观察者网:具体从《网络安全审查办法》来说,它是网络安全法体系下的政府规章,规定的问题比较细节,能否介绍一下这部规章涉及哪些内容?
李天航:根据《网络安全法》第35条,《网络安全审查办法》针对的主体首先是“关键信息基础设施运营者”。对关键信息基础设施的界定来源于《网络安全法》第31条的规定:
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
法条用列举加概括的方式,界定了“关键信息基础设施”,对应地,某大公司这次既然受到网络安全审查,就意味着它必然已经被认定为CIIO。具体来看,该公司一是运营公共交通,二是聚集了大量个人信息,被界定为关键信息基础设施运营者的角度既有可能是因为其属于交通行业,也有可能因为汇聚了大量的个人信息,以及其运营系统被认为是“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”,但到底是哪个维度,目前还没有看到相关信息。
从该公司被认定为CIIO,我认为对其他企业应该也有一个启发,就是掌握了大量的个人信息和数据的平台型企业,被认定为CIIO的概率是非常大的。即使有些企业现在没有被认定,但不排除将来会被认定。
因为从时间线上来看,《网络安全法》是网信办牵头的,但到底是由网信办还是其他部门来负责CII的监督管理,此前一直没有确定。但是去年公安部下发了《关于贯彻网络安全等级保护制度和关键信息基础设施安全保护条例的指导意见》(公网安[2020]1960号)文(俗称“1960号文”),明确了公安机关作为CII保护的牵头保护部门。责任部门明确之后,对社会上大量主体是否是CIIO的认定很快就会铺开,另外,尽快出台《关键信息基础设施保护条例》的概率也会非常大。
明确了CIIO的概念,再来看《网络安全审查办法》第2条:
关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。