2021年8月17日，歷經(jīng)三年以上征求意見，國務院正式發(fā)布《關鍵信息基礎設施安全保護條例》（下稱“關保條例”），將于2021年9月1日起與《數(shù)據(jù)安全法》同步實施。

　　結合相關立法趨勢、監(jiān)管執(zhí)法實踐及項目經(jīng)驗，匯業(yè)律師事務所網(wǎng)數(shù)法律團隊簡要解讀《關保條例》如下，僅供業(yè)界參考。

　　一、部分法律文件

　　二、分級保護

　　通過一系列立法、執(zhí)法實踐，我國開創(chuàng)性的建立起網(wǎng)絡、數(shù)據(jù)監(jiān)管與保護的分類分級模式，其中就包括“分等級保護、分等級監(jiān)管”，具體體現(xiàn)在：

　　（一）網(wǎng)絡分級

　　根據(jù)《網(wǎng)絡安全法》、《關保條例》及1960號文等規(guī)定，等保是基礎，關保是重點保護，但二者沒有直接的對應關系。即，盡管有 “重點保障關鍵信息基礎設施和第三級以上網(wǎng)絡的安全”的要求，但實踐中，MLPS3的網(wǎng)絡或系統(tǒng)不必然等同于CII。

　?。ǘ?shù)據(jù)分級

　?。ㄈ﹤€人信息分級

　　按照敏感度程度，可以分為：

　　按照必要性程序，可以分為：

　　三、監(jiān)管體系

　　綜合《網(wǎng)絡安全法》、《關保條例》及1960號文等規(guī)定，當前我國關保監(jiān)管體系如下：

　　四、認定標準

　　關于CII的認定標準，《關保條例》摒棄了《關鍵信息基礎設施安全保護條例（征求意見稿）》的概括加列舉的認定模式，基本延續(xù)了《網(wǎng)絡安全法》的“行業(yè)+風險”的雙重認定模式。即，下列網(wǎng)絡設施、信息系統(tǒng)等可能會被認定為CII：

　?。?）行業(yè)標準：公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)（注：新增）等重要行業(yè)和領域的網(wǎng)絡設施、信息系統(tǒng)；

　?。?）風險標準：雖然不在上述行業(yè)和領域，但一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益，或者會對其他行業(yè)或領域造成重大關聯(lián)影響的重要網(wǎng)絡設施、信息系統(tǒng)；

　?。?）其他標準：此外，《網(wǎng)絡安全法（草案）》在CII認定時還有用戶數(shù)量標準，即“用戶數(shù)量眾多的網(wǎng)絡服務提供者所有或者管理的網(wǎng)絡和系統(tǒng)”也會被認定為CII,后續(xù)坊間流傳的《關鍵信息基礎設施確定指南》也有參考用戶數(shù)量這一指標，后續(xù)各保護工作部門在制定關鍵信息基礎設施認定規(guī)則時是否會考慮用戶數(shù)這一指標，有待進一步明確；此外，1960號文還從系統(tǒng)功能特征的維度提出了CII的認定標準，即“應將符合認定條件的基礎網(wǎng)絡、大型專網(wǎng)、核心業(yè)務系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設施等重點保護對象納入關鍵信息基礎設施”。

　　值得注意的是，上述“行業(yè)+風險”的雙重認定標準還是非常寬泛的。例如，其中的“信息服務”領域，若按照《互聯(lián)網(wǎng)信息服務管理辦法》的認定標準，除了典型的互聯(lián)網(wǎng)公司外，大多數(shù)觸網(wǎng)的企業(yè)都可能會被認定為提供“信息服務”。

　　《關保條例》進一步明確，是否屬于CII，由保護工作部門根據(jù)認定規(guī)則負責組織認定并將認定結果通知運營者，而無需運營者自行判斷、評估是否屬于CIIO。據(jù)匯業(yè)黃春林律師團隊介紹，之前已經(jīng)有部分企業(yè)收到了主管部門的認定通知。

　　五、合規(guī)義務

　　綜合《關保條例》及前述法律法規(guī)及監(jiān)管執(zhí)法實踐，匯業(yè)黃春林律師團隊提示，CIIO應當依法履行的合規(guī)義務包括但不限于：

　?。?）依法開展網(wǎng)絡安全等級保護測評、定級等工作；

　?。?）采購網(wǎng)絡產(chǎn)品和服務、處理重要數(shù)據(jù)等可能影響國家安全的，或者赴國外上市，應當按照《網(wǎng)絡安全審查辦法》等規(guī)定開展網(wǎng)絡安全審查；

　?。?）應當自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改；

　　（4）依法使用商用密碼產(chǎn)品或服務，對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份；

　?。?）安全保護措施應與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用；

　?。?）采購網(wǎng)絡產(chǎn)品和服務，應當確保供應鏈安全，遵從進出口管制相關規(guī)定，并應按照國家有關規(guī)定與網(wǎng)絡產(chǎn)品和服務提供者簽訂安全保密協(xié)議，明確提供者的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監(jiān)督；

　　（7）依法履行數(shù)據(jù)及個人信息本地化義務，確需出境的，依法開展安全評估或認證；

　　（8）應當建立健全網(wǎng)絡安全及數(shù)據(jù)保護相關制度、機制；

　?。?）主要負責人對關鍵信息基礎設施安全保護負總責；

　?。?0）應當設置專門安全管理機構和安全管理負責人，保障其運行經(jīng)費、配備相應的人員，開展與網(wǎng)絡安全和信息化有關的決策應當有專門安全管理機構人員參與；

　?。?1）應當對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查，定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核；

　?。?2）制定網(wǎng)絡安全事件應急預案，并定期進行演練，發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時，應當按照有關規(guī)定向保護工作部門、公安機關報告；

　?。?3）發(fā)生合并、分立、解散等情況，應當及時報告保護工作部門，并按照保護工作部門的要求對關鍵信息基礎設施進行處置，確保安全；

　?。?4）發(fā)生較大變化可能影響其CII認定結果的，應當及時將相關情況報告保護工作部門并重新認定；等等。