汉坤网络安全与数据合规系列之七：CII，网安法核心制度重磅落地

尽管在《国务院2016年立法工作计划》中，《关键信息基础设施安全保护条例》仅被列为最后的“研究项目”，但自2016年11月7日通过并2017年6月1日起施行《网安法》以来，网信办等部门已陆续出台了多项《网安法》的配套条例或办法，如：《国家网络安全事件应急预案》（2017年1月10日）、《个人信息和重要数据出境安全评估办法（征求意见稿）》（2017年4月11日）、《网络产品和服务安全审查办法（试行）》（2017年5月2日），以及《网络关键设备和网络安全专用产品目录（第一批）》（2017年6月1日）。直至此次发布《征求意见稿》，速度不可谓不快，可见我国对于落实《网安法》及其配套措施的迫切需要和决心。

细读《征求意见稿》的条款内容，唯一的结论，国家将在CII领域施重拳进行强化监管和重点治理，主要体现在：

1. 政府提供倾向性支持与保障

《网安法》原则性地规定了国家对网络安全的支持与促进，《征求意见稿》在此基础上明确：（1）国家将制定产业、财税、金融、人才等专项政策，支持CII安全相关的技术、产品、服务创新、人才培养等；（2）要求地级以上政府将CII保护纳入地区经济社会发展总体规划，开展工作绩效考核评价；（3）各行业主管或监管部门制定本行业网络安全规划，建立并落实工作经费保障机制；（4）点名能源、电信、交通等行业应当为CII网络安全事件应急处置与网络功能恢复提供重点保障和支持，公安部门应依法打击相关犯罪活动。

虽然上述规定仍有较强的原则性色彩，但条款中密集出现的以“应当”表述的强制性义务条款，足以表明政府在这个议题上的执行和监管态度。

2. 进一步扩大CII适用范围

《征求意见稿》沿用了《网安法》第三十一条对CII“定义+非穷尽式列举”的界定方式，但在列举中明显扩大了覆盖范围。

除《网安法》所列举的7类重要行业或领域外，《征求意见稿》还新增了卫生医疗、教育、环保，以及国防科工、大型装备、化工、食品药品和新闻等行业领域，并将信息服务扩展为提供云计算、大数据和其他大型公共信息网络服务，明显扩大了CII的范围。具体而言，CII运营者包括：

（1）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（2）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（3）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（4）广播电台、电视台、通讯社等新闻单位；

（5）其他重点单位。

在上述行业和领域界定之外，《征求意见稿》第十九条规定，后续网信部门将会同其他主管部门制定和出台关键信息基础设施识别指南，行业主管或监管部门也将根据此识别指南组织各行业和领域的识别工作，并报送识别结果。

虽然识别指南等进一步的细则尚未出台，但上述落入《征求意见稿》列举范围的行业和领域的相关企业理应引起足够重视，并应做相应的提前安排。就目前的操作而言，我们认为仍可暂时参考2016年6月的《国家网络安全检查操作指南》，从识别方法、流程和重点等多方面，通过确定CII运营者所属行业领域、界定相关行业领域对网络设施或信息系统依赖程度，以及网络设施或信息系统风险影响力的“定性+定量”评价，对关键信息基础设施识别进行初步评估。

3. 强化义务负担和追责机制

除了吸收《网安法》中对一般网络运营者和CII运营者规定的安全保护义务要求外，《征求意见稿》进一步明确了相关自然人主体的义务与责任：

（1）明确CII运营者主要负责人是本单位CII安全保护工作的第一责任人，负责建立和落实相应的安全责任制，在企业运营过程中承担全面责任（第二十二条）；

（2）设置专门的网络安全管理负责人（第二十五条）；

（3）关键岗位专业技术人员则需要实行执证上岗制度，并接受每人每年时长不少于3个工作日的网络安全教育培训（第二十六、二十七条）；

（4）从业人员应当接受每人每年不少于1个工作人的网络安全教育培训（第二十七条）。

与此相对应，《征求意见稿》的一大特色就是明显强化了自然人主体的责任要求，第七章“法律责任”中几乎每个条款都是“企业主体”和“自然人主体”的双罚制。尤其是将主要负责人列为安全保护工作的第一责任人，跟近些年来很多监管领域在处理违法违规行为时所采纳的“处罚到人”的思路一脉相承，理应引起企业尤其是管理层的重视。

此外，《征求意见稿》第五十一条还对CII运营者、第三方专业服务机构和有关部门实行了连坐责任追究，规定在重大网络安全事件中，经调查确定为责任事故的，除应当查明运营单位责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。

4. 产品和服务外包及CII运维面临更高要求

对于CII采购或使用的网络产品和服务，《征求意见稿》延续《网安法》模式，分为一般网络产品和服务监管，以及网络关键设备和网络安全专用产品监管。CII运营者应当根据《网安法》及《网络产品和服务安全审查办法（试行）》、《网络关键设备和网络安全专用产品目录（第一批）》及后续目录，对采购和使用的网络产品和服务进行安全监管。在此基础上，《征求意见稿》要求：

（1）CII运营者对外包开发的系统、软件，接受捐赠的网络产品，应在上线应用前进行安全监测（第三十一条）；

（2）CII的运行维护应当在境内实施，确需进行境外远程维护的，应事先报告行业主管或监管部门和公安部门（第三十四条）；

（3）特别要求面向CII开展“安全监测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构”，应当符合网信部门会同国务院另行制定的有关具体要求（第三十五条）。

这些规定中，特别值得注意的是，（1）对第三方专业服务机构提出了资质管理的要求，体现出了浓厚的强监管色彩，也与上述针对第三方专业服务机构明确追责机制形成呼应；（2）在CII数据本地化存储和出境评估基础上，《征求意见稿》额外提出了“运维本地化”的要求，这对于很多存在跨境业务合作和技术支持（无论是集团内部还是与外部之间的合作）的跨国公司而言，无疑提出了更高的合规要求，可谓影响巨大。