專家解讀｜深入學習《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》

日前，國務(wù)院正式公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）。《條例》對一系列重要制度、機制加以完善和固化，將推動開啟我國關(guān)鍵信息基礎(chǔ)設(shè)施保護的新格局，也將為產(chǎn)業(yè)發(fā)展指明方向。

一、《條例》以“兩個統(tǒng)籌”奠定關(guān)鍵信息基礎(chǔ)設(shè)施保護基礎(chǔ)

整體來看，《條例》內(nèi)容集中體現(xiàn)了“兩個統(tǒng)籌”的特點。一是注重立法內(nèi)容統(tǒng)籌。與此前的征求意見稿相比，《條例》大幅減少了有關(guān)授權(quán)立制（規(guī)定、標準）的內(nèi)容，對相關(guān)保護工作要求盡可能在條文中明確、不再過多以開放的方式留待未來解決，從而能夠大大減少因立制周期長帶來的效率延誤。二是注重權(quán)責劃分統(tǒng)籌?！稐l例》立足關(guān)鍵信息基礎(chǔ)設(shè)施保護工作不同主體的核心角色，進一步明確了各主體擔負的權(quán)責、明確了各主體間的工作協(xié)同機制。這無疑有利于減少因工作邊界不清等帶來的效率延誤，也可充分調(diào)動各方面在保護工作中的主體意識和主動性。關(guān)鍵信息基礎(chǔ)設(shè)施安全是網(wǎng)絡(luò)安全的重要一環(huán)，《條例》通過“兩個統(tǒng)籌”舉措的提升，為我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作奠定良好的效率基礎(chǔ)。

二、《條例》以“四個基本問題”明確關(guān)鍵信息基礎(chǔ)設(shè)施保護體系

從內(nèi)容來看，關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定、管理體系、檢查檢測機制和責任機制是《條例》重點明確的加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的四個基本問題。

（一）關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定

《條例》采用了“范圍列舉+授權(quán)認定”的方法，對關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和外延作出規(guī)定。

在范圍列舉方面?！稐l例》第二條將關(guān)鍵信息基礎(chǔ)設(shè)施定位于“重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)等”，并以列舉方式明確了其行業(yè)屬性和影響屬性兩大界定標準。一是“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等”重要行業(yè)和領(lǐng)域；二是“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益”。

在授權(quán)認定方面。《條例》以專章（第二章 關(guān)鍵信息基礎(chǔ)設(shè)施認定）明確了授權(quán)認定的要點：一是認定主體，即“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門”（以下稱保護工作部門），主要包括了《條例》第二條所述重要行業(yè)和領(lǐng)域的主管或監(jiān)管部門；二是認定依據(jù)，即“關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則”，《條例》第九條還明確了制定“認定規(guī)則”時應(yīng)依據(jù)的“重要程度”“危害程度”和“關(guān)聯(lián)影響”三個主要考量因素。此外，《條例》還對關(guān)鍵信息基礎(chǔ)設(shè)施的認定流程、報備主體、變更認定作出了規(guī)定。

（二）關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管體系

《條例》在《網(wǎng)絡(luò)安全法》所確定的管理框架內(nèi)，對關(guān)鍵信息基礎(chǔ)設(shè)施保護的管理體系進行了細化，主要包括三個方面：

一是確立了管理分類模式?！稐l例》將管理部門分為三類，即：統(tǒng)籌協(xié)調(diào)部門（國家網(wǎng)信部門）、指導(dǎo)監(jiān)督部門（國務(wù)院公安部門）、保護工作部門（重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門）。各類管理部門分工不同、又協(xié)同配合，缺一不可。

二是確立了管理分層模式?！稐l例》主要規(guī)定了屬地、行業(yè)兩種管理分層。從屬地分層模式來看，《條例》第三條明確了“省級人民政府有關(guān)部門”是監(jiān)管和保護工作在地方的實施主體，相比之前征求意見稿中的“縣級以上”提升了層級，突出了關(guān)鍵信息基礎(chǔ)設(shè)施保護實施的統(tǒng)籌性要求。從行業(yè)分層模式來看，《條例》第三十二條強調(diào)“優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行”，并明確能源、電信行業(yè)“為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障”，可見該兩類行業(yè)在關(guān)鍵信息基礎(chǔ)設(shè)施保護中，應(yīng)發(fā)揮更加基礎(chǔ)的保障作用。

三是明確了重點管理內(nèi)容。在確立監(jiān)管分類分層模式基礎(chǔ)上，《條例》對主要監(jiān)管部門的管理內(nèi)容也做了進一步明確。如：國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)相關(guān)部門建立網(wǎng)絡(luò)安全信息共享機制、及網(wǎng)絡(luò)安全檢查檢測等；國務(wù)院公安部門負責開展關(guān)鍵信息基礎(chǔ)設(shè)施認定相關(guān)備案、打擊相關(guān)違法犯罪活動等；各保護部門負責制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃等。通過對重點管理內(nèi)容的明確，有助于增進關(guān)鍵信息基礎(chǔ)設(shè)施運營者、以及相關(guān)產(chǎn)學研用等社會各界對關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的知悉度，推動形成共識與合力，保障保護工作的推進實施。

（三）關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查檢測機制

《條例》注重對落地實施情況的監(jiān)督手段建設(shè)，設(shè)置了專門的檢查檢測機制。

《條例》規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查檢測機制包括三類。一是運營檢測。該類檢測的執(zhí)行主體是關(guān)鍵信息基礎(chǔ)設(shè)施運營者，具體開展形式是“自行或委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)”進行。運營檢測應(yīng)定期開展“每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估”，并需“按照保護工作部門要求報送情況”。二是保護檢查檢測。該類檢查檢測由保護工作部門組織開展，目的是通過檢查檢測對運營者予以指導(dǎo)監(jiān)督，及時整改安全隱患、完善安全措施。三是監(jiān)督檢查檢測。該類檢查檢測由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)，國務(wù)院公安部門、保護工作部門開展，通過檢查提出改進措施意見。

這三類檢測檢查工作由不同主體負責，分別立足于運行、保護、監(jiān)督的不同要求，共同構(gòu)筑關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的監(jiān)測防線。

（四）關(guān)鍵信息基礎(chǔ)設(shè)施安全責任機制

《條例》對于責任機制的規(guī)定主要包括三個方面。

一是突出主體責任?！稐l例》首先對“主體責任”做出界定，即第四條明確的“強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責任”，這充分反映了運營者在整個保護工作中，因其肩負重要職責而具有的不可替代作用。根據(jù)《條例》第三章“運營者責任義務(wù)”，我們可以將運營者肩負的重要職責歸納為：建設(shè)管理、安全審查、事件報告、檢查配合等4類13項。對于這些職責和義務(wù)，《條例》在第五章“法律責任”中，也做出了逐條對應(yīng)的責任規(guī)定。

二是健全責任范圍。《條例》在強化運營者主體責任的基礎(chǔ)上，還明確了監(jiān)管責任、保護責任，使責任機制覆蓋了保護工作的全部主體和全部主要職責。對于監(jiān)管部門的監(jiān)督管理行為、保護部門的保護指導(dǎo)行為，以及其他個人或組織實施的惡意破壞行為等，都明確規(guī)定了相應(yīng)的法律責任，從而形成對關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的全方位責任保障。

三是明確責任方式?！稐l例》規(guī)定的責任方式，涵蓋了行政責任、民事責任和刑事責任三大類別。其中，對于大部分運營者責任適用行政責任的追究方式，包括責令改正、警告和罰款等；對于監(jiān)管人員的違法行為，主要適用行政或刑事責任；對于從事破壞行為的其他個人，除了適用相應(yīng)的拘留、罰款等行政責任外，還對該人員的網(wǎng)絡(luò)安全從業(yè)資格做出限制，與《條例》規(guī)定的相關(guān)崗位人員安全背景審查相銜接。

三、支撐構(gòu)建“三位一體”的關(guān)鍵信息基礎(chǔ)設(shè)施安全產(chǎn)業(yè)供給體系

《條例》進一步完善了我國“十四五”及今后一個時期網(wǎng)絡(luò)安全保障體系建設(shè)的要求，也必將成為新階段實現(xiàn)網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展的重要指引之一。筆者認為，將《條例》放在供給側(cè)結(jié)構(gòu)性改革這一背景下理解，就是要強化網(wǎng)絡(luò)安全產(chǎn)業(yè)供給能力，集聚業(yè)界和各方的共同努力，秉持網(wǎng)絡(luò)安全新理念，為關(guān)鍵信息基礎(chǔ)設(shè)施保護打造涵蓋產(chǎn)品、技術(shù)和服務(wù)的“三位一體”網(wǎng)絡(luò)安全產(chǎn)業(yè)供給體系。

一是“可信任”的技術(shù)供給。在數(shù)字化環(huán)境中強化關(guān)鍵信息基礎(chǔ)設(shè)施保護，需要緊密依靠技術(shù)手段，而關(guān)鍵信息基礎(chǔ)設(shè)施對國家網(wǎng)絡(luò)安全乃至國家安全的重要性，則直接決定了技術(shù)必須應(yīng)具備可信任的屬性。這種信任不僅包括能力可信任、訪問可信任，也包括供應(yīng)鏈可信任。因此，落實《條例》要求強化技術(shù)供給，需要在遵循可信任理念的基礎(chǔ)上，大力發(fā)展相關(guān)網(wǎng)絡(luò)安全技術(shù)，包括但不限于：關(guān)鍵信息基礎(chǔ)設(shè)施安全風險感知和識別技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)漏洞檢測技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)標識和管理技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅溯源和取證技術(shù)等等。

二是“全場景”的產(chǎn)品供給?！肮び破涫卤叵壤淦鳌?，從《條例》界定的重要領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施情況來看，其運行狀態(tài)各異、防護需求更是千差萬別。因此，對于網(wǎng)絡(luò)安全產(chǎn)品供給的最基本要求就是全領(lǐng)域、全要素、全類型的產(chǎn)品覆蓋。需要盡快建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全產(chǎn)品體系，重要產(chǎn)品包括但不限于：關(guān)鍵信息基礎(chǔ)設(shè)施安全評估產(chǎn)品、安全檢測產(chǎn)品、安全增強防護產(chǎn)品、安全運行監(jiān)測平臺等等。

三是“實戰(zhàn)化”的服務(wù)供給。服務(wù)比重逐步提升是網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的趨勢和規(guī)律，而信息技術(shù)與關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)應(yīng)用的深度融合則決定了網(wǎng)絡(luò)安全服務(wù)的最終衡量指標必然是實戰(zhàn)化。即，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全服務(wù)應(yīng)當滿足以戰(zhàn)領(lǐng)建、按需調(diào)度、高效攻防等基本特征。從關(guān)鍵信息基礎(chǔ)設(shè)施保護所需的網(wǎng)絡(luò)安全服務(wù)體系來看，關(guān)鍵服務(wù)類型包括但不限于：關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)急處置服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全演練服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全教育培訓(xùn)服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全一體化運營服務(wù)等等。

《條例》的公布及施行，是我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的一個重要里程碑，其不僅明確細化了關(guān)鍵信息基礎(chǔ)設(shè)施保護工作體系，更將成為拉動網(wǎng)絡(luò)安全產(chǎn)業(yè)邁向高質(zhì)量發(fā)展的重要引擎。作為網(wǎng)絡(luò)安全行業(yè)的一分子，我們將繼續(xù)秉承“專攻術(shù)業(yè)，成就所托”的宗旨，務(wù)實創(chuàng)新，為加強國家網(wǎng)絡(luò)安全保障體系和能力建設(shè)作出更大貢獻。（作者：沈繼業(yè)，綠盟科技集團股份有限公司）