关键信息基础设施安全保护条例英文

2021年8月17日，中央政府正式公布了期待已久的《关键信息基础设施安全保护条例》（以下简称“条例”），自2021年9月1日起施行。

本文概述了条例的主要条款，并阐述我们对该制度的见解。

背景

《网络安全法》（“网安法”）首次将关键信息基础设施的概念引入法律，该法于2016年11月颁布，专门有一节内容涉及关键信息基础设施的安全保护。国家互联网信息办公室（以下简称“网信办”）在2017年7月公布了关键信息基础设施安全保护条例草案并向社会公开征求意见，但是此后一直未颁布，直到本条例的此次公布。2017年和2020年曾公布过一些关于关键信息基础设施的国家标准草案并向社会公开征求意见，但目前为止均未采纳。

实施细则的缺位已成为根据《网安法》规定有效实施关键信息基础设施保护措施的主要障碍。例如，在今年7月宣布对滴滴等公司进行网络安全调查之前，网信办并没有根据网络安全审查制度开展过任何涉及关键信息基础设施运营者供应链安全和数据处理活动的执法案件。即便是在滴滴案件中，由于滴滴从未被官方确认为关键信息基础设施运营者，因此也有人质疑网络安全审查条例对滴滴的适用性。

《条例》的公布将进一步阐明如何建立和实施关键信息基础设施保护制度。

重点条款摘要

• 关键信息基础设施的范围

《条例》对关键信息基础设施的定义与《网安法》相同。关键信息基础设施被定义为：重要网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。

《条例》强调一些可以确认存在关键信息基础设施的“重要行业和领域”，包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业。《条例》没有明确规定任何子行业或领域。值得注意的是，其中并没有排除任何其他行业，因此任何符合定义的网络设施和信息系统都有可能被视为“关键信息基础设施”。

有一些行业曾出现在2017年的征求意见稿中，例如环保、化工、食品药品等行业，而在正式文本的重点行业和领域中被删除。但是，特定系统是否会被视为关键信息基础设施，将根据以下认定流程决定。

• 关键信息基础设施的认定

在重要行业和领域中，相关监管部门将负责保护本行业和领域中的关键信息基础设施，这些部门统称为“保护工作部门”。

特别强调，保护工作部门有权制定关键信息基础设施认定规则并根据规则开展认定工作。保护工作部门在制定认定规则时将考虑以下因素：

1. 网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；
2. 网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；
3. 对其他行业和领域的关联性影响。

保护工作部门在认定关键信息基础设施后，必须将认定结果通知运营者，并报送公安部门。

从《条例》中无法看出政府将如何认定重要行业和领域之外的关键信息基础设施。网信办是否会就此发布任何指引，尚有待观察。

• 关键信息基础设施运营者的义务

《条例》阐述了关键信息基础设施运营者的责任义务，规定运营者必须

1. 建立网络安全保护制度和责任制，分配充足资源以保障制度顺利实施，特别规定运营者的负责人对关键信息基础设施的安全负主要责任；
2. 设置专门安全管理机构（简称“安全管理机构”），保障运行经费并配备相应人员，并对负责人和关键岗位人员进行安全背景审查；
3. 每年至少进行一次网络安全检测和风险评估，并向主管的保护工作部门报告；
4. 向保护工作部门和公安机关报告重大网络安全事件或威胁，包括整体运行中断、主要功能障碍、国家基础信息（条例未明确定义）以及其他重要数据泄露、大规模个人信息泄露、违法信息大范围传播以及造成较大经济损失的事件；
5. 采购“安全可信”的网络产品和服务，采购的产品和服务可能影响国家安全的，应当进行网络安全审查；
6. 与网络产品和服务提供商签订安全保密协议；
7. 运营者发生合并、分立、解散等情况，应向保护工作部门报告；
8. 配合保护工作部门和其他主管部门开展调查工作。

安全管理机构有义务：

1. 建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；
2. 提升网络安全保护能力，开展网络安全监测、检测和风险评估；
3. 制定应急预案，定期开展应急演练，处置网络安全事件；
4. 认定网络安全关键岗位，组织开展工作考核；
5. 组织网络安全培训；
6. 履行个人信息和数据安全保护责任；
7. 管理关键信息基础设施的设计、建设、运行和维护；
8. 报告网络安全事件和重要事项。

值得注意的是，《条例》要求上述安全保护能力和措施与关键信息基础设施同步规划、同步建设、同步使用。这里存在一个问题，即保护工作部门如何能够在规划阶段认定关键信息基础设施，希望在后续发布的认定规则中能进一步阐明这一问题。

• 处罚

违反《条例》的运营者将被责令整改、给予警告；情节严重的，将对运营者处100万元以下罚款，对直接责任人员处以10万元以下罚款。运营者在采购网络产品和服务的过程中未按照规定进行安全审查的，网信办可处以采购金额1倍以上10倍以下罚款。

• 监管部门

网信办再次承担协调监管工作的职责，公安部门负责监督指导关键信息基础设施的安全保护工作。保护工作部门和其他政府部门负责本行业和本领域的关键信息基础设施保护工作。省级人民政府将负责本省关键信息基础设施保护工作。

除上述部门外，国家安全部、国家保密局和国家密码管理局还有权检查关键信息基础设施的安全防护工作。

根据《条例》，国家将优先保障能源、电信行业关键信息基础设施的安全运行，而相关监管部门预计将在保护工作部门中率先开始进行监管工作。

鸿鹄见解

I. 关键信息基础设施的范围有待重新界定

《条例》并未描述重要行业和领域的边界，也没有提供保护工作部门名单，关于关键信息基础设施范围的所有细节都有待在保护工作部门公布的认定规则中进行阐述。

更重要的是，《条例》并没有透露如何认定重要行业和领域之外的关键信息基础设施。我们希望网信部会在未来的法规中对此进行明确阐述。

II. 未涉及跨境数据传输

《网安法》、《数据安全法》和《个人信息保护法》均规定，关键信息基础设施运营者应对个人信息和重要数据进行本地化处理，并提交跨境数据传输申请，通过安全评估。令人诧异的是，《条例》对此完全没有提及。

目前尚不清楚回避数据出境问题是有意为之，还是单纯疏忽，但是政府部门没有借此契机进一步详细阐述安全评估流程，还是留下了一些遗憾。

III. 与网络安全等级保护制度 （“等保”）的关系

《条例》尚未解决的一个问题是，关键信息基础设施运营者如何处理等保制度与关键信息基础设施保护制度之间的重叠内容。从已公布的关键信息基础设施标准草案来看，关键信息基础设施运营者需要同时遵守等保制度和关键信息基础设施保护制度，而后者的评估和调查标准更高。对网络安全等级保护制度的遵守情况，也将成为关键信息基础设施安全保护能力评估中不可或缺的一个因素。毫无疑问，此举将增加关键信息基础设施运营者的合规负担。

 总结

《条例》的公布为执行关键信息基础设施保护制度铺平了道路。各家公司，特别是处于重要行业和领域的公司，应及时了解保护工作部门发布的关键信息基础设施认定规则，对自身的网络设施和信息系统被认定为关键信息基础设施的可能性进行评估。