中国发布关于保护关键信息基础设施的新条例
2021年7月30日,中国国务院发布《关键信息基础设施安全保护条例》(“该条例”)。该条例已于2021年4月27日获国务院通过,并于2021年9月1日生效,同时生效的还有最近通过的《数据安全法》。该条例是2016年《网络安全法》首次提出关键信息基础设施的概念后,国务院就关键信息基础设施发布的第一部行政法规。
该条例旨在澄清和指导下列问题:
- 关键信息基础设施的范围和认定。该条例对关键信息基础设施的定义比《网络安全法》更加详细,并将“国防科技工业”纳入重要行业和领域范围。为了更具体地确定关键信息基础设施,该条例授权重要行业和领域的保护工作部门就其行业和领域的关键信息基础设施制定并实施认定规则。
- 关键信息基础设施运营者的合规义务。该条例进一步明确关键信息基础设施运营者的合规义务:(1)建立健全网络安全保护制度和责任制;(2)就安全保护工作设置专门的安全管理机构;(3)开展网络安全检测和风险评估;(4)在采购网络产品和服务时进行网络安全审查并签订安全保密协议;(5)向有关部门报告重大网络安全事件或威胁等。
- 关键信息基础设施的监管要求。该条例订明,相关监管部门包括行业保护工作部门、国家网信部门、公安机关、国务院电信主管部门和省级人民政府有关部门,依据相应职责开展关键信息基础设施安全保护工作。
- 对未能履行合规义务和满足监管要求的关键信息基础设施运营者的处罚。该条例对关键信息基础设施运营者违反义务处罚与《网络安全法》的规定基本一致。未能履行合规义务的关键信息基础设施运营者可能被有关主管部门责令改正,收到主管部门的警告,并可能面临最高100万人民币(约合15.4万美元)的罚款,有关主管人员亦可能被处以最高10万人民币(约合1.5万美元)的罚款。
点击此处查看完整客户通讯(英文版)