适用场景
任何在中国境内运营,尤其是在能源、金融、交通、水利、医疗、教育、环保、国防、科技、大型设备、化工、食品药品、新闻等关键行业,或提供云计算、大数据等大型公共信息网络服务的出海企业。企业在规划其中国区业务、IT架构、数据管理及跨境数据流动时,需重点关注CII合规要求。
核心要点
1. CII范围持续扩大与识别
中国关键信息基础设施的定义已从最初的网络安全法范围进一步扩展,涵盖了更多行业如医疗、教育、环保、国防、科技、大型设备、化工、食品药品、新闻以及提供云服务和大数据服务的平台。企业需根据行业属性、对网络设施的依赖程度及潜在安全风险影响进行初步评估,判断自身是否可能被认定为CII。
2. 政府对CII安全的强力监管与支持
国家高度重视CII安全,不仅通过制定产业、财税、人才政策予以支持,更将CII保护纳入地方经济发展规划并进行绩效考核。各行业监管部门需制定并落实本行业的网络安全方案,公共安全部门也将依法打击相关犯罪活动,体现了政府严格监管的决心。
3. 强化CII运营者及个人的责任机制
CII运营者承担严格的安全保护义务,其主要负责人被明确为CII安全保护的第一责任人。企业需设立网络安全专职管理人员,并确保关键岗位技术人员持证上岗并接受年度培训(每年不少于3个工作日),全体员工也需接受年度网络安全培训(每年不少于1个工作日)。
4. 严格的采购、外包与运维要求
CII运营者采购或使用的网络产品和服务,包括外包开发系统和捐赠的网络产品,均需进行安全审查。CII的运营维护原则上应在中国境内进行,若确需境外远程维护,必须提前向主管和公安部门报告。此外,提供CII相关服务的第三方机构(如安全监测、云服务、IT外包)也需符合特定资质要求。
5. 个人与第三方服务机构的连带责任
监管机构强化了对CII运营者中相关自然人的法律责任追究,违规行为不仅处罚企业,也处罚直接负责的主管人员和其他直接责任人员。同时,若因第三方专业服务机构或相关部门的失职导致网络安全事件,这些第三方也可能承担连带法律责任。
实务建议
- 立即对企业在中国的网络安全和数据合规现状进行全面自查,对照《网络安全法》及其配套法规和相关安全标准,评估自身是否可能被认定为CII。
- 建立健全网络安全责任管理体系,明确各岗位职责,指定CII安全第一责任人及网络安全专职管理人员。
- 定期组织员工进行网络安全教育培训,确保关键技术岗位人员满足资质和培训要求。
- 严格审查所有采购、外包开发或接受捐赠的网络产品和服务,确保其符合安全要求,并对第三方服务机构的资质进行严格核查。
- 评估现有IT架构和运维模式,确保CII相关运营维护在中国境内进行;如涉及境外远程维护,务必提前履行报告义务。
- 与行业监管部门保持积极沟通,密切关注CII相关政策法规的最新动态,特别是CII识别指南、测试评估要求及服务机构资质等细则。
- 在集团层面,重新审视跨境数据流动和技术支持策略,以适应CII“境内运维”等要求对跨国业务协作和技术支持可能带来的巨大影响。
风险提示
- 忽视CII范围的扩大,未能及时识别自身业务是否属于CII,可能导致合规风险。
- 未能落实CII运营者的安全保护义务,可能面临行政处罚,甚至导致企业负责人和相关个人承担法律责任。
- 在采购、外包或境外远程运维方面不符合规定,可能引发数据泄露、系统瘫痪等安全事件,并承担法律责任。
- 对第三方服务机构的资质和责任审查不严,可能因其违规行为而承担连带责任。
- 采取“观望”态度,不主动进行合规审查和准备,可能在后续细则出台时措手不及。