以下文章來源于路云天網絡安全研究院 ，作者孔勇

2017年6月1日，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）正式生效施行。《網絡安全法》作為我國網絡安全的基本法，提出了網絡安全法治的基本制度框架，主要包括國家網絡安全戰略、關鍵信息基礎設施保護制度、網絡安全等級保護制度、個人信息保護制度等。其中，關鍵信息基礎設施保護是《網絡安全法》規定中的核心制度。在《網絡安全法》第三章“網絡運行安全”中，以“關鍵信息基礎設施的運行安全”共計9條（第三十一至三十九條）對關鍵信息基礎設施安全保護的基本要求、職責分工履行義務和采取措施等方面作了基本法層面的總體制度安排，并規定關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

以此為法律依據，2021年8月17日，國務院總理李克強簽署中華人民共和國國務院令第745號，正式發布《關鍵信息基礎設施安全保護條例》（以下簡稱“條例”），旨在通過配套立法進一步明確關鍵信息基礎設施安全保護的具體要求，保障國家關鍵信息基礎設施安全。

內容要點

條例以六章共計五十一條的篇幅，對于關鍵信息基礎設施安全保護相關的一系列制度要素作了具體的規定，涵蓋：總則（第一至七條），關鍵信息基礎設施認定（第八至十一條），運營者責任義務（第十二至二十一條），保障和促進（第二十二至三十八條），法律責任（第三十九至四十九條）和附則（第五十至五十一條）。

條例詳細闡明了關鍵信息基礎設施的范圍、安全保護工作職能分工、關鍵信息基礎設施認定、運營者責任義務、保障和促進、法律責任等內容，要求建立健全關鍵信息基礎設施網絡安全保護制度和責任制，制定網絡安全應急預案，開展網絡安全監測、檢測和風險評估工作，采取安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用，違反本條例規定將會受到行政處罰、判處罰金甚至要承擔刑事責任。

（一）.明確范圍對象要求組織開展認定工作

條例第二條明確給出了關鍵信息基礎設施范圍?！氨緱l例所稱關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等?！?/p>

條例第二章（第八至十一條）提出關鍵信息基礎設施認定工作流程，包括認定規則制定、組織認定、重新認定三部分。一是，保護工作部門應結合本行業、本領域實際，制定關鍵信息基礎設施認定規則并報國務院公安部門備案。二是，保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施，及時將認定結果通知運營者并通報國務院公安部門。三是，關鍵信息基礎設施發生較大變化影響認定結果的，保護工作部門應進行重新認定，將結果通知運營者，并通報國務院公安部門。其中，重新認定工作由運營者根據變化情況提出報告啟動，保護工作部門自收到報告3個月內完成重新認定工作。

條例第九條指出認定規則制定應當主要考慮的三大因素。主要包括“網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度”“網絡設施、信息系統等一旦遭到破壞后可能帶來的危害程度”“對其他行業和領域的關聯性影響”。

（二）.確定職能分工強化落實運營者主體責任

條例確定了包括國家網信部門、國務院公安部門、國務院電信主管部門和其他有關部門、保護工作部門、運營者、專門安全管理機構和網絡安全服務機構在內的關鍵信息基礎設施安全保護職能分工。國家網信部門負責統籌協調。國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。保護工作部門負責關鍵信息基礎設施安全保護工作。運營者負責設置專門安全管理機構，組織開展關鍵信息基礎設施安全保護工作，運營者的主要負責人對本單位關鍵信息基礎設施安全保護負總責。專門安全管理機構負責本單位的關鍵信息基礎設施安全保護工作。此外，省級人民政府有關部門依據各自職責對關鍵信息基礎設施安全保護和監督管理。

條例第三條指出“在國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作?！?/p>

條例第八條明確保護工作部門負責關鍵信息基礎設施安全保護工作?！氨緱l例第二條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門”，簡稱保護工作部門。

條例第三章（第十二至二十一條）運營者責任義務部分全面強化運營者主體責任，保障關鍵信息基礎設施安全。條例第十三條要求“運營者應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作，組織研究解決重大網絡安全問題?！睏l例第十四條明確要求“運營者應當設置專門安全管理機構”。

條例第十五條明確專門安全管理機構負責本單位的關鍵信息基礎設施安全保護工作，闡述了專門安全管理機構應履行的職責。

條例第三十七條指出“國家加強網絡安全服務機構建設和管理”，“不斷提升服務機構能力水平，充分發揮其在關鍵信息基礎設施安全保護中的作用”。

（三）.開展多措并舉全面提升安全保護能力

條例第四章保障和促進部分要求多措并舉，提升關鍵信息基礎設施安全保護能力。國家網信部門統籌協調有關部門建立網絡安全信息共享機制，統籌協調國務院公安部門、保護工作部門對關鍵信息基礎設施進行網絡安全檢查檢測。在關鍵信息基礎設施安全保護工作中，國家網信部門和國務院電信主管部門、公安部門等應當根據保護工作部門的需要，及時提供技術支持和協助。保護工作部門應當制定本行業、本領域關鍵信息基礎設施安全規劃，建立健全本行業、本領域的關鍵信息基礎設施網絡安全檢測預警機制、網絡安全事件應急處置預案，定期組織開展網絡安全檢查檢測。公安機關、國家安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛，防范打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。

條例第三十四至三十七條指出，國家將從標準制定、人才培養、技術創新、產業發展等方面加大促進關鍵信息基礎設施安全保護舉措，提升關鍵信息基礎設施安全保護能力。條例第三十八條指出，國家加強網絡安全軍民融合，軍地協同保護關鍵信息基礎設施安全。

（四）.強化法律處罰突出各類有關主體全面責任

條例第五章法律責任部分明確了針對相關違反條例行為的處罰事項，突出了各類有關主體的全面責任思維。既強調關鍵信息基礎設施運營單位及其工作人員違反保護義務應當承擔的法律責任，也強調服務機構、其他有關部門及其工作人員可能的違法責任。從網信部門、公安機關、保護工作部門、運營者到網絡安全服務機構及其工作人員提出了全面的違規處罰規定，重點落實了關鍵信息基礎設施運營者的主體責任和運營者直接負責的主管人員的責任。

加強了對網絡安全從業人員和關鍵崗位人員的要求。包括對實施非法侵入、干擾、破壞關鍵信息基礎設施、危害其安全的活動根據情節嚴重程度，處以拘留并處罰款；對受到治安管理處罰人員要求5年內不得從事網絡安全管理和網絡運營關鍵崗位的工作；對受到刑事處罰的人員，終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。

違反條例的懲罰力度與網絡安全法的相關懲罰力度保持一致。如對“運營者采購可能影響國家安全的網絡產品和服務，未按照國家網絡安全規定進行安全審查的，處采購金額1倍以上10倍以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款”，“電子政務關鍵信息基礎設施的運營者不履行本條例規定的網絡安全保護義務的，按照《網絡安全法》有關規定予以處理”等。 

創新舉措

（一）.明確網信部門統籌協調，公安部門負責指導監督

條例明確“在國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作?！笔崂項l例可發現公安部門主要工作內容包括：關鍵信息基礎設施認定規則備案、協助專門安全管理機構負責人和關鍵崗位人員的安全背景審查、關鍵信息基礎設施網絡安全檢查工作并提出改進措施、根據保護工作部門需要為其提供技術支持和協助、對關鍵信息基礎設施實施漏洞探測、滲透性測試等，針對違法犯罪活動，公安部門進行相應處罰。同時，關鍵信息基礎設施認定結果、重大網絡安全事件或者發現重大網絡安全威脅應通報公安部門，公安部門將加強關鍵信息基礎設施安全保衛，防范打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。

(二).首次提出“優先保障”要求能源、電信領域成為重中之重

關鍵信息基礎設施本身就是國家重點保護對象，而能源、電信等關鍵信息基礎設施是其他行業和領域關鍵信息基礎設施安全保障的重要基礎和支撐，具有極端重要性，是安全保護的重中之重。條例針對能源、電信等關鍵信息基礎設施首次提出“優先保障”要求，同時強調“能源、電信行業應當采取措施，為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障?！?/p>

(三).規定必須成立專門安全管理機構明確要求“給錢給人給權”

條例規定運營者必須成立專門安全管理機構，負責本單位關鍵信息基礎設施安全保護工作。強調“給錢”，即“運營者應當保障專門安全管理機構的運行經費”，“給人”即“配備相應的人員”，“給權”即要求“開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與”。通過“給錢給人給權”，切實保障專門安全管理機構的關鍵信息基礎設施安全保護工作的開展。

(四).首次將培訓納入國家繼續教育體系強化安全保護人員管理

“硬實力、軟實力，歸根到底要靠人才實力?！标P鍵信息基礎設施安全保護同樣離不開人才隊伍支撐。條例第三十五條指出，“國家采取措施，鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作”。條例明確表示加強人員培訓和管理工作。在人員培訓上，首次提出將運營者安全管理、技術人員培訓納入國家繼續教育體系，組織網絡安全教育、培訓明確列為運營者專門安全管理機構的職責。在人員管理上，要求對運營者專門安全管理機構負責人和關鍵崗位進行安全背景審查，審查時公安機關、國家安全機關應當予以協助。

(五).增加運營者合并分立解散情況處置適應全面深化改革形勢

當前，我國重點推進全面深化改革工作，國務院國有資產監督管理委員會也在加快推進中央企業的重組整合，關鍵信息基礎設施運營者有可能發生合并、分立、解散等情況。針對該情況的發生，條例第二十一條明確指出，“運營者應當及時報告保護工作部門，并按照保護工作部門的要求對關鍵信息基礎設施進行處置，確保安全?！币虼?，條例很好地適應了社會政治經濟發展的大形勢。

(六).首次提出給予國家表彰加強“有獎有罰”的公平考核評價

關鍵信息基礎設施安全保護工作考核評價進一步加強。條例第七條明確指出“國家對在關鍵信息基礎設施安全保護工作中取得顯著成績或者做出突出貢獻的單位和個人，按照國家有關規定給予表彰?！睂ｉT安全管理機構的職責中明確要求“組織開展網絡安全工作考核，提出獎勵和懲處建議”。相較于以往網絡安全領域只重視懲罰的規定，“有獎有罰”的公平考核評價更加凸顯國家對關鍵信息基礎設施安全保護工作的重視。

進一步思考

“安全是發展的前提，發展是安全的保障”。條例的發布，促進了網絡安全在信息化建設中話語權和地位的不斷提升，未來網絡安全產業發展空前提速。進一步思考，條例的發布必然帶來關鍵信息基礎設施安全保護領域后續一系列動作反應，包括保護對象認定體系化完善、配套政策和標準發布、關鍵信息基礎設施運營者的“人財物”的投入加大、專業性技術人才的培養與培訓、關鍵信息基礎設施安全保護技術創新力度的增強等。

(一).關鍵信息基礎設施范圍已明確保護對象認定體系化必將進一步完善

關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全保障的重點保護對象。關鍵信息基礎設施范圍、認定工作流程和考慮因素已經明確。本次條例提出了能源、電信行業的優先地位，這是因為這兩個行業對其他行業起到了支撐作用。但行業間的關聯和依賴關系其實非常復雜，很難只用“優先保障”就概括清楚。因此，下一步必將進一步完善保護對象體系化工作。例如是否提出“關鍵信息基礎設施分類分級”，還需要在實踐中探索。目前，雖然關鍵信息基礎設施認定工作的職責在保護工作部門，但針對保護對象認定體系化的整體工作必然是需要國家網信部門、國務院公安部門、保護工作部門、運營者之間的共同協商和協作配合。

(二).安全保護職責已確定配套制度和標準必將快速完成公布

關鍵信息基礎設施安全保護職責已經確定，涉及多方協調，亟需配套制度和標準指導落地政策的具體執行與實施?！毒W絡安全法》和《條例》明確要求開展多項工作，包括數據出境安全評估、網絡安全監測預警和信息通報制度、網絡安全信息共享、網絡安全風險評估和應急工作機制、網絡安全審查、個人信息和數據安全保護等。此外，關鍵信息基礎設施安全的多個相關標準均在制定過程中，亟需快速健全完善關鍵信息基礎設施安全保護標準體系，指導規范各方關鍵信息基礎設施安全保護工作。

(三).專門安全管理機構設立必將推動網絡安全人財物的巨大投入

專門安全管理機構成為運營者必須設立的，專門負責本單位關鍵信息基礎設施安全保護工作的主責機構。專門安全管理機構的設立，首先帶來網絡安全專業技術人才的需求缺口，必然促進網絡安全人才培養和安全培訓產業的大力發展。其次，機構運行和開展關鍵信息基礎設施安全保護工作，必然帶來大量項目經費的投入，促進網絡安全產品和服務的發展。專門安全管理機構的設立有效地提升了網絡安全在信息化中的地位，明確要求運營者開展網絡安全和信息化有關的決策應當由專門安全管理機構人員參與，是“同步規劃、同步建設、同步使用”的三同步原則的落地細則?？梢?，隨著關鍵信息基礎設施安全保護工作逐步開展，必將推動網絡安全人財物的巨大投入。

(四).安全需要完善的技術能力必將進一步加強技術攻關與創新

“科學技術是第一生產力,創新是引領發展的第一動力”。針對關鍵信息基礎設施安全保護工作，國家必將通過國家課題、重大項目等多種形式支持關鍵信息基礎設施安全防護技術創新和產業發展。國家網信部門、國務院公安部門、保護工作部門和運營者將采取相關措施，充分調動網絡安全企業、科研機構、智庫平臺、專家學者等社會力量積極參與網絡安全核心技術攻關，加強關鍵信息基礎設施安全領域技術創新，提升關鍵信息基礎設施安全保障能力。 

展望

“網絡安全是共同的而不是孤立的”，關鍵信息基礎設施安全保護是全社會共同責任，需要國家關鍵信息基礎設施安全保護主管部門、保護工作部門、運營者、網絡安全相關產業、教育、科研機構等有組織有體系的協同工作，構建關鍵信息基礎設施安全保護協同創新和產業發展平臺，形成合力，支撐國家關鍵信息基礎設施安全保護要求落地實施，共筑網絡安全防線。

作者簡介