《关键信息基础设施安全保护条例》出台 大型互联网平台或被纳入

原标题：《关键信息基础设施安全保护条例》出台，大型互联网平台或被纳入

21世纪经济报道 记者张雅婷 见习记者郭美婷 广州报道

8月17日， 国务院公布《关键信息基础设施安全保护条例》（以下称《条例》）。

《条例》对关键信息基础设施的范围认定、各监管部门的职责、运营者责任义务等内容提出具体要求。作为《网络安全法》的重要配套法规，表明关键信息基础设施的安全与保护已成为网络安全领域的命脉，任何相关主体均不得逾越该制度红线。

相比2017年的征求意见稿，《条例》制定了关键信息基础设施的三项认定规则，同时确保方向正确和具体落地实施的可操作性。多位专家表示，新兴互联网平台也可能被纳入关键信息基础设施的范围。

关键信息基础设施的认定

关键信息基础设施的判定方式与范围一直是行业内外的焦点。

2017年7月，国家互联网信息办公室发布《关键信息基础设施安全保护条例（征求意见稿）》。

该文件通过非穷尽式列举行业和领域以及危害后果的形式，给出了关键信息基础设施运营者的范围。

对外经济贸易大学数字经济与法律创新研究中心执行主任许可分析，在征求意见稿中采用列举的方法，可能导致两个弊端，其一是列举不全，其二是列举过于宽泛，比如电信、广播电视等，某些小地方的新闻单位未必属于关键信息基础设施。此外，关键信息基础设施切实关联到国家安全和国家命脉，范围若完全公开，可能会成为未来网络攻击中的靶子。从世界范围来看，关键信息基础设施的范围一般实行保密清单制度。

正式《条例》则在总则表明了关键信息基础设施的定义，即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

《条例》制定了关键信息基础设施认定规则，提出应当主要考虑下列因素：

（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；

（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

（三）对其他行业和领域的关联性影响。

这一认定方式，从总体认定了规则和标准，具体则由重要领域和行业的主管部门、监管部门来进行划定。

“征求意见稿列出关键信息基础设施具体范围的方式比较僵化。在主要因素确定的情况下，交由行业主管部门或监督管理部门确定更为灵活。”北京市安理律师事务所高级合伙人王新锐认为，这一修改，与《数据安全法》对于数据的管理思路接近。

吴沈括认为，这种制度安排的优势，一方面保证了关键信息基础设施划定当中标准的统一协调，另一方面有助于发挥保护工作部门的主观能动性，更好结合各自行业及部门的实际情况做出具体认定，对于各类风险态势的具体感知和实际应对更具可行性。

互联网平台或被纳入范围

由于关键信息基础设施，包括公共通信和信息服务等重要行业和领域的网络设施、信息系统，而且新兴互联网平台用户规模普遍在亿级以上，掌握着海量的个人信息和重要数据，一旦遭到破坏或者丧失功能、发生数据泄露，带来的危害程度不亚于传统行业。

多位专家表示，大型互联网平台也可能被纳入关键信息基础设施的范围。

“这也是立法者针对目前的实际生态发展情况、技术发展情况和业态发展情况所做出的一个重要的制度设定。”北京师范大学网络法治国际中心执行主任吴沈括说。

不过，对于被纳入关键信息基础设施后的监管方向，例如是否会为平台反垄断带来指导意义，法律业内人士则持有不同看法。

许可表示，二者的出发点和着眼点不同，《条例》关注的是国家安全，平台反垄断规制的是市场秩序。

大成律师事务所高级合伙人邓志松则认为，结合今年国务院反垄断委员会发布的《平台经济领域的反垄断指南》来看，如果某一平台被认定为构成关键信息基础设施，则其在反垄断法的语境下，可能构成必需设施的认定因素之一。

“被认定为反垄断法意义上必需设施的企业，由此会伴随开放有关设施，供包括竞争对手在内的第三方合理使用数据等义务。”邓志松说。

设置专门安全管理机构

对于关键信息基础设施运营者的责任义务，《条例》在制度保障、组织架构、防护能力等各方面提出要求。

在邓志松看来，对于运营者而言，需要迫切履行的应当是“运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查”这项规定，以此确立问责制度合规框架。实践中，曾有不少企业因未确定网络安全负责人而被工信部和公安机关处罚。

针对专门安全管理机构的职责，《条例》提出更加具体的规范，包含建立健全网络安全管理、评价考核制度；组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；制定网络安全事件应急预案并定期应急演练；认定网络安全关键岗位，开展考核，提出奖励和惩处建议；组织网络安全教育、培训；履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；对关键信息基础设施设计、建设、运行、维护等服务实施安全管理等。

上述职责中，吴沈括认为“履行个人信息和数据安全保护责任”在实际落地过程中有较大的挑战性，关键信息基础设施所面对的数据量大、应用场景复杂、数据流转结构丰富，企业需要在保障安全上进行更大投入。

邓志松表示，审查和梳理网络产品和服务采购链条、保证供应链安全可能难度较大。对于大型或者超大型企业来说，由于产品多样、供应商众多，企业外包的服务类型多样，完成此项梳理工作并非易事。特别是在供应链全球化和市场全球化的背景下，供应商和客户分布于世界不同的国家，会进一步增加相关经营者落实此项义务的难度。

《网络安全法》配套法规

实际上，关键信息基础设施的概念首次通过《网络安全法》在我国法律层面明确。

对关键信息基础设施安全防护提出专门要求：国家采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序；要求关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。

此后，多个文件对关键信息基础设施的界定及安全防护等方面进行更细致的规定。

为了确保关键信息基础设施供应链安全，维护国家安全，国家互联网信息办公室联合国家发展和改革委员会、工业和信息化部和公安部等12部门2020年4月联合出台《网络安全审查办法》。

2020年7月，公安部发布《贯彻落实网络安全等保制度和关保制度的指导意见》；8月，信安标委发布了《信息安全技术 关键信息基础设施边界确定方法》和《信息安全技术 关键信息基础设施安全防护能力评价方法》两个标准的征求意见稿，对关键信息基础设施边界确定和安全防护能力评价提出相应规范要求。

不过，此前颁布的关于关键信息基础设施的文件，其立法层级都不高。此次《条例》由国务院发布，属于行政法规，其效力仅次于《网络安全法》，远高于部门规章或不具法律效力的国家标准。

“《条例》作为《网络安全法》的配套规则，主要关注点还是国家安全，出台后将会给大型企业带来更大的合规压力。”王新锐表示，在条例正式落地前，已有很多企业在进行相应的合规工作，以期望减少各类网络安全风险事件、数据泄露事件。

“随着《条例》的出台和执行，一方面能够强化关键信息基础设施运营者的合规风控水平和能力建设，另一方面对于民众的个人信息和数据安全保护能够明显的提高力度。同时，在当下数字风险不断扩散的时代背景下，对于公共安全、产业供应链安全以及国家安全具有重大的制度性意义。”吴沈括说。

（作者：张雅婷，见习记者郭美婷 ）

责任编辑：何中夫