CIIO合规运营之网络安全审查探析

 

 

葛静芳 王译萱

 

 

前言

 

 

“新基建”是服务于数字经济的基础设施。根据所涉及的领域,新基建呈现为三层辐射结构:1)包括5G、大数据、人工智能在内的数字基建;2)以数字基建为基础的全新配套设施;及3)前述领域对应的园区项目。毋庸置疑,数字基建是新基建布局中最为重要的组成部分。

 

 

如果就数字基建这一层来说,相关的法规和政策不仅直接适用于数据中心(IDC)、5G基站、工业互联网等新兴信息基础设施,传统行业中的数字化转型也同样适用。

 

 

而在数字基建的搭建过程中,几乎不可避免地会涉及到关键信息基础设施(CII)。毫不夸张地说,关键信息基础设施在其中起着基础性、保障性、战略性的地位。正因如此,法律也对关键信息基础设施运营者(CIIO)提出了更高的要求。对于CIIO们来说,想要合规运营,首要任务就是掌握好相关的网络安全审查要求。

 

 

一、网络安全审查指向的责任主体——CIIO

 

 

我国《网络安全法》(简称“《网安法》”)第三十五条以及《网络安全审查办法》(简称“《审查办法》”)第二条均明确将CIIO列为网络安全审查的责任主体。但谈到CIIO的定义,现有法律却并无十分明确的规定。《审查办法》也只是笼统地指出CIIO是“经关键信息设施保护工作部门认定的运营者”。

 

 

《网络安全法》第三十五条:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

 

 

《网络安全审查办法》第二条:关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

 

 

《网络安全审查办法》第二十条:本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

 

 

对于传统的民商事领域而言,确定某一单位的运营者并非难事,通常通过所有权、经营权的归属就可以迅速锁定经营者范围。但网安领域却有特殊的认定标准。例如,一个日均访问量超过100万人次的网站,根据现行法规可被认定为CII,而对于该网站而言,能够被认定为CIIO的范围与该公司股东高管层面的人员可能并不完全重合。而如果换成是市政府的交通指挥系统,相应的CIIO范围又会有所不同。因此,CIIO的范围认定还要取决于CII的具体类型、业务特征和岗位设置。

 

 

二、CIIO网络安全合规建设的第一步:CII认定

 

 

如前所述,只有某一单位被确定为CII,才有可能适用CII的特殊规定接受更严格的网络安全审查。对于CII的认定,我国网络安全法律体系在法律层面以及实操层面已有较为详尽的规定。

 

 

(一)法律层面

 

 

《网安法》第三十一条通过“领域识别+风险识别”的形式对CII的定义和范围进行了原则性规定,《关键信息基础设施安全保护条例(征求意见稿)》(简称“《安全保护条例》”)第十八条通过列举行业领域对《网安法》的规定进行了进一步细化。

《安全保护条例》虽然在《网安法》的规定之上对CII进行了行业列举,但是由于基础建设项目包含多重业务领域,《安全保护条例》的规定仍无法满足实操方面的需求。此时需要借助《国家网络安全检查操作指南》(简称“《操作指南》”)3.2认定CII“三步走”的指引,做出CII的最终认定。

 

 

(二)实操层面

 

 

CIIO网络安全审查重点主要包括对采购内容(网络产品和服务)的安全性审查和项目参与人员的安全性审查。

三、CII的网络安全审查内容

 

 

(一)采购内容的安全审查

 

 

采购内容安全性审查的核心在于识别是否“可能带来的国家安全风险”,《审查办法》第九条规定了审查评估采购内容安全性的重点因素:

 

 

    •   产品和服务使用后带来的CII被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

 

    •   产品和服务供应中断对CII业务连续性的危害;

 

    •   产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

 

    •   产品和服务提供者遵守中国法律、行政法规、部门规章情况;

 

    •   其他可能危害关键信息基础设施安全和国家安全的因素。

 

 

(二)项目参与人员的安全审查

 

 

关键基础设施建设中,参与项目的管理负责人和关键岗位人员有接触政府信息、涉密信息等与国家安全相关信息的可能,因此CIIO还应当对上述项目参与人员安全性审查给予高度重视。我国国家标准《关键信息基础设施安全控制措施(征求意见)》6.6.2对CIIO审查管理负责人、关键岗位人员的“安全性”提出了如下具体要求:

 

 

    •   确保安全管理负责人和关键岗位的人员上岗前、必要时或定期(如至少每年一次),实施人员安全背景审查,审查通过才可从事相关岗位工作。

 

    •   制定人员安全审查准则,包括公民身份和国籍、政治审查、宗教信仰、从业经历、教育背景、犯罪记录、个人信用、家庭情况以及海外关系等。

 

    •   通过访谈、调查问卷的方式自行审查,或委托第三方调查机构进行审查。

 

    •   对调查问卷的真实性进行核对并备案,当国籍、家庭情况等发生变化时应及时更新,并根据情况重新组织安全审查。

 

 

四、CIIO如何应对网络安全审查

 

 

为了满足对CII系统的合规性检查、风险评估需求,CIIO应当对《审查办法》规定的审查主体、申报时间、申报材料和申报流程予以足够的重视和关注。首先通过审查指南、审查材料等预判出项目全局的合规风险点,再结合审查流程的时间节点确定项目运营各阶段的合规任务。

 

 

(一)审查部门

 

 

    •   受理部门:网络安全审查办公室;

 

    •   工作协助部门:中国网络安全审查技术与认证中心;

 

    •   参与机关:中央网络安全和信息化委员会、网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门。

 

 

(二)申报时间

 

 

通常情况下, CIIO应当在与产品和服务提供方正式签署合同前申报网络安全审查。

 

 

(三)申报材料

 

 

    •   申报书;

 

    •   关于影响或可能影响国家安全的分析报告;

 

    •   采购文件、协议、拟签订的合同等;

 

    •   网络安全审查工作需要的其他材料。

 

 

(四)申报流程

五、CIIO违反审查义务的法律责任

 

 

关键信息基础设施关系国家安全、国计民生,数据一旦泄露、遭到破坏或者丧失功能,可能严重危害国家安全、公共利益,所以,CIIO将承担着更重的社会责任,面临更多的法律风险。

 

 

《网安法》将违反CII安全保护义务的法律责任落实到了个人。除违法单位需要承担违法后果外,直接负责的主管人员和其他直接责任人员也需要承担相应的行政处罚,后果严重的,直接负责人可能会触犯《中华人民共和国刑法》(简称“《刑法》”)规定的拒不履行网络安全管理义务罪,承担刑事责任。

 

 

    •   企业:责令改正,给予警告,罚款,责令暂停相关业务、停业整顿、关闭。网站、吊销相关业务许可证或者吊销营业执照等。

 

    •   直接责任人:罚款;三年以下有期徒刑、拘役、管制、罚金。

 

 

责任类型包括:

 

 

CIIO区别于网络运营者的一般法律责任的特殊规定

小结

 


关键信息基础设施具有天然的公共属性,数据一旦遭到破坏或者泄露,可能严重危害国家安全或公共利益。这就要求CIIO充分关注《网安法》、《安全保护条例》、《审查办法》等法律法规的要求,将构建CII安全防护体系放在建设任务清单的核心位置,完善、优化采购制度,建立风险预判评估、安全审查申报等机制,保障合规。

 

                        

 

附:我国安全审查制度并不局限于本文所提到的《网络安全法》、《网络安全审查法》、《等级保护条例》等法律法规,CIIO还应当注意与法律法规链接的其他法律合规要求。

与CIIO网络安全审查相关的主要法律法规:

《中华人民共和国国家安全法》

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《网络安全审查办法》(2020.06.01实施)

《网络安全等级保护条例(征求意见稿)》

与CIIO网络安全审查相关的主要国家标准:

《信息安全技术 关键信息基础设施安全控制措施》

《信息安全技术 关键信息基础设施网络安全保护要求》

《信息安全技术 关键信息基础设施安全保障评价指标体系》

《信息安全技术 关键信息基础设施安全检查评估指南》