适用场景
在华运营的中国出海企业,特别是涉及电信、能源、金融、交通、水利、公共服务、电子政务、国防科技等关键行业,或其网络设施和信息系统一旦被破坏、功能丧失或数据泄露可能严重危害国家安全、公共利益的企业,需重点关注此规则。
核心要点
1. CII与CIIO的明确界定
关键信息基础设施(CII)是指一旦遭到破坏、功能丧失或数据泄露,可能严重危害国家安全、公共利益的网络设施和信息系统。其运营者即为关键信息基础设施运营者(CIIO)。
2. 多部门协同监管框架
国家网信办负责统筹协调,公安部提供指导和监督,而各行业主管部门则负责本领域CII的识别、指导和监督工作,形成多层次的监管体系。
3. CII识别与动态管理机制
各行业主管部门将制定具体的识别规则,并由省级以上部门根据这些规则确定CIIO并告知。CIIO在发生可能影响其CII状态的重大变更时,需及时向行业主管部门报告。
4. CIIO的核心安全保护义务
CIIO需在规划、建设和运行阶段同步落实安全保护措施,由高层负责人承担安全责任,设立专门的安全管理部门,并优先采购“安全可信”的网络产品和服务。
5. 严格的违规责任追究机制
对未履行CII保护义务的CIIO,可能面临最高100万元的罚款及整改要求;对相关责任人,则可能处以最高10万元罚款、行政拘留,甚至追究刑事责任。
实务建议
- 主动关注并研究所在行业主管部门发布的CII识别细则和指南,了解自身业务是否可能被认定为CII。
- 对照识别标准,对企业在华运营的网络设施和信息系统进行内部风险评估,提前做好合规准备。
- 建立健全网络安全管理体系,明确高管责任,并为安全管理部门配备充足的人力与财力资源。
- 定期委托专业机构或自行开展网络安全审计和风险评估,并做好相关报告的存档与提交准备。
- 在采购网络产品和服务时,将“安全可信”作为重要考量因素,并与供应商签订严格的保密协议。
- 加强内部员工的网络安全意识培训,确保全员了解并遵守相关安全规定。
风险提示
- “安全可信”产品的定义和范围可能存在不确定性,影响企业在技术选型和供应链上的灵活性。
- 重要数据和个人信息跨境传输的安全评估流程和标准尚待进一步明确,可能对全球化运营造成影响。
- 未经授权,企业不得自行对CII进行漏洞检测或渗透测试,需严格遵守规定。
- CIIO还需同时遵守国家秘密、商用密码等其他相关法律法规,合规要求复杂。
- 一旦被认定为CIIO,合规成本将显著增加,且违规将面临严厉的行政处罚乃至刑事责任。