中国施“法”保护“信息基建”——《关保条例》简析
8月17日,《关键信息基础设施安全保护条例》(以下简称为“《关保条例》”)正式公布,为涉及我国国家安全、经济命脉、社会稳定的关键信息基础设施(critical information infrastructure, 下文简称“CII”)提供了重要的法治铠甲。
《关保条例》是《网络安全法》的重要配套支撑,将落实网安法的有关要求,细化相关制度和措施,压实责任,健全网络安全法律制度体系。
对于网络安全产业而言,该条例重视网络安全服务机构的重要作用,对行业发展而言,将是长期利好支撑。
谁是CII?
CII是经济社会运行的神经中枢,承载或支撑着重要行业和领域关键业务。一旦遭到破坏,会给国民经济和国家安全造成连锁反应和严重后果,牵一发而动全身。是网络安全的重中之重和关键环节。
根据《条例》,CII包含:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
为何立法保护CII?
随着我国国民经济和社会信息化的全面推进,传统社会活动向网络空间不断延伸,经济与国家安全高度依赖于关键信息基础设施。
然而,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁上升,高级持续性威胁、网络勒索、数据窃取等事件频发,相关法规制度不完善,技术产业支撑不足。
根据国家互联网应急中心发布的《2020年中国互联网网络安全报告》中我国网络安全监测数据显示,2020年,全年捕获恶意程序样本数量超过4200万个,国家信息安全漏洞共享平台收录安全漏洞共计20704个,呈上升趋势。
同年,360公司在国内共接到并处理了3800多起勒索软件攻击事件,勒索软件的目标也逐渐以政府部门、大型企业为主,数字经济越发达的地区越是重灾区。
可见,关键信息基础设施领域的法律保障亟待加强,网络安全保护及其配套法律体系,将成为网络安全博弈的制胜关键。对于维护国家网络安全、网络空间主权和国家安全、公共利益意义重大。
法律地位
一、《关保条例》是《网络安全法》的下位法。
(就法律效力大小而言,效力大的为上位法,它之下生效的为下位法。)
二、已出台的《网络安全法》(2017年)、《数据安全法》(2021年)和《个人信息保护法》(2021年)共同构成了我国网络空间治理和数据保护的“三驾马车”。
“三驾马车”及其相关配套法规、规定、指引。
三、CII安全保护是各国网络安全战略的重要一环。目前,世界主要国家和地区将CII立法作为网络安全立法中最为关键的环节。参照下表。
(2021年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,导致国家乃至全球经济运行的基础设施受损,对全产业链产生连锁影响。)
谁来认定CII?
CII所涉及行业和领域的主管部门、监管部门(即“保护工作部门”)负责CII的认定。
第一步:制定认证规则,报公安部门备案;
第二步:将认定结果通知运营者,并报公安部门。
(如CII发生较大变化,可能影响认定成果,则重新认定。)
谁来负责CII保护?
CII运营者有哪些责任义务?
CII运营者(即CII的所有者、管理者和网络服务提供者)主要有下列法定义务:
一、制度建设。建立网络安全保护制度,实行“一把手责任制”,保障人财物投入;
二、机构设置。设置专门安全管理机构,开展计划-评估-演练-考核-培训等全流程保护工作;
三、风险评估。委托服务机构定期评估网络风险,及时整改;
四、险情上报。及时上报重大安全事件;
五、安可优先。优先采购安全可信赖产品和服务。
CII中的C位
由于能源、电信行业本身既是CII,又为其他行业的CII稳定运行提供着重要支撑和资源保障,因此,优先保障能源、电信等CII安全运行。
市场机会
就《关保条例》来看,CII安全防护技术创新和产业发展、网络安全检测和风险评估服务机构、安全可信的网络产品和服务,都将成为国家明确支持的商业范畴,其商业潜力持续攀升。
随着网络安全相关政策法规近期密集出台,网络安全已从共识转化为行动,新产品形态不断涌现,安全赛道风生水起。
在政策、市场需求等因素推动下,IDC预计中国网络安全市场将迎来高速发展期,2021年中国网络安全市场投资规模可达97.8亿美元,有望在2025年增至187.9亿美元。2021年7月,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)征求意见稿》,提出到2023年,网络安全产业规模超过2500亿元,电信等重点行业网络安全投入占信息化投入比例达到10%。我国网络安全行业尚处于起步阶段,总体规模相较于国外市场差距较大,但是增长潜力巨大。
从网络安全行业的发展路径看,随着云计算、大数据、工业互联网等新兴技术的应用,以及网安建设从事后向事前的转变,都将推动网络安全软件和服务以更高的速度成长。
目前,我国信息安全产业下游的应用在政府端占比较高,电信和金融行业对用户数据和系统安全的高要求也创造了比较大的市场需求。另外,教育、制造、能源、交通等涉及社会民生的关键基础设施也是网络安全的重点客户。
结语
我国在网络安全、数据安全和个人信息保护的轨道上迈得越来越稳健,使有关部门、企业在实际操作中有法可依,有迹可循。
《网络安全法》、《数据安全法》、《个人信息保护法》三部法律出台后,中国互联网领域基础性的法律法规框架体系就已完成,其他法律、法规、部门规章、地方性法规等等,将会在这三部法律组成的体系之下,继续细化具体的内容,逐步覆盖互联网、个人信息和数据活动的方方面面。
我们将会持续关注相关立法动向和规则趋势,为企业合规提供更有价值的参考。