Q7:如何识别关键信息基础设施及其运营者?

(一)识别关键信息基础设施和关键信息基础设施的运营者的法律依据有哪些?

根据目前的立法现状,关于识别和认定 关键信息基础设施 和 关键信息基础设施运营者 方面,企业可以综合参考《网络安全法》、由国务院发布并于 2021 年 9 月 1 日施行的《关键信息基础设施安全保护条例》(下称《保护条例》)、公安部于 2020 年发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(下称《指导意见》)、网信办网络安全协调局于 2016 年 6 月公布的《国家网络安全检查操作指南》,以及 2020 年 8 月发布的国家标准《信息安全技术关键信息基础设施边界确定方法(征求意见稿)》(下称《关键信息基础设施 边界确定方法》)。

(二)判断关键信息基础设施的运营者的思路及方式是什么?

一般而言,通过以下三个步骤识别 关键信息基础设施运营者:

1.判断所涉业务是否涉及重要行业和领域

根据《网络安全法》第三十一条,关键信息基础设施 所涉的重点行业和领域包括:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的行业和领域。《保护条例》第二条则在《网络安全法》的基础上进一步补充,提出 关键信息基础设施 范围包括:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。” 此外,根据公安部发布的《指导意见》,“基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象”有可能会被纳入 关键信息基础设施。

因此,不难看出,国家针对 关键信息基础设施 所涉行业和领域的划分采用的是非穷尽列举式抽象定义,并以“视具体情况认定重点行业和领域”的情形留有余地。

2.识别关键业务及具体关键信息基础设施

在初步确认所涉业务可能会被认定为属于上述重要行业和领域之后,企业可以依据《关键信息基础设施 边界确定方法》进一步评估其是否存在“一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的”、并且依赖信息化运行的业务,来识别、筛选关键业务。即当一个企业的属性落入到第(1)点所列法规要求的 关键信息基础设施 所涉及的重点行业时,也不是该企业中的所有信息系统都是 关键信息基础设施 的范围。只有所列行业中的相关企业其高度支撑信息化运行且该系统的运行如果遭到破坏或者功能丧失有严重危害国家安全、经济安全、社会稳定、公众健康和安全后果的才有可能被纳入 关键信息基础设施 的范围。

在初步判断后,企业可以参考《保护条例》第九条来进一步梳理企业中“对本行业、本领域关键核心业务”“重要的”“一旦遭到破坏、丧失功能或者数据泄露对国家安全、社会稳定带来危害”的网络设施、信息系统;而该网络设施、信息系统则极大可能会被认定为 关键信息基础设施。

3.明确关键信息基础设施运营者

顺接上述第(2)点,需要进一步明确的是,支撑同一关键业务的关键信息基础设施可能属于一个运营者,也可能分属于多个运营者。因此,在识别出关键业务和关键信息基础设施 之后,应当根据关键业务对信息化的依赖程度和依赖关系进行系统评估,梳理支撑同一关键业务的关键信息基础设施分布和运营情况,以明确对应到具体的关键信息基础设施运营者。需要提醒的是,从《网络安全审查办法》《指导意见》到《保护条例》,均明确了关键信息基础设施及关键信息基础设施运营者的认定工作由各自行业的主管部门负责,所以企业是否属于我国认定的关键信息基础设施运营者 主要取决于主管机构的判定和通知。同时,考虑到关键信息基础设施的定义以及范围均比较宽泛,并且技术以及网络安全的要求会不断地更新迭代,主管机构对于行业内企业所拥有的关键信息基础设施 具体情况应该也是在一个持续的了解和动态认定的过程中,所以希望公司时刻保持关注。

(三)如果外国公司在中国投资设立的公司(下称“FIE”)被认定为 关键信息基础设施运营者,该 FIE 的个人信息出境活动应如何开展?是否可以直接向境外母公司传输个人信息?

应当说明的是,我国现行有效的法律对于关键信息基础设施运营者的个人信息出境活动(包括跨境传输员工个人信息的行为)有明确规制。《网络安全法》第三十七条规定了关键信息基础设施运营者向境外提供数据的安全评估义务。《个人信息保护法》第四十条进一步规定,关键信息基础设施运营者应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。因此,若 FIE 被认定为关键信息基础设施运营者,则需要将在中国境内收集的个人信息存储在境内;如FIE 确需向位于境外的母公司提供在境内运营中收集产生的个人信息的,应当根据《数据出境评估办法》通过国家网信部门组织的安全评估。

首页    数据跨境常见问题    Q7:如何识别关键信息基础设施及其运营者?