关键信息基础设施安保条例：细节解读

7月4日，国家网信办认定“滴滴出行”存在违法收集个人信息问题，开始对其进行网络安全审查，并要求下架整改。次日，网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。在国际环境日益恶化的情况下，信息基础设施安全引起了国家和全社会的高度重视。

8月17日，国务院公布了根据《中华人民共和国网络安全法》制定的《关键信息基础设施安全保护条例》，自2021年9月1日起正式施行。这个条例出台的背景是什么？主管部门是谁？认定标准是什么？主体责任有哪些？我们对此进行了简要的梳理。

01 出台背景

国际大背景：守成大国与新兴大国斗争全面升级，国际环境和互信降至极低水平，安全取代效率，成为国际经济活动的首要考虑因素；

行业大环境：过去十年，互联网由偏安一隅的“Nobody”，变成了屋子里的“大象”。能力越大，影响越大，对潜在竞争者的围剿也越厉害。在此情况下，全球互联网反垄断和加强监管成为潮流。中国近期的反垄断是全球反垄断潮流的一部分，但具有明显的中国特色。

导火索：7月4日，国家网信办认定“滴滴出行”存在违法收集个人信息问题，开始对其进行网络安全审查，并要求下架整改。次日，网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。滴滴事件无疑加速了对互联网平台经济安全的审查步伐。

为了保障关键信息基础设施安全，国务院根据《中华人民共和国网络安全法》，制定了本条例。依照此条例，对关键信息基础设施的安全进行审查。

02 认定标准

覆盖领域：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业。此外，如果某行业的网络设施或信息系统遭到破坏、丧失功能或发生数据泄露时，可能导致严重危害国家安全后果的，也应当被覆盖。

认定规则：保护工作部门应当结合本行业及领域的实际情况，按照以下三个因素考虑认定关键基础设施：

1）定性：网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度。从被审查的滴滴、运满满、货车帮及BOSS直聘可以看出，这几家公司所掌握的数据，可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况，这些数据对于这些公司的主营业务影响重大。其信息系统所含数据的重要性对于网络安全至关重要，是首要的认定标准。

2）定量：网络设施、信息系统等一旦遭到破坏、丧失功能或数据泄露可能带来的危害程度。一般认为，用户数量可以衡量数据泄露后的危害程度标准之一。例如，滴滴在中国拥有3.77亿年活跃用户和1300万年活跃司机；BOSS直聘年活跃用户1980万，共服务超8580万求职者，630万家企业（截至21.3.31）。由于拥有大量的用户，这些公司的信息系统自然掌握了该行业绝大部分的深度数据，显然更需要被认定为关键基础设施。

3）定界：对其他行业和领域的关联性影响。每个行业都处于产业链的某一位置，如果发生数据泄露，必然会对其他行业和领域的关联性产生影响，甚至可能发生某一产业链条上系统性的数据泄露情况。

03 主管部门

国家网信部：负责统筹领导工作；

公安部门：负责指导监督关键信息基础设施的安全保护工作；

电信主管部门和其他有关部门：负责关键信息基础设施安全保护和监督管理工作；

省政府有关部门：对关键信息基础设施实施安全保护和监督管理；

此外，《条例》第一章第八条中，将上述涉及的重要行业和领域的主管部门、监督管理部门统一认定为保护工作部门。

04 主体责任

企业是运营者主体。《条例》第三章，规定了运营者的主体责任义务，指出运营者应当建立网络安全保护制度和责任制，并特别强调，运营者应当设置专门安全管理机构，以具体负责本单位的关键基础设施安全保护工作。《条例》规定，安全管理机构需要履行以下职责：

1.建立网络安全评价考核制度；

2.开展网络安全风险评估。要求运营者应当自行或委托网络安全服务机构对关键信息基础设施每年至少一次网络安全检测和风险评估；

3.制定网络安全应急预案。要求运营者在关键信息基础设施发生重大网络安全事件时，应当向向保护工作部门、公安机关报告；

4.组织开展网络安全工作考核。此外，保护工作部门也会定期对关键信息设施进行检查检测；

5.组织网络安全教育培训；

6.建立健全个人信息和数据安全保护制度。这意味着对网络数据安全的审查要具体到公司个人；

7.关键基础设施的设计、建设、运行、维护等服务实施安全管理。这意味着安全管理机构本身要自我约束，对于整个流程要杜绝威胁网络安全行为发生；

8. 披露与报告网络安全事件和事项

此外，《条例》同时指出，未经保护工作部门及运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或危害关键信息基础设施安全的活动。

05 保障措施

1.优先保障能源、电信行业的关键信息基础设施；

2.国家鼓励网络安全人才从事关键信息基础设施安全保护工作。将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系；

3.支持相关网络安全防护技术创新和产业发展。组织力量实施安全技术攻关；

4.加强网络安全军民融合。要求军地协同保护关键信息基础设施安全。

06 法律责任

《条例》第五章第四十条规定，以下两种情形会被做出处罚：

1.关键信息基础设施发生重大网络安全事件；

2.关键信息基础设施发现重大网络安全事件威胁，而拒不改正；

如果上述两种情形发生，对运营者（公司）处以10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

此外，如果运营者采购了影响国家安全的网络产品和服务，并且未进行安全审查，处以采购金额1倍以上10以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。