适用场景
业务涉及公共通信、能源、交通、金融、公共服务、电子政务、国防科技工业等重要行业和领域的中国出海企业,或在境外运营一旦遭破坏可能严重危害国家安全、公共利益网络设施的企业,在业务规划与运营阶段均需关注。
核心要点
1. 关键信息基础设施的认定范围
关键信息基础设施覆盖公共通信、能源、交通、金融、公共服务、电子政务及国防科技工业等重要行业。判断核心在于其网络或信息系统一旦遭破坏、功能丧失或数据泄露,是否可能严重危害国家安全、国计民生或公共利益。具体认定需参考行业主管监管部门后续出台的细则。
2. 运营者的核心义务与新增职责
运营者需履行建立网络安全保护制度、设置专门安全管理机构、进行安全背景审查、定期开展安全检测与风险评估、及时上报网络安全事件等法定义务。新规特别强调安全管理机构人员须参与决策,并在企业发生合并、分立或解散时负有向监管部门报告的义务。
3. 跨境数据处理要求并未放松
虽然条例正式稿未重复数据本地化存储和出境评估的条款,但这不代表监管要求降低。相关要求已在《网络安全法》《数据安全法》等上位法中明确规定。涉及跨境数据处理的运营者,仍需严格遵守个人信息和重要数据在境内存储及出境安全评估的规定。
4. 明确的法律责任与高额处罚
运营者若未履行安全保护义务,如制度缺失、未设专门机构、未进行安全审查等,将面临责令改正、警告及10万至100万元罚款。采购影响国家安全的网络产品和服务未通过安全审查的,最高可处采购金额10倍罚款。个人也可能因非法侵入、破坏等行为被处以拘留和高额罚款。
5. 监管体系与协同机制
国家网信部门负责统筹协调,公安部门指导监督,电信主管及各行业主管部门在职责范围内落实保护与监管。企业需对内厘清责任,对外与监管部门、网络安全服务机构建立信息共享机制,并积极配合各项安全检查与检测工作。
实务建议
- 立即开展自查:评估自身业务是否属于条例列举的重要行业领域,或网络设施故障是否可能造成严重后果,初步判断是否可能被认定为关键信息基础设施运营者。
- 建立健全内控制度:制定并完善网络安全保护制度,明确设立专门的网络安全管理部门,并确保该部门负责人及关键岗位人员通过安全背景审查。
- 落实全流程安全管控:在规划、建设、使用网络时同步落实安全措施(“三同步”),定期进行网络安全检测和风险评估,并按监管部门要求报送情况。
- 严格供应链安全管理:采购网络产品和服务时,必须评估国家安全风险,对可能影响国家安全的采购,需按规定申报网络安全审查,并签订安全保密协议。
- 完善事件应急与报告机制:制定网络安全事件应急预案,一旦发生重大网络安全事件或发现重大威胁,必须按规定及时向保护工作部门和公安机关报告。
- 关注跨境数据合规:若业务涉及数据出境,务必遵循《网络安全法》《数据安全法》关于数据本地化存储和出境安全评估的要求,不可因本条例未提及而忽视。
风险提示
- 误区:认为自身企业规模小或不直接属于所列行业,就一定不构成关键信息基础设施运营者。实际上,判断标准更侧重于“破坏后果的严重性”,需结合业务实质评估。
- 误区:认为条例正式稿删除了数据本地化存储条款,意味着跨境数据监管放松。这是错误认知,相关要求在其他法律中依然有效,必须持续遵守。
- 注意事项:即使未被正式认定为运营者,若企业业务支撑或深度嵌入关键基础设施,也可能在安全检查、供应链审查等方面受到牵连,需保持警惕。
- 注意事项:企业发生合并、分立或解散时,切勿忽视向主管部门的报告义务,否则可能面临处罚。
- 注意事项:不要抗拒或消极配合监管部门的网络安全检查检测工作,否则将单独构成违法行为,导致罚款。