专家解读｜加强法治建设 强化关键信息基础设施安全保护

文 | 国家计算机网络与信息安全管理中心 杨鹏

    关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。在中央网络安全和信息化领导小组第一次会议上，习近平总书记指出，“要完善关键信息基础设施保护等法律法规”。《中华人民共和国网络安全法》（以下简称《网络安全法》）要求对关键信息基础设施实行重点保护。在此基础上，国务院出台了《关键信息基础设施安全保护条例》（以下简称《条例》），进一步明确了关键信息基础设施保护的要求，规范了关键信息基础设施保护的内容，将有效提升关键信息基础设施的保护水平。

一、明确了认定规则

    认定工作是关键信息基础设施安全保护的基础。只有清晰认定了关键信息基础设施，保护工作才能有的放矢。《条例》有关规定对关键信息基础设施认定范围、标准、流程等进行了规范。从认定范围看，关键信息基础设施的范围涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科工等重要行业和领域。这与《网络安全法》中规定的关键信息基础设施范围基本保持一致，其核心原则是影响国家安全、国计民生和公共利益的重要行业和领域。从认定标准看，《条例》主要考虑三方面因素：（1）对行业、领域关键核心业务的重要程度；（2）可能带来的危险程度；（3）对其他行业和领域的关联性影响。总结以上因素，可以认为，关键信息基础设施即承载或影响重要行业领域核心业务的、一旦遭到破坏、丧失功能或数据泄露可能造成严重危害的重要网络设施、信息系统等。从认定流程看，保护工作部门是实施认定的主体，负责制定本行业、本领域认定规则，并报国务院公安部门备案；负责组织认定本行业、本领域关键信息基础设施，将认定结果通知运营者，并通报国务院公安部门。需要注意的是，关键信息基础设施认定按照清单式管理，并根据实际变化情况进行动态更新。

二、规定了各方职责

    关键信息基础设施保护需要国家、行业、运营者共同努力。《条例》在《网络安全法》的基础上进一步明确了关键信息基础设施相关主体的职责。《条例》规定，关键信息基础设施保护工作由国家网信部门统筹协调，国务院公安部门在网信部门的统筹协调下，开展指导监督工作，国务院电信主管部门和其他有关部门则是在各自职责范围内开展关键信息基础设施安全保护和监督管理工作。上述规定强化了关键信息基础设施安全保护在国家层面的顶层设计，保证了各部门的协调一致，降低了保护工作的成本，提高了保护工作的效率。例如，《条例》中强调，国家有关部门在开展关键信息基础设施网络安全检查时，应加强协同配合、信息沟通、避免不必要的检查和交叉重复检查。此外，《条例》还保证了安全资源在国家层面的统筹。例如，国家网信部门建立网络安全信息共享机制，促进网络安全信息共享；公安机关、国家安全机关有关部门依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动；国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门的需要，提供技术支持和协助等。这也体现出在关键信息基础设施安全保护工作中，将充分发挥国家能力的作用。保护工作部门负责本行业、本领域关键信息基础设施网络安全规划、监测预警、应急处置、指导监督管理以及技术支持等相关工作。《条例》规定，保护工作部门应当制定行业关键信息基础设施安全规划；建立健全行业关键信息基础设施网络安全监测预警制度，预警通报网络安全威胁和隐患；建立健全行业安全事件应急预案，开展应急演练，指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助；定期组织开展网络安全检查检测、指导督促运营者及时整改安全隐患、完善安全措施。此外，作为为各行业提供基础性支撑的能源、电信行业，《条例》特别强调其应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重点保障。运营者是关键信息基础设施安全保护的责任主体。《条例》对运营者履行的安全保护义务给出了具体要求，在《网络安全法》的基础上，《条例》明确要求运营者主要负责人对关键信息基础设施安全负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。这既是强化关键信息基础设施网络安全重中之重的具体体现，也是落实网络安全工作责任制的具体要求。《条例》要求运营者设置专门安全管理机构，并对专门安全管理机构具体职责作了规定，包括建立健全安全管理考核制度、组织推动安全防护能力建设、加强网络安全事件应急管理、组织网络安全教育培训，履行个人信息和数据安全保护责任、报告网络安全事件等。同时，为了避免安全和发展不同步，防止有些运营者重发展、轻安全，《条例》还明确要求，运营者开展与网络安全和信息化有关的决策应当由专门管理机构人员参与，并对违反这一规定的情形制定了相应罚则，从机制上赋予履行安全义务必要的权力。《条例》对运营者的职责要求将有效规范其开展关键信息基础设施安全保护工作。

三、体现了几个特点

    《条例》的出台进一步完善了我国关键信息基础设施安全保护的顶层设计，透过《条例》的条款，可以看出关键信息基础设施安全保护的几个特点。强调整体统筹协调。关键信息基础设施安全关系国家安全、国计民生和公共利益，对于关键信息基础设施的保护必须从整体出发，综合协调各方力量，分工负责，在法律框架下共同开展保护工作。《条例》明确了关键信息基础设施保护的国家管理体系框架，细化了国家网信部门、国务院公安部门、国务院电信主管部门和其他有关部门在管理体系中的分工，强化了保护工作部门、省级人民政府有关部门的属地化职责，强调了关键信息基础设施运营者的保护义务，为各方有序推进关键信息基础设施安全保护工作夯实了法律基础。《条例》规定由国家网信部门统筹网络安全信息共享，协调有关部门建立共享机制。这将促进建设一个国家级网络安全信息共享平台，实现网络安全信息在国家网信部门的统筹协调下，在有关部门、保护工作部门、运营者及网络安全服务机构间有序共享，为关键信息基础设施保护提供基础性支撑。《条例》强调军民融合与军地协同，汇聚国家力量共同构建关键信息基础设施一体化安全保护体系。强调全过程、全方位保护。关键信息基础设施安全保护是一项全局性工作。《条例》强调全过程安全防护，要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用；要求运营者优先采购安全可信的产品和服务，保障供应链安全；要求对所采购的可能影响国家安全的网络产品和服务进行安全审查。《条例》强调全方位安全保护，即要加强网络设备和信息系统的安全监测与保护，也要加强对个人信息和数据安全的保护，同时要重视对人员的背景审查和教育培训。通过全过程、全方位保护，补上以往安全防护中先建设、后安全，重信息系统防护、轻人员数据安全的短板和漏洞。强调责任要求与促进保护并举。《条例》制定了关键信息基础设施安全保护的圭臬，明确了运营者及其工作人员违反保护义务应当承担的法律责任，强调了有关部门及工作人员、服务机构的法律责任，确定了侵害关键信息基础设施安全的单位和个人的违法责任。同时，《条例》也提供了关键信息基础设施促进保护的依据，其中包括：国家为关键信息基础设施安全保护提供技术支持和协助，将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系，支持关键信息基础设施安全防护技术创新和产业发展等，这些措施将为关键信息基础设施的安全保护提供有力的外部环境支持。而《条例》对运营者提出的由主要负责人对关键信息基础设施安全保护负总责，保障人力、财力、物力投入，设置专门安全管理机构等要求则会成为促进关键信息基础设施安全保护的内生动力。
保护关键信息基础设施是保障国家安全的重要方面之一。《条例》的出台为关键信息基础设施依法保护提供了实操依据，将推动我国关键信息基础设施安全保护工作进入新阶段。

（来源：中国网信网）