關(guān)鍵信息基礎(chǔ)設(shè)施（critical information infrastructure,CII）保護是加強網(wǎng)絡(luò)安全立法的重點任務(wù)之一，正迎來頂層設(shè)計和法律法規(guī)的密集發(fā)布。

8月17日，國務(wù)院發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（下稱《條例》），對CII安全保護的適用范圍、監(jiān)管主體、評估對象等基礎(chǔ)要素做出界定，并為安全保護工作開展提供系統(tǒng)指引和工作遵循。《條例》將自今年9月1日起施行。

“這標志著我國網(wǎng)絡(luò)安全保護進入了以CII安全保護為重點的新階段?！敝袊畔⑼ㄐ叛芯吭涸洪L余曉暉表示，作為《網(wǎng)絡(luò)安全法》的重要配套立法，《條例》積極應(yīng)對國內(nèi)外網(wǎng)絡(luò)安全保護的主要問題和發(fā)展趨勢，為下一步加強CII安全保護工作提供了重要法治保障。

中國社會科學院經(jīng)濟學博士方燕從事網(wǎng)絡(luò)安全、平臺反壟斷等領(lǐng)域研究多年。他對第一財經(jīng)表示，該《條例》讓企業(yè)在CII安全保護方面的權(quán)利和責任得以合法化，也反映出政府在監(jiān)管方面縱向橫向貫通、各界共同參與網(wǎng)絡(luò)安全治理的新方向。

歷時4年

從《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（征求意見稿）（下稱“征求意見稿”）的發(fā)布到《條例》的正式出爐，共歷時四年有余。

2016 年 11 月《網(wǎng)絡(luò)安全法》出臺，第一次正式提出“CII”這一概念，并指出“對于CII在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上進行重要的保護工作”。

2017年7月，國家網(wǎng)信辦發(fā)布征求意見稿，但業(yè)界普遍認為，征求意見稿在CII的認定、法律保護范圍等方面尚不明晰。

同年，國家標準化管理委員會對《信息安全技術(shù)CII安全保護要求》和《信息安全技術(shù)CII安全控制措施》進行立項，旨在壓實CII運營者的基本責任。但截至目前，二者分別處于報批稿和草稿階段，均尚未發(fā)布。

“當前，CII面臨的網(wǎng)絡(luò)安全形勢日趨嚴峻，網(wǎng)絡(luò)攻擊威脅上升，事故隱患易發(fā)多發(fā)，安全保護工作還存在法規(guī)制度不完善、工作基礎(chǔ)薄弱、資源力量分散、技術(shù)產(chǎn)業(yè)支撐不足等突出問題，亟待建立專門制度，明確各方責任，加快提升CII安全保護能力?！比涨埃痉ú?、網(wǎng)信辦、工信部、公安部負責人就《條例》有關(guān)問題答記者問時稱。

時隔4年，據(jù)司法部消息，7月30日，國務(wù)院總理李克強簽署第745號國務(wù)院令，《條例》出臺。隨后，8月17日，中國政府網(wǎng)公開了《條例》全文，9月1日起，該《條例》將正式施行。

作為一份針對中國CII安全保護的專門性行政法規(guī)，和指導(dǎo)國家網(wǎng)絡(luò)安全保障工作的基礎(chǔ)性行政法規(guī)，《條例》對于此前一直存在的問題做出了回應(yīng)，如CII的定義和認定范圍不明確、運營者主體責任和監(jiān)管部門職責分工不清晰等。

相較于2017年的征求意見稿，北京師范大學網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括對第一財經(jīng)表示，《條例》更為體系化。

他表示，一方面，在綜合協(xié)調(diào)、分工負責、依法保護原則指導(dǎo)下，《條例》進一步明確了統(tǒng)籌協(xié)調(diào)機關(guān)、指導(dǎo)監(jiān)督機關(guān)以及保護和監(jiān)督管理機關(guān)等各方主體的職責權(quán)限；另一方面，《條例》側(cè)重厘清CII的認定標準，有助于更好發(fā)揮保護工作部門的主動性、積極性，便于各行業(yè)、各地區(qū)根據(jù)實際情況做出更有針對性的具體決定。

中國電子技術(shù)標準化研究院網(wǎng)安中心測評實驗室副主任何延哲對第一財經(jīng)分析稱，《網(wǎng)絡(luò)安全法》實施已四年有余，針對CII的專門性法規(guī)才得以出臺，由此可見，《條例》中諸多細節(jié)的復(fù)雜性和制定《條例》的審慎性。

“此前，各主管部門雖對重要信息系統(tǒng)和平臺等有相應(yīng)的增強式保護手段，但缺少長效保障機制，如今《條例》的出臺，從法規(guī)層面明確了重點保護范圍和措施，這讓CII保護工作正式納入日常工作的序列?！彼f。

“一把手負責制”

根據(jù)《條例》，所謂“CII”，即指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

《條例》稱，強化和落實CII運營者（下稱“運營者”）主體責任，運營者的主要負責人對CII安全保護負總責。

對此，相關(guān)負責人在上述答記者問時稱，運營者需建立健全網(wǎng)絡(luò)安全保護制度和責任制，實行“一把手負責制”，明確運營者主要負責人負總責，保障人財物投入。

同時，在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，《條例》對運營者提出了更高的安全防護要求。

《條例》指出，落實“三同步”要求，要求安全保護措施與CII同步規(guī)劃、同步建設(shè)、同步使用，確保落實覆蓋全生命周期的安全保護。

其中，當發(fā)生CII整體中斷運行或者主要功能故障、國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時，根據(jù)《條例》，保護工作部門應(yīng)當在收到報告后，及時向國家網(wǎng)信部門、國務(wù)院公安部門報告。

“實行動態(tài)的預(yù)警和監(jiān)控，是該《條例》的一大亮點，但如何實現(xiàn)對于關(guān)鍵基礎(chǔ)設(shè)施的動態(tài)感知，又是《條例》落地的難點?！焙柭蓭熓聞?wù)所合伙人楊建媛從事網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、反腐敗等領(lǐng)域法律服務(wù)多年，她在接受第一財經(jīng)記者采訪時說，《條例》給出了一個探索方向，即建立安全信息同享機制。

根據(jù)《條例》，國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機制，及時匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息，促進有關(guān)部門、保護工作部門、運營者以及網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。

但由于網(wǎng)絡(luò)安全信息共享涉及到眾多部門、單位、行業(yè)和數(shù)據(jù)，何延哲認為，還需不斷探索才能達成“一盤棋”的效果。“可以說，《條例》的發(fā)布只是工作的開始，還需要大量的實踐來不斷印證、完善。”

此外，何延哲還稱，雖然《條例》或?qū)⒔o運營者帶來額外的經(jīng)營成本和風險，但也包含了多條保障和促進的條目，并明確國家、行業(yè)主管部門等對運營者的協(xié)助、幫扶事項。

“不過，正因為被認定為CII運營者既是責任也是權(quán)利，還需警惕運營者以安全防護之名，行抑制競爭之實?！狈窖噙M一步表示，在《條例》落地后，或存在運營者打著“維護安全”的旗號，以維護數(shù)據(jù)和隱私等安全為名阻止同行業(yè)競爭對手接入自己的信息平臺?！斑@需要后續(xù)監(jiān)管更加精細化，否則存在隱患?！?/span>

互聯(lián)網(wǎng)平臺納入監(jiān)管？

不久之前，網(wǎng)絡(luò)安全審查首次行動指向赴美上市的互聯(lián)網(wǎng)公司，其依據(jù)為《網(wǎng)絡(luò)安全法》第三十五條規(guī)定：“CII的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查?！?/span>

那么，《條例》落地后，是否意味著大型互聯(lián)網(wǎng)平臺會被納入CII？

楊建媛認為，由于互聯(lián)網(wǎng)平臺擁有海量重要數(shù)據(jù)和個人數(shù)據(jù)，潛在的數(shù)據(jù)安全風險較大，且業(yè)務(wù)發(fā)展對社會經(jīng)濟運行產(chǎn)生重要影響，不排除會有一批大型互聯(lián)網(wǎng)平臺被認定為CII。

根據(jù)《條例》，CII認定需考慮三點因素：其一，網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；其二，網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；其三，對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

“由此可見，互聯(lián)網(wǎng)平臺應(yīng)被納入CII。但該《條例》并不是專門針對互聯(lián)網(wǎng)平臺而設(shè)置的，而是出于保障產(chǎn)業(yè)安全、網(wǎng)絡(luò)安全和經(jīng)濟系統(tǒng)安全的需要，包含面會更廣?！敝袊嗣翊髮W數(shù)字經(jīng)濟研究中心主任李三希對第一財經(jīng)稱。

《條例》公布的第二日，商務(wù)部就《直播電子商務(wù)平臺管理與服務(wù)規(guī)范》行業(yè)標準（征求意見稿）公開征求意見，其中包含了信息安全管理要求。

李三希認為，網(wǎng)站（黨政機關(guān)網(wǎng)站、新聞網(wǎng)站、企業(yè)網(wǎng)站等）、平臺（社交、網(wǎng)購類等平臺），以及生產(chǎn)業(yè)務(wù)類（辦公業(yè)務(wù)類系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計算平臺等）均應(yīng)包含在CII中。

個人數(shù)據(jù)泄露和數(shù)據(jù)跨境流通的安全性問題，一直是互聯(lián)網(wǎng)平臺治理的重難點。吳沈括認為，該《條例》雖未直接涉及數(shù)據(jù)跨境制度的設(shè)計，但對于數(shù)據(jù)本身，包括數(shù)據(jù)安全和個人信息保護問題，給予了高度關(guān)注。

根據(jù)《條例》，運營者在負責本單位的CII安全保護工作時，應(yīng)履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度。

事實上，在CII中的重要數(shù)據(jù)出境治理上，《網(wǎng)絡(luò)安全法》第三十七條已做出規(guī)定。

方燕認為，當《條例》落地后，互聯(lián)網(wǎng)平臺會被納入CII。這也就意味著其數(shù)據(jù)出境需遵循《網(wǎng)絡(luò)安全法》中跨境數(shù)據(jù)流動的基本管理原則，即CII運營者在境內(nèi)收集的個人信息和重要數(shù)據(jù)應(yīng)當遵守“本地化存儲 +出境安全評估”的要求。

“《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》都屬于一般性法律，而《條例》聚焦于網(wǎng)絡(luò)安全方面的CII安全這一個點，是對《網(wǎng)絡(luò)安全法》中相應(yīng)部分的細化和落實，使得《網(wǎng)絡(luò)安全法》中的CII部分內(nèi)容具有可操作性。”方燕稱。

來源：央視網(wǎng)