中澳关键基础设施法案对比研究
吴丹君 周天一 | 2017-12-14 11:38
【数据猿导读】 对比我国《网安法》及《征求意见稿》的规定,《草案》更加注重对相关信息的搜集以及部长义务的履行,其针对关键基础设施的登记册制度值得我国借鉴,而我国对CII的定义范围明显宽于澳大利亚,对跨境运维也提出了更为严格的要求
作者:吴丹君 周天一 北京观韬中茂(上海)律师事务所
2017年10月12日,澳大利亚政府发布《关键基础设施安全法案草案》(以下称“《草案》”)并公开征询意见,《草案》旨在强化和提升澳大利亚政府对于外商投资关键基础设施业务所产生的一系列国家安全风险的管控能力,确立政府对于关键基础设施的监管框架,明确规定关键基础设施资产的认定、关键基础设施资产登记册制度、相关主体的信息报告和通知义务以及授权部长获取相关信息和针对特定行为发布指令的权力。这是继2009年11月23日发布的《国家信息安全战略》之后,澳大利亚政府首次发布的对该国关键基础设施的详细安全保护法案,补齐了澳大利亚关键基础设施网络安全法律的这一短板。
同时,该法案也成为世界主要经济发达国家和地区中较晚发布的基础设施安全法案。今年7月,国家网信办发布《关键信息基础设施安全保护条例(征求意见稿)》(以下称“《征求意见稿》”),以八章五十五条的篇幅对关键信息基础设施(以下称“CII”)的安全保护做了较于《网络安全法》(以下称“《网安法》”)更为详细的规定。本文旨在对比梳理中国和澳大利亚关键基础设施法律法规的不同之处,并归纳出针对我国关键信息基础设施运营者(以下称“CIIO”)的合规建议。
规制范围
|
《征求意见稿》 |
《草案》 |
|
第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围: (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; (二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; (三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位; (四)广播电台、电视台、通讯社等新闻单位; (五)其他重点单位。 |
9 Meaning of critical infrastructure asset (1) a critical electricity asset; or (a) a critical electricity port; or (b) a critical water asset; or (c) an asset declared under section 49 tobe a critical infrastructure asset; or (e) an asset prescribed by the rules for the purpose of this paragraph. (3) The Minister must not prescribe an asset for the purpose of paragraph (1)(e) unless the Minister is satisfied that: (a) the asset is critical to: (i) the social or economic stability of Australia or its people; or (ii) the defence of Australia; or (iii) national security; and (b) there is a risk, in relation to the asset, that may be prejudicial to security. |
澳大利亚《草案》中明确规定了关键基础设施的范围,其中第九条将关键基础设施资产定义为五种具体的类型,即关键电力资产、关键港口、关键水资源资产、部长认为影响或可能影响国家安全并通过书面形式认定为关键基础设施的资产、《草案》规定的其他关键基础资产。
在确定了关键基础设施的总体范围后,《草案》还分别对关键电力资产、关键港口进行了细化规定。关键电力资产是指满足下列条件的电力设施:
(1)传输、分流电力的网络、系统或连接设备;
(2)对于确保一州范围内电网、电力系统的安全、稳定十分重要的发电站。关键港口主要是依据2003年的《海上运输和海上设施安全法案》的规定,列举了达尔文、布里斯班、悉尼等20个重要的港口。
相较《草案》,《征求意见稿》的内容更加详细具体,应当注意的是,除了“政府机关、能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位”外,还将“提供云计算、大数据和其他大型公共信息网络服务的单位”也列为CII,明确了相关云服务企业应当作为CIIO接受《征求意见稿》规制。鉴于目前未有针对“其他重点单位”这一兜底规定的详细解释,我国现行CII的范围仍存在一定不确定性。
可以预见的是,《征求意见稿》第十九条规定了国家网信部门将会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南,相关CIIO应当严密关注相关部门制定的识别指南,及主管监管部门发布的本行业、本领域的CII名录,以保证及时获取必要信息。
信息报送
|
《征求意见稿》及《网安法》 |
《草案》解释文件 |
|
《征求意见稿》 第三十六条 国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。 第三十七条 国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。 国家行业主管或监管部门应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关部门报告。 《网安法》 第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。 |
167. Subsection 22(2) sets out the information that each reporting entity must provide. Paragraph 22(2)(a) requires the responsible entity to provide the operational information for that asset. Operational information is defined in section 7 as information relating to the responsible entity and any other entity that is operating the asset or part of the asset on behalf of the operator. It specially includes:
- the name of the entity - address of the entity’s head office or principal place of business - incorporation details in Australia or another country - where the entity is incorporated, formed, created in another country, the name of that country, and
|
登记册制度是澳大利亚《草案》中的一大重要举措,鉴于澳大利亚现有的诸多关键基础设施为私人所有或由政府以商业模式运营,设立登记册制度的主要目的是为了记录相关关键基础设施所有者和管理者的详细信息以便政府及时解决可能存在的信息漏洞。
根据登记册制度内容,两类主体应当履行信息的提交和通知义务,即责任实体(responsible entity)和直接利益持有者(direct interest holder),前者需要的信息包括关键基础设施的位置、服务的领域、责任主体和运营商的名称、主要办公场所地址、分部所在的其他国家的信息、最高运营官信息和运营安排细节等运行信息(operational information),后者需要提交的信息为关键基础设施的利益和控制信息(interest and control information)。
对比《草案》内容,《征求意见稿》和现行《网安法》并未明确CIIO具体应当报送哪些信息,仅规定由国家网信部门和行业主管部门负责建立健全CII的网络安全监测和信息通报制度,向有关运营者及时通报安全风险和工作信息,内容较为宽泛。
此外,由于关键信息基础设施识别指南并未制订完成,我国目前尚不具备针对CII进行大规模的登记备案的条件,但《草案》中规定的登记册制度无疑值得借鉴。具体到广大CIIO上,在处理数据信息时,CIIO应当根据《征求意见稿》规定,及时采取技术措施监测记录网络运行状态和网络安全事件,留存网络日志不少于六个月,必要时对数据进行分类、备份和加密认证,并根据国家网信部门的要求及时提供相关数据信息。
跨境运维
|
《征求意见稿》及《网安法》 |
《草案》解释文件 |
|
《征求意见稿》 第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。 第三十四条 关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。 《网安法》 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 |
216. An example of a direction may be that the Minister directs a critical infrastructure asset operator to move currently stored offshore corporate and operating data to a more secure data storage provider. The direction will provide a specific timeframe within which the entity must comply. A further example of a direction is the Minister may direct a critical infrastructure asset owner to not outsource operations of its core network to certain providers. This direction may specify that the condition exists in perpetuity. Alternatively, the Minister may specify in the direction that the entity must consult the Government before entering into future outsourcing arrangements. |
纵览整个《草案》,澳大利亚政府主要采取了两大措施,登记册制度和部长指令,前者为事前监管,以保证及时监测关键基础设施的安全风险,后者则属于事后补救措施,着重为关键基础设施所面临的安全风险提供解决措施。
在数据传输和储存过程以及可能涉及外国供应商的问题上,《草案》赋予了部长为降低安全风险向特定主体发送行为指令的权力,在满足相关要素的前提下,部长有权要求关键基础设施运营商将目前存储的运营数据存放至更安全的数据存储供应商处;有权要求相关主体在订立服务外包协议之前必须咨询政府;有权要求关键基础设施的所有者不得将其核心网络业务的运营外包给特定的供应商等。这部分规定极大地强化了政府干预关键基础设施运营的能力,同时也使得政府对于国家安全风险的控制力度所有提升。
我国现行《网安法》明确规定CIIO在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储,确有需要向境外提供的,应当进行安全评估。根据今年4月发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下称“《安全评估办法》”)的规定,CIIO若需数据出境应当重点评估出境的必要性、涉及个人信息情况、涉及重要数据情况、数据接收方的安全保护措施能力水平以及相关风险等,满足特定条件的,还应报请行业主管或监管部门组织安全评估。我国现行法律体系下对CII的监管力度较澳大利亚更为严格,在具体操作过程中,CIIO应当参照《安全评估办法》以及8月30日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》的要求,完善数据出境合规,及时进行安全评估。
结语
本次澳大利亚发布《草案》主要基于三个原因,首先是关键基础设施关系国计民生且与网络的联系日益加强,其次是外资的进入加大了关键基础设施的安全风险,最后则是澳大利亚目前尚未形成对关键基础设施的有效统一管理机制,因此亟待立法保护国家网络及信息安全。
对比我国《网安法》及《征求意见稿》的规定,《草案》更加注重对相关信息的搜集以及部长义务的履行,其针对关键基础设施的登记册制度值得我国借鉴,而我国对CII的定义范围明显宽于澳大利亚,对跨境运维也提出了更为严格的要求。
来源:数据猿
我要评论
活动推荐more >
- 2018 上海国际大数据产业高2018-12-03
- 2018上海国际计算机网络及信2018-12-03
- 中国国际信息通信展览会将于2018-09-26
- 第五届FEA消费金融国际峰会62018-06-21
- 第五届FEA消费金融国际峰会2018-06-21
- “无界区块链技术峰会2018”2018-06-14
