專家解讀｜?從《關鍵信息基礎設施安全保護條例》看我國關基安全保護體系_大陸_國內新聞_新聞

一、前言

近日，國務院總理李克強簽署國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。

《條例》的正式出臺是我國網絡安全頂層設計的又一里程碑事件，標志著從十年前開始醞釀的關鍵信息基礎設施保護法規(guī)制定工作，經過漫長的探索、討論、嘗試、試點，終于迎來了有規(guī)可依、有章可循的新時代。理解好、落實好、執(zhí)行好《條例》，對維護國家網絡安全、保障關鍵信息基礎設施平穩(wěn)運行具有重要意義。

二、關鍵信息基礎設施安全綜合保護體系

《條例》最突出的特點，就是建立了以國家網信部門、國務院公安部門、關鍵信息基礎設施保護工作部門（以下簡稱“保護工作部門”）、關鍵信息基礎設施運營者（以下簡稱“運營者”）為主體的三層架構的關鍵信息基礎設施安全綜合保護責任體系。另外，省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監(jiān)督管理。

（一）綜合保護體系的第一層是國家網信部門和國務院公安部門等國家有關職能部門

國家網信部門負責關鍵信息基礎設施安全保護工作的統(tǒng)籌協(xié)調。“黨政軍民學，東南西北中，黨是領導一切的”。國家網信部門負責統(tǒng)籌協(xié)調關鍵信息基礎設施安全保護工作，既是落實“黨管互聯(lián)網”原則的應有之義，也是確保黨中央將關鍵信息基礎設施安全保護的重要部署和重大舉措落實到位的有力保障。國家網信部門位于關鍵信息基礎設施安全保護責任體系的頂層，在具有全局性、方向性、基礎性的問題上發(fā)揮關鍵作用，統(tǒng)籌協(xié)調國務院公安部門、保護工作部門開展工作。

公安部門負責指導監(jiān)督關鍵信息基礎設施安全保護工作?！稐l例》賦予了公安部門除了打擊網絡違法犯罪之外更多的工作職能，具體體現(xiàn)在：關鍵信息基礎設施認定規(guī)則備案、協(xié)助運營者開展安全背景審查、為保護工作部門提供技術支持和協(xié)助等方面。

除此之外，國家安全、保密行政管理、密碼管理等部門依照本條例和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監(jiān)督管理工作。

（二）綜合保護體系的第二層是保護工作部門

國務院電信主管部門和其他有關部門在各自職責范圍內負責關鍵信息基礎設施安全保護和監(jiān)管管理工作。在關鍵信息基礎設施保護體系中，保護工作部門是與運營者聯(lián)系最密切、打交道最直接、具體職責最豐富的國家主管、監(jiān)管部門。

首先，關鍵信息基礎設施的認定規(guī)則，由保護工作部門負責制定。開展關鍵信息基礎設施保護，第一步是弄清關鍵信息基礎設施保護的具體對象。《條例》規(guī)定，認定關鍵信息基礎設施，應結合本行業(yè)、本領域的實際情況和不同特點，綜合考慮重要程度、破壞后的危害程度、與其他行業(yè)的關聯(lián)性等因素。由此可見，關鍵信息基礎設施的認定工作與行業(yè)關鍵業(yè)務高度相關，由保護工作部門制定認定規(guī)則最為合理。

其次，保護工作部門是運營者的主要報告對象。運營者的報告義務主要有四種，分別在《條例》第十一條、十七條、十八條、二十一條中規(guī)定，主要有：影響關鍵信息基礎設施認定結果的重大變化、年度網絡安全檢測和風險評估情況、發(fā)生重大網絡安全事件和發(fā)現(xiàn)重大網絡安全威脅、運營者發(fā)生合并分立解散等情況。以上四種情況的報告對象都為保護工作部門。

第三，《條例》規(guī)定了保護工作部門對關鍵信息基礎設施的保障促進職能。具體包括：在本行業(yè)、本領域制定關鍵信息基礎設施安全規(guī)劃、建立監(jiān)測預警制度、建立健全應急預案、定期組織應急演練、組織開展檢查檢測等。

特別值得一提的是，前不久剛剛公開的《黨委（黨組）網絡安全工作責任制實施辦法》規(guī)定了行業(yè)主管監(jiān)管部門對本行業(yè)本領域的網絡安全工作所承擔的一系列職責，與《條例》中對保護工作部門職責的規(guī)定相一致。《條例》的相關規(guī)定，既是貫徹落實黨的方針路線政策的具體實踐，也是把黨的主張通過法定程序轉化為國家法律法規(guī)的具體體現(xiàn)。

（三）綜合保護體系的第三層是關鍵信息基礎設施運營者

《條例》第四條規(guī)定，“強化和落實關鍵信息基礎設施運營者主體責任”。關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，應發(fā)揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。盡管需要全社會共同保護，但仍然改變不了運營者在綜合保護體系中的主體責任地位?！稐l例》第三章集中規(guī)定了運營者的主體責任義務，具體表現(xiàn)有：一是落實“三同步”安全要求。二是建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入。三是設置專門安全管理機構。四是按照《條例》第十五條的規(guī)定，落實專門安全管理機構的各項職責。五是每年至少進行一次網絡安全檢測和風險評估。六是及時報告重大網絡安全事件和網絡安全威脅。七是優(yōu)先采購安全可信的網絡產品和服務。八是明確其網絡產品和服務提供者的技術支持和安全保密義務與責任，并對履行情況進行監(jiān)督。九是在發(fā)生合并、分立、解散等情況時，及時報告保護工作部門，并按保護工作部門的要求進行處置。

另外，《條例》不僅規(guī)定了運營者的責任義務，還充分發(fā)揮政府及社會各方面的支撐保障和協(xié)助支持作用，以增加運營者在開展關鍵信息基礎設施保護工作方面的“獲得感”。具體表現(xiàn)有：一是在開展機構負責人和關鍵崗位人員的安全背景審查方面，《條例》第十四條規(guī)定公安機關、國家安全機關應當予以協(xié)助。二是《條例》第七條規(guī)定，對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人，按照國家有關規(guī)定給予表彰。三是《條例》第十六條規(guī)定開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與，改變了以往安全部門“有職無權”的困境。四是《條例》第二十五條規(guī)定在開展網絡安全事件處置時，可由保護工作部門提供技術支持與協(xié)助。五是《條例》第三十五條規(guī)定，國家采取措施，鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作；將運營者安全管理人員、安全技術人員培訓納入國家繼續(xù)教育體系。六是《條例》第三十二條規(guī)定，能源、電信行業(yè)應當采取措施，為其他行業(yè)和領域的關鍵信息基礎設施安全運行提供重點保障。

（四）省級人民政府有關部門

《條例》第三條規(guī)定，省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監(jiān)督管理。省級人民政府有關部門在關鍵信息基礎設施保護工作體系中的職能主要體現(xiàn)在：一是根據條塊管理的職責劃分，在國家網信部門的統(tǒng)籌協(xié)調下，與國務院公安部門、保護工作部門協(xié)調開展關鍵信息基礎設施保護工作。二是根據《黨委（黨組）網絡安全工作責任制實施辦法》的規(guī)定，對本地區(qū)沒有主管監(jiān)管部門的運營者負指導監(jiān)管責任。

三、結語

《條例》建立的關鍵信息基礎設施安全綜合保護體系是以運營者為主體的綜合治理體系，在壓實運營者主體責任的基礎上，充分發(fā)揮政府和社會力量，賦予運營者必要的支持協(xié)助。從層次結構上看，形成了“網信公安-保護工作部門-運營者”的三層體系結構；從參與部門看，既有本行業(yè)的主管部門，也涵蓋了電信、能源、國家安全、保密、密碼等對關鍵信息基礎設施至關重要的主管監(jiān)管部門；從職能協(xié)調看，明確了部門與部門、部門與地方、部門與運營者的各方職責?？傮w上看，《條例》充分調動了全社會的積極力量，建立起一套完整、科學、嚴密的制度框架。我們有理由相信，隨著《條例》的正式施行，我國的關鍵信息基礎設施保護工作將翻開新的篇章。