2017年7月11日，國家互聯網信息辦公室公布了《關鍵信息基礎設施安全保護條例（征求意見稿）》（以下稱“《保護條例》”），向社會公開征求意見，這是《網絡安全法》（以下稱“《網安法》”）實施后的又一重要配套落地法規(guī)。

《保護條例》以八章共五十五條的篇幅對關鍵信息基礎設施（以下稱“CII”）安全保護做了相較于《網安法》更為詳細的規(guī)定，其中包括總則，支持與保障，關鍵信息基礎設施范圍，運營者安全保護，產品和服務安全，監(jiān)測預警、應急處置和檢測評估，法律責任以及附則，構建了關鍵信息基礎設施安全保護的整體框架。本文將從《保護條例》的三大亮點來解讀，旨在為廣大數據信息企業(yè)梳理新規(guī)，分析新規(guī)對可能落入關鍵信息基礎設施運營者（以下稱“CIIO”）范圍的數據信息企業(yè)帶來的合規(guī)挑戰(zhàn)并給出合規(guī)建議。

一、細化關鍵信息基礎設施范圍

從以下對比可以看出，《保護條例》在《網安法》對CII范圍規(guī)定的基礎上，在行業(yè)領域上進行了更為詳細的列舉。

下列單位運行、管理的網絡設施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍：

（一）政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位；

（二）電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位；

（三）國防科工、大型裝備、化工、食品藥品等行業(yè)領域科研生產單位；

（四）廣播電臺、電視臺、通訊社等新聞單位；

（五）其他重點單位。

公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。

值得注意的是，《保護條例》將“提供云計算、大數據和其他大型公共信息網絡服務的單位”也明確列為CII，但卻沒有更為細化的解釋何為“其他大型公共信息網絡服務的單位”，另外，“其他重點單位”的兜底也讓CII的具體范圍更為難以界定。目前看來，《保護條例》CII范圍基本覆蓋政府機關和各重要公用事業(yè)單位，國內各大媒體、互聯網公司以及重要的存儲及處理數據關系國家安全、國計民生、公共利益的云服務、大數據企業(yè)等。

新規(guī)雖然從行業(yè)領域上進行了列舉，但CII的范圍仍有不確定性，任何未被列舉行業(yè)領域的數據信息企業(yè)都應當從自身運營信息系統(tǒng)是否關系國家安全、國計民生、公共利益來判斷是否可能落入CII的范圍。

可以期待的是，《保護條例》第十九條規(guī)定了國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基礎設施識別指南。國家行業(yè)主管或監(jiān)管部門按照關鍵信息基礎設施識別指南，組織識別本行業(yè)、本領域的關鍵信息基礎設施，并按程序報送識別結果。建議數據信息企業(yè)嚴密關注相關部門制定的識別指南，及主管監(jiān)管部門發(fā)布的本行業(yè)、本領域的CII名錄。

二、增加跨境運維規(guī)制

《保護條例》第二十九條，延續(xù)了《網安法》數據跨境傳輸的規(guī)制，規(guī)定CIIO在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照個人信息和重要數據出境安全評估辦法進行評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

此外，《保護條例》第三十四條首次對CIIO跨境運維進行了規(guī)制，規(guī)定關鍵信息基礎設施的運行維護應當在境內實施。因業(yè)務需要，確需進行境外遠程維護的，應事先報國家行業(yè)主管或監(jiān)管部門和國務院公安部門。

誠然，無論是數據跨境還是跨境運維規(guī)制，都是為了保護關系國家安全、公共利益及個人利益的信息和數據安全，這也為落入CIIO的數據信息企業(yè)提出了新的合規(guī)挑戰(zhàn)，例如，使用服務器設在境外的云服務或采購境外網絡產品和服務，都要事先謹慎考慮安全評估和運維報請的問題。

 1/2    1 2 下一頁 尾頁