“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)?！痹诖嘶A(chǔ)上，國(guó)務(wù)院依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》制定《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（下稱“條例”），《條例》的出臺(tái)一定意義上為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供了方向性規(guī)定，但具體實(shí)操性標(biāo)準(zhǔn)等還需各部門(mén)或者國(guó)家標(biāo)準(zhǔn)待具體規(guī)定。本文僅就《條例》對(duì)《網(wǎng)絡(luò)安全法》細(xì)化規(guī)則進(jìn)行對(duì)比和解讀，以便為大家實(shí)務(wù)操作提供參考。

　　一、對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定

　　《條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的定義，是“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”?！稐l例》從定義、主體、認(rèn)定依據(jù)三個(gè)方面對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行的規(guī)定，具體為：

　?。ㄒ唬┒x

　　從《條例》的規(guī)定中我們可以看出，“關(guān)鍵信息基礎(chǔ)設(shè)施是重要行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等，或者其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”，從定義上看，不僅是重要行業(yè)和領(lǐng)域，一般的行業(yè)和領(lǐng)域，只要其重要的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)一旦遭到破壞，可能?chē)?yán)重危害三大利益的，也可以被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施。這里面需要注意的是不管是重要行業(yè)和領(lǐng)域，還是一般行業(yè)和領(lǐng)域，被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的均為重要的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，而非一般的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)。

　?。ǘ┱J(rèn)定依據(jù)方面

　　《條例》將行業(yè)和領(lǐng)域的主管部門(mén)、監(jiān)督管理部門(mén)認(rèn)定為保護(hù)工作部門(mén)，而保護(hù)工作部門(mén)結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則，并報(bào)國(guó)務(wù)院公安部門(mén)備案。這里需要說(shuō)明的是《條例》第三條授予公安部門(mén)負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，也屬于保護(hù)工作部門(mén)。各行業(yè)、領(lǐng)域的認(rèn)定規(guī)則按照規(guī)定公安部門(mén)是可以參與的，但公安部門(mén)參與制定的規(guī)則是否會(huì)涉及自己給自己備案。本文認(rèn)為，《條例》第九條的保護(hù)工作部門(mén)并不包括公安部門(mén)，否則會(huì)存在自己給自己備案的情形，既是裁判又是運(yùn)動(dòng)員。

　　《條例》規(guī)定了認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定規(guī)則，主要考慮以下三個(gè)方面“（一）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；（二）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來(lái)的危害程度；（三）對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。”雖然該認(rèn)定規(guī)則為保護(hù)工作部門(mén)考慮的依據(jù)，我們認(rèn)為企業(yè)也可以將此作為自己合規(guī)的參考規(guī)則，今后各行業(yè)主管部門(mén)也將出臺(tái)行業(yè)內(nèi)細(xì)化的認(rèn)定規(guī)則。

　　二、運(yùn)營(yíng)者的義務(wù)

　　《條例》主要規(guī)定了運(yùn)營(yíng)者的六項(xiàng)義務(wù)，主要為：

　　（一）安全保護(hù)措施的同步

　　運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施采取的安全保護(hù)措施應(yīng)當(dāng)與其同步規(guī)劃、同步建設(shè)、同步使用。這是《網(wǎng)絡(luò)安全法》第三十三條的要求，主要是針對(duì)未建和在建的關(guān)鍵信息基礎(chǔ)設(shè)施；針對(duì)已建成的關(guān)鍵信息基礎(chǔ)設(shè)施也應(yīng)當(dāng)參照《條例》的規(guī)定進(jìn)行合規(guī)整改。

　　（二）網(wǎng)絡(luò)安全保護(hù)制度

　　《網(wǎng)絡(luò)安全法》規(guī)定 “一把手負(fù)責(zé)制”，建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障該領(lǐng)域的人力、財(cái)力、物力投入?！稐l例》第十三條規(guī)定明確“運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)”，“主要負(fù)責(zé)人”是指一把手，還是專門(mén)安全管理機(jī)構(gòu)的負(fù)責(zé)人？是需要探討的，我們認(rèn)為應(yīng)當(dāng)是專門(mén)安全管理機(jī)構(gòu)的負(fù)責(zé)人，因?yàn)樵摬块T(mén)主要負(fù)責(zé)公司的關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作。

　?。ㄈ┰O(shè)立專門(mén)安全管理機(jī)構(gòu)

　　運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)置專門(mén)安全管理機(jī)構(gòu)，并對(duì)機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。專門(mén)安全管理機(jī)構(gòu)參與本單位與網(wǎng)絡(luò)安全和信息化有關(guān)的決策，同時(shí)負(fù)責(zé)履行《網(wǎng)絡(luò)安全法》第三十四條規(guī)定的和《條例》第十五條細(xì)化的網(wǎng)絡(luò)安全保護(hù)職責(zé)，具體包括：

　　建立健全網(wǎng)絡(luò)安全管理、評(píng)價(jià)考核制度，擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃；

　　組織推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè)，開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估；

　　按照國(guó)家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制定本單位應(yīng)急預(yù)案，定期開(kāi)展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件；

　　認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位，組織開(kāi)展網(wǎng)絡(luò)安全工作考核，提出獎(jiǎng)勵(lì)和懲處建議；

　　組織網(wǎng)絡(luò)安全教育、培訓(xùn)；

　　履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度；

　　對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理；

　　按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件和重要事項(xiàng)。

　　（四）安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估

　　運(yùn)營(yíng)者每年應(yīng)當(dāng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行至少一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，可以自行進(jìn)行也可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行。發(fā)現(xiàn)的安全問(wèn)題要及時(shí)整改，結(jié)果應(yīng)按要求報(bào)送有關(guān)部門(mén)。這里需要說(shuō)明的是每年至少一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，亦即網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估各一次，并非“或”的關(guān)系。

　　（五）及時(shí)報(bào)告

　　運(yùn)營(yíng)者應(yīng)當(dāng)在關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)“重大網(wǎng)絡(luò)安全威脅時(shí)”，按規(guī)定向保護(hù)工作部門(mén)和公安機(jī)關(guān)報(bào)告。運(yùn)營(yíng)者發(fā)生合并、分立、解散等情況，也應(yīng)當(dāng)及時(shí)上報(bào)并按照有關(guān)部門(mén)要求處置關(guān)鍵信息基礎(chǔ)設(shè)施，確保安全。

　　（六）采購(gòu)產(chǎn)品或服務(wù)

　　運(yùn)營(yíng)者應(yīng)當(dāng)“優(yōu)先采購(gòu)”“安全可信”的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；什么樣的產(chǎn)品和服務(wù)才算是安全可信？“優(yōu)先采購(gòu)”是否涉嫌違反上位法《招投標(biāo)法》的采購(gòu)精神？可能影響國(guó)家安全的，還要應(yīng)當(dāng)按《網(wǎng)絡(luò)安全審查辦法》的規(guī)定通過(guò)安全審查。該規(guī)定同樣可見(jiàn)于《網(wǎng)絡(luò)安全法》第三十五條、第三十六條。而可能影響國(guó)家安全的采購(gòu)活動(dòng)，在安全審查結(jié)果尚未定論，建議企業(yè)應(yīng)當(dāng)設(shè)置附條件生效的條款，以便國(guó)家安全審查不通過(guò)給企業(yè)帶來(lái)不必要的損失。

　　三、有關(guān)部門(mén)的職責(zé)

　　《條例》明確了國(guó)家各部門(mén)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的分工，規(guī)定國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)，國(guó)務(wù)院公安部門(mén)負(fù)責(zé)指導(dǎo)監(jiān)督，各行業(yè)、領(lǐng)域主管部門(mén)負(fù)責(zé)職責(zé)范圍內(nèi)的安全保護(hù)和監(jiān)督管理工作，省級(jí)政府有關(guān)部門(mén)依職責(zé)實(shí)施安全保護(hù)和監(jiān)督管理?！稐l例》主要從以下四個(gè)方面確定了有關(guān)部門(mén)的職責(zé)：

　?。ㄒ唬┬畔⒎矫娴穆氊?zé)

　　國(guó)家建立網(wǎng)絡(luò)安全信息共享機(jī)制，并于第三十條規(guī)定國(guó)家機(jī)關(guān)及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)在工作中獲取的信息只能用于維護(hù)網(wǎng)絡(luò)安全，不得泄露、出售或者非法向他人提供。

　　（二）預(yù)防方面的職責(zé)

　　保護(hù)工作部門(mén)應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警制度和網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練和檢查檢測(cè)。

　?。ㄈz查方面的禁止事項(xiàng)

　　有關(guān)部門(mén)應(yīng)當(dāng)避免不必要的檢查和交叉重復(fù)檢查，檢查不得收費(fèi)，不得要求運(yùn)營(yíng)者購(gòu)買(mǎi)指定的產(chǎn)品或服務(wù)。

　?。ㄋ模﹥?yōu)先保障的行業(yè)

　　國(guó)家優(yōu)先保障能源、電信行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施安全，能源、電信行業(yè)應(yīng)當(dāng)為其他行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施安全提供保障。

　　四、漏洞探測(cè)、滲透性測(cè)試批準(zhǔn)與授權(quán)

　　《條例》第三十一條規(guī)定，未經(jīng)國(guó)家網(wǎng)信部門(mén)、公安部門(mén)批準(zhǔn)或者保護(hù)工作部門(mén)、運(yùn)營(yíng)者授權(quán)，任何組織和個(gè)人不得對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施漏洞探測(cè)、滲透性測(cè)試等可能影響或者危害關(guān)其安全的活動(dòng)。對(duì)基礎(chǔ)電信網(wǎng)絡(luò)進(jìn)行此類活動(dòng)的，還要事先向國(guó)務(wù)院電信主管部門(mén)報(bào)告。為何國(guó)家網(wǎng)信部門(mén)、公安部門(mén)是批準(zhǔn)，而保護(hù)工作部門(mén)、運(yùn)營(yíng)者是授權(quán)？?jī)烧咧g是“或”的關(guān)系，也就意味著二選一的關(guān)系。上文中提到公安部門(mén)也屬于保護(hù)工作部門(mén)，網(wǎng)信辦屬于統(tǒng)籌協(xié)調(diào)部門(mén)，但也存在部分監(jiān)督管理職權(quán)，是否也屬于保護(hù)工作部門(mén)。我們認(rèn)為，國(guó)家網(wǎng)信部門(mén)、公安部門(mén)和行業(yè)監(jiān)督或主管部門(mén)均屬于保護(hù)工作部門(mén)，《條例》第三十一條保護(hù)工作部門(mén)授權(quán)主要還是行業(yè)主管部門(mén)，否則則本身就存在沖突，無(wú)法實(shí)操。另外，行業(yè)主管部門(mén)作為保護(hù)工作部門(mén)授權(quán)如何解釋，期待實(shí)操層面更進(jìn)一步的明確。