當前位置：安全 → 行業動態 → 正文

依法保護關鍵信息基礎設施

責任編輯：editor006 作者：劉金瑞 |來源：企業網D1Net 2017-07-10 16:56:43 本文摘自：學習時報

編者按：沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。黨的十八大以來，我國加強以法律手段切實保障國家網絡安全，互聯網法治體系構建不斷加速，網絡治理法治化進程闊步前進。在《網絡安全法》正式施行之際，本報約請學者就我國網絡法治建設的相關問題進行探討。

2017年6月1日，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）正式生效實施，該法第三章第二節專門規定了“關鍵信息基礎設施的運行安全”，這是在我國立法中首次明確規定關鍵信息基礎設施的定義和具體保護措施，對于切實維護我國網絡空間主權與網絡空間安全具有重大意義。

習近平總書記指出：“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。”從世界范圍來看，各個國家網絡安全立法的核心就是保護關鍵基礎設施。我國《國家安全法》第25條明確規定，“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”，明確要求保護關鍵基礎設施和重要領域信息系統。《網絡安全法》明確規定關鍵信息基礎設施保護，既是我國網絡安全嚴峻形勢的迫切需要，也是切實貫徹《國家安全法》的必然要求。

明確界定了關鍵信息基礎設施的內涵。《網絡安全法》對于關鍵信息基礎設施的定義采用了“列舉+概括”的形式。所謂“關鍵信息基礎設施”是指“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的”信息基礎設施。該定義將關鍵信息基礎設施保護提升到維護國家安全和公共安全的高度，既突出了保護重點，避免將過多信息系統納入監管而增加某些主體負擔，也有利于統籌安排關鍵信息基礎設施保護的立法體系。

規定了關鍵信息基礎設施分行業、分領域主管部門負責制。負責關鍵信息基礎設施安全保護工作的部門要按照國務院規定的職責分工，分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。這既明確了相關主管部門要在職權范圍內切實履行保護關鍵信息基礎設施的職責，也規定了分行業、分領域制定專門保護規劃的基本工作方法。此外，《網絡安全法》還明確規定，無論是哪個行業和領域的關鍵信息基礎設施，都應當確保其具有支持業務穩定、持續運行的性能，并堅持安全技術措施“三同步”的原則，即應該保證安全技術措施實現“同步規劃、同步建設、同步使用”。

規定了關鍵信息基礎設施運營者日常的安全維護義務。在日常安全維護方面，關鍵信息基礎設施運營者既要遵循安全等級保護制度對一般信息系統的安全要求，也要履行更加嚴格的安全維護義務。前者包括制定內部安全管理制度和操作規程、采取預防性技術措施、監測網絡運行狀態、按照規定留存網絡日志、重要數據備份和加密以及執法協助等。后者包括對“人”的安全義務和對“系統”的安全義務兩個方面：對“人”的安全義務包括設置專門的管理機構和負責人、對負責人和關鍵崗位人員進行安全背景審查、定期對從業人員進行教育培訓和技能考核；對“系統”的安全義務包括對重要系統和數據庫進行容災備份、制定網絡安全事件應急預案并定期組織演練等。此外，對于關鍵信息基礎設施整體安全性和可能存在的風險，《網絡安全法》還規定了定期檢測評估制度。關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

規定了關鍵信息基礎設施運營者特殊的安全保障義務。鑒于關鍵信息基礎設施的重要性，法律對于其供應鏈安全和數據留存傳輸作出了特殊規定，即關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，這些網絡產品和服務應當通過國家安全審查。這一審查是《國家安全法》第59條規定建立的國家安全審查制度的一部分，屬于對影響或者可能影響國家安全的“網絡信息技術產品和服務”的審查，由國家網信部門會同國務院有關部門組織實施。此外，采購這些網絡產品和服務時，關鍵信息基礎設施運營者應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。對于關鍵信息基礎設施運營中收集和產生的個人信息和重要數據，規定運營者應當將其存儲在我國境內。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估，通過安全評估的數據才可以向境外提供。

規定了國家網信部門保護關鍵信息基礎設施的職責范圍。國家網信部門負責統籌協調各有關部門確保關鍵信息基礎設施的安全，具體可以采取下列措施：對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估；定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事件的水平和協同配合能力；促進有關部門、關鍵信息基礎設施運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享；對網絡安全事件的應急處置與恢復等，提供技術支持與協助。此外，《網絡安全法》規定了國家機關履行網絡安全保護職責所獲取的相關信息用途特定原則，即這些信息只能用于維護網絡安全的需要，不得用于其他用途。這意味著國家網信部門和有關部門在關鍵信息基礎設施保護中獲取的信息，只能用于維護網絡安全的需要，不得用于其他用途。國家有關部門獲取的信息，可能涉及企業的商業秘密和個人的隱私信息，明確禁止國家有關部門將獲得的信息用于非國家安全的目的，可避免國家有關部門因泄露相關信息而侵害當事人合法權益，也有利于鼓勵當事人打消顧慮而與有關部門在維護網絡安全方面充分展開合作。

總之，《網絡安全法》作為我國網絡安全領域的基本立法，明確規定了關鍵信息基礎設施的定義、行業主管部門負責制、運營者的安全保護義務、國家網信部門的職責范圍，為我國關鍵信息基礎設施保護立法提供了基本的制度框架，也為國務院制定配套行政法規提供了立法授權。

習近平總書記強調，雖然我國網絡信息技術和網絡安全保障取得了不小成績，但同世界先進水平相比還有很大差距。我們只有統一思想、提高認識，加強戰略規劃和統籌，才能加快推進網絡強國建設的各項工作。《網絡安全法》的正式實施，就是我國加強網絡安全建設的突出成果。隨著相關配套法律制度的完善健全，必將極大地推動我國關鍵信息基礎設施保護立法的進展，進一步促進我國關鍵信息基礎設施保護水平的提升，有利于切實提高維護我國網絡空間安全的能力，把網絡強國建設不斷推向前進。

關鍵字：關鍵信息保護規劃