2024年4月8日,第21663号法《网络安全框架》(Ley 21.663 Marco sobre Ciberseguridad,“新法”)已于《国家公报》上公布,智利总统于3月26日签署了新法。
新法要求实施网络安全领域的相关新内容和改革,这带来了一系列变革,详述如下:
一、新法:五项关键内容
1、新机构
首先,新法在这一领域实施了新的制度框架,设立了:
(1)智利国家网络安全局(Agencia Nacional de Ciberseguridad,以下简称“国家网安局”);
(2)多部门联合网络安全理事会(Consejo Multisectorial sobre Ciberseguridad);
(3)网络安全部际委员会(Comité Interministerial sobre Ciberseguridad);以及
(4)计算机安全事件响应小组(Equipos de Respuesta a Incidentes de Seguridad Informática,各简称为“CSIRT”),包括国家CSIRT、国防CSIRT和其他政府机构的CSIRT。
智利国家网络安全局将是一个权力下放的,具有技术性和专业性的事业单位,其主要目标是就网络安全问题向国家总统提供建议,合作保护网络空间中的国家利益,协调不同的网络安全主管机构,确保保护、促进和尊重计算机安全等。
为实现上述目标,国家网安局将拥有各种权力,包括(1)管理权;(2)监督权;(3)制裁权;等。
新法还设立了国家网安局与其他部门和事业单位之间的监管协调机制,当国家网安局在行使其职能时发布的相应程序、技术标准或指示影响到这些实体的管辖范围时,这些实体将接受国家网安局的监管。此外,其他行政机构也可发布一般条例、技术标准和指示,以加强其部门机构的网络安全,但须遵守相应的条例并与国家网安局合作。
2、网络安全的监管原则
新法提出了若干个新的原则,有义务的机构(列于下文第3项)在其行为中必须予以遵守。这些原则为:(1)控制损失;(2)与当局协调;(3)负责任地应对;(4)网络安全;(5)合理性;(6)安全和隐私的默认和制度设计。
3、适用范围
就新法的适用范围而言,新法一方面适用于提供被认定为“基本”(“Esenciales”)服务的机构,另一方面适用于被认定为具有重要意义的运营者(“Operadores de Importancia Vital”)。
就基本服务而言,这些服务者为:
3.1、由国家行政机构和国家电力协调局(Coordinador Eléctrico Nacional)认定的。
3.2、根据公法特许权而提供服务的。
3.3、提供以下服务的私营机构:
- 发电、输电和配电;
- 燃料的运输、存储或分配;
- 饮用水的运输、存储和分配;
- 电信;
- 数字基础设施;
- 由第三方管理的数字和信息服务技术;
- 陆地、空中、铁路或海上运输;
- 银行、金融服务和支付方式;
- 社会保障和福利管理者;
- 邮政和快递服务;
- 医疗保健服务提供商(公立医院、私立医院等);以及
- 药品生产和/或研究者。
3.4、国家网络安全局未来还可通过国家局长的一项有事实根据的行政决议,将其他服务归类为“基本”服务,前提条件是这些服务可能会对公民的生命或人身安全或相关经济活动、环境、社会的正常运转、国家管理、国防或安全和公共秩序的供应造成严重损害的,也可适用新法。
同样,当提供基本服务的机构符合以下要求时,国家网络安全局将负责通过行政决议确定这些机构是否有资格成为“重要运营者”:(1)提供依赖于计算机网络和系统的服务;(2)其服务的受影响、拦截、中断或遭破坏会对安全和公共秩序、基本服务的持续和正常提供、国家职能的有效履行或国家必须提供或保证的一般服务产生重大影响的。
与此同时,对于那些虽然不具备基本服务提供者的地位,但在某些假设条件下符合上段所述要求的私营机构,国家网络安全局有权将其认定为重要经营者。
4、网络安全义务
关于新法规定的义务,一方面,有适用于基本服务提供者和被视为重要运营者的一般义务,它们有义务:
4.a、有义务尽快向国家CSIRT报告根据新法可能产生重大影响的网络攻击和网络安全事件,最长不超过三小时,并符合新法规定的其他标准和程序。
4.b、有义务长期采取措施预防、报告和解决网络安全事件,这需要执行贯彻有关应对机制和国家网安局制定的标准,以及相应的部门规章。
另一方面,新法规定了重要运营者的具体责任,除自身责任外,他们还必须履行以下责任:
- 实施信息安全管理系统;
- 制定并实施业务连续性和网络安全计划;
- 对危及网络安全的网络和计算机系统进行审查、演习和分析;
- 采取必要措施,减少网络安全事件的影响和传播;
- 获得新法要求的网络安全认证;以及
- 为其雇员和合作者制定培训、教育和继续教育计划,包括网络卫生运动。
5、违规行为和相关处罚
新法对不遵守有关规定的行为设定了不同层次的处罚,其中分轻微、严重和特别严重三种情形。
举例来说,新法将迟交国家网安局所要求的信息视为轻微违规,但这些信息并非网络安全事件管理所必需;将未履行报告义务视为严重违规;将向网络安全局提供网络安全事件管理所必需的明显虚假或错误信息视为特别严重违规。
新法还规定了重要经营者不履行其具体责任的具体刑罚和制裁措施。
新法规定的处罚措施为充交国库的罚款:
- 轻微违规:最高处以5000个月税单位的罚款(UTM,约合35.5万美金);
- 严重违规:最高处以10000个月税单位的罚款(约合71万美金);以及
- 特别严重违规:最高处以20000个月税单位的罚款(约合142万美金)。
如果是重要运营者,这些违规可受加倍处罚。
二、接下来的步骤和法律的生效
最后,关于新法的生效问题,自新法于《国家公报》公布后一年内,国家总统将负责发布一项或多项具有法律效力的法令,以确定新法条款生效前的空缺期(自公布之日起不得少于六个月),以及国家网络安全局开始活动的相关日期,等有关内容。
作者:吉勒莫·佳理(Guillermo Carey),何塞·伊纳西奥·麦卡多(José Ignacio Mercado),Stefano De Cristofaro、Iván Meleda、Ricardo Alonso。
声明:本内容由智利佳理律师事务所(Carey y Cía. Ltda.)提供,未经允许不得转载,仅供教育和宣传用,非法律建议。