北京房产继承律师|企业合规需重视关键信息基础设施安全保障 　　 　　《网络安全审查办法（修订草案征求意见稿）》在数据安全法确立数据安全审查制度基础上，明确将数据安全纳入审查范围，审查对象为“关键信息基础设施运营者采购网络产品和服务”。因此，关键信息基础设施的运营者或有关键信息基础设施运营者采购网络产品和服务的企业，都具有安全保护义务。 　　 　　近日，国家互联网信息办公室在“网络安全审查”方面开展的系列工作引发社会关注。7月初，国家网信办连续发布对滴滴出行、Boss直聘、运满满、货车帮等企业采取下架App、启动网络安全审查的公告，后于7月10日发布《网络安全审查办法（修订草案征求意见稿）》（以下简称《征求意见稿》），公开征求意见。 　　 　　《网络安全审查办法》是由国家网信办、国家发展改革委等12个部门联合发布、2020年6月1日正式实施的部门规章，旨在确保关键信息基础设施供应链安全，维护国家安全。 　　 　　此次公布的《征求意见稿》，在《中华人民共和国国家安全法》《中华人民共和国网络安全法》基础上，新增《中华人民共和国数据安全法》为《网络安全审查办法》制定的上位法依据，将数据处理活动纳入网络安全审查范围，要求掌握100万以上用户个人信息的运营者赴国外上市必须申报网络安全审查。 　　 　　数据安全纳入网络安全审查 　　 　　《征求意见稿》第一条在现行《网络安全审查办法》基础上，增加“数据安全法作为上位法依据之一”；第二条，扩大网络安全审查范围，在关键信息基础设施运营者采购网络产品和服务的基础上，增加了“数据处理者开展数据处理活动”。 　　 　　中国法学会法治研究所研究员刘金瑞表示，我国数据安全法在第二十四条已经确立了数据安全审查制度。《征求意见稿》将数据安全审查纳入网络安全审查具有良好的制度基础，现行《网络安全审查办法》在第九条已经明确，网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险时主要考虑的因素就包括“重要数据被窃取、泄露、毁损的风险”。同时，数据安全审查和网络安全审查在审查重点上相类似，制度上也具有相容性。不仅如此，将数据安全审查纳入网络安全审查还能够避免重复监管。 　　 　　此外，《征求意见稿》在数据处理和国外上市等方面还新增规定。第六条规定，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。第十条，在网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险的主要考虑因素中，新增加了“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”“国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。 　　 　　《中华人民共和国个人信息保护法（草案二次审议稿）》第四十条也规定，关键信息基础设施运营者和处理个人信息达到网信部门规定数量的个人信息处理者，确需向境外提供的，应当通过国家网信部门组织的安全评估。 　　 　　网络安全审查的对象 　　 　　现行《网络安全审查办法》的审查对象为“关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的”。 　　 　　何为“关键信息基础设施”？我国网络安全法第三十一条规定：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。” 　　 　　2017年7月，国家网信办公布的《关键信息基础设施安全保护条例（征求意见稿）》第十八条规定了应当纳入关键信息基础设施保护的范围，包括政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；国防科工、大型装备、化工、食品药品等行业领域科研生产单位；广播电台、电视台、通讯社等新闻单位，以及其他重点单位。 　　 　　当前，多家赴美上市企业被启动网络安全审查，也引发人们对“关键信息基础设施”的关注。网络安全法第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 　　 　　刘金瑞表示，被网络安全审查的企业不一定就代表其是关键信息基础设施，有可能是企业内部的某个系统是关键信息基础设施，但这也意味着企业是关键信息基础设施的运营者。另外，关键信息基础设施的运营者采购了企业的网络产品或者服务，也有可能成为被网络安全审查的对象。 　　 　　《网络安全审查办法》第十五条规定：“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。” 　　 　　刘金瑞介绍，启动网络安全审查，可以依据企业主动申报，也可由监管部门主动进行审查，且只要影响或者可能影响国家安全的网络产品和服务，都有可能成为被审查的对象。 　　 　　企业的关键信息基础设施 　　 　　安全保护义务 　　 　　刘金瑞表示，对关键信息基础设施我国法律有“本地化存储”和出境安全管理、评估的相关规定。比如，网络安全法第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。” 　　 　　刘金瑞认为，企业除了要注重对关键信息基础设施所涉个人信息和数据的保护之外，还应当重视对数据安全法中“重要数据”的保护。 　　 　　数据安全法规定，我国建立数据分类分级保护制度，对数据实行分类分级保护，要加强对重要数据的保护。数据安全法第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。” 　　 　　在刘金瑞看来，我国网络安全法确立的关键信息基础设施保护制度和数据安全法确立的重要数据出境评估制定，为我国数据出境安全拧紧了阀门。“关键信息基础设施的安全保护对国家安全至关重要。数据的流动性，使其在不同的时间节点可能具有不同的安全标准和重要的程度。因此，在对关键信息基础设施的信息和数据的出境进行安全评估的基础上，还需要再引入数据安全法确立的重要数据出境评估。” 　　 　　刘金瑞表示，企业如果是关键信息基础设施的运营者或者有关键信息基础设施运营者采购网络产品和服务的行为，其都具有安全保护的义务，且原则上要将在我国境内运营收集的个人信息和重要数据存储在我国境内，因业务发展需要出境的，必须经过网信部门对涉及关键信息基础设施的数据进行安全评估及批准。北京伊志律师事务所是经司法局批准的合伙制律师事务所，是一家在民事诉讼、房产纠纷、交通事故、刑事辩护、知识产权、企业法顾等领域颇具规模及成就的综合性律师事务所。伊志律师事务所拥有众多知名律师及专业人员。其中，多名律师毕业于国内外知名的法学院校。
伊志律师事务所位于北京市朝阳区朝外大街乙6号朝外SOHO-C座1209，优越的地理位置，便利的交通条件，安静、专业的办公环境为需求提供方便。
电话：010-84493343
微信：18401228075
电话：18401228075北京房产继承律师|