期。 四、運營者責任變化 網絡安全法》因為覆蓋范圍包括一般運營者和關鍵信息基礎設施的運營者(CIIO),所以在梳理CIIO責任的過程中需要同步梳理對于一般運營者責任的規定。以下將針對對比表格中提及的不同方面分別進行分析。 (一)安全保護措施的整體要求 《條例》更聚焦于安全保護措施與CII本身在規劃、建設、使用的同步性上的要求,而沒有保留關于性能的規定。 (二)第一責任人/總責 相比《網絡安全法》,《條例》和《征求意見稿》雖然表述不一樣,但是都確立了CIIO負責人本身承擔第一責任或總責的要求。并且比起《征求意見稿》,《條例》增加了保障人財物的投入與領導和研究的要求,既要求穩固安全保護工作的基礎(人財物),又為其進步發展預留路徑(研究)。關于保障基礎的內容還有《條例》新增的關于保障經費、人員以及專門安全管理機構參與決策的相關規定。 (三)保護基本要求 《征求意見稿》沿用了《網絡安全法》一般加重點責任的體例,并且對負責人的職責作出了規定。而正如前文對于體例變化的介紹,《條例》對于CIIO的責任更為聚焦,從專門安全管理機構的角度出發,進行了更為體系化的整合,也體現了CIIO對外整體責任及內部管理部門責任的區分度。可能是考慮到個人信息、數據安全將有其他具體的法律法規,比如《個人信息保護法》《個人信息和重要數據出境安全評估辦法》等,為了增加銜接的靈活性,《條例》僅原則性地規定了CIIO履行個人信息和數據安全保護責任的要求,在后續的具體條款上并無進一步的展開,比如未明確用戶個人信息保護的具體要求、數據境內存儲原則和數據跨境傳輸評估要求等。同理,對于《網絡安全法》中非針對CII的配合公安機關、國家安全機關維護國家安全、偵查犯罪的活動提供技術支持和協助的義務也沒有在《條例》中再次明確。 此外,在保持《網絡安全法》對于負責人和關鍵崗位人員進行安全背景審查的要求的基礎上,《條例》還規定了公安機關、國家安全機關的協助義務,使得CIIO的審查工作可以得到國家的支持,有能力得到更充分的審查結論。 (四)執證上崗和培訓時長 《條例》沒有保留《征求意見稿》對于執證上崗和人員培訓時長的要求,可能考慮的角度是如果強制執證上崗可能必然導致很長一段時間內CIIO不能達到要求,且效果導向可能更占據主導地位,只要CIIO有方法找到具有相應能力的人勝任該崗位,那么證書不宜成為CIIO履行安全責任的阻礙。不過,《條例》第三十五條規定“將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系”,所以也不會妨礙社會在人才培養和人才認證方面進行探索,可能在時間更成熟的時候會出臺相應規定。同樣的道理,如何保障培訓效果也是CIIO可以通過內部實踐自主制定規則的,硬性的培訓時長要求在沒有科學的依據的前提下可能并不是一個好選擇。 (五)安全檢測、風險評估 《條例》沿用了《網絡安全法》至少每年一次進行網絡安全檢測和風險評估的要求,對報送方式進行了微調,將決定是否報送以及具體報送方式的權力授予了保護工作部門,沒有保留《征求意見稿》中上線運行、重大變化時的安全檢測評估要求和外包開發、接受捐贈后上線前的安全檢測要求。沒有額外增加CIIO的安全檢測評估工作負擔。 (六)安全事件報告 《網絡安全法》對于運營者在不同情形下的報告義務作出了規定,《征求意見稿》并未進行細化,僅列明應當“按規定向國家有關部門報告網絡安全重要事項、事件”。《條例》則與運營者的報告義務作出了區分,分別規定了“重大”和“特別重大”情形下具體的報告對象。不過如何認定“重大”和“特別重大”成為了新產生的問題,將來可能也會有更為具體的配套規則落地。 從報告義務的角度,《征求意見稿》在《網絡安全法》的基礎上新增了關于“境外遠程運維”的要求,但《條例》中并未進行保留,一個可能的原因是境外運維的主要風險還是在于境內外的數據交互,通過數據出境的相關規定可以在一定程度上解決這個問題。另外,在一年一度的安全檢測和風險評估中應當包含相應內容,專門針對這種獨特的情形設置報告義務的必要性確實有待商榷。 (七)采購網絡產品和服務 《條例》一以貫之地明確了網絡安全審查制度,同時新增了“優先”采購“安全可信”產品服務的要求,以及在與提供者簽訂安全保密協議,明確對方安全保密義務與責任(《網絡安全法》第三十六條要求)的基礎上,增加了在協議中明確技術支持的要求和對對方義務與責任履行情況進行監督的要求。即不僅僅是形式上提出要求上,而在實際過程中也應當采用恰當的手段促使對方按協議約定履行義務。 (八)主體變化 與《征求意見稿》針對新建、停運CII時的報告義務作出規定不同,《條例》針對CIIO發生主體變化時的報告義務作出規定。這一變化與落實主體責任的導向密切相關。因為新建、停運CII,承擔責任的主體CIIO并沒有實質變化,各項義務責任的履行在一致性上具有更高的可預測性,同時該種情形可能被一系列工程類或行業類的審批所覆蓋,且《條例》也有對CII認定產生影響的情況的報告義務。而CIIO主體發生變化,意味著履行義務責任的人和能力很可能發生重大變化,這種情形直接關乎到主體責任能否切實履行,所以這項要求是落實主體責任原則下合理產生的要求。 (九)網絡安全信息共享 CIIO在此方面工作中只是配合主體,不過值得注意的是,相比于《網絡安全法》目標性的要求、《征求意見稿》未區分主次共同建立的要求,《條例》明確是由有關部門建立,降低了CIIO及網絡安全服務機構在機制中的參與深度。可能是考慮到這些信息的重要性,由政府主導才更符合國家安全的大方向需要。 (十)網絡安全檢查檢測 相比于網絡安全信息共享,在安全檢查中,CIIO具有更重的配合義務,且規定更為具體,值得CIIO提高關注度。《條例》沒有沿用《網絡安全法》和《征求意見稿》中“抽查監測”的表述,而是使用“檢查檢測”的表述,但是保留了《征求意見稿》關于避免交叉重復檢查的要求,并且新增了避免不必要的檢查的要求。相對于可能更具有隨機性色彩的“抽查”,“必要性”可能作為今后是否啟動檢查程序的評價標準,而是否屬于必要也有待規則的進一步明確或者通過檢查機構的實踐執法活動來了解。同時,《條例》刪除了《征求意見稿》中對于檢測評估措施的列舉,后續可能由實際執行檢查檢測的部門來自行制定。 此外,《條例》明確規定“檢查工作不得收取費用,不得要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務”,也為禁止權力尋租留下制度依據。 小結 從上面的分析可以看出《條例》較《征求意見稿》在貼近國家網絡安全目標以及落地性上都有明顯的進步,但在具體操作細節上仍然有進一步明確和優化的空間。不過等待多年的靴子落地對于推動國家網絡安全目標和保障社會穩定發展都具有重要的積極意義。 作為網絡安全領域中與網絡安全等級保護制度并重的制度設計,CII保護制度的重要性不言自明。而《條例》作為CII保護制度落地的重要一環,對于我國的網絡安全事業有著舉足輕重的意義。對于已經成為基礎設施的頭部公司和立志成為基礎設施的創業新秀,《條例》既是其拓展業務的重要指引,又可能成為其脫穎而出、確立行業地位的護城河。同時可能標志著安全市場迎來一個新的歷史機遇。
