大数据、云计算、物联网为代表的新技术泛化应用，将信息化运营赋能于能源、交通、电力等传统型行业与关键性领域，但也肇致信息基础设施建设、运营中的数据安全威胁逐渐显现，数据泄漏、剽窃，违法处理的侵权态势呈几何性增长。

一、CII数据安全立法现状

《中华人民共和国网络安全法》（下称《网络安全法》）于2017年6月1日正式实施，从法律层面对“关键信息基础设施”（Critical Information Infrastructures，以下简称CII）提供者设置行业领域、安全要求、保密义务限制条件，同时基于其网络运营者身份而新添网络信息安全监督责任。

此后，国家互联网信息办公室于2017年7月12日公布了《关键信息基础设施安全保护条例（征求意见稿）》（下称《安全保护条例》），该条例系以《网络安全法》配套规定及下位规范形式对于数据安全保护予以具象化操作。

《中华人民共和国数据安全法》（以下简称《数据安全法》）虽于2021年9月1日才生效实施，但“滴滴事件”的持续发酵掀起了互联网公司数据安全合规的关注热潮。而《数据安全法》第四章“数据安全保护义务”与第五章“政务数据安全与开放”也将关键信息基础设施运营者（Critical Information Infrastructures operators，以下简称CIIO）延伸至从事数据收集、处理、交易及存储的传统政企行业之中。故此，现实亟待对CII与CIIO进行数据安全分析、应对及展望。

二、CII数据安全风险分析

CII数据安全风险近年来呈现出违法数量陡增、影响范围日益泛化、侵犯方式及路径多元的预警趋势。从行业领域分布来看，具备数据存储、处理及研发能力的CIIO中，金融、医疗卫生、交通、能源及互联网科技领域最易遭受网络攻击及数据侵袭。

笔者截取《2018上半年中国政企机构网络安全形势分析报告》数据侵袭高峰波段即5-6月的数据显示，我国医疗卫生领域遭受攻击次数多达13141次，其次为能源领域7550次、交通领域2220次、金融领域955次。

从数据侵犯方式而言，针对CII的攻击方式也出现明显变化，由侵犯者利用操作系统、服务器及数据库的系统漏洞实现针对CII的网络攻击，逐渐变化为侵犯者通过智能网联设备对CII的接入端口实施攻击，由于联网智能设备类型多元、数量繁多、分布泛化，造成侵犯者所选择的攻击点、攻击面与攻击途径难控性增加，而遭受攻击后的波及程度也难以估量。

同时，《安全保护条例》也以举例方式给出了CII的危害活动及行为：

（1）攻击、侵入、干扰、破坏关键信息基础设施；

（2）非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息；

（3）未经授权对关键信息基础设施开展渗透性、攻击性扫描探测；

（4）明知他人从事危害关键信息基础设施安全的活动，仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助；

（5）其他危害关键信息基础设施的活动和行为。

三、CIIO范围及特征厘定

有基于数据安全侵犯风险及危害事件的客观存在，但依据前述法律及条例，一旦发生数据安全事件并造成严重后果均属于CII的范畴，故企业对于所属的网络系统是否属于CII的初步评估则成为判定责任主体的前置条件。

中央网信办网络安全协调局于2016年6月制定并发布的《国家网络安全检查操作指南》（以下简称《操作指南》）第3章“关键信息基础设施摸底”对于CII范围的考量设置了“关键信息行业范围+特定数据危害结果”的原则性标准，并配置四种关键条件实现可视化衡量，即确定关键业务、确定支撑关键业务的信息系统或工业控制系统、根据关键业务评估信息系统或工业控制系统的依赖程度、信息系统发生网络安全事件后可能造成的损失，来共同认定数据处理企业是否属于CIIO主体范围。

同时，《安全保护条例》也以列举方式给出了CII的适用范围：

（1）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（2）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（3）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（4）广播电台、电视台、通讯社等新闻单位；

（5）其他重点单位。

四、CIIO的特殊主体责任

由于CII对于国家网络安全及公众数据保护的特殊意义，《网络安全法》及《数据安全法》对其运营者均作出更为详尽的特殊主体责任规定。

首先，需匹配更为严格的安全等级保护制度，如《网络安全法》第34条对于CIIO提出了更高的要求，要求设置专门安全管理机构和安全管理负责人，并对负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练。《数据安全法》第27条也规定，CIIO应健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。

其次，强调需在保障网络空间主权和数据安全合规下允许数据在境外的限制性转移，《网络安全法》第37条便明确要求CIIO在境内收集和产生的个人信息和数据应当在境内存储，如果确实需要向境外提供的需要进行安全评估，而《数据安全法》第31条再次强调，CIIO在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定。

最后，数据服务采购行为的安全审查与保密协议签订，《网络安全法》第35条对CIIO采购网络产品和服务提出，针对对于可能涉及国家安全的，相关的采购活动还需要通过网信部门的国家安全审查，且第36条规定CIIO在采购活动中，还应当与产品或服务的提供者签订安全保密协议，明确安全和保密义务与责任。而《数据安全法》第40条对于政务机关委托第三方机构建设、维护电子政务系统，存储、加工政务数据，则要求政务机关应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。

五、数据安全时代的CIIO合规建议

对于金融、能源、公共通讯等敏感领域企业及政务部门，拥有或运营储存个人信息及其他敏感信息的服务器便决定该网络是否属于CII范畴，而运行及维护该网络的运营者便成为负担严格安全责任的CIIO，因此建立及更新与《网络安全法》《数据安全法》等相关规范项下数据安全保护责任相匹配的合规体系、配置合规措施，引入第三方安全评估机构方能实现安全合规性、实践可操作性与成本投入间的平衡，笔者拟从如下方面提出合规建议：

第一、CIIO应当制定适当信息技术风险管理制度，包括安全设置规范、安全事件预警、信息系统操作规程等专门制度，形成集规范系统操作、设备安全级别、备份灾难计划为一体的合规操作体系。从规范要求层面，建立信息技术风险管理规则是《网络安全法》与《数据安全法》的应有之义，也是对于数据合规最直观的表达呈现。从实际效用看，流程化与专业度并举的信息技术风险管理制度的建设主体，应涵盖管理层、业务部门、法律部门及人事部分共同参与，在通过内部安全论证后，还应外聘律师事务所、合规咨询科技公司等第三方机构予以外部风险审查，甚至直接由第三方机构参与合规体系建设，确保其符合法律要求及相关行业的合规实践。

第二、CIIO在采购网络设备、部件及数据处理服务时，应当遵守安全认证及许可要求的合规要求。如在CII网络产品采购时应首先符合公安部关于等级保护的要求，其次应符合更严格的国家安全生产要求，而在配备产品零部件时候，还应涤除安全冗余，以避免关键网络设备和部件失效导致的网络崩溃风险。同时，可定期开展建模仿真研究与网络演习，加强CII保护手段建设，即在统一仿真框架下，由管理层牵头、业务部门、法律部门及专业合规规定协同，针对单个基础设置建立漏洞攻击模型，及各个基础设施间的信息互交进行仿真，以排查CII保护中的措施缺陷、安全壁垒、及时恢复等方面数据风险。

第三、CIIO应适时建立危机处理预案，组建包括管理层、义务部门、法律部门或外聘机构的派驻人士在内的危机处理团队，其中业务部门就危机对企业的现实影响及潜在损失作出评估，法律部门则在该评估基础上判定企业的法律责任及应对措施，企业还应注重信息安全事件的公关处理，避免公众对于数据安全事件误读而催生出不必要的信任危机。嗣后由多部门联动展开事实调查与责任画像，探究事故根源、复盘应对流程查漏补缺。

相较于其他合规制度，CIIO特有的数据安全合规更为强调责任主体的动态合规义务，追求的也是动态的法律安全。《网络安全法》及《数据安全法》作为数据安全领域的基本法，其内容也多是基础性、原则性规定，而配套的实施细则在尚未以规范文件方式出台的当下，由数据安全合规体系进行补充及参鉴，既是提升数据风险治理能力的有效手段，也是规避数据安全风险及责任追溯的正当途径。