關(guān)鍵信息基礎(chǔ)設(shè)施（critical information infrastructure,CII）保護(hù)是加強(qiáng)網(wǎng)絡(luò)安全立法的重點(diǎn)任務(wù)之一，正迎來(lái)頂層設(shè)計(jì)和法律法規(guī)的密集發(fā)布。

8月17日，國(guó)務(wù)院發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（下稱《條例》），對(duì)CII安全保護(hù)的適用范圍、監(jiān)管主體、評(píng)估對(duì)象等基礎(chǔ)要素做出界定，并為安全保護(hù)工作開展提供系統(tǒng)指引和工作遵循?！稐l例》將自今年9月1日起施行。

“這標(biāo)志著我國(guó)網(wǎng)絡(luò)安全保護(hù)進(jìn)入了以CII安全保護(hù)為重點(diǎn)的新階段?！敝袊?guó)信息通信研究院院長(zhǎng)余曉暉表示，作為《網(wǎng)絡(luò)安全法》的重要配套立法，《條例》積極應(yīng)對(duì)國(guó)內(nèi)外網(wǎng)絡(luò)安全保護(hù)的主要問題和發(fā)展趨勢(shì)，為下一步加強(qiáng)CII安全保護(hù)工作提供了重要法治保障。

中國(guó)社會(huì)科學(xué)院經(jīng)濟(jì)學(xué)博士方燕從事網(wǎng)絡(luò)安全、平臺(tái)反壟斷等領(lǐng)域研究多年。他對(duì)第一財(cái)經(jīng)表示，該《條例》讓企業(yè)在CII安全保護(hù)方面的權(quán)利和責(zé)任得以合法化，也反映出政府在監(jiān)管方面縱向橫向貫通、各界共同參與網(wǎng)絡(luò)安全治理的新方向。

歷時(shí)4年

從《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（征求意見稿）（下稱“征求意見稿”）的發(fā)布到《條例》的正式出爐，共歷時(shí)四年有余。

2016 年 11 月《網(wǎng)絡(luò)安全法》出臺(tái)，第一次正式提出“CII”這一概念，并指出“對(duì)于CII在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上進(jìn)行重要的保護(hù)工作”。

2017年7月，國(guó)家網(wǎng)信辦發(fā)布征求意見稿，但業(yè)界普遍認(rèn)為，征求意見稿在CII的認(rèn)定、法律保護(hù)范圍等方面尚不明晰。

同年，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)對(duì)《信息安全技術(shù)CII安全保護(hù)要求》和《信息安全技術(shù)CII安全控制措施》進(jìn)行立項(xiàng)，旨在壓實(shí)CII運(yùn)營(yíng)者的基本責(zé)任。但截至目前，二者分別處于報(bào)批稿和草稿階段，均尚未發(fā)布。

“當(dāng)前，CII面臨的網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，網(wǎng)絡(luò)攻擊威脅上升，事故隱患易發(fā)多發(fā)，安全保護(hù)工作還存在法規(guī)制度不完善、工作基礎(chǔ)薄弱、資源力量分散、技術(shù)產(chǎn)業(yè)支撐不足等突出問題，亟待建立專門制度，明確各方責(zé)任，加快提升CII安全保護(hù)能力?！比涨?，司法部、網(wǎng)信辦、工信部、公安部負(fù)責(zé)人就《條例》有關(guān)問題答記者問時(shí)稱。

時(shí)隔4年，據(jù)司法部消息，7月30日，國(guó)務(wù)院總理李克強(qiáng)簽署第745號(hào)國(guó)務(wù)院令，《條例》出臺(tái)。隨后，8月17日，中國(guó)政府網(wǎng)公開了《條例》全文，9月1日起，該《條例》將正式施行。

作為一份針對(duì)中國(guó)CII安全保護(hù)的專門性行政法規(guī)，和指導(dǎo)國(guó)家網(wǎng)絡(luò)安全保障工作的基礎(chǔ)性行政法規(guī)，《條例》對(duì)于此前一直存在的問題做出了回應(yīng)，如CII的定義和認(rèn)定范圍不明確、運(yùn)營(yíng)者主體責(zé)任和監(jiān)管部門職責(zé)分工不清晰等。

相較于2017年的征求意見稿，北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括對(duì)第一財(cái)經(jīng)表示，《條例》更為體系化。

他表示，一方面，在綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護(hù)原則指導(dǎo)下，《條例》進(jìn)一步明確了統(tǒng)籌協(xié)調(diào)機(jī)關(guān)、指導(dǎo)監(jiān)督機(jī)關(guān)以及保護(hù)和監(jiān)督管理機(jī)關(guān)等各方主體的職責(zé)權(quán)限；另一方面，《條例》側(cè)重厘清CII的認(rèn)定標(biāo)準(zhǔn)，有助于更好發(fā)揮保護(hù)工作部門的主動(dòng)性、積極性，便于各行業(yè)、各地區(qū)根據(jù)實(shí)際情況做出更有針對(duì)性的具體決定。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲對(duì)第一財(cái)經(jīng)分析稱，《網(wǎng)絡(luò)安全法》實(shí)施已四年有余，針對(duì)CII的專門性法規(guī)才得以出臺(tái)，由此可見，《條例》中諸多細(xì)節(jié)的復(fù)雜性和制定《條例》的審慎性。

“此前，各主管部門雖對(duì)重要信息系統(tǒng)和平臺(tái)等有相應(yīng)的增強(qiáng)式保護(hù)手段，但缺少長(zhǎng)效保障機(jī)制，如今《條例》的出臺(tái)，從法規(guī)層面明確了重點(diǎn)保護(hù)范圍和措施，這讓CII保護(hù)工作正式納入日常工作的序列?！彼f(shuō)。

“一把手負(fù)責(zé)制”

根據(jù)《條例》，所謂“CII”，即指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

《條例》稱，強(qiáng)化和落實(shí)CII運(yùn)營(yíng)者（下稱“運(yùn)營(yíng)者”）主體責(zé)任，運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)CII安全保護(hù)負(fù)總責(zé)。

對(duì)此，相關(guān)負(fù)責(zé)人在上述答記者問時(shí)稱，運(yùn)營(yíng)者需建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，實(shí)行“一把手負(fù)責(zé)制”，明確運(yùn)營(yíng)者主要負(fù)責(zé)人負(fù)總責(zé)，保障人財(cái)物投入。

同時(shí)，在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，《條例》對(duì)運(yùn)營(yíng)者提出了更高的安全防護(hù)要求。

《條例》指出，落實(shí)“三同步”要求，要求安全保護(hù)措施與CII同步規(guī)劃、同步建設(shè)、同步使用，確保落實(shí)覆蓋全生命周期的安全保護(hù)。

其中，當(dāng)發(fā)生CII整體中斷運(yùn)行或者主要功能故障、國(guó)家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個(gè)人信息泄露、造成較大經(jīng)濟(jì)損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時(shí)，根據(jù)《條例》，保護(hù)工作部門應(yīng)當(dāng)在收到報(bào)告后，及時(shí)向國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門報(bào)告。

“實(shí)行動(dòng)態(tài)的預(yù)警和監(jiān)控，是該《條例》的一大亮點(diǎn)，但如何實(shí)現(xiàn)對(duì)于關(guān)鍵基礎(chǔ)設(shè)施的動(dòng)態(tài)感知，又是《條例》落地的難點(diǎn)?！焙柭蓭熓聞?wù)所合伙人楊建媛從事網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、反腐敗等領(lǐng)域法律服務(wù)多年，她在接受第一財(cái)經(jīng)記者采訪時(shí)說(shuō)，《條例》給出了一個(gè)探索方向，即建立安全信息同享機(jī)制。

根據(jù)《條例》，國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機(jī)制，及時(shí)匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息，促進(jìn)有關(guān)部門、保護(hù)工作部門、運(yùn)營(yíng)者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。

但由于網(wǎng)絡(luò)安全信息共享涉及到眾多部門、單位、行業(yè)和數(shù)據(jù)，何延哲認(rèn)為，還需不斷探索才能達(dá)成“一盤棋”的效果?！翱梢哉f(shuō)，《條例》的發(fā)布只是工作的開始，還需要大量的實(shí)踐來(lái)不斷印證、完善?！?/span>

此外，何延哲還稱，雖然《條例》或?qū)⒔o運(yùn)營(yíng)者帶來(lái)額外的經(jīng)營(yíng)成本和風(fēng)險(xiǎn)，但也包含了多條保障和促進(jìn)的條目，并明確國(guó)家、行業(yè)主管部門等對(duì)運(yùn)營(yíng)者的協(xié)助、幫扶事項(xiàng)。

“不過，正因?yàn)楸徽J(rèn)定為CII運(yùn)營(yíng)者既是責(zé)任也是權(quán)利，還需警惕運(yùn)營(yíng)者以安全防護(hù)之名，行抑制競(jìng)爭(zhēng)之實(shí)。”方燕進(jìn)一步表示，在《條例》落地后，或存在運(yùn)營(yíng)者打著“維護(hù)安全”的旗號(hào)，以維護(hù)數(shù)據(jù)和隱私等安全為名阻止同行業(yè)競(jìng)爭(zhēng)對(duì)手接入自己的信息平臺(tái)?！斑@需要后續(xù)監(jiān)管更加精細(xì)化，否則存在隱患?！?/span>

互聯(lián)網(wǎng)平臺(tái)納入監(jiān)管？

不久之前，網(wǎng)絡(luò)安全審查首次行動(dòng)指向赴美上市的互聯(lián)網(wǎng)公司，其依據(jù)為《網(wǎng)絡(luò)安全法》第三十五條規(guī)定：“CII的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。”

那么，《條例》落地后，是否意味著大型互聯(lián)網(wǎng)平臺(tái)會(huì)被納入CII？

楊建媛認(rèn)為，由于互聯(lián)網(wǎng)平臺(tái)擁有海量重要數(shù)據(jù)和個(gè)人數(shù)據(jù)，潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)較大，且業(yè)務(wù)發(fā)展對(duì)社會(huì)經(jīng)濟(jì)運(yùn)行產(chǎn)生重要影響，不排除會(huì)有一批大型互聯(lián)網(wǎng)平臺(tái)被認(rèn)定為CII。

根據(jù)《條例》，CII認(rèn)定需考慮三點(diǎn)因素：其一，網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；其二，網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來(lái)的危害程度；其三，對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

“由此可見，互聯(lián)網(wǎng)平臺(tái)應(yīng)被納入CII。但該《條例》并不是專門針對(duì)互聯(lián)網(wǎng)平臺(tái)而設(shè)置的，而是出于保障產(chǎn)業(yè)安全、網(wǎng)絡(luò)安全和經(jīng)濟(jì)系統(tǒng)安全的需要，包含面會(huì)更廣。”中國(guó)人民大學(xué)數(shù)字經(jīng)濟(jì)研究中心主任李三希對(duì)第一財(cái)經(jīng)稱。

《條例》公布的第二日，商務(wù)部就《直播電子商務(wù)平臺(tái)管理與服務(wù)規(guī)范》行業(yè)標(biāo)準(zhǔn)（征求意見稿）公開征求意見，其中包含了信息安全管理要求。

李三希認(rèn)為，網(wǎng)站（黨政機(jī)關(guān)網(wǎng)站、新聞網(wǎng)站、企業(yè)網(wǎng)站等）、平臺(tái)（社交、網(wǎng)購(gòu)類等平臺(tái)），以及生產(chǎn)業(yè)務(wù)類（辦公業(yè)務(wù)類系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計(jì)算平臺(tái)等）均應(yīng)包含在CII中。

個(gè)人數(shù)據(jù)泄露和數(shù)據(jù)跨境流通的安全性問題，一直是互聯(lián)網(wǎng)平臺(tái)治理的重難點(diǎn)。吳沈括認(rèn)為，該《條例》雖未直接涉及數(shù)據(jù)跨境制度的設(shè)計(jì)，但對(duì)于數(shù)據(jù)本身，包括數(shù)據(jù)安全和個(gè)人信息保護(hù)問題，給予了高度關(guān)注。

根據(jù)《條例》，運(yùn)營(yíng)者在負(fù)責(zé)本單位的CII安全保護(hù)工作時(shí)，應(yīng)履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度。

事實(shí)上，在CII中的重要數(shù)據(jù)出境治理上，《網(wǎng)絡(luò)安全法》第三十七條已做出規(guī)定。

方燕認(rèn)為，當(dāng)《條例》落地后，互聯(lián)網(wǎng)平臺(tái)會(huì)被納入CII。這也就意味著其數(shù)據(jù)出境需遵循《網(wǎng)絡(luò)安全法》中跨境數(shù)據(jù)流動(dòng)的基本管理原則，即CII運(yùn)營(yíng)者在境內(nèi)收集的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)遵守“本地化存儲(chǔ) +出境安全評(píng)估”的要求。

“《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》都屬于一般性法律，而《條例》聚焦于網(wǎng)絡(luò)安全方面的CII安全這一個(gè)點(diǎn)，是對(duì)《網(wǎng)絡(luò)安全法》中相應(yīng)部分的細(xì)化和落實(shí)，使得《網(wǎng)絡(luò)安全法》中的CII部分內(nèi)容具有可操作性?！狈窖喾Q。

來(lái)源：央視網(wǎng)