发布时间:2021-08-18
作者:秦英 肖莆羚令
关键信息基础设施承载或支撑着重要行业和领域关键业务,并成为各行各业运行体系所依赖的关键节点,一旦遭到破坏,通过关联行业、领域逐渐传递,会给国民经济和国家安全造成连锁连片影响的严重后果。完善关键信息基础设施保护法律体系,全面提升关键信息基础设施安全保护意识、保障能力和水平,已经成为网络安全博弈的制胜关键。
2021年8月17日,国务院总理签署国务院令第745号,公布《关键信息基础设施安全保护条例》(以下简称“《条例》”),《条例》自2021年9月1日起施行。本文将以问答形式对《条例》的主要内容进行解析。
1.《条例》的立法背景是什么?其法律位阶如何?
《条例》从法律位阶上属于行政法规,是2017年施行的《中华人民共和国网络安全法》(“《网络安全法》”)的下位法。《条例》的发布,旨在落实《网络安全法》有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。
除《网络安全法》和《条例》之外,《网络安全审查办法》从供应链安全的角度,对关键信息基础设施采购网络产品和服务的行为做出了规范;《信息安全技术 关键信息基础设施安全保护要求》站在运营者的角度,对开展安全保护工作提出了安全基本要求,为运营者落实安全主体责任提供依据;《信息安全技术 关键信息基础设施安全检查评估指南》提出了对关键信息基础设施安全检查评估的流程和指标;《信息安全技术 关键信息基础设施安全控制措施》《信息安全技术 关键信息基础设施安全防护能力评价方法》《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》等标准提出了运营者加强安全保护的措施手段,为有效开展自身安全能力建设、提高安全防护水平提供了全方位、系统化、层次化的标准化指导。
2.关键信息基础设施的判定标准是什么,具体包含哪些内容?
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
至于关键信息基础设施的认定标准,《条例》规定,由以上重要行业和领域的主管部门、监督管理部门负责制定关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施。由此可知关键信息基础设施遵循事先认定原则。
但是,《条例》没有对关键信息基础设施的具体判定标准做出规定。根据2016年生效的《国家网络安全检查操作指南》,确定关键信息基础设施的步骤包括:
(1)下表所列业务为该行业的关键业务
|
行业 |
关键业务 |
|
|
能源 |
电力 |
|
|
石油石化 |
|
|
|
煤炭 |
|
|
|
金融 |
|
|
|
交通 |
铁路 |
|
|
民航 |
|
|
|
公路 |
|
|
|
水运 |
|
|
|
水利 |
|
|
|
医疗卫生 |
|
|
|
环境保护 |
|
|
|
工业制造 (原材料、装备、消费品、电子制造) |
|
|
|
市政 |
|
|
|
电信与互联网 |
|
|
|
广播电视 |
|
|
|
政府部门 |
|
|
(2)确定关键业务相关的信息系统或工业控制系统
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(3)认定关键信息基础设施
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A. 网站类
a) 县级(含)以上党政机关网站
b) 重点新闻网站
c) 日均访问量超过100万人次的网站
d) 一旦发生网络安全事故,可能造成以下影响之一的:
B.平台类
a) 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。
b) 日均成交订单额或交易额超过1000万元。
c) 一旦发生网络安全事故,可能造成以下影响之一的:
C.生产业务类
a) 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。
b) 规模超过1500个标准机架的数据中心。
c) 一旦发生安全事故,可能造成以下影响之一的:
3.关键信息基础设施运营者的主要的责任和义务有哪些?
《条例》在总则部分对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
《条例》还设专章(第三章)细化了有关义务要求,主要包括:
此外,关键信息基础设施运营者还负有应急预案、应急演练、网络安全教育培训等义务。
与2017年的征求意见稿相比,正式施行的《条例》删减了网络日志留存、数据分类和加密、重要系统和数据库容灾备份、技术人员持证上岗等运营者义务。我们理解,这是因为在过去四年间,多部网络安全、数据安全和个人信息安全的相关法律法规出台,其内容已经妥善覆盖了2017年征求意见稿的相关要求,无需再对义务人进行重复约束。
4.关键信息基础设施的主管部门是谁?其各自的职责有哪些?
《条例》第三条规定在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
保护工作部门对本行业、本领域关键信息基础设施的安全保护责任包括:
与2017年的征求意见稿相比,正式施行的《条例》明确了公安部门在监督关键信息基础设施安全保护工作中的“领头羊”地位,并且将负责的政府部门的层级从县级提升至省级,有助于提高省级范围内监管机构行动的一致性和统一性。
5.违反《条例》将受到哪些惩罚?
《条例》针对关键信息基础设施运营者未能履行安全保护义务的具体情形,分别规定了警告、罚款、追究民事、行政、刑事责任等处理措施;对失职渎职的主管部门以及工作人员给予处分;实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以罚款、行政拘留和刑事处罚。
实践中,一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全。《条例》一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。三是在法律责任章节中专门规定了相应罚则。
作者简介:
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
Copyright © 2020 立方律师 京ICP备09037220号-1 京公网安备11010102000452号 
