近日，國務院總理李克強簽署第745號國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。

　　《條例》是《網絡安全法》的一部重要配套法規，用了較大的篇幅強化了關鍵信息基礎設施運營者的主體責任，在總則部分第四條、第六條對運營者責任作了原則規定，要求運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求，在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網絡安全事件，防范網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

　　《條例》第三章專章細化了關鍵信息基礎設施運營者的六大主體責任和義務。

　　一、明確建設關鍵信息基礎設施的“三同步”原則

　　《網絡安全法》第三十三條：“建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。”《條例》第十二條延續了《網絡安全法》確定的“三同步”原則，進一步強調“安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。”

　　運營者在具體落實三同步原則時，可以從以下方面理解安全保護措施應當與關鍵信息基礎設施的三同步：首先，“同步規劃”，是指在網絡設施與信息系統的規劃階段同步引入安全保護措施；其次，“同步建設”，要求在項目建設階段，通過落實系統集成商、網絡服務提供商，保證相關安全技術措施的順利準時建設，保證項目上線時，安全保護措施的驗收和工程驗收同步，確保只有符合安全要求的系統才能上線；再次，“同步使用”，網絡設施和信息系統安全驗收后的日常運行和維護中，應當保持網絡設施與信息系統處于持續安全防護的水平，并符合國家的相關安全技術標準。

　　二、建立健全網絡安全保護制度和責任制

　　《條例》第十三條規定：“運營者應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作，組織研究解決重大網絡安全問題。”

　　首先，為了確保我國關鍵信息基礎設施的安全運行，運營者應當建立健全網絡安全保護制度和責任制，并從制度層面保障人力、財力、物力投入。2021年7月12日，工信部發布《網絡安全產業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》，其中提出，到2023年，電信等重點行業網絡安全投入占信息化投入比例達10%。同時，推進網絡安全與信息化同步規劃、同步建設和同步使用，健全網絡安全管理和技術保障體系。

　　其次，明確運營者的“一把手”對本單位的關鍵信息基礎設施安全保護負總責，并重點夯實三大職責：一是領導關鍵信息基礎設施的安全保護；二是領導組織對重大網絡安全事件的處置工作；三是組織研究解決重大網絡安全問題。

　　三、應當設置專門的安全管理機構

　　《條例》第十四條規定：“運營者應當設置專門安全管理機構，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時，公安機關、國家安全機關應當予以協助。”

　　運營者應當設置專門安全管理機構，全面履行網絡設施與信息系統的安全保護職責，并參與本單位與網絡安全和信息化建設的相關決策，參與重大網絡安全事件的處置，研究本單位重大網絡與數據安全戰略、技術、管理、法律等問題。

　　鑒于關鍵信息基礎設的安全對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產的安全關系重大，運營者對機構負責人和關鍵崗位人員應當進行嚴格的安全背景審查。筆者建議，應當從以下三個方面進行安全背景審查：一是政治上可靠，必須把政治標準放在第一位，如果政治不合格、不過硬、靠不住，能力再大也不能用；二是作風上優良，一定要做到實事求是、言行一致、與時俱進、開拓進取；三是能力上過硬，應當強調關鍵崗位人員的綜合能力素質，包括運用技術、管理、法律等綜合的能力，網絡安全是“三分技術、七分管理”，網絡安全的全生命周期管理是網絡安全的重中之重。

　　《條例》第十五條要求“專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作”，并具體履行八項職責：一是建立健全網絡安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；二是組織推動網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估；三是按照國家及行業網絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網絡安全事件；四是認定網絡安全關鍵崗位，組織開展網絡安全工作考核，提出獎勵和懲處建議；五是組織網絡安全教育、培訓；六是履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；七是對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；八是按照規定報告網絡安全事件和重要事項。

　　四、進行網絡安全檢測和風險評估

　　《網絡安全法》第三十八條要求：“關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。”

　　《條例》第十七條基本沿用了《網絡安全法》第三十八條的規定，強調“運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門要求報送情況。”

　　網絡安全檢測和風險評估，包含網絡設備安全、網絡數據安全、網絡軟件安全，重點評估網絡系統的硬件、軟件以及其系統中的數據安全是否受到全面的保護，尤其評估網絡設施和信息系統在遭受到破壞、更改或數據泄露，網絡系統是否能夠連續可靠正常地運行，網絡服務不中斷等。2015年10月，美國防部發布了《網絡安全檢測與評估指南》，主要針對美國國防部內部及其他關鍵信息系統的網絡信息環境開展安全性檢測與評估工作，并提供了一系列的關鍵技術理論和指導方法，尤其是對整個生命周期實施網絡空間安全測試和評估提出了六個階段的安全檢測和評估，一是理解網絡空間安全需求；二是監測網絡攻擊特征化；三是網絡漏洞識別協作；四是對抗性網絡空間安全測試與評估；五是漏洞協作和滲透評估；六是對抗性評估。

　　五、履行重大網絡安全事件報告制度

　　《條例》第十八條規定：“關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時，運營者應當按照有關規定向保護工作部門、公安機關報告。

　　發生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等特別重大網絡安全事件或者發現特別重大網絡安全威脅時，保護工作部門應當在收到報告后，及時向國家網信部門、國務院公安部門報告。”

　　關鍵信息基礎設的網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡設施和信息系統或者其中的數據造成危害，對社會造成負面影響的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。

　　根據中央網信辦發布的《國家網絡安全事件應急預案》的規定，符合下列情形之一的，為特別重大網絡安全事件：一是重要網絡和信息系統遭受特別嚴重的系統損失，造成系統大面積癱瘓，喪失業務處理能力；二是國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成特別嚴重威脅；三是其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網絡安全事件。

　　根據上述《應急預案》的規定，符合下列情形之一且未達到特別重大網絡安全事件的，為重大網絡安全事件：一是重要網絡和信息系統遭受嚴重的系統損失，造成系統長時間中斷或局部癱瘓，業務處理能力受到極大影響；二是國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成嚴重威脅；三是其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡安全事件。

　　首先，《條例》第十八條第一款要求在兩種情況下，運營者應當按照有關規定向保護工作部門、公安機關報告，一是關鍵信息基礎設施發生重大網絡安全事件；二是關鍵信息基礎設施發現重大網絡安全威脅。前者是已經出現了重大網絡安全事件，后者是察覺到面臨重大網絡安全的威脅。

　　其次，《條例》第十八條第二款要求發生或發現以下六種特別重大的網絡安全事件，保護工作部門應當在收到運營者的報告后，及時向國家網信部門、國務院公安部門報告：一是發生關鍵信息基礎設施整體中斷運行或者主要功能故障；二是國家基礎信息以及其他重要數據泄露；三是較大規模個人信息泄露；四是造成較大經濟損失；五是違法信息較大范圍傳播；六是發現特別重大網絡安全威脅。

　　六、確保采購安全可信的網絡產品和服務

　　為了防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或其他隱患而受到攻擊、破壞，從而危害國家安全，我國《網絡安全法》第三十五條規定，關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。《條例》第十九條在沿用《網絡安全法》第三十五的基礎上特別增加了“運營者應當優先采購安全可信的網絡產品和服務”的規定，即“運營者應當優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。”

　　為了確保運營者采購安全可信的網絡產品和服務，《條例》第二十條提出了運營者在簽訂采購網絡產品和服務合同時，應在合同中明確以下核心內容，一是應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議；二是應當明確提供者的技術支持和安全保密義務與責任，并對其義務與責任履行情況進行監督。

　　《網絡安全法》和《條例》明確要求，采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查制度，這項制度是國家安全法首先確立的一項重要法律制度，審查的內容包括但不限于核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務等。

　　2020年6月1日起實施的《網絡安全審查辦法》（下稱：《審查辦法》）確立了對影響或者可能影響國家安全的網絡信息技術產品和服務，以及其他重大事項和活動，實施國家層面的安全審查制度。這是維護我國關鍵信息基礎設施供應鏈安全的一項重大法治事件，對于保障和提升國家關鍵信息基礎設施供應鏈安全，維護國家安全具有重大的推動作用。

　　我國網絡安全審查的重點是研判和評估網絡運營者采購網絡產品和服務可能帶來的國家安全風險，根據《審查辦法》第九條的規定，主要考慮以下五大因素：一是產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；二是產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；三是產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；四是產品和服務提供者遵守中國法律、行政法規、部門規章情況；五是其他可能危害關鍵信息基礎設施安全和國家安全的因素。

　　本文作者：王春暉，浙江大學教授、博導，網絡空間治理與數字經濟法治（長三角）研究基地主任兼首席專家，南京郵電大學數字經濟戰略與法治研究中心主任，工信部信息通信經濟專家委員會委員、中國通信學會網絡空間安全戰略與法律委員會副主任委員、中國互聯網協會應用創新工作委員會副主任委員、中國法學會網絡與信息法學研究會常務理事、上海市法學會互聯網司法研究會副會長。