《关键信息基础设施安全保护条例》解读

（一）顺应全球加强关键信息基础设施安全保护整体态势

近年来，关键信息基础设施安全事件频发，不断动摇经济社会稳定运行的根基，对此，美国、俄罗斯、日本、欧盟等国家和地区纷纷围绕关键信息基础设施安全保护出台相应的政策、法规和标准，以进一步推动关键信息基础设施安全保护工作实施落地，提升自身的工业信息系统安全防护水平。例如，美国2001年起先后颁布了《2001年关键基础设施保护法》《改进关键基础设施网络安全行政令》和《增强联邦政府网络与关键基础设施网络安全行政令》等相关法律文件。欧盟从2008年起出台了《2008年欧盟关键基础设施认定和安全评估指令》和《2016年网络与信息安全指令》等关键基础设施保护法律文件。日本在2005年制订并于2009年和2015年修订《关键信息基础设施信息安全措施行动计划》。俄罗斯2017年颁布了《联邦关键信息基础设施安全法》，澳大利亚2018年颁布了《关键基础设施安全法》。其中，美国近二十年还颁布了包括《信息系统国家保护计划1.0》、《信息时代的关键基础设施保护》、《爱国者法案》、《国家关键基础设施保护计划》在内的十余项行政令、法规和政策，将风险管理作为保护工作的基础和指针，将保护范畴、责任方与协作方、目标与措施有机连接在一起，构建了与行业实际相适应的保护体系。在世界各国加紧出台、完善关键信息基础设施安全法律体系的时代潮流之下，我国颁布施行《条例》顺应了全球加强网络安全保护的整体态势。

（二）贯彻落实加强关键信息基础设施安全保护指示方针

党中央、国务院历来重视对关键信息基础设施的安全保护工作。早在2014年2月，在中央网络安全和信息化领导小组第一次会议上，习近平总书记就指出：“要抓紧制定立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间，维护公民的合法权益”。2016年10月9日，习近平总书记在十八届中央政治局第三十六次集体学习时的讲话中提出，“大力发展核心技术，加强关键信息基础设施安全保障，完善网络治理体系”。2017年6月1日实施的《网络安全法》专节对关键信息基础设施的安全保护作出了总体安排，并明确在网络安全等级保护制度的基础上，国家对关键信息基础设施实行重点保护，关键信息基础设施的具体范围和安全保护办法由国务院来制定，凸显了关键信息技术设施在网络安全法律体系中的重要地位。继而，《条例》承继《网络安全法》的要求，在其基础之上进一步细化完善了关键信息基础设施的保护范围、主体责任与义务、监管部门职责、保障与促进措施以及法律责任等各方面的重点内容。可以看出，《条例》的出台，一方面贯彻落实了中央关于加强关键信息基础设施安全保护的要求；另一方面为《网络安全法》的实施落地和各主体加强关键信息基础设施安全保护工作提供了明确指引，填补了我国网络安全法律体系的空缺。

（一）关键信息基础设施的保护范围与认定规则

《条例》基本沿用了《网络安全法》对于关键信息基础设施的定义，同样采用了开放式列举的方式明确了关键信息基础设施的保护范围。具体地，《条例》在“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”的基础上增加了“国防科技工业”这一行业，并再次重申了相关网络设施和信息系统遭到破坏、丧失功能或者泄露数据之后产生的严重危害。值得注意的是，《条例》对“网络设施和信息系统”的范围并未加以明确的限定，对此，可参照公安部于2020年7月22日发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（以下简称“《意见》”）的相关内容，其具体包括“符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象”。

可以发现，《条例》并未明确认定关键信息基础设施的具体标准，仅是赋予了相关行业、领域的主管部门和监督管理部门（以下简称“保护工作部门”）制定关键信息基础设施认定规则与组织认定关键信息基础设施的权力。依据《条例》第九条的规定，认定规则由保护工作部门负责制定，具体应在结合相关行业、领域实际情况的基础之上，重点考虑以下三大要素：一是网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；二是网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；三是网络设施、信息系统等对其他行业和领域的关联性影响。规则制定完毕后，由保护工作部门报公安部备案；同时，保护工作部门需要根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

值得注意的是，网络安全并非恒定不变，任何程度的技术发展、经营状况等因素的情况均可能影响先前关键信息基础设施的认定结果。此种情况下，运营者应及时向保护工作部门报告，以便由保护工作部门组织顺利开展变更认定工作。

（二）关键信息基础设施运营者的责任与义务

依照“谁主管谁负责、谁运营谁负责”的基本原则，《条例》第四条明确由关键信息基础设施运营者（以下简称“运营者”）承担相应的主体责任，并在第三章规定了运营者的具体责任与义务，对《网络安全法》有关内容进行了更为全面、细化的规定，具体内容如下：

1.“三同步”基本原则

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（以下简称“《意见》”）指出，为科学开展安全建设整改工作，网络运营者应在运营过程中，同步规划、同步建设、同步使用有关网络安全保护措施。基于此，《条例》在延续《网络安全法》第三十三条规定的基础之上，进一步要求，安全保护措施应与关键信息基础设施同步规划、同步建设、同步使用，自相关网络设施和信息系统被列入关键信息基础设施清单之日起，即应覆盖其生命全周期。

2.建立健全网络安全保护制度和责任制

关键信息基础设施安全事关国家安全、国计民生与公共利益，为维持其安全稳定运行，运营者应建立健全网络安全保护制度和责任制，保障足量的人力、财力、物力投入。另外，为强化落实相关安全主体责任，《条例》明确由运营者的“一把手”对关键信息基础设施的安全保护工作负总责，并对其科以了三项具体工作职责：一是领导关键信息基础设施安全保护工作；二是领导重大网络安全事件处置工作；三是组织研究解决重大网络安全问题。

3.设置专门安全管理机构

考虑到关键信息基础设施安全保护工作的重要性和专业性，运营者应设置专门安全管理机构（以下简称“机构”），并对机构的负责人和关键岗位人员进行安全背景审查。

就机构的工作责任而言，可大致两类：管理类职责和技术类职责，前者主要包括制定应急预案与开展应急演练、认定工作岗位与开展工作考核、组织网络安全培训以及报告网络安全事件；后者则主要包括制定安全保护计划、开展网络安全防护能力建设、对网络安全进行检测、监测和风险评估、建立健全个人信息与数据安全保护制度以及对关键信息基础设施进行设计、建设、运行、维护等。结合以上工作要求，运营者以及各监管部门可从政治思想、个人作风、专业技能等方面对机构的负责人、关键岗位人员进行安全背景审查。

4.安全检测与风险评估

网络安全并非一个静止的状态，而是一个动态的过程。为加强运营者应对突发安全问题的应变能力和处理能力，《条例》在《网络安全法》的基础之上再次重申了运营者对关键信息基础设施进行网络安全检测和风险评估的义务，方式包括自行进行和委托具有法定资质的网络安全服务机构进行，频次为每年至少一次。其中，具体的网络安全服务机构包括中国信息安全认证中心、中国信息通信研究院、国家计算机网络与信息安全管理中心、国家工业控制系统与产品安全质量监督检验中心、中国电子技术标准化研究院赛西实验室等。

5.报告网络安全事件

关键信息基础设施的网络安全事件是指由于人为原因、软硬件缺陷或者故障、自然灾害等，对网络设施和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。对此，《条例》以网络安全事件的重大程度为依据，分别规定了不同的报告程序和报告对象。对于重大的网络安全事件和网络安全威胁，运营者应直接报告至保护工作部门和公安机关。而对于特别重大的网络安全事件和网络安全危险，保护工作部门在收到运营者的报告之后，还应及时向国家网信部门、国务院公安部门报告。具体的，该项下主要包括六种情形：一是关键信息基础设施整体中断运行；二是关键信息基础设施主要功能故障；三是国家基础信息以及其他重要数据泄露；四是较大规模个人信息泄露；五是造成较大经济损失；六是违法信息较大范围传播。

6.采购安全可信的网络产品和服务

为避免关键信息基础设施因使用的网络产品和服务存在缺陷、漏洞以及其他隐患而无法稳定运行甚至遭受破坏和攻击，进而有损国家安全、国计民生和公共利益，运营者应优先采购安全可信的网络产品和服务。若运营者采购的网络产品和服务可能影响国家安全，应通过相关的国家安全审查，审查内容主要包括以下内容：第一，产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；第二，产品和服务供应中断对关键信息基础设施业务连续性的危害；第三，产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；第四，产品和服务提供者遵守中国法律、行政法规、部门规章情况；第五，其他可能危害关键信息基础设施安全和国家安全的因素。 

此外，关键信息基础设施往往存储有大量国家基础信息、个人信息等重要数据，为确保采购产品和服务过程的严密周全，避免发生重要数据泄露等安全事件，运营者应与提供者事先签订安全保密协议，以明确相应的安全保密义务与责任。同时，运营者还应监督相关义务与责任的履行情况。

7.报告重大经营情况变化

运营者任何经营状态的变化均可能对关键信息基础设施的安全保护工作产生不同程度的影响，特别是改变关键信息基础设施权属的情形。对此，《条例》规定，运营者发生合并、分立、解散等情况时，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。 

（三）关键信息基础设施监管机构的职责分工

《条例》第三条对关键信息基础设施各监管机构的职责分工作出了原则性的规定，即国家网信部门负责统筹协调、国务院公安部门负责指导监督关键信息基础设施安全保护工作、国务院电信主管部门与有关部门负责关键信息基础设施安全保护和监督管理工作、省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。基于此，《条例》第四章重点对保护工作部门、国家网信部门、国务院公安部门以及运营者等主体的职责进行了更加细致的规定。

1.保护工作部门

依据《条例》具体规定，保护工作部门的职责主要包括以下四项内容：第一，制定本行业、本领域关键信息基础设施安全规划；第二，建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作；第三，建立健全本行业、本领域的网络安全事件应急预案，定期组织应急演练，指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助；第四，定期组织开展本行业、本领域关键信息基础设施网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。

2.国家网信部门

国家网信部门主要负责国务院公安部门、保护工作部门、运营者等多主体之间的协调与沟通工作，具体为以下三点内容：一是统筹协调有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享；二是统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测，提出改进措施；三是根据保护工作部门的需要，为其提供技术支持和协助。

3.国务院公安部门

国务院公安部门自1994年《计算机信息系统安全保护条例》实施之后，就领导网络安全等级保护工作，此次通过的《条例》认可了国务院公安部门的工作，将关键信息基础设施的大量具体工作都授权给了公安部门。可以预见，公安部门将继续在关键信息基础设施安全保障领域发挥关键作用。根据《条例》的规定，国务院公安部门的职责包括多项：一是对关键信息基础设施进行网络安全检查检测；二是根据保护工作部门的需要，为其提供技术支持和协助。此外，还要接收报告和备案，包括（1）保护工作部门制定的关键信息基础设施认定规则应当报国务院公安部门备案。（2）保护工作部门认定的关键信息基础设施结果应当通报国务院公安部门。（3）保护工作部门收到重大网络安全威胁信息时报告国务院公安部门。

除以上所列举的具体职责外，《条例》亦对各监管机构提出了以下三点要求：首先，各机构不得在安全检查工作中收取任何费用，不得要求检查对象购买指定产品和服务；其次，各机构不得非法使用在安全保护工作过程中获取的任何信息；最后，未经许可，各机构不得擅自对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。

（四）保障、促进关键信息基础设施安全保护工作的具体措施

《条例》的颁布施行将带来百亿级的安全投入，为保证我国关键信息基础设施安全保护工作长远健康发展，《条例》第四章在行业、标准、人才、创新、服务、军民融合等方面设置了相应的保障与促进措施。

第一，优先保障部分领域关键信息基础设施安全运行。能源、电信等领域的关键信息基础设施是其他领域关键信息基础设施安全运行的基础，为突出保护重点，国家网信部门应统筹协调各方面的资源优先保障能源、电信等领域的关键信息基础设施安全运行。同时，为避免安全保护工作的失衡，能源、电信行业也应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重点保障。

第二，加强关键信息基础设施安全保护力度。具体由公安机关和国家安全机关依据各自职责依法加强对关键信息基础设施安全的保卫工作，采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，防范打击并依法惩治针对和利用关键信息基础设施实施的违法犯罪活动。

第三，制定关键信息基础设施安全标准。仅是《网络安全法》和《条例》并不足以完全支持各部门、机构以及运营者开展关键信息基础设施安全保护工作，为此《条例》要求国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。

第四，推进关键信息基础设施人才培育。为提高网络安全从业人员的专业性与从业热情，国家采取措施，鼓励网络安全专门人才从事关键信息基础设施安全保护工作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。

第五，支持关键信息基础设施创新发展。国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关。有关部门还应扶持重点网络安全技术产业和项目，支持网络安全技术研究开发和创新应用，推动网络安全产业健康发展。

第六，提升网络安全服务机构能力水平。国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导，不断提升服务机构能力水平，充分发挥其在关键信息基础设施安全保护中的作用。与此同时，有条件的运营者应组建自己的安全服务机构，承担关键信息基础设施安全保护任务，也可通过迁移上云或购买安全服务等方式，提高网络安全专业化、集约化保障能力。

第七，整合关键信息基础设施安全保护力量。网络安全与军事安全相互交融、相互影响。基于网络空间军民一体化的特质，国家应全面整合人力、物力资源力量，加强网络安全军民融合，军地协同参与关键信息基础设施安全保护工作。

（五）关键信息基础设施安全保护的法律责任

《条例》第五章针对运营者、监管机构及其相关人员的违法行为规定了相应的法律责任，总体涵盖了行政责任、民事责任和刑事责任。

1.运营者的法律责任

运营者所承担的责任形式主要包括责令改正、警告、罚款等行政责任，具体情形可分为三种。第一，运营者采购产品和服务不履行安全审查义务的，由国家网信部门责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。第二，运营者不履行安全检查检测配合义务的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。第三，运营者不履行报告义务、“三同步”基本原则、安全背景审查义务、网络安全事件报告义务等其他基本义务的，由相关部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

2.监管人员的法律责任

监管人员所承担的责任形式主要为处分以及相应的刑事责任。具体违法情形主要包括不履行关键信息基础设施监管职责、玩忽职守、滥用职权、徇私舞弊；开展关键信息基础设施安全检查工作过程中收取费用、要求检查对象购买指定产品或服务；非法利用在关键信息基础设施安全保护工作中获取的信息以及在网络安全事件中存在失职、渎职等行为。

3.其他法律责任

非法侵入、干扰、破坏关键信息基础设施，危害其安全的活动尚不构成犯罪的，由公安机关没收违法所得，处5日以下拘留，可以并处5万元以上50万元以下罚款；情节较重的，处5日以上15日以下拘留，可以并处10万元以上100万元以下罚款。单位实施该行为的，由公安机关没收违法所得，处10万元以上100万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

另外，对非法侵入、干扰、破坏关键信息基础设施以及擅自对关键信息基础设施进行漏洞探测、渗透性测试等危害行为的个人，除了适用相应的行政处罚和刑事处罚外，还应限制其从事网络安全相关工作的年限。

毋庸置疑，《条例》围绕关键信息基础设施安全保护工作对具体的保护范围、主体责任义务、监管部门的职责、保障与促进措施以及法律责任等内容作出了较为细致的规定，为运营者、各部门、机关开展关键信息基础设施安全保护工作提供了明确指引，开启了我国关键信息基础设施安全保护的新时代。但不可忽略的是，《条例》所规定的内容并未涵盖关键信息基础设施安全保护的方方面面，我国关键信息基础设施安全保护法律体系尚存不足。对此，本文认为，相关部门应抓紧解决以下重点问题：一是尽快出台关键信息基础设施安全保护相关国家标准，至少应包括关键信息基础设施的识别、保护要求、应急管理、检测监测等方面的内容；二是做好关键信息基础设施保护与网络安全等级保护的衔接，避免出现重复认定、重叠监管等现象；三是进一步细化对个人信息等重要数据的保护规则；四是明确相关概念的具体内涵，例如“关联性影响”、“重大网络安全事件”、“特别重大网络安全事件”、“较大变化”等。

目前，全面加强网络安全工作，切实保障国家关键信息基础设施安全已成为运营者、保护工作部门、国家网信部门、国家公安部门等多元主体的共识，相信在各方的协同努力之下，我国的关键信息基础设施安全保护屏障将日益坚固，进而为社会经济发展提供强有力的支撑。