7月4日,投资总额达417亿元,网信办认定“滴滴出行”存在违法收集个人信息问题,将为推动西(重庆)科学城主导产业高质量集聚发展、加快构建具有市场竞争力的现代产业体系注入强动能。据介绍,开始对其进行网络安全审查,此次签约的健康产业项目共7个,并要求下架整改。次日,投资总额148亿元。其中,网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。在国际环境日益恶化的情况下,国核业创新医药用同位素研发生产基地是本次签约的百亿级健康重点项目,信息基础设施安全引起了和全社会的高度重视。
8月17日,主要围绕用于疾病诊断治疗的同位素,公布了根据《网络安全法》制定的《关键信息基础设施安全保护条例》,搭建核药孵化平台,自2021年9月1日起正式施行。这个条例出台的背景是什么?主管门是谁?认定标准是什么?主体责任有哪些?我们对此进行了简要的梳理。
01
出台背景
国际背景:守成国与新兴国斗争全面升级,打造一流的专业创新核药研发孵化基地,国际环境和互信降至极低水平,并逐步形成产业集群,安全取代效率,带动形成国内领先的下游创新抗癌同位素医药产业集群。新一代信息技术项目共10个,成为国际经济活动的首要考虑因素;
行业环境:过去十年,互联网由偏安一隅的“Nobody”,变成了屋子里的“象”。能力越,影响越,对潜在竞争者的围剿也越厉害。在此情况下,全球互联网反垄断和加强监管成为潮流。近期的反垄断是全球反垄断潮流的一分,但具有明显的特色。
:7月4日,网信办认定“滴滴出行”存在违法收集个人信息问题,将为推动西(重庆)科学城主导产业高质量集聚发展、加快构建具有市场竞争力的现代产业体系注入强动能。据介绍,开始对其进行网络安全审查,此次签约的健康产业项目共7个,并要求下架整改。次日,投资总额148亿元。其中,网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。滴滴事件无疑加速了对互联网平台经济安全的审查步伐。
为了保障关键信息基础设施安全,根据《网络安全法》,制定了本条例。依照此条例,对关键信息基础设施的安全进行审查。
02
认定标准
覆盖领域:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业。此外,如果某行业的网络设施或信息系统遭到破坏、丧失功能或发生数据泄露时,可能导致严重危害安全后果的,也应当被覆盖。
认定规则:保护工作门应当结合本行业及领域的实际情况,按照以下三个因素考虑认定关键基础设施:
1)定性:网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度。从被审查的滴滴、运满满、货车帮及BOSS直聘可以看出,这几家公司所掌握的数据,可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况,这些数据对于这些公司的主营业务影响重。其信息系统所含数据的重要性对于网络安全至关重要,是首要的认定标准。
2)定量:网络设施、信息系统等一旦遭到破坏、丧失功能或数据泄露可能带来的危害程度。一般认为,用户数量可以衡量数据泄露后的危害程度标准之一。例如,滴滴在拥有3.77亿年活跃用户和1300万年活跃司机;BOSS直聘年活跃用户1980万,共服务超8580万求职者,630万家企业(截至21.3.31)。由于拥有量的用户,这些公司的信息系统自然掌握了该行业绝分的深度数据,显然更需要被认定为关键基础设施。
3)定界:对其他行业和领域的关联性影响。每个行业都处于产业链的某一位置,如果发生数据泄露,必然会对其他行业和领域的关联性产生影响,甚至可能发生某一产业链条上系统性的数据泄露情况。
03
主管门
网信:负责统筹领导工作;
公安门:负责指导监督关键信息基础设施的安全保护工作;
电信主管门和其他有关门:负责关键信息基础设施安全保护和监督管理工作;
有关门:对关键信息基础设施实施安全保护和监督管理;
此外,《条例》第一章第八条中,将上述涉及的重要行业和领域的主管门、监督管理门统一认定为保护工作门。
04
主体责任
企业是运营者主体。《条例》第三章,规定了运营者的主体责任义务,指出运营者应当建立网络安全保护制度和责任制,并特别强调,运营者应当设置专门安全管理机构,以具体负责本单位的关键基础设施安全保护工作。《条例》规定,安全管理机构需要履行以下职责:
1.建立网络安全评价考核制度;
2.开展网络安全风险评估。要求运营者应当自行或委托网络安全服务机构对关键信息基础设施每年至少一次网络安全检测和风险评估;
3.制定网络安全应急预案。要求运营者在关键信息基础设施发生重网络安全事件时,应当向向保护工作门、公安机关报告;
4.组织开展网络安全工作考核。此外,保护工作门也会定期对关键信息设施进行检查检测;
5.组织网络安全教育培训;
6.建立健全个人信息和数据安全保护制度。这意味着对网络数据安全的审查要具体到公司个人;
7.关键基础设施的设计、、运行、维护等服务实施安全管理。这意味着安全管理机构本身要自我约束,对于整个流程要杜绝威胁网络安全行为发生;
8.披露与报告网络安全事件和事项
此外,《条例》同时指出,未经保护工作门及运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或危害关键信息基础设施安全的活动。
05
保障措施
1.优先保障能源、电信行业的关键信息基础设施;
2.鼓励网络安全人才从事关键信息基础设施安全保护工作。将运营者安全管理人员、安全技术人员培训纳入继续教育体系;
3.支持相关网络安全防护技术创新和产业发展。组织力量实施安全技术攻关;
4.加强网络安全军民融合。要求军地协同保护关键信息基础设施安全。
06
法律责任
《条例》第五章第四十条规定,以下两种情形会被做出处罚:
1.关键信息基础设施发生重网络安全事件;
2.关键信息基础设施发现重网络安全事件威胁,而拒不改正;
如果上述两种情形发生,对运营者(公司)处以10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
此外,如果运营者采购了影响安全的网络产品和服务,并且未进行安全审查,处以采购金额1倍以上10以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
标签: