附下载 | “关基条例”最终稿与征求意见稿的36条重大修订对比

来源说明：

“条例终稿”来源是中华人民共和国中央人民政府网：http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm

“条例征求意见稿”来源是中华人民共和国国家互联网信息办公室网：http://www.cac.gov.cn/2017-07/11/c_1121294220.htm

关注本公众号，回复关键词“关基条例”，可下载《关键信息基础设施安全保护条例》“终稿”、“征求意见稿”以及“终稿与征求意见稿的比对稿”三项文件。

关键信息基础设施安全保护条例

(征求意见稿）

第一章 总则

第一条 为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。

第十八条第二条　下列单位运行、管理的网络本条例所称关键信息基础设施，是指公共通信和信息系统，服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：重要网络、信息系统等。

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（二）电信网、广播电视网、互联网等信息重要网络，以及提供云计算、大数据和其他大型公共设施、信息网络服务的单位；

（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位；

（五）其他重点单位系统等。

第四条第三条　在国家行业主管或监管部门按照国务院规定的职责分工，网信部门统筹协调下，国务院公安部门负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

国家网信国务院电信主管部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密和其他有关部门依照本条例和有关法律、行政管理、国家密码管理等部门法规的规定，在各自职责范围内负责相关网络关键信息基础设施安全保护和监督管理工作。

县级以上地方省级人民政府有关部门按照国家有关规定开展依据各自职责对关键信息基础设施实施安全保护工作和监督管理。

第五条第四条　关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施的运营者（以下称简称运营者）对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受充分发挥政府和社会监督，承担及社会责任。

国家鼓励关键信息基础设施以外的网络运营者自愿参与各方面的作用，共同保护关键信息基础设施保护体系安全。

第六条第五条　国家对关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。

第八条国家，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

第六条　运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

第七条　对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。

第三二章 关键信息基础设施范围认定

第八条　本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。

第十八条第九条　下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入保护工作部门结合本行业、本领域实际，制定关键信息基础设施保护范围认定规则，并报国务院公安部门备案。

制定认定规则应当主要考虑下列因素：

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业网络设施、信息系统等对于本行业、本领域的单位关键核心业务的重要程度；

（二）电信网、广播电视网、互联网等网络设施、信息网络，以及提供云计算、大系统等一旦遭到破坏、丧失功能或者数据和其他大型公共信息网络服务的单位泄露可能带来的危害程度；

（三）国防科工、大型装备、化工、食品药品等对其他行业和领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位；的关联性影响。

（五）其他重点单位。

第十条　保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

第二十条第十一条　新建、停运关键信息基础设施，或关键信息基础设施发生重大较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告国家行业主管或监管部门。

国家行业主管或监管部门应当根据保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者报告的情况及时进行识别调整，并按程序报送调整情况，并通报国务院公安部门。

第四三章 运营者安全保护责任义务

第二十一条第十二条　建设安全保护措施应当与关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第二十二条第十三条　运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人是本单位对关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作全面负责，组织研究解决重大网络安全问题。

第二十四条第十四条　除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务：

（一）设置专门网络安全管理机构和网络安全管理负责人，并对该，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查；。审查时，公安机关、国家安全机关应当予以协助。

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；

（四）制定网络安全事件应急预案并定期进行演练；

（五）法律、行政法规规定的其他义务。

第二十五条第十五条　运营者网络专门安全管理负责人机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

（一） 组织制定）建立健全网络安全规章制度、操作规程并监督执行管理、评价考核制度，拟订关键信息基础设施安全保护计划；

（二）组织对关键岗位人员的技能考核推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

（三）组织按照国家及行业网络安全事件应急预案，制定并实施本单位应急预案，定期开展应急演练，处置网络安全教育和培训计划事件；

（四）认定网络安全关键岗位，组织开展网络安全检查和应急演练，应对处置工作考核，提出奖励和惩处建议；

（五）组织网络安全事件教育、培训；

（五六）按履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

（八）按照规定向国家有关部门报告网络安全事件和重要事项、事件。

第十三条第十六条　国家行业主管或监管部门运营者应当设立或明确保障专门负责本行业、本领域关键信息基础设施安全保护工作的管理机构和人员，编制并组织实施本行业、本领域的的运行经费、配备相应的人员，开展与网络安全规划，建立健全工作经费保障机制并督促落实。和信息化有关的决策应当有专门安全管理机构人员参与。

第二十八条第十七条　运营者应当建立健全关键信息基础设施安全检测评估制度，关键信息基础设施上线运行前自行或者发生重大变化时应当进行安全检测评估。

运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时进行整改，并将有关按照保护工作部门要求报送情况报国家行业主管或监管部门。

第三十七条第十八条　国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施发生重大网络安全监测预警和信息通报制度，及时掌握本行业、本领域事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。

发生关键信息基础设施整体中断运行状况和或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全风险，向有关运营者通报安全风险和相关事件或者发现特别重大网络安全威胁时，保护工作信息。

国家行业主管或监管部门部门应当组织对安全监测信息进行研判，认为需要立即采取防范应对措施的，应当在收到报告后，及时向有关运营者发布预警信息和应急防范措施建议，并按照国家网络安全事件应急预案的要求向有关网信部门、国务院公安部门报告。

第三十一条第十九条　运营者应当优先采购安全可信的网络产品和服务，；采购网络产品和服务可能影响国家安全的，应当按照国家网络产品和服务安全审查办法的要求，规定通过网络安全审查，并与。

第二十条　运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。

第二十一条　运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。

第二四章 支持与保障和促进

第十三条第二十二条　国家行业主管或监管部门保护工作部门应当设立或明确专门负责制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作的机构和人员，编制并组织实施本行业、本领域的网络安全规划，建立健全工作经费保障机制并督促落实任务、具体措施。

第三十六条第二十三条　国家网信部门统筹协调有关部门建立关键信息基础设施网络安全监测预警体系和信息通报制度，组织指导有关机构开展网络安全信息共享机制，及时汇总、分析研判和通报工作，按照规定统一、共享、发布网络安全监测预警威胁、漏洞、事件等信息。

第三十八条国家网信，促进有关部门统筹协调有关、保护工作部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制，促进等之间的网络安全信息共享。

第三十七条第二十四条　国家行业主管或监管部门保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度，及时掌握本行业、本领域关键信息基础设施运行状况和、安全风险，向有关运营者态势，预警通报安全风险和相关工作信息。

国家行业主管或监管部门应当组织对网络安全监测信息进行研判，认为需要立即采取防范应对措施的，应当及时向有关运营者发布预警信息和应急防范措施建议，并按照国家网络威胁和隐患，指导做好安全事件应急预案的要求向有关部门报告防范工作。

第三十九条第二十五条　国家网信保护工作部门应当按照国家网络安全事件应急预案的要求，统筹有关部门建立健全关键信息基础设施网络安全应急协作机制，加强网络安全应急力量建设，指导协调有关部门组织跨行业、跨地域网络安全应急演练。

国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案，并定期组织应急演练，提升；指导运营者做好网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后，应立即启动应急预案处置，并根据需要组织应对，并及时报告有关情况提供技术支持与协助。

第四十条第二十六条　国家行业主管或监管部门保护工作部门应当定期组织对开展本行业、本领域关键信息基础设施的网络安全风险以及运营者履行安全保护义务的情况进行抽查检查检测，提出改进措施，指导、督促监督运营者及时整改检测评估中发现的问题安全隐患、完善安全措施。

第二十七条　国家网信部门统筹协调有关国务院公安部门开展的抽查检测、保护工作，避免交叉重复检测评估部门对关键信息基础设施进行网络安全检查检测，提出改进措施。

第四十一条有关部门组织在开展关键信息基础设施网络安全检测评估，应坚持客观公正、高效透明的原则，采取科学的检测评估方法，规范检测评估流程，控制检测评估风险检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

第二十八条　运营者应当对对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法实施的检测评估开展的关键信息基础设施网络安全检查工作应当予以配合，对检测评估发现的问题及时进行整改。

第二十九条　在关键信息基础设施安全保护工作中，国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要，及时提供技术支持和协助。

第四十三条第三十条　网信部门、公安机关、保护工作部门等有关部门以及，网络安全服务机构及其工作人员对于在关键信息基础设施安全检测评估保护工作中获取的信息，只能用于维护网络安全的需要，并严格按照有关法律、行政法规的要求确保信息安全，不得用于其他用途泄露、出售或者非法向他人提供。

第十六条第三十一条　未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得从事下列危害关键信息基础设施的活动和行为：

（一）攻击、侵入、干扰、破坏对关键信息基础设施；

（二）非法获取、出售或者未经授权向他人提供实施漏洞探测、渗透性测试等可能被专门用于影响或者危害关键信息基础设施安全的技术资料等信息；

（三）未经授权对关键信息活动。对基础设施开展渗透性、攻击性扫描探测；

（四）明知他人从事危害关键信息基础设施安全的活动，仍然为其提供互联网接入、服务器托管、电信网络存储、通讯传输、广告推广、支付结算等帮助；

（五）其他危害关键信息基础设施的实施漏洞探测、渗透性测试等活动和行为，应当事先向国务院电信主管部门报告。

第十四条第三十二条　国家采取措施，优先保障能源、电信、交通等等关键信息基础设施安全运行。

能源、电信行业应当为采取措施，为其他行业和领域的关键信息基础设施网络安全事件应急处置与网络功能恢复运行提供电力供应、网络通信、交通运输等方面的重点保障和支持。

第十五条第三十三条　公安机关等部门、国家安全机关依据各自职责依法侦查加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。

第十条第三十四条　国家建立制定和完善网络关键信息基础设施安全标准体系，利用标准，指导、规范关键信息基础设施安全保护工作。

第九条第三十五条　国家制定产业、财税、金融、采取措施，鼓励网络安全专门人才等政策，从事关键信息基础设施安全保护工作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。

第三十六条　国家支持关键信息基础设施安全相关的防护技术、产品、服务创新，推广安全可信的网络产品和服务，培养和选拔网络安全人才，提高和产业发展，组织力量实施关键信息基础设施的安全水平技术攻关。

第三十七条　国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导，不断提升服务机构能力水平，充分发挥其在关键信息基础设施安全保护中的作用。

第三十八条　国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。

第七五章　法律责任

第四十五条第三十九条　运营者不有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；

（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；

（三）未建立健全网络安全保护制度和责任制的；

（四）未设置专门安全管理机构的；

（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；

（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；

（七）专门安全管理机构未履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的第十五条规定的职责的；

（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；

（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；

（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。

第四十条　运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护义务的，由有关主管工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元10万元以上一百万元100万元以下罚款，对直接负责的主管人员处一万元1万元以上十万元10万元以下罚款。

第四十七条第四十一条　运营者违反本条例第三十一条规定，使用未经安全审查或采购可能影响国家安全审查未通过的网络产品或者和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令停止使用改正，处采购金额一1倍以上十10倍以下罚款；，对直接负责的主管人员和其他直接责任人员处一万元1万元以上十万元10万元以下罚款。

第四十二条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。

第四十八条第四十三条　实个人违反本条例第十六条规定，施非法侵入、干扰、破坏关键信息基础设施，危害其安全的活动尚不构成犯罪的，依照《中华人民共和国网络安全法》有关规定，由公安机关没收违法所得，处五日5日以下拘留，可以并处五万元5万元以上五十万元50万元以下罚款；情节较重的，处五日5日以上十五日15日以下拘留，可以并处十万元10万元以上一百万元100万元以下罚款；构成犯罪的，依法追究刑事责任。

单位有前款行为的，由公安机关没收违法所得，处十万元10万元以上一百万元100万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本条例第十六条第五条第二款和第三十一条规定，受到治安管理处罚的人员，5年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事关键信息基础设施网络安全管理和网络运营关键岗位的工作。

第五十条第四十四条　网信部门、公安机关、保护工作部门和其他有关部门及其工作人员有下列行为之一未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的，依法对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任：

（一）在工作中利用职权索取、收受贿赂；

（二）玩忽职守、滥用职权；

（三）擅自泄露关键信息基础设施有关信息、资料及数据文件；

（四）其他违反法定职责的行为。

第四十四条第四十五条　公安机关、保护工作部门和其他有关部门组织在开展关键信息基础设施网络安全检测评估，不得向被检测评估单位检查工作中收取费用，不得或者要求被检测评估检查单位购买指定品牌或者指定生产、销售单位的产品和服务的，由其上级机关责令改正，退还收取的费用；情节严重的，依法对直接负责的主管人员和其他直接责任人员给予处分。

第五十条第四十六条　网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员有下列行为之一的，将在关键信息基础设施安全保护工作中获取的信息用于其他用途，或者泄露、出售、非法向他人提供的，依法对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任：

（一）在工作中利用职权索取、收受贿赂；

（二）玩忽职守、滥用职权；

（三）擅自泄露关键信息基础设施有关信息、资料及数据文件；

（四）其他违反法定职责的行为。

第五十一条第四十七条　关键信息基础设施发生重大和特别重大网络安全事件，经调查确定为责任事故的，除应当查明运营单位者责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。

第四十九条第四十八条　国家机关电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，由其上级机关或者依照《中华人民共和国网络安全法》有关机关责令改正；对直接负责的主管人员和其他直接负责人员依法给予处分规定予以处理。

第四十九条　违反本条例规定，给他人造成损害的，依法承担民事责任。

违反本条例规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第八六章 附则

第五十三条第五十条　存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。

关键信息基础设施中的密码使用和管理，还应当遵守密码相关法律、行政法规的规定。

第五十四条军事关键信息基础设施的安全保护，由中央军事委员会另行规定。

第五十五条第五十一条　本条例自****年**月**2021年9月1日起施行。

关注本公众号，回复关键词“关基条例”，可下载《关键信息基础设施安全保护条例》“终稿”、“征求意见稿”以及“终稿与征求意见稿的比对稿”三项文件。