(原标题:双罚?解读关键信息基础设施安保条例)
被记者和大厂的朋友催促,同门师兄弟也调侃我,抓紧时间回去写新规文章。没辙,“出新规找飒姐”。今天与大家聊一聊,朋友圈刷屏的《关键信息基础设施安全保护条例》(以下简称安保条例),下个月一号将正式施行。
通读全文,印象最深刻的是两个关键词:一是保护;二是罚款。鉴于读者中多为市场主体人士,更偏好关心罚款事宜,我们就将阐述的顺序稍作调整,请勿过度遐想。
一、定义与监管主体
安保条例的上位法是《网络安全法》,也就是说倘若安保条例有规定不那么周延的地方,可以按图索骥找到网安法相应原则进行解释和适用。从另外一个方面讲,安保条例不可以脱离网安法的框架,不能创设网安法“射程之外”的义务强加给市场主体。
一个关键定义:“关键信息基础设施”,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
监管主体:(1)网信部门统筹;(2)公安部门负责指导;(3)电信部门和其他有关部门,各司其职;(4)省级各负其责。
二、罚款之双罚制
鉴于罚款内容,读者更为关心。我们将这一部分提到前面来谈,第五章法律责任,主要谈的是运营者和直接负责的主管人员被处罚的情形。关于“单位行政违法双罚制”的问题,我们查到了中南财经政法大学社会科学研究院谭冰霖的学术文章,了解到目前我国现行法律体系中,采取双罚制的主要是生态环境、食品药品、公共安全、金融监管等部分立法领域。
安保条例出台后,我国采取双罚制的立法又多了一个领域:关键信息基础设施领域。
具体处罚情况,详述如下:
1、运营者“十项”相关义务
运营者有下列情形之一的,由主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:
(1)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;
(2)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的;
(3)未设立健全网络安全保护制度和责任制的;
(4)未设置专门安全管理机构的;
(5)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;
(6)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;
(7)专门安全管理机构未履行本条例第十五条规定的职责的;(含八条安保责任)
(8)未对关键信息基础设施每年至少进行一次网络安全检查和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;
(9)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;
(10)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。
第十五条里的八条安保责任,飒姐力图归纳为:(1)建章立制,拟订安保计划;(2)提升安保防护能力;(3)设立应急预案;(4)设安保岗;(5)培训;(6)保护个人信息和数据安全;(7)对服务进行安全管理;(8)其他。也就是说,可以罚单位10-100万+直接负责人1-10万的情形,共计17项,含兜底条款,可将其他市场中出现的新问题“实质解释”“类比解释”进兜底条款(法律人建议慎重解释)。
2、报告义务
运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万-100万罚款,对直接负责的主管人员处1-10万的罚款。
拒不履行网络安全义务,严重时,还可能会触及刑法。这就要求运营单位的决策层必须果敢,务必及时汇报,切勿拖延,也不要被一家监管机关拖住,应将义务履行彻底。
3、安全审查义务
运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,同样有双罚,对直接负责的主管人员和其他直接责任人处1-10万罚款。
某网约车海外上市触发相应网络审查程序,大家还有记忆,采购海外服务或接受海外监管调查时务必注意风险。甚至在并购过程中,使用外资中介机构进行尽职调查是否会触发相应审查程序,也未可知。
4、网安检查配合义务
运营者对保护工作部门开展的监测工作,以及公安、国家安全、保密行政管理、密码管理部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由主管部门责令改正;拒不改正,处5-50万罚款,直接责任主管人员和其他直接责任人1-10万,情节严重的,依法追究法律责任。
前车之鉴,运营主体一定谨记被检查的具体时间(最好要留痕),曾经有个案例监管机关号称两次去检查均遭拒,差点将某公司引入拒不履行网络安全义务罪的嫌疑,幸而公司老总拿出了证据证明监管检查的时间正值该公司集体休假期。
5、安宁、团结义务
实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照网安法,公安机关没收违法所得,处5日以下拘留,可并处5-50万罚款;情节严重的,处5-15日拘留,可并处10-100万罚款。
单位有前款行为,公安机关没收违法所得,处10-100万,并对直接负责的主管人员和其他直接责任人依照前款处罚。
三、保障和促进
安保条例在保障和促进方面明确了以下内容:
1、网络安全信息共享,由网信部门统筹;
2、监测预警机制,由各保护工作部门针对本行业组织;
3、组织应急演练和处置,也由各保护部门支持;
4、定期检查,各保护部门负责;
5、网络安全检查检测,网信、公安、各保护部门共同进行(避免重复检查);
6、网信、电信、公安给各保护部门技术支持;
7、监管部门工作人员不得泄露、出售、非法提供信息;
8、未经批准,不得漏洞探测、渗透性测试;
9、优先保障能源、电信等关键基础设施安全运行,能源电信对其他行业关键信息基础设施提供重点保障;
10、加强安全保卫,由公安和国安承担;
11、制定标准,鼓励人才进入行业,培训,技术攻关,提示服务机构能力水平、加强军民融合,由国家相关部门负责。
本文系未央网专栏作者:肖飒 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!本文网址:http://www.78099.cn/gulouqu/405954.html ,喜欢请注明来源河南开封新闻网。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。