又一关键网络安全可靠法规揭晓关键性关键信息基础建设步入强市场监管黄金时代
作者:吴斯旻
[由于关键网络安全可靠关键信息共享资源涉及到众多部门、单位、行业和数据,还需急速积极探索才能达成一致“相互配合”的效果。可以说,《法规》的正式宣布发布只是组织工作的开始,还需要大量的课堂教学来急速佐证、健全。]
关键性关键信息基础建设(critical information infrastructure,CII)为保护是强化关键网络安全可靠修法的重点项目任务之一,正迎第二层设计和法律法规的稀疏正式宣布发布。
8月17日,国务院正式宣布发布《关键性关键信息基础建设安全可靠为保护法规》(以下简称《法规》),对CII安全可靠为保护的通则、市场监管主体、评估结果对象等基础基本要素做出区分,并为安全可靠为保护组织工作开展提供更多系统提示和组织工作遵从。《法规》将自今年9月1日起开始实施。
“这标志着我国关键网络安全可靠为保护步入了以CII安全可靠为保护为重点项目的新阶段。”中国关键信息通讯研究所院长余晓晖则表示,作为《关键网络安全可靠法》的关键基础建设修法,《法规》积极应对海内外关键网络安全可靠为保护的主要难题和行业发展趋势,为下一步强化CII安全可靠为保护组织工作提供更多了关键法制保障。
中国社科院政治经济学教授方燕从事关键网络安全可靠、平台美国司法部等领域研究多年。他对第一财经则表示,该《法规》让企业在CII安全可靠为保护多方面的权利和职责得以正式化,也反映出政府在市场监管多方面纵向纵向连通、社会各界共同参与关键网络安全可靠环境治理的新方向。
耗时4年
从《关键性关键信息基础建设安全可靠为保护法规》(草案稿)(以下简称“草案稿”)的正式宣布发布到《法规》的正式宣布揭晓,共耗时四年有余。
2016年 11月《关键网络安全可靠法》出台,第一次正式宣布提出“CII”这一概念。2017年7月,北欧国家外宣办正式宣布发布草案稿,但业内认为,草案稿在CII的判定、法律为保护范围等多方面尚不明确。
同年,国家技术标准管理委员会对《关键网络安全可靠控制技术CII安全可靠为保护要求》和《关键网络安全可靠控制技术CII安全可靠控制措施》进行初步设计,意在堆土CII管理者的基本职责。但截至目前,两者分别处于按程序稿和原稿阶段,均尚未正式宣布发布。
“当前,CII面临的关键网络安全可靠形势渐趋紧迫,黑客攻击威胁上升,隐患高发高发,安全可靠为保护组织工作还存在法规管理制度不健全、组织工作技术落后、资源力量零散、科技产业支撑不足等突出难题,亟须建立专门管理制度,明确多方职责,加快提升CII安全可靠为保护能力。”日前,司法部、外宣办、工信部、公安部负责人就《法规》有关难题答记者问时称。
相较于2017年的草案稿,北京师范大学网络法制国际中心执行主任吴沈括对第一财经则表示,《法规》更为体系化。一多方面,在综合协调、分工负责、依法为保护原则指导下,《法规》进一步明确了统筹协调机关、指导监督机关以及为保护和监督管理机关等多方主体的职责权限;另一多方面,《法规》侧重厘清CII的判定标准,有助于更好发挥为保护组织工作部门的主动性、积极性,便于各行业、各地区根据实际情况做出更有针对性的具体决定。
中国电子控制技术技术标准研究所网安中心测评实验室副主任何延哲对第一财经分析称,“此前,各主管部门虽对关键关键信息系统和平台等有相应的增强式为保护手段,但缺少长效保障机制,如今《法规》的出台,从法规层面明确了重点项目为保护范围和措施,这让CII为保护组织工作正式宣布纳入日常组织工作的序列。”
“一把手负责制”
根据《法规》,所谓“CII”,即指公共通讯和关键信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等关键行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害北欧国家安全可靠、国计民生、公共利益的关键网络设施、关键信息系统等。
《法规》称,强化和落实CII管理者(以下简称“管理者”)主体职责,管理者的主要负责人对CII安全可靠为保护负总责。
对此,相关负责人在上述答记者问时称,管理者需建立健全关键网络安全可靠为保护管理制度和职责制,实行“一把手负责制”,明确管理者主要负责人负总责,保障人财物投入。
同时,在《关键网络安全可靠法》的基础上,《法规》对管理者提出了更高的安全可靠防护要求。
《法规》指出,落实“三同步”要求,要求安全可靠为保护措施与CII同步规划、同步建设、同步使用,确保落实覆盖全生命周期的安全可靠为保护。
其中,当发生CII整体中断运行或者主要功能故障、北欧国家基础关键信息以及其他关键数据泄露、较大规模个人关键信息泄露、造成较大经济损失、违法关键信息较大范围传播等特别重大网络安全事件或者发现特别重大关键网络安全可靠威胁时,根据《法规》,为保护组织工作部门应当在收到报告后,及时向北欧国家外宣部门、国务院公安部门报告。
“实行动态的预警和监控,是该《法规》的一大亮点,但如何实现对于关键性基础建设的动态感知,又是《法规》落地的难点。”海问律师事务所合伙人杨建媛从事关键网络安全可靠与数据合规、反腐败等领域法律服务多年,她在接受第一财经记者采访时说,《法规》给出了一个积极探索方向,即建立安全可靠关键信息同享机制。
根据《条例》,北欧国家外宣部门统筹协调有关部门建立关键网络安全可靠关键信息共享资源机制,及时汇总、研判、共享资源、正式宣布发布关键网络安全可靠威胁、漏洞、事件等关键信息,促进有关部门、为保护组织工作部门、管理者以及关键网络安全可靠服务机构等之间的关键网络安全可靠关键信息共享资源。
但由于关键网络安全可靠关键信息共享资源涉及到众多部门、单位、行业和数据,何延哲认为,还需急速积极探索才能达成一致“相互配合”的效果。“可以说,《法规》的正式宣布发布只是组织工作的开始,还需要大量的课堂教学来急速佐证、健全。”
此外,何延哲还称,虽然《法规》或将给管理者带来额外的经营成本和风险,但也包含了多条保障和促进的条目,并明确北欧国家、行业主管部门等对管理者的协助、帮扶事项。
“不过,正因为被判定为CII管理者既是职责也是权利,还需警惕管理者以安全可靠防护之名,行抑制竞争之实。”方燕进一步则表示,在《法规》落地后,或存在管理者打着“维护安全可靠”的旗号,以维护数据和隐私等安全可靠为名阻止同行业竞争对手接入自己的关键信息平台。“这需要后续市场监管更加精细化,否则存在隐患。”
互联网平台纳入市场监管?
《法规》落地后,是否意味着大型互联网平台会被纳入CII?杨建媛认为,由于互联网平台拥有海量关键数据和个人数据,潜在的数据安全可靠风险较大,且业务发展对社会经济运行产生关键影响,不排除会有一批大型互联网平台被判定为CII。
根据《法规》,CII判定需考虑三点因素:其一,网络设施、关键信息系统等对本行业、本领域关键性核心业务的关键程度;其二,网络设施、关键信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;其三,对其他行业和领域的关联性影响。
“由此可见,互联网平台应被纳入CII。但该《法规》并不是专门针对互联网平台而设置的,而是出于保障产业安全可靠、关键网络安全可靠和经济系统安全可靠的需要,包含面会更广。”中国人民大学数字经济研究中心主任李三希对第一财经称。
李三希认为,网站(党政机关网站、新闻网站、企业网站等)、平台(社交、网购类等平台),以及生产业务类(办公业务类系统、工业控制系统、大型数据中心、云计算平台等)均应包含在CII中。
个人数据泄露和数据跨境流通的安全可靠性难题,一直是互联网平台环境治理的重难点。吴沈括认为,该《法规》虽未直接涉及数据跨境管理制度的设计,但对于数据本身,包括数据安
根据《法规》,管理者在负责本单位的CII安全可靠为保护组织工作时,应履行个人关键信息和数据安全可靠为保护职责,建立健全个人关键信息和数据安全可靠为保护管理制度。
事实上,在CII中的关键数据出境环境治理上,《关键网络安全可靠法》第三十七条已做出规定。
方燕认为,当《法规》落地后,互联网平台会被纳入CII。这也就意味着其数据出境需遵从《关键网络安全可靠法》中跨境数据流动的基本管理原则,即CII管理者在境内收集的个人关键信息和关键数据应当遵守“本地化存储+出境安全可靠评估结果”的要求。
“《关键网络安全可靠法》和《数据安全可靠法》都属于一般性法律,而《法规》聚焦于关键网络安全可靠多方面的CII安全可靠这一个点,是对《关键网络安全可靠法》中相应部分的细化和落实,使得《关键网络安全可靠法》中的CII部分内容具有可操作性。”方燕称。