《关键信息基础设施安全保护条例》征求意见

国家互联网信息办公室（以下简称“网信办”）于2017年7月11日公布了《关键信息基础设施安全保护条例（征求意见稿）》（以下简称“《征求意见稿》”），为期一个月公开征求意见。

《网络安全法》（以下简称“《网安法》”）第一次引入了关键信息基础设施概念。根据《网安法》第31条规定，其范围和安全保护办法由国务院制定。而根据《国务院办公厅关于印发国务院2016年立法工作计划的通知》，《关键信息基础设施安全保护条例》由网信办起草。鉴于《网安法》生效已逾一月，关键信息基础设施作为《网安法》的核心议题之一，对其范围和保护措施进一步规范的《征求意见稿》的发布确实刻不容缓。《征求意见稿》之中对于网络安全的政府协调预警机制等方面均进行了全面的要求和规范。以下我们主要将《征求意见稿》之中可能对于企业的合规工作特别相关的条款进行总结。

一、 细化关键信息基础设施的适用范围

《网安法》将关键信息基础设施概括地定义为：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”该定义建立了判断关键信息基础设施的两项基本标准：行业标准和后果标准。

《征求意见稿》第18条延续了《网安法》的判断标准，同时更明确的突出了后果标准，细化和更新了行业标准，其规定：“下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

1、政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

2、电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

3、国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

4、广播电台、电视台、通讯社等新闻单位；

5、其他重点单位。”

相比《网安法》，《征求意见稿》的行业标准新增了“国防科工、大型装备、化工、食品药品”等类别。

同时，《征求意见稿》细化了“公共通信和信息服务”、“公共服务”等行业类别。其中，“公共服务”进一步细化为“卫生医疗、教育、社保、环境保护、公用事业”；“公共通信和信息服务”被细化为“电信网、广播电视网、互联网，提供云计算、大数据和其他大型公共信息网络服务的单位、广播电台、电视台、通讯社”等具体单位类型。

根据《征求意见稿》第19条规定，国家网信部门将会同电信主管部门、公安部门等制定关键信息基础设施识别指南，行业主管或监管部门根据识别指南组织识别本行业、本领域的关键信息基础设施并按程序报送识别结果。在实务之中，虽然《征求意见稿》的规定相关对《网安法》有进一步的细化，但具体的范围和判定标准则仍有待于识别指南的出台。《征求意见稿》相对笼统的规定也保留了后续执法和实践变化的灵活性。

二、 重述关键信息基础设施运营者的安全保护义务

《征求意见稿》第5条明确规定，关键信息基础设施运营者（以下简称“运营者”）对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务。

《网安法》第31条和《征求意见稿》第6条均规定，关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。关键信息基础设施运营者（以下简称“运营者”）也属于网络运营者，因此其应当同时遵守《网安法》对于网络运营者和关键信息基础设施运营者的安全保护要求。

《征求意见稿》第四章重复了《网安法》的相关规定，包括要求运营者：

1、建立内部安全制度、操作规程、严格的身份认证和权限管理；

2、采取技术措施，防止危害网络安全行为、监控网络运行；

3、采取数据分类、重要数据备份、加密认证等措施；

4、设置专门的网络安全管理机构及负责人；

5、对员工进行培训、技能考核；

6、制定应急预案并定期演习；

7、每年至少一次风险隐患检测评估；

8、个人信息和重要数据境内存储。

相比《网安法》，《征求意见稿》提出了更细节的要求，包括：运营者网络安全关键岗位专业技术人员应实行持证上岗制度（具体规定尚未出台）；对员工的培训每人每年时长不得少于1个工作日；关键岗位专业技术人员进行每人每年时长不得少于3个工作日；关键信息基础设施上线运行前或发生重大变化时应当进行安全检测评估等。

三、 加强网络产品和服务采购的检查和报告义务

《征求意见稿》在网络产品、服务安全方面重述了《网安法》的多项要求，包括：网络产品、服务应符合国家强制性要求；运营者采购网络产品和服务，可能影响国家安全的，应当通过网络安全审查，与提供者签订安全保密协议等。

《征求意见稿》进一步要求，运营者应当对外包开发的系统、软件，接受捐赠的网络产品，在其上线应用前进行安全检测（第32条）；运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的，应当及时采取措施消除风险隐患，涉及重大风险的应当向有关部门报告（第33条）。

《征求意见稿》特别指出，关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门（第34条）。与《网安法》第37条要求运营者在境内存储在中华人民共和国境内运营中收集和产生的个人信息和重要数据相比，《征求意见稿》的境内运维要求在数据访问权限的角度更为严格。

四、 进一步明确监管工作的开展方式

《征求意见稿》规定，国家网信部门负责统筹协调关键信息基础设施安全保护工作。国家行业主管或监管部门负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

《征求意见稿》要求监管部门从监测预警、应急预案准备和演练、安全检测评估等多个维度对其行业内关键信息基础设施进行监管。

五、 简评

《征求意见稿》在一定程度上对于《网安法》之中关于关键信息基础设施的范围和安全保护措施进行了扩展和细化，但作为行政法规，仍保留了相对的灵活性和解释空间。

对于实践操作而言，在关键信息基础设施的识别、以及具体的各项安全保护措施、采购和报告要求方面，仍有一系列的具体规定需要制定，也将留待后续的标准去进一步规范和实施。