汉坤 • 观点 |《关键信息基础设施安全保护条例》速读

作者：汉坤律师事务所 段志超丨蔡克蒙丨汪向阳

2021年8月17日，国务院正式公布了《关键信息基础设施安全保护条例》（“《条例》”），将于2021年9月1日起正式施行。从2017年征求意见至今，《条例》历时三年多终于出台。《条例》是《网络安全法》重要配套行政法规，对《网络安全法》中关于关键信息基础设施安全相关规定进行了细化和落实，将为关键信息基础设施安全保护工作提供有力法治保障。本文旨在对《条例》的要点进行梳理，解读《条例》规定的关键信息基础设施保护要求。

一、 关键信息基础设施的认定机制

《条例》首先勾勒出了关键信息基础设施大致的认定机制。

• 负责认定的主体。《条例》明确了相关重要行业、领域的主管部门和监督管理部门是关键信息基础设施的保护工作部门（“保护工作部门”），在公安部门统一指导下开展关键信息基础设施认定工作。

• 制定认定规则。《条例》规定由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则。

• 组织认定并通知结果。《条例》规定保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，认定结果应及时通知运营者。因此，运营者的相关网络设施、信息系统是否属于关键信息基础设施系以保护工作部门认定为准，而非运营者自我判断。此外，《条例》并未要求保护工作部门公布认定结果，而仅要求将认定结果通知公安部，这可能主要是出于关键信息基础设施保护的保密性要求考虑。

• 发生变化后重新认定。关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。

二、 关键信息基础设施的认定标准

《条例》第二条对关键信息基础设施基本沿用了《网络安全法》中的定义，将关键信息基础设施界定为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。该定义从重点行业和系统信息泄露风险两个角度对关键信息基础设施进行界定，仅在《网络安全法》定义基础上增加了国防科技工业这一重要行业。

《条例》第九条第二款指出，保护工作部门制定关键信息基础设施认定规则应当主要考虑下列因素：（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。根据公安部2020年制定的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，可能被认定关键信息基础设施的包括“基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象”。

三、 关键信息基础设施运营者的义务

除一般网络运营者均应履行的义务以外，下表总结了《条例》规定的关键信息基础设施运营者应履行的特别义务及对应法律责任。

（点击图片查看大图）

四、 结语

关键信息基础设施安全保护是网络安全保护的基石，对于维护国家安全、经济健康发展、维护社会稳定和社会公共利益具有重要的意义。《条例》落实了《网络安全法》对关键信息基础设施的保护规定，在《网络安全法》的框架下，细化了关键信息基础设施运营者的义务和责任。关键信息基础设施运营应当严格按照《条例》的规定，落实主体责任，保护关键信息基础设施的安全。

段志超

+86 10 8516 4123

kevin.duan@hankunlaw.com

业务领域

知识产权诉讼、数据合规、知识产权交易

蔡克蒙 | 汉坤律师事务所

汪向阳 | 汉坤律师事务所