2017年7月11日，国家互联网信息办公室（“网信办”）对外发布《关键信息基础设施安全保护条例（征求意见稿）》（“《CII保护条例》”），向社会公开征求意见。
　　2017年6月1日生效的《网络安全法》（“《网安法》”）中首次提出了关键信息基础设施（“CII”）的概念，并对CII运营者在中国境内收集和产生的个人信息和重要数据的跨境存储作出限制。这一规定可能对相关企业的经营与合规造成重大影响，引起了国内外相关企业的密切关注。同时，由于《网安法》在此方面的规定不甚明朗，对于很多企业而言，犹如雾里看花。于是，《网安法》系列配套法规和指南的出台对于企业合规而言，就显得尤为重要。那么此次公开征求意见的《CII保护条例》是否能够帮助企业拨云见日，一窥CII之真容呢？本文将对这一新规中，可能对企业产生重大影响的规定进行详细解读。
　　一、互联网大数据等领域纳入其中CII具体范围仍有待明确
　　《网安法》制定过程中曾三易其稿，对于CII的界定，更是备受关注。最终，《网安法》采取了领域列举+风险判断的标准。《CII保护条例》对于CII范围的界定，虽有进一步的细化，但是仍旧延续了这一标准。即《CII保护条例》中所列明领域的网络设施和信息系统并非当然属于CII保护范围，当其遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，才应当纳入关键信息基础设施保护范围。《CII保护条例》第十八条列出了以下领域：
　　政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；
　　电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；
　　国防科工、大型装备、化工、食品药品等行业领域科研生产单位；
　　广播电台、电视台、通讯社等新闻单位；
　　其他重点单位。
　　值得注意的是，首先，与《网安法》相比，《CII保护条例》除了进一步明确卫生医疗、教育、大型装备、食品药品、广播电台等领域之外，还将“电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位”纳入CII保护范围。当前互联网、云计算、大数据在世界范围内发展得如火如荼，很多企业对此或是摩拳擦掌，或者涉足已深。这一规定，如最终写入条例，在中国从事相关业务的国内外企业或许需要在设施运行维护、数据存储，以及相关合规等方面进行重大调整。而对于“大型公共信息网络服务”，《CII保护条例》并未给出更详细的界定，有鉴于此，相关企业所面临的挑战可能会进一步增加。
　　其次，何为“其他重点单位”？尽管当前的征求意见稿中有风险判断这一重要标准，但是对于某一企业是否属于CII运营者，要想有更加清晰的判断，可能仍要依赖于《CII保护条例》第十九条所规定的CII识别指南。CII识别指南将由国家网信部门、国务院电信主管部门、公安部门等共同制定。这种模式与网信办4月11日公开征求意见的另一新规《个人信息和重要数据出境安全评估办法》（“《出境评估办法》”）中对于“重要数据”具体范围的规定一致，都是由相关识别指南进行明确。故建议相关企业密切关注CII识别指南的制定。
　　二、境内存储 + 境内运维跨境企业又增新压
根据《网安法》的规定，CII运营者在中国境内运营中收集和产生的个人信息和重要数据应在境内存储，若因业务需要出境，则必须进行安全评估。目前，安全评估所依据的《出境评估办法》和相应指南都已在征求意见。境内存储的限制，可以说是相关企业，尤其是跨国公司最为关注的一点。
　　《CII保护条例》则在此基础上，增加了一项境内限制，即第三十四条规定的“关键信息基础设施的运行维护应当在境内实施”，如因业务需要，确需进行境外远程维护的，应“事先报”国家行业主管或监管部门和国务院公安部门。这里必须指出的一点是，境内存储针对的是CII运营者收集和产生的“个人信息和重要数据”，而境内运行维护的对象则是“CII”本身。虽然《CII保护条例》也给出了境内运维的例外情形，但是此项新压之下，许多企业将不得不做出在中国境内设立数据中心的选择。
　　面对中国巨大的市场潜力，一些大的跨国公司已经开始行动，即使其自身是否属于CII运营者尚不明确。就在《网安法》生效后的一个多月，以及《CII保护条例》公开征求意见的第二天（7月12日），苹果公司宣布将投资10亿美元在贵州设立iCloud数据中心，并表示原因之一即是为了符合相关法律法规。除此之外，亚马逊也正在宁夏建设数据中心。而相较于实力雄厚的苹果、亚马逊等企业，另外一些想在中国市场中分一杯羹，但却无力在中国境内建立自己的数据中心的企业，或许数据出境安全评估和租用中国境内运行维护的设备是另外一个选择。
　　三、安全保障义务升级关键人员须执证上岗
　　在安全保障方面，《CII保护条例》除延续《网安法》中对关键岗位人员进行考核培训和安全背景审查的规定之外，第二十六条还增加了CII运营者网络安全关键岗位专业技术人员实行执证上岗制度的要求。虽然具体规定仍有待国务院人力资源社会保障部门会同国家网信部门等部门制定，但可以预测的是，一项含金量十足的新资格证即将出台，相关企业与从业人员也应对此有所准备。
　　四、明确安全检测评估措施监管权力进一步加强
　　《CII保护条例》第四十二条明确，有关部门组织开展CII安全检测评估时，可以采取以下措施：
　　要求运营者相关人员就检测评估事项作出说明；
　　查阅、调取、复制与安全保护有关的文档、记录；
　　查看网络安全管理制度制定、落实情况以及网络安全技术措施规划、建设、运行情况；
　　利用检测工具或委托网络安全服务机构进行技术检测；
　　经营者同意的其他必要方式。
　　上述措施中，“查阅、调取、复制与安全保护有关的文档、记录”这一规定，将使得监管权力进一步增强。尤其是“与安全保护有关的文档、记录”的范围有多大，以及该范围是否可能在指南中得到明确，亦或是由监管部门根据具体情形进行判断等问题，目前都不得而知。而且，在这一过程中，可能出现的不同司法辖区对于文件、记录的查阅、调取、复制权限的法律冲突问题，将会给企业合规带来更大的不确定性。
　　五、总结与建议
　　随着《网安法》以及包括《CII保护条例》在内的一系列配套法规指南陆续进入人们的视野，网络安全与数据保护法律框架已初见雏形。尽管《CII保护条例》对于很多问题仍有待CII指南或其他法规的进一步明确，但可以预见的是，CII的规制将成为未来监管和执法的重点。不论是国内企业，还是国外企业，网络安全与数据保护合规都将成为企业运营中不可缺少的重要环节。《CII保护条例》与其他相关法律法规指南虽仍在征求意见阶段，我们仍建议相关企业能够未雨绸缪，提前调整业务和合规方案，随时关注相关立法动态。