PDF《2017 年第 6 期 （总第 123 期）》

(2) 电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网 络服务的单位;

(3) 国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

(4) 广播电台、电视台、通讯社等新闻单位;

(5) 其他重点单位. 在上述行业和领域界定之外, 《征求意见稿》第十九条规定,后续网信部门将会同其他主管部门 制定和出台关键信息基础设施识别指南,行业主管或监管部门也将根据此识别指南组织各行业和领 域的识别工作,并报送识别结果. 虽然识别指南等进一步的细则尚未出台,但上述落入《征求意见稿》列举范围的行业和领域的相 关企业理应引起足够重视,并应做相应的提前安排.就目前的操作而言,我们认为仍可暂时参考

2016 年6月的《国家网络安全检查操作指南》 ,从识别方法、流程和重点等多方面,通过确定 CII 运营者 所属行业领域、界定相关行业领域对网络设施或信息系统依赖程度,以及网络设施或信息系统风险影 响力的 定性+定量 评价,对关键信息基础设施识别进行初步评估. 3) 强化义务负担和追责机制 除了吸收《网安法》中对一般网络运营者和 CII 运营者规定的安全保护义务要求外, 《征求意见 稿》进一步明确了相关自然人主体的义务与责任: (1) 明确 CII 运营者主要负责人是本单位 CII 安全保护工作的第一责任人, 负责建立和落实相应 的安全责任制,在企业运营过程中承担全面责任(第二十二条) ;

(2) 设置专门的网络安全管理负责人(第二十五条) ;

(3) 关键岗位专业技术人员则需要实行执证上岗制度,并接受每人每年时长不少于

3 个工作日 的网络安全教育培训(第二十

六、二十七条) ;

(4) 从业人员应当接受每人每年不少于一个工作日的网络安全教育培训(第二十七条) . 与此相对应, 《征求意见稿》的一大特色就是明显强化了自然人主体的责任要求,

第七章 法律 责任 中几乎每个条款都是 企业主体 和 自然人主体 的双罚制.尤其是将主要负责人列为安 全保护工作的第一责任人,跟近些年来很多监管领域在处理违法违规行为时所采纳的 处罚到人 汉坤律师事务所?北京?上海?深圳?香港 www.hankunlaw.com 的思路一脉相承,理应引起企业尤其是管理层的重视. 此外, 《征求意见稿》第五十一条还对 CII 运营者、第三方专业服务机构和有关部门实行了连坐 责任追究,规定在重大网络安全事件中,经调查确定为责任事故的,除应当查明运营单位责任并依法 予以追究外 , 还应查明相关网络安全服务机构及有关部门的责任 , 对有失职 、 渎职及其他违法行为的 , 依法追究责任. 4) 产品和服务外包及 CII 运维面临更高要求 对于 CII 采购或使用的网络产品和服务, 《征求意见稿》延续《网安法》模式,分为一般网络产 品和服务监管,以及网络关键设备和网络安全专用产品监管.CII 运营者应当根据《网安法》及《网 络产品和服务安全审查办法(试行) 》 、 《网络关键设备和网络安全专用产品目录(第一批) 》及后续目 录,对采购和使用的网络产品和服务进行安全监管.在此基础上, 《征求意见稿》要求: (1) CII 运营者对外包开发的系统、软件,接受捐赠的网络产品,应在上线应用前进行安全监测 (第三十一条) ;