汇业评论

文 | 黄春林 汇业律师事务所 合伙人

2017年7月11日，作为《网络安全法》（下称“网安法”）最重要的落地政策——《关键信息基础设施安全保护条例（征求意见稿）》（下称“条例”）千呼万唤始出来，由国家互联网信息办公室（下称“CAC”）正式对外发布并征求意见。

关键信息基础设施(下称“CII”)重点保护制度，是网安法规定的系列网安制度中最重要的一个制度，被认为是“网安十剑”的首剑，对网络运营企业法律合规影响重大，受到业界广泛关注。立法实践中，因涉及面广、争议较大，迟迟未能出台，以致网安法实施后“裸奔”了一个多月，这给众多网络运营企业合规建设带来了极大的不确定性。

根据汇业律师事务所黄春林律师介绍，本次发布的条例较为详细的规定了CII的主要范围、关键信息基础设施的运营者（下称“CIIO”）的主要义务以及相应的法律责任等内容。

一、《条例》——小号《网络安全法》来了

纵观条例全文，给我们的第一印象就是一部小号网安法，这是因为：

1. 条例体例基本与网安法一致

6月1日实施的网安法全文七章79条，而条例全文八章55条，立法体例基本沿袭了网安法的立法体例，章节安排也基本与网安法一致，部分条文也直接沿用了网安法的描述，乍一看，几乎与网安法一模一样。

2. 条例内容之丰富不逊网安法

整个55条的条例，几乎涵盖了CII有关的全部内容，从基本原则到促进政策，从认定范围到行为规范，从应急机制到法律责任，其内容之详实丰满，是近期发布的网安法其他落地政策所不能比拟的。

二、发布主体——为什么是网信办？

根据网安法第31条之规定，“关键信息基础设施的具体范围和安全保护办法由国务院制定”。如前所述，网安法规定CII重点保护制度对网络安全及企业合规影响重大。也正因此，与网安法的其他落地政策不同，网安法明确规定应当由国务院来制定CII的范围及安全保护制度。

但是，这次条例却是由CAC发布并征求意见，这在业界引起了极大的疑虑和担忧，特别是在之前CAC发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》严重僭越了网安法规定的大背景下，这种疑虑和担忧不无道理。

一种观点认为，CAC是经国务院根据国发〔2014〕33号文授权制定本条例。但是，我们注意到，国发〔2014〕33号文仅授权CAC负责“内容管理”，而条例的很多内容显然已经超越了“内容管理”，更多的却是“服务管理”。

三、CII范围——犹抱琵琶半遮面

尽管条例内容非常丰富，但是作为社会及网络运营企业最为关心的CII范围，条例规定并未通过细化有关规定而“拨云见雾”，反而显得遮遮掩掩，犹抱琵琶半遮面。这给网安法CII重点保护制度落地带来了极大的障碍，不利于法律的理解与适用，给企业法律合规建设带来了极大的不确定性。

汇业黄春林律师注意到，条例第18条仍然延续了网安法的“领域识别+风险识别”的双重识别模式，即：

1. 领域识别：（1）国防科工、政府机关、公共事业和大型装备研发、能源、金融、交通、水利、卫生医疗、新闻、教育、社保、环境保护、化工研发、食品药品研发等行业领域；（2）电信网、广播电视网、互联网等通信网络；（3）提供云计算、大数据和其他大型公共信息网络服务的行业。

2. 风险识别：一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络。

上述规定，基本与网安法第31条规定一致。唯一变化的、也是业界最为关注的是，首次明确将“提供云计算、大数据和其他大型公共信息网络服务的行业”明确纳入CII范围。

但是，条例并未明确细化何为“其他大型公共信息网络服务”，这就使网安法一审稿提及的“用户数量众多的网络服务”（例如电商、网游等行业）是否纳入CII范围成为了又一个“未解之谜”，把企业理解和适用网安法——尤其是是否会被纳入CII范围留下带入了又一个“死胡同”。

稍微欣慰的是，条例第19条有授权相关综合主管部门和行业主管部门“制定关键信息基础设施识别指南”。我们唯一能期待的是，行业主管部门届时制定“识别指南”的时候能够“护犊情深”、“枪口抬高一寸”，并期待能够更加清晰、明确的规定哪些行业或企业属于CII范围，同时也希望该“识别指南”能够尽快出台，以消除企业的不确定法律风险。

四、CII限制——境内存储+境内运维

网安法第37条规定的CIIO收集的个人信息与重要数据应当在境内存储，若需要向境外提供的，应当依法开展安全评估。在此之前，作为该条落地政策，CAC于2017年4月发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》，较为详细的规定了个人信息和重要数据出境安全评估的范围、程序及方法等内容。但时至今日，该评估办法正式稿仍然没有下文。作为小号网安法的条例，第29条再次重申了数据跨境转移安全评估的政策。

此外，条例第34条还首次规定了CII应当境内运维的要求，即“关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门”。这一条严重突破了网安法的规定，对CIIO及很多还不确定是否会被纳入CII范围的企业来说，无异于雪上加霜，影响巨大！

按照原来网安法37条的规定，仅需要满足个人信息与重要数据的存储服务器放置在境内即可。但现在还远远不够，对CII的全部运营、维护、技术支持都必须在境内实施，若需要境外远程访问、维护、调试等操作的，都必须要履行事前报备。

但风险还远远不止于此，对于很多跨国公司而言，是选择网络安全法合规满足“境内存储+境内运维”，还是选择电信业务经营许可合规满足“境内具有服务器并境内运维的应当依法办理增值电信业务经营许可证”，这或许是个两难的选择。

五、企业义务——政策法律化、责任刑事化

根据网安法及条例规定，CIIO对网络安全负主体责任。其中，网安法及条例列举了大量CIIO应当履行的网络安全保护义务（具体详见条例第23、24、27、28等条），同时还规定了网络安全管理负责人的职责及义务（具体详见条例第25、26等条）。

值得注意的是，网安法及条例规定的一些企业网络安全保护义务，在CAC及工信部、公安部的很多单行政策及规范性文件中都有体现，例如网络安全等级制度、实名制度、内容审查制度、数据跨境转移制度等。但是，网安法及条例的法律效力远高于很多单行政策及规范性文件，即通过立法，实现了“政策法律化”，其现实影响是多样化的，其中之一就是“责任刑事化”。

以《刑法》第253条之一的“侵犯公司个人信息罪”及286条之一“拒不履行信息网络安全管理义务罪”为例，其入罪的前提就是“违反法律、行政法规规定”。网安法及条例规定的一些企业及责任人员的网络安全保护义务，显然属于“法律、行政法规规定”，这就导致上述罪名的入罪口径大大放宽，一旦违反这些强制性规定的，企业或相关责任人员构成刑事犯罪的法律风险大大增加。