中国电子政务网--公共安全--信息安全--《关键信息基础设施安全保护条例》解读

《关键信息基础设施安全保护条例》解读

来源:电子政务网更新时间:2021-09-03

《条例》出台背景

“关键信息基础设施”是经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全、保障经济与社会健康发展、维护公共利益和公民合法权益具有重大意义。当前，各国的关键信息基础设施面临的网络安全形势日趋严峻，网络攻击威胁上升。如今年5月美国最大的燃油管道运营商因黑客攻击而停摆，2020年，葡萄牙、巴西、意大利等国的能源、电力企业被勒索软件攻击，导致基础设施受损，对全产业链产生连锁影响。
结合近期我国赴美上市企业滴滴被启动网络安全审查，以及网信办修订《网络安全审查办法》，引发了对“关键信息基础设施”的认定、供应链安全监管等问题的高度关注。2021年7月30日公布的《关键信息基础设施安全保护条例》（以下简称《条例》）作为网络安全法的重要配套立法，为应对国内外网络安全保护的发展趋势，以及加强关键信息基础设施安全保护工作提供了重要法律保障。

内容要点

《条例》作为《网络安全法》的重要配套法规，立足工作落实，为关键信息基础设施安全保护工作开展提供系统性的指引。《条例》分为六章共计五十一条，包括总则（第一至七条），关键信息基础设施认定（第八至十一条），运营者责任义务（第十二至二十一条），保障和促进（第二十二至三十八条），法律责任（第三十九至四十九条）和附则（第五十至五十一条）。《条例》将于2021年9月1日实施。

2.1 如何认定关键基础设施

2.1.1 关键信息基础设施的定义

《条例》第2条规定，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

2.1.2 明确关键信息基础设施安全保护工作的部门

关键信息基础设施所在行业的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。

2.1.3 谁负责认定关键信息基础设施

《条例》第9条规定，由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。认定规则和认定结果均需要报国务院公安部门。

关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。

2.2 明确监管职责分工

为保障关键信息基础设施安全保护工作顺利开展，《条例》明确了相关部门的监管职责。既有效保障了关键信息基础设施安全保护工作统一有序、协同推进，又能充分发挥具体行业部门的专业优势，提升关键信息基础设施安全保护力度。
2.2.1 运营者的法律责任

《条例》强调关键信息基础设施运营者（以下简称运营者）在关键信息基础设施安全保护中承担主体责任，并对于运营者自身安全管理机制的设置进行了严格要求。

（a）落实“三同步”要求：要求运营者安全保护措施与关键信息基础设施同步规划、同步建设、同步使用，确保落实覆盖全生命周期的安全保护。

（b）主要负责人的责任：明确运营者的主要负责人对关键信息基础设施的安全保护负总责。

（c）内部设立专门的安全管理机构，履行安全保护职责，参与本单位与网络安全和信息化有关的决策，并应对机构负责人和关键岗位人员进行安全背景审查。

（d）运营者须保障专门安全管理机构运行，为本单位专门安全管理机构提供人财物支持。

（e）运营者须对关键信息基础设施每年进行网络安全检测和风险评估，并按要求及时向保护工作部门报送整改问题情况。

（f）关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者须按规定向保护工作部门、公安机关报告。

（g）运营者须优先采购安全可信的网络产品和服务，并按照规定与产品和服务提供者签订安全保密协议。

（h）运营者发生合并、分立、解散的，应当报告保护工作部门，并按照保护工作部门的要求处置关键基础信息设施。

2.2.2 全面提升保护能力

《条例》为强化关键信息基础设施的安全保护，在网络安全法的基础上对运营者提出了更高的安全防护要求，包括：

（a）强化网络安全信息共享和监测预警，各部门之间形成信息共享机制，建立健全关键信息基础设施网络安全监测预警制度，准确把握关键信息基础设施运行状况，做好安全防范工作。

（b）国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检测，提出改进措施，根据有关部门需要及时提供技术支持。

（c）不得擅自对关键信息基础设施实施的漏洞探测、渗透测试等活动。开展漏洞探测、渗透测试前应得到国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，并事先向国务院电信主管部门报告。

（d）国家采取措施，优先保障能源、电信等关键信息基础设施安全运行。

（e）加强网络安全专门人才的培养，将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。

违法后果

《条例》的第39条至第49条是关于违反《条例》法律责任的规定，约占《条例》总条款数量的20%。运营者、运营者的主管责任人员、直接责任人员等均可能因为违反《条例》规定而承担罚款等行政处罚，甚至可能承担相应刑事责任。

律师建议

我们认为，各行业主管部门会根据《条例》的规定，出台各自行业的关键信息基础设施认定规则，并迅速在行业内组织开展关键基础设施的认定工作。

我们建议运营者应密切关注行业主管部门的关键信息基础设施的认定结果，我们建议运营者应尽快按照《条例》对运营者的责任要求，会同内部的法务部门、信息安全部门、技术部门逐条对照检查，通过制订和完善规章制度与内部工作流程，采购合格的外部信息安全服务等措施尽快完成合规工作。