近日，國務(wù)院總理李克強簽署第745號國務(wù)院令，公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。

　　《條例》是《網(wǎng)絡(luò)安全法》的一部重要配套法規(guī)，用了較大的篇幅強化了關(guān)鍵信息基礎(chǔ)設(shè)施運營者的主體責任，在總則部分第四條、第六條對運營者責任作了原則規(guī)定，要求運營者依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求，在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，采取技術(shù)保護措施和其他必要措施，應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性。

　　《條例》第三章專章細化了關(guān)鍵信息基礎(chǔ)設(shè)施運營者的六大主體責任和義務(wù)。

　　一、明確建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的“三同步”原則

　　《網(wǎng)絡(luò)安全法》第三十三條：“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！薄稐l例》第十二條延續(xù)了《網(wǎng)絡(luò)安全法》確定的“三同步”原則，進一步強調(diào)“安全保護措施應(yīng)當與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用?！?/p>

　　運營者在具體落實三同步原則時，可以從以下方面理解安全保護措施應(yīng)當與關(guān)鍵信息基礎(chǔ)設(shè)施的三同步：首先，“同步規(guī)劃”，是指在網(wǎng)絡(luò)設(shè)施與信息系統(tǒng)的規(guī)劃階段同步引入安全保護措施；其次，“同步建設(shè)”，要求在項目建設(shè)階段，通過落實系統(tǒng)集成商、網(wǎng)絡(luò)服務(wù)提供商，保證相關(guān)安全技術(shù)措施的順利準時建設(shè)，保證項目上線時，安全保護措施的驗收和工程驗收同步，確保只有符合安全要求的系統(tǒng)才能上線；再次，“同步使用”，網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)安全驗收后的日常運行和維護中，應(yīng)當保持網(wǎng)絡(luò)設(shè)施與信息系統(tǒng)處于持續(xù)安全防護的水平，并符合國家的相關(guān)安全技術(shù)標準。

　　二、建立健全網(wǎng)絡(luò)安全保護制度和責任制

　　《條例》第十三條規(guī)定：“運營者應(yīng)當建立健全網(wǎng)絡(luò)安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責，領(lǐng)導關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問題?！?/p>

　　首先，為了確保我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全運行，運營者應(yīng)當建立健全網(wǎng)絡(luò)安全保護制度和責任制，并從制度層面保障人力、財力、物力投入。2021年7月12日，工信部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）（征求意見稿）》，其中提出，到2023年，電信等重點行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例達10%。同時，推進網(wǎng)絡(luò)安全與信息化同步規(guī)劃、同步建設(shè)和同步使用，健全網(wǎng)絡(luò)安全管理和技術(shù)保障體系。

　　其次，明確運營者的“一把手”對本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責，并重點夯實三大職責：一是領(lǐng)導關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護；二是領(lǐng)導組織對重大網(wǎng)絡(luò)安全事件的處置工作；三是組織研究解決重大網(wǎng)絡(luò)安全問題。

　　三、應(yīng)當設(shè)置專門的安全管理機構(gòu)

　　《條例》第十四條規(guī)定：“運營者應(yīng)當設(shè)置專門安全管理機構(gòu)，并對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查。審查時，公安機關(guān)、國家安全機關(guān)應(yīng)當予以協(xié)助?！?/p>

　　運營者應(yīng)當設(shè)置專門安全管理機構(gòu)，全面履行網(wǎng)絡(luò)設(shè)施與信息系統(tǒng)的安全保護職責，并參與本單位與網(wǎng)絡(luò)安全和信息化建設(shè)的相關(guān)決策，參與重大網(wǎng)絡(luò)安全事件的處置，研究本單位重大網(wǎng)絡(luò)與數(shù)據(jù)安全戰(zhàn)略、技術(shù)、管理、法律等問題。

　　鑒于關(guān)鍵信息基礎(chǔ)設(shè)的安全對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)的安全關(guān)系重大，運營者對機構(gòu)負責人和關(guān)鍵崗位人員應(yīng)當進行嚴格的安全背景審查。筆者建議，應(yīng)當從以下三個方面進行安全背景審查：一是政治上可靠，必須把政治標準放在第一位，如果政治不合格、不過硬、靠不住，能力再大也不能用；二是作風上優(yōu)良，一定要做到實事求是、言行一致、與時俱進、開拓進??；三是能力上過硬，應(yīng)當強調(diào)關(guān)鍵崗位人員的綜合能力素質(zhì)，包括運用技術(shù)、管理、法律等綜合的能力，網(wǎng)絡(luò)安全是“三分技術(shù)、七分管理”，網(wǎng)絡(luò)安全的全生命周期管理是網(wǎng)絡(luò)安全的重中之重。

　　《條例》第十五條要求“專門安全管理機構(gòu)具體負責本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作”，并具體履行八項職責：一是建立健全網(wǎng)絡(luò)安全管理、評價考核制度，擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃；二是組織推動網(wǎng)絡(luò)安全防護能力建設(shè)，開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風險評估；三是按照國家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制定本單位應(yīng)急預(yù)案，定期開展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件；四是認定網(wǎng)絡(luò)安全關(guān)鍵崗位，組織開展網(wǎng)絡(luò)安全工作考核，提出獎勵和懲處建議；五是組織網(wǎng)絡(luò)安全教育、培訓；六是履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度；七是對關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、建設(shè)、運行、維護等服務(wù)實施安全管理；八是按照規(guī)定報告網(wǎng)絡(luò)安全事件和重要事項。

　　四、進行網(wǎng)絡(luò)安全檢測和風險評估

　　《網(wǎng)絡(luò)安全法》第三十八條要求：“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。”

　　《條例》第十七條基本沿用了《網(wǎng)絡(luò)安全法》第三十八條的規(guī)定，強調(diào)“運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，并按照保護工作部門要求報送情況?！?/p>

　　網(wǎng)絡(luò)安全檢測和風險評估，包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)軟件安全，重點評估網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及其系統(tǒng)中的數(shù)據(jù)安全是否受到全面的保護，尤其評估網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)在遭受到破壞、更改或數(shù)據(jù)泄露，網(wǎng)絡(luò)系統(tǒng)是否能夠連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷等。2015年10月，美國防部發(fā)布了《網(wǎng)絡(luò)安全檢測與評估指南》，主要針對美國國防部內(nèi)部及其他關(guān)鍵信息系統(tǒng)的網(wǎng)絡(luò)信息環(huán)境開展安全性檢測與評估工作，并提供了一系列的關(guān)鍵技術(shù)理論和指導方法，尤其是對整個生命周期實施網(wǎng)絡(luò)空間安全測試和評估提出了六個階段的安全檢測和評估，一是理解網(wǎng)絡(luò)空間安全需求；二是監(jiān)測網(wǎng)絡(luò)攻擊特征化；三是網(wǎng)絡(luò)漏洞識別協(xié)作；四是對抗性網(wǎng)絡(luò)空間安全測試與評估；五是漏洞協(xié)作和滲透評估；六是對抗性評估。

　　五、履行重大網(wǎng)絡(luò)安全事件報告制度

　　《條例》第十八條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運營者應(yīng)當按照有關(guān)規(guī)定向保護工作部門、公安機關(guān)報告。

　　發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運行或者主要功能故障、國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時，保護工作部門應(yīng)當在收到報告后，及時向國家網(wǎng)信部門、國務(wù)院公安部門報告?！?/p>

　　關(guān)鍵信息基礎(chǔ)設(shè)的網(wǎng)絡(luò)安全事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件，可分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他事件。

　　根據(jù)中央網(wǎng)信辦發(fā)布的《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的規(guī)定，符合下列情形之一的，為特別重大網(wǎng)絡(luò)安全事件：一是重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力；二是國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成特別嚴重威脅；三是其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡(luò)安全事件。

　　根據(jù)上述《應(yīng)急預(yù)案》的規(guī)定，符合下列情形之一且未達到特別重大網(wǎng)絡(luò)安全事件的，為重大網(wǎng)絡(luò)安全事件：一是重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成系統(tǒng)長時間中斷或局部癱瘓，業(yè)務(wù)處理能力受到極大影響；二是國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴重威脅；三是其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成嚴重威脅、造成嚴重影響的網(wǎng)絡(luò)安全事件。

　　首先，《條例》第十八條第一款要求在兩種情況下，運營者應(yīng)當按照有關(guān)規(guī)定向保護工作部門、公安機關(guān)報告，一是關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件；二是關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅。前者是已經(jīng)出現(xiàn)了重大網(wǎng)絡(luò)安全事件，后者是察覺到面臨重大網(wǎng)絡(luò)安全的威脅。

　　其次，《條例》第十八條第二款要求發(fā)生或發(fā)現(xiàn)以下六種特別重大的網(wǎng)絡(luò)安全事件，保護工作部門應(yīng)當在收到運營者的報告后，及時向國家網(wǎng)信部門、國務(wù)院公安部門報告：一是發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運行或者主要功能故障；二是國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露；三是較大規(guī)模個人信息泄露；四是造成較大經(jīng)濟損失；五是違法信息較大范圍傳播；六是發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅。

　　六、確保采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)

　　為了防止關(guān)鍵信息基礎(chǔ)設(shè)施因使用的產(chǎn)品和服務(wù)存在安全缺陷或其他隱患而受到攻擊、破壞，從而危害國家安全，我國《網(wǎng)絡(luò)安全法》第三十五條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查?！稐l例》第十九條在沿用《網(wǎng)絡(luò)安全法》第三十五的基礎(chǔ)上特別增加了“運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”的規(guī)定，即“運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查?！?/p>

　　為了確保運營者采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，《條例》第二十條提出了運營者在簽訂采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)合同時，應(yīng)在合同中明確以下核心內(nèi)容，一是應(yīng)當按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議；二是應(yīng)當明確提供者的技術(shù)支持和安全保密義務(wù)與責任，并對其義務(wù)與責任履行情況進行監(jiān)督。

　　《網(wǎng)絡(luò)安全法》和《條例》明確要求，采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查制度，這項制度是國家安全法首先確立的一項重要法律制度，審查的內(nèi)容包括但不限于核心網(wǎng)絡(luò)設(shè)備、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)等。

　　2020年6月1日起實施的《網(wǎng)絡(luò)安全審查辦法》（下稱：《審查辦法》）確立了對影響或者可能影響國家安全的網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)，以及其他重大事項和活動，實施國家層面的安全審查制度。這是維護我國關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的一項重大法治事件，對于保障和提升國家關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護國家安全具有重大的推動作用。

　　我國網(wǎng)絡(luò)安全審查的重點是研判和評估網(wǎng)絡(luò)運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風險，根據(jù)《審查辦法》第九條的規(guī)定，主要考慮以下五大因素：一是產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風險；二是產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；三是產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應(yīng)中斷的風險；四是產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；五是其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。

　　本文作者：王春暉，浙江大學教授、博導，網(wǎng)絡(luò)空間治理與數(shù)字經(jīng)濟法治（長三角）研究基地主任兼首席專家，南京郵電大學數(shù)字經(jīng)濟戰(zhàn)略與法治研究中心主任，工信部信息通信經(jīng)濟專家委員會委員、中國通信學會網(wǎng)絡(luò)空間安全戰(zhàn)略與法律委員會副主任委員、中國互聯(lián)網(wǎng)協(xié)會應(yīng)用創(chuàng)新工作委員會副主任委員、中國法學會網(wǎng)絡(luò)與信息法學研究會常務(wù)理事、上海市法學會互聯(lián)網(wǎng)司法研究會副會長。