2021年8月17日,，歷經(jīng)三年以上征求意見,，國務(wù)院正式發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（下稱“關(guān)保條例”），將于2021年9月1日起與《數(shù)據(jù)安全法》同步實施,。

　　結(jié)合相關(guān)立法趨勢,、監(jiān)管執(zhí)法實踐及項目經(jīng)驗，匯業(yè)律師事務(wù)所網(wǎng)數(shù)法律團隊簡要解讀《關(guān)保條例》如下,，僅供業(yè)界參考。

　　一,、部分法律文件

　　二,、分級保護

　　通過一系列立法、執(zhí)法實踐,，我國開創(chuàng)性的建立起網(wǎng)絡(luò),、數(shù)據(jù)監(jiān)管與保護的分類分級模式，其中就包括“分等級保護,、分等級監(jiān)管”,，具體體現(xiàn)在：

　?。ㄒ唬┚W(wǎng)絡(luò)分級

　　根據(jù)《網(wǎng)絡(luò)安全法》、《關(guān)保條例》及1960號文等規(guī)定,，等保是基礎(chǔ),，關(guān)保是重點保護，但二者沒有直接的對應(yīng)關(guān)系,。即,，盡管有 “重點保障關(guān)鍵信息基礎(chǔ)設(shè)施和第三級以上網(wǎng)絡(luò)的安全”的要求，但實踐中,，MLPS3的網(wǎng)絡(luò)或系統(tǒng)不必然等同于CII,。

　　（二）數(shù)據(jù)分級

　?。ㄈ﹤€人信息分級

　　按照敏感度程度,，可以分為：

　　按照必要性程序，可以分為：

　　三,、監(jiān)管體系

　　綜合《網(wǎng)絡(luò)安全法》,、《關(guān)保條例》及1960號文等規(guī)定，當(dāng)前我國關(guān)保監(jiān)管體系如下：

　　四,、認(rèn)定標(biāo)準(zhǔn)

　　關(guān)于CII的認(rèn)定標(biāo)準(zhǔn),，《關(guān)保條例》摒棄了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》的概括加列舉的認(rèn)定模式，基本延續(xù)了《網(wǎng)絡(luò)安全法》的“行業(yè)+風(fēng)險”的雙重認(rèn)定模式,。即,，下列網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等可能會被認(rèn)定為CII：

　?。?）行業(yè)標(biāo)準(zhǔn)：公共通信和信息服務(wù),、能源、交通,、水利,、金融、公共服務(wù),、電子政務(wù),、國防科技工業(yè)（注：新增）等重要行業(yè)和領(lǐng)域的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng),；

　?。?）風(fēng)險標(biāo)準(zhǔn)：雖然不在上述行業(yè)和領(lǐng)域，但一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,，可能嚴(yán)重危害國家安全、國計民生,、公共利益,，或者會對其他行業(yè)或領(lǐng)域造成重大關(guān)聯(lián)影響的重要網(wǎng)絡(luò)設(shè)施,、信息系統(tǒng)；

　?。?）其他標(biāo)準(zhǔn)：此外,，《網(wǎng)絡(luò)安全法（草案）》在CII認(rèn)定時還有用戶數(shù)量標(biāo)準(zhǔn)，即“用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)”也會被認(rèn)定為CII,后續(xù)坊間流傳的《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南》也有參考用戶數(shù)量這一指標(biāo),，后續(xù)各保護工作部門在制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則時是否會考慮用戶數(shù)這一指標(biāo),，有待進一步明確；此外,，1960號文還從系統(tǒng)功能特征的維度提出了CII的認(rèn)定標(biāo)準(zhǔn),，即“應(yīng)將符合認(rèn)定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng),、核心業(yè)務(wù)系統(tǒng),、云平臺、大數(shù)據(jù)平臺,、物聯(lián)網(wǎng),、工業(yè)控制系統(tǒng)、智能制造系統(tǒng),、新型互聯(lián)網(wǎng),、新興通訊設(shè)施等重點保護對象納入關(guān)鍵信息基礎(chǔ)設(shè)施”。

　　值得注意的是,，上述“行業(yè)+風(fēng)險”的雙重認(rèn)定標(biāo)準(zhǔn)還是非常寬泛的,。例如，其中的“信息服務(wù)”領(lǐng)域,，若按照《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的認(rèn)定標(biāo)準(zhǔn),，除了典型的互聯(lián)網(wǎng)公司外，大多數(shù)觸網(wǎng)的企業(yè)都可能會被認(rèn)定為提供“信息服務(wù)”,。

　　《關(guān)保條例》進一步明確,，是否屬于CII，由保護工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定并將認(rèn)定結(jié)果通知運營者,，而無需運營者自行判斷,、評估是否屬于CIIO。據(jù)匯業(yè)黃春林律師團隊介紹,，之前已經(jīng)有部分企業(yè)收到了主管部門的認(rèn)定通知,。

　　五、合規(guī)義務(wù)

　　綜合《關(guān)保條例》及前述法律法規(guī)及監(jiān)管執(zhí)法實踐,，匯業(yè)黃春林律師團隊提示，CIIO應(yīng)當(dāng)依法履行的合規(guī)義務(wù)包括但不限于：

　?。?）依法開展網(wǎng)絡(luò)安全等級保護測評,、定級等工作,；

　　（2）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),、處理重要數(shù)據(jù)等可能影響國家安全的,，或者赴國外上市，應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全審查辦法》等規(guī)定開展網(wǎng)絡(luò)安全審查,；

　?。?）應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估，對發(fā)現(xiàn)的安全問題及時整改,；

　?。?）依法使用商用密碼產(chǎn)品或服務(wù)，對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份,；

　?。?）安全保護措施應(yīng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè),、同步使用,；

　　（6）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),，應(yīng)當(dāng)確保供應(yīng)鏈安全,，遵從進出口管制相關(guān)規(guī)定，并應(yīng)按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議,，明確提供者的技術(shù)支持和安全保密義務(wù)與責(zé)任,，并對義務(wù)與責(zé)任履行情況進行監(jiān)督；

　?。?）依法履行數(shù)據(jù)及個人信息本地化義務(wù),，確需出境的，依法開展安全評估或認(rèn)證,；

　?。?）應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全及數(shù)據(jù)保護相關(guān)制度、機制,；

　?。?）主要負(fù)責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負(fù)總責(zé)；

　?。?0）應(yīng)當(dāng)設(shè)置專門安全管理機構(gòu)和安全管理負(fù)責(zé)人,，保障其運行經(jīng)費、配備相應(yīng)的人員,，開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當(dāng)有專門安全管理機構(gòu)人員參與,；

　　（11）應(yīng)當(dāng)對專門安全管理機構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進行安全背景審查,，定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育,、技術(shù)培訓(xùn)和技能考核,；

　　（12）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,，并定期進行演練,，發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，應(yīng)當(dāng)按照有關(guān)規(guī)定向保護工作部門,、公安機關(guān)報告,；

　　（13）發(fā)生合并,、分立,、解散等情況，應(yīng)當(dāng)及時報告保護工作部門,，并按照保護工作部門的要求對關(guān)鍵信息基礎(chǔ)設(shè)施進行處置,，確保安全；

　?。?4）發(fā)生較大變化可能影響其CII認(rèn)定結(jié)果的,，應(yīng)當(dāng)及時將相關(guān)情況報告保護工作部門并重新認(rèn)定；等等,。