本刊編輯部

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》各方意見綜述

本刊編輯部

一．背景介紹

1.立法背景

近年來，伴隨著以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)為代表的新技術(shù)在全球范圍內(nèi)的快速應(yīng)用，包括能源、電力、交通基礎(chǔ)設(shè)施等更多的傳統(tǒng)性、關(guān)鍵性領(lǐng)域也紛紛聯(lián)入網(wǎng)絡(luò)，這使得信息基礎(chǔ)設(shè)施的脆弱性和安全威脅呈現(xiàn)出幾何式增長(zhǎng)態(tài)勢(shì)，特別是在有組織的、高強(qiáng)度的攻擊面前，關(guān)鍵信息基礎(chǔ)設(shè)施面臨著巨大挑戰(zhàn)。

在此背景下，為保障國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全，進(jìn)一步細(xì)化落實(shí)《網(wǎng)絡(luò)安全法》,國(guó)家互聯(lián)網(wǎng)信息辦公室于2017年7月11日制定并推出了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（以下簡(jiǎn)稱“《條例》”）。

《條例》征求意見稿共有8章，共計(jì)55項(xiàng)條款，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)的一系列基本要素，包括適用范圍、監(jiān)管主體、評(píng)估對(duì)象、評(píng)估機(jī)制和相應(yīng)法律責(zé)任等，在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上做了更具體的細(xì)化和落地規(guī)定。此外，《條例》中還突出體現(xiàn)了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的動(dòng)態(tài)全鏈條保護(hù)思維、重點(diǎn)保護(hù)思維和各類主體全面負(fù)責(zé)等創(chuàng)新思維，較《網(wǎng)絡(luò)安全法》更具創(chuàng)新性，更能適應(yīng)目前關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的現(xiàn)實(shí)需求，為其安全保護(hù)提供新的解決思路。

2.研究背景

《條例》自發(fā)布之日起，便受到了網(wǎng)絡(luò)安全行業(yè)的熱切關(guān)注，成為業(yè)內(nèi)專家學(xué)者討論和研究的焦點(diǎn)性話題。因此，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心聯(lián)合互聯(lián)網(wǎng)實(shí)驗(yàn)室、美國(guó)信息產(chǎn)業(yè)機(jī)構(gòu)（USITO）等機(jī)構(gòu)共同主辦了“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）研討會(huì)”，特邀政府部門主管領(lǐng)導(dǎo)、業(yè)內(nèi)專家學(xué)者和企業(yè)界代表圍繞關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定、保護(hù)機(jī)制和保護(hù)責(zé)任等重點(diǎn)問題進(jìn)行了深入探討，期冀為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域的立法與執(zhí)法工作提供建設(shè)性參考意見。

二．各方關(guān)注的焦點(diǎn)問題

會(huì)議中各界專家的研討主要集中在有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡(jiǎn)稱CII）保護(hù)的四個(gè)方面：1.法律定位和保護(hù)理念；2.保護(hù)范圍；3.保護(hù)機(jī)制；4.保護(hù)責(zé)任。出于對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施問題的復(fù)雜性、敏感性及其可操作性的考量，上述四個(gè)方面的問題是企業(yè)界、學(xué)界和法律界共同關(guān)心的。

1.法律定位和保護(hù)理念

（1）應(yīng)賦予CII優(yōu)先保障權(quán)

騰訊研究院資深專家王融指出，從國(guó)家層面來看，除了CII在安全方面的關(guān)鍵屬性，還應(yīng)當(dāng)包括戰(zhàn)略性屬性以及先導(dǎo)性屬性。有專家建議，基于CII在國(guó)家中的關(guān)鍵性、戰(zhàn)略性、先導(dǎo)性的法律地位，《條例》應(yīng)該更多考慮賦權(quán)和保障?！稐l例》中對(duì)這一點(diǎn)也有所體現(xiàn)，比如第十四條，①第十四條：能源、電信、交通等行業(yè)應(yīng)當(dāng)為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件應(yīng)急處置與網(wǎng)絡(luò)功能恢復(fù)提供電力供應(yīng)、網(wǎng)絡(luò)通信、交通運(yùn)輸?shù)确矫娴闹攸c(diǎn)保障和支持。規(guī)定了在應(yīng)急狀態(tài)下，電力、通信這些關(guān)鍵中的關(guān)鍵行業(yè)，但實(shí)際上這種優(yōu)先保障應(yīng)當(dāng)擴(kuò)展到CII的日常運(yùn)營(yíng)中。

（2）CII保護(hù)需要五個(gè)理念的轉(zhuǎn)變

①從泛安全到關(guān)鍵安全

王融認(rèn)為，雖然CII本身定義也在致力于解決從泛安全到關(guān)鍵安全的轉(zhuǎn)變，但從目前有關(guān)行業(yè)主管部門出臺(tái)的一些CII識(shí)別指南或者一些行業(yè)標(biāo)準(zhǔn)來看，怎么能切實(shí)解決從泛安全到關(guān)鍵安全的轉(zhuǎn)變，仍然需要深度的研究思考。

比如：行業(yè)主管部門可能會(huì)單純提出用戶量這一維度，即用戶數(shù)量達(dá)到一定級(jí)別，那么該業(yè)務(wù)設(shè)施很可能就落入CII范疇。用戶數(shù)量這個(gè)維度達(dá)到一個(gè)什么量的標(biāo)準(zhǔn)才能夠鎖定關(guān)鍵的范圍？我國(guó)的網(wǎng)絡(luò)用戶數(shù)量天然就大，如果數(shù)量標(biāo)準(zhǔn)定的低，可能一個(gè)小應(yīng)用就可能達(dá)到CII的標(biāo)準(zhǔn)。因此假如采取用戶數(shù)量標(biāo)準(zhǔn)，考慮產(chǎn)業(yè)實(shí)際狀況，這個(gè)數(shù)量標(biāo)準(zhǔn)應(yīng)當(dāng)足夠高，以真正鎖定關(guān)鍵范圍。

將用戶數(shù)量作為一個(gè)尺度，需要考慮的另一個(gè)因素則是“替代性”。如果一個(gè)網(wǎng)絡(luò)服務(wù)的用戶很多，但替代性很強(qiáng)，在遭遇了網(wǎng)絡(luò)攻擊后，用戶仍有其他選擇替代的產(chǎn)品，那么“用戶數(shù)量”這個(gè)指標(biāo)的權(quán)重就應(yīng)當(dāng)相應(yīng)下降。

②從事前的絕對(duì)安全到事后可恢復(fù)的彈性安全

王融指出，網(wǎng)絡(luò)安全中公認(rèn)的一個(gè)觀點(diǎn)是：任何網(wǎng)絡(luò)系統(tǒng)都不能夠?qū)崿F(xiàn)百分之百的事前安全，因此更多的考量應(yīng)當(dāng)是——如何在遭到網(wǎng)絡(luò)攻擊或者自然災(zāi)害后是否有很強(qiáng)的恢復(fù)能力。她建議，在立法設(shè)計(jì)上：在事前，法律機(jī)制可以不要過于依賴事前的監(jiān)測(cè)安全、評(píng)估安全——至少不把它設(shè)定為行政許可式的市場(chǎng)門檻（沒有事前監(jiān)測(cè)、評(píng)估的，就不能上線）。

當(dāng)然，這并非否認(rèn)事前的作用，其旨在強(qiáng)調(diào)在事后，將可恢復(fù)性作為一個(gè)安全的考量維度。如在法律責(zé)任中豁免。

③從單一行業(yè)的安全，到彼此互聯(lián)各行各業(yè)的安全

有專家認(rèn)為，當(dāng)前，CI（關(guān)鍵基礎(chǔ)設(shè)施）和CII（關(guān)鍵信息基礎(chǔ)設(shè)施）本身邊界已模糊，水利大壩、鐵路、航空、醫(yī)院、電廠這些關(guān)鍵基礎(chǔ)設(shè)施（CI）均已實(shí)現(xiàn)信息化。在當(dāng)前的萬物互聯(lián)時(shí)代，需要更加強(qiáng)調(diào)各行業(yè)的安全統(tǒng)籌。

Intel法律政策總監(jiān)續(xù)俊旗強(qiáng)調(diào)，從世界范圍來講，CII的概念正在從系統(tǒng)向設(shè)施演進(jìn)?，F(xiàn)在隨著信息技術(shù)的發(fā)展，隨著網(wǎng)絡(luò)化、信息化的發(fā)展，CII和CI的概念是趨于統(tǒng)一，很多模式放在網(wǎng)上，早已信息化。所以談CII的話，現(xiàn)在的語境跟過去相比發(fā)生了很大變化。

王融認(rèn)為，從《條例》的具體條文看，這種關(guān)聯(lián)統(tǒng)籌明顯不足。如何做到跨行業(yè)的安全信息共享，以及如何在其中協(xié)調(diào)統(tǒng)籌，避免各行業(yè)部門采取不同的尺度、重復(fù)性的管理活動(dòng)，目前沒有特別明確的對(duì)應(yīng)解決機(jī)制。她建議，在各行各業(yè)主管部門中網(wǎng)信辦應(yīng)該進(jìn)一步加強(qiáng)統(tǒng)籌能力，避免重復(fù)性的檢測(cè)問題，更高效打造一個(gè)信息共享的狀態(tài)。

④從單一企業(yè)合規(guī)視角的安全到各方支持參與的安全

王融認(rèn)為，《條例》特別強(qiáng)調(diào)CII運(yùn)營(yíng)者的主體責(zé)任，比如第七條和第二十二條。①第七條：任何個(gè)人和組織發(fā)現(xiàn)危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的行為，有權(quán)向網(wǎng)信、電信、公安等部門以及行業(yè)主管或監(jiān)管部門舉報(bào)。第二十二條：運(yùn)營(yíng)者主要負(fù)責(zé)人是本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作第一責(zé)任人，負(fù)責(zé)建立健全網(wǎng)絡(luò)安全責(zé)任制并組織落實(shí)，對(duì)本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作全面負(fù)責(zé)。無可否認(rèn)，在CII的保護(hù)中，運(yùn)營(yíng)者所起到的作用是最大的，但全面來看，CII保護(hù)不應(yīng)當(dāng)僅僅體現(xiàn)為企業(yè)合規(guī)的功能。在《條例》中還應(yīng)補(bǔ)充相關(guān)各方的主體義務(wù)和責(zé)任。

⑤從政府主導(dǎo)安全到市場(chǎng)能動(dòng)安全

王融強(qiáng)調(diào)，單靠政府主導(dǎo)去實(shí)現(xiàn)安全目標(biāo)相對(duì)比較困難。如果能最大化發(fā)揮市場(chǎng)能動(dòng)性去創(chuàng)造安全價(jià)值，會(huì)事半功倍。目前《條例》中涉及到安全檢測(cè)、評(píng)估的環(huán)節(jié)，向第三方市場(chǎng)機(jī)構(gòu)放開，能有效催生市場(chǎng)參與安全保障的積極性。從這一考慮出發(fā)，《條例》中關(guān)于關(guān)鍵崗位的持證上崗制度，也應(yīng)理解為其中的“證”包括市場(chǎng)已有的各類安全技能培訓(xùn)、測(cè)評(píng)認(rèn)證證書等，而非新設(shè)的資質(zhì)類許可。

2.保護(hù)范圍

與會(huì)專家學(xué)者對(duì)《條例》的保護(hù)范圍發(fā)表了觀點(diǎn)，部分專家認(rèn)為范圍過于寬泛，而且有些概念需要進(jìn)一步明確和細(xì)化。

（1）《條例》和《網(wǎng)絡(luò)安全法》的關(guān)系

中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心主任李海英指出，就保護(hù)范圍來講，既然《條例》是《網(wǎng)絡(luò)安全法》的配套規(guī)定，首先它的定位應(yīng)該是對(duì)后者的具體范圍和安全保護(hù)辦法進(jìn)行一些細(xì)致規(guī)定，應(yīng)該在原來等級(jí)保護(hù)基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)，保護(hù)范圍應(yīng)該更小，制度上更加嚴(yán)格。《網(wǎng)絡(luò)安全法》對(duì)一般運(yùn)營(yíng)者規(guī)定，在《條例》中不需要再來規(guī)定，應(yīng)該在其基礎(chǔ)之上執(zhí)行更嚴(yán)格的制度。

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為，《條例》旨在落實(shí)《網(wǎng)絡(luò)安全法》，落實(shí)的話應(yīng)當(dāng)是細(xì)化和具體化。從總體感覺，《條例》在具體化和細(xì)化方面不太夠，實(shí)際上并未對(duì)《網(wǎng)絡(luò)安全法》的規(guī)定做到細(xì)化，有一些可能還做了不是很恰當(dāng)?shù)男薷模热缯f第三十六條。②第三十六條：國(guó)家網(wǎng)信部門統(tǒng)籌建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系和信息通報(bào)制度，組織指導(dǎo)有關(guān)機(jī)構(gòu)開展網(wǎng)絡(luò)安全信息匯總、分析研判和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。

（2）CII的范圍需要進(jìn)一步明確

戴姆勒公司代表認(rèn)為，關(guān)于信息基礎(chǔ)設(shè)施保護(hù)范圍尚待進(jìn)一步明確。比如第十八條內(nèi)容中有一個(gè)“大型裝備”，③第十八條：下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：（三）國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；大型裝備可能涉及的面太廣了，希望進(jìn)一步明確什么是大型裝備。如果作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，這是一個(gè)公司法人的定義，還是作為一個(gè)具體某一個(gè)系統(tǒng)運(yùn)營(yíng)的部門，如果是一個(gè)公司實(shí)體被確定為運(yùn)營(yíng)者的話。這個(gè)公司里所有的信息系統(tǒng)，包括郵件系統(tǒng)，還有內(nèi)部管理系統(tǒng)，是不是都屬于關(guān)鍵基礎(chǔ)設(shè)施，都進(jìn)行同等的保護(hù)責(zé)任？

百度公司代表認(rèn)為，CII的范圍需要進(jìn)一步明確。百度下面有很多基礎(chǔ)設(shè)施，目前不清楚哪些算是多個(gè)CII設(shè)備，哪些算是CII，哪些不算？需要一個(gè)比較明確的認(rèn)定標(biāo)準(zhǔn)。簡(jiǎn)單來說搜索、社交，電商這些是CII嗎？大的搜索算還是小的也算？這些需要明確一下。

有專家建議：關(guān)于CII的范圍，目前可參照的是2016年6月網(wǎng)信辦出臺(tái)的《網(wǎng)絡(luò)安全檢查操作指南》，④http://www.hbzfhcxjst.gov.cn/UpFiles/Attach/2017/06/26/1704191641.pdf這個(gè)標(biāo)準(zhǔn)具有非常強(qiáng)的參考意義。但是，指南里邊確定CII的范圍太廣。在將來制定識(shí)別指南時(shí)，需要把這一標(biāo)準(zhǔn)基礎(chǔ)上適當(dāng)提高一些。

有專家指出，外資企業(yè)在中國(guó)算不算我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的范圍？如果不算的話也是需要明確的。

（3）大數(shù)據(jù)、云計(jì)算（云服務(wù)）的概念有待進(jìn)一步明確

李海英指出，云計(jì)算應(yīng)該如何算作關(guān)鍵信息基礎(chǔ)設(shè)施？只是其中對(duì)于設(shè)施這一部分，或者是設(shè)施當(dāng)中某一部分作為關(guān)鍵基礎(chǔ)設(shè)施？這都有待進(jìn)一步界定。大數(shù)據(jù)也一樣，什么是大數(shù)據(jù)的業(yè)務(wù)或什么是大數(shù)據(jù)的服務(wù)，現(xiàn)在也沒有明確規(guī)定。

部分專家認(rèn)為，有關(guān)大數(shù)據(jù)和云計(jì)算的設(shè)施應(yīng)該列入關(guān)鍵基礎(chǔ)設(shè)施的范疇。至于說怎么去列，哪一部分列入，這些細(xì)節(jié)還需要進(jìn)一步的研究。

公安部等級(jí)保護(hù)評(píng)估中心技術(shù)部主任任衛(wèi)紅強(qiáng)調(diào)，2011年兩高對(duì)于辦理危害計(jì)算機(jī)信息系統(tǒng)這種刑事案件解釋當(dāng)中，已經(jīng)把“計(jì)算機(jī)信息系統(tǒng)”擴(kuò)展解釋到網(wǎng)絡(luò)設(shè)備，通信設(shè)備，自動(dòng)控制設(shè)備等。那這次《條例》的保護(hù)范圍擴(kuò)展到大數(shù)據(jù)云計(jì)算是必然的。如果對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施入侵、破壞等違法犯罪行為，《網(wǎng)絡(luò)安全法》定義了許多違法行為，但是違法行為到了一定程度，累計(jì)成為犯罪的，就會(huì)涉及到刑法條款，仍會(huì)被定性為計(jì)算機(jī)犯罪，所以無論是信息系統(tǒng)、網(wǎng)絡(luò)、基礎(chǔ)設(shè)施等概念，最終是落實(shí)在《條例》要管的那么一個(gè)單元，可能是網(wǎng)，可能是一個(gè)信息基礎(chǔ)設(shè)施，也可能是一個(gè)信息系統(tǒng)。這個(gè)不用過多的去區(qū)別它。

（4）“個(gè)人信息和重要數(shù)據(jù)”的概念有待進(jìn)一步明確

中國(guó)政法大學(xué)傳播法中心研究員朱巍認(rèn)為，關(guān)于數(shù)據(jù)出境方面，條例第二十九條①第二十九條：運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法進(jìn)行評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。規(guī)定是否欠妥？如“個(gè)人信息”方面，在高校學(xué)生到境外去留學(xué)，境外需要審核其本科畢業(yè)證，需要登錄學(xué)信網(wǎng)，教育系統(tǒng)也應(yīng)當(dāng)算是關(guān)鍵信息。這種信息可不可以向境外流動(dòng)，其個(gè)人征信這方面是不是會(huì)受到影響？有待進(jìn)一步研究。

其次，“重要數(shù)據(jù)”所指不明。《條例》第二十九條②第二十九條：運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法進(jìn)行評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。提到“重要數(shù)據(jù)”，不知道是什么概念，重要數(shù)據(jù)到底是什么？

3.保護(hù)機(jī)制

綜合企業(yè)界、學(xué)界和法律界的意見，認(rèn)為保護(hù)機(jī)制諸多方面需要細(xì)化和明確化。

（1）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者的識(shí)別步驟有待確立③參照《條例》第三十條—第三十五條

如何確定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者？是先確定關(guān)鍵信息基礎(chǔ)設(shè)施還是先確定運(yùn)營(yíng)者？國(guó)外有一些案例是先識(shí)別一定的行業(yè)，然后識(shí)別一些重點(diǎn)的服務(wù)領(lǐng)域，再識(shí)別這些領(lǐng)域中系統(tǒng)和信息系統(tǒng)一類設(shè)施的部分。李海英建議，《條例》能否設(shè)立這樣一個(gè)識(shí)別的步驟。

（2）關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別認(rèn)定標(biāo)準(zhǔn)需要細(xì)化

李海英認(rèn)為，識(shí)別的標(biāo)準(zhǔn)需要有原則性的規(guī)定，比如一旦遭到破壞嚴(yán)重的影響程度，怎樣界定地域范圍？對(duì)國(guó)家安全到底有哪些威脅，威脅的程度如何？這應(yīng)該是作為一個(gè)標(biāo)準(zhǔn)，然后再來界定，把這些設(shè)施圈定之后，認(rèn)定這些設(shè)施的運(yùn)營(yíng)者，在這些設(shè)施的范圍之內(nèi)他們承擔(dān)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者的責(zé)任。

續(xù)俊旗指出，假如某企業(yè)有一個(gè)大型裝備，交通、通信這些行業(yè)都有涉及此裝備的安全認(rèn)定標(biāo)準(zhǔn)，這些不同行業(yè)的識(shí)別標(biāo)準(zhǔn)是不是一致，這在邏輯上需要進(jìn)一步的梳理。此外，到底怎么來設(shè)定標(biāo)準(zhǔn)？他認(rèn)為，第一步確定重要的部門、行業(yè)。第二個(gè)來看關(guān)鍵的業(yè)務(wù)，第三個(gè)看支撐業(yè)務(wù)的系統(tǒng)，它的設(shè)施。

有專家建議：《條例》應(yīng)當(dāng)盡可能明確認(rèn)定程序。關(guān)鍵基礎(chǔ)設(shè)施是具體行政行為，認(rèn)定程序直接關(guān)系到網(wǎng)絡(luò)安全法安全責(zé)任措施和運(yùn)營(yíng)者的法律責(zé)任，同時(shí)明確程序可以避免因認(rèn)定部門不同，導(dǎo)致結(jié)果不同而引發(fā)爭(zhēng)議。另外因?yàn)橛脩粢?guī)模的變化，如何進(jìn)入CII以及CII的互聯(lián)網(wǎng)規(guī)模變化，如何退出CII，這是需要考慮的問題。《條例》里面有涉及到電信互聯(lián)網(wǎng)行業(yè)，這個(gè)行業(yè)用戶規(guī)模變化很快，本身業(yè)務(wù)變化和業(yè)務(wù)增長(zhǎng)這方面，需要更加明確一些。因?yàn)橹鞴懿块T涉及到網(wǎng)信部門和各地方主管部門，這些部門之間如何去協(xié)調(diào)的問題，同樣需要做出明確。

（3）對(duì)于關(guān)鍵人員的審查機(jī)制有待細(xì)化

有專家認(rèn)為，對(duì)于關(guān)鍵崗位和關(guān)鍵人員的安全背景審查，是作為關(guān)鍵基礎(chǔ)設(shè)施很重要的一部分。對(duì)于高管、安全管理的負(fù)責(zé)人或直接接觸到這項(xiàng)業(yè)務(wù)的技術(shù)人員，是不是需要進(jìn)行不同背景的審查，做完背景審查之后是不是有后續(xù)的義務(wù)，如要求簽署保密的協(xié)議？在人員或者其他特定條件發(fā)生變化的時(shí)候，要不要重新做審查？有關(guān)這方面的制度需要再進(jìn)行細(xì)化。

（4）對(duì)企業(yè)進(jìn)行安全評(píng)估不應(yīng)該涉及商業(yè)機(jī)密

有企業(yè)界代表指出，有關(guān)部門在進(jìn)行安全檢測(cè)評(píng)估的時(shí)候，會(huì)不會(huì)調(diào)取其公司一些關(guān)于受知識(shí)產(chǎn)權(quán)保護(hù)相關(guān)的數(shù)據(jù)，或者是涉及到商業(yè)機(jī)密的問題。這是作為合資企業(yè)的外方利益方考慮特別多的一點(diǎn)，所以不知道條例可不可以在這方面做出一些明確。

（5）企業(yè)是否有申訴的機(jī)會(huì)

有企業(yè)界代表表示，如果企業(yè)被認(rèn)定為是關(guān)鍵信息基礎(chǔ)設(shè)施，企業(yè)是否有申訴的機(jī)會(huì)，或者行業(yè)主管部門是否有重新考慮的可能？如果被認(rèn)定，認(rèn)定結(jié)果是不是有時(shí)間的期限？同時(shí)他們也希望目錄能夠進(jìn)行動(dòng)態(tài)調(diào)整。

（6）相關(guān)行業(yè)主管部門和對(duì)《條例》的執(zhí)行需要統(tǒng)一和明確

戴姆勒公司代表指出，需要確立相關(guān)行業(yè)主管到底是哪個(gè)部門。同時(shí)需要明確以后具體的檢測(cè)抽查，是由國(guó)務(wù)院級(jí)別部門來做，還是說各個(gè)省或者是市也可以做？各個(gè)省或者主管部門對(duì)政策的解讀會(huì)不會(huì)有出入，執(zhí)行方面各地有一些是不是有偏差？這些也是業(yè)界比較疑惑的地方。

有專家指出，《網(wǎng)絡(luò)安全法》授權(quán)《條例》規(guī)定基礎(chǔ)設(shè)施范圍，《條例》授權(quán)有關(guān)部門制定具體識(shí)別指南。企業(yè)界擔(dān)心這樣層層授權(quán)的結(jié)果可能導(dǎo)致關(guān)鍵信息認(rèn)定條例，出現(xiàn)認(rèn)定尺度不協(xié)調(diào)，認(rèn)定交叉問題。同時(shí)，過于分散的識(shí)別主體，給企業(yè)的合規(guī)或具體的保護(hù)責(zé)任落實(shí)可能會(huì)帶來一些負(fù)擔(dān)。

有些企業(yè)的云服務(wù)對(duì)不同行業(yè)客戶都會(huì)提供，比如向政府機(jī)關(guān)或能源金融這些機(jī)構(gòu)可能都提供云服務(wù)，這些單位有可能也要有一個(gè)評(píng)估標(biāo)準(zhǔn)，在評(píng)估的時(shí)候是說這些單位要評(píng)估一次，云服務(wù)商評(píng)估一次，是不是盡量統(tǒng)一一下能夠復(fù)用？另外，境外向境內(nèi)的合理信息查詢請(qǐng)求，建議每年做一次評(píng)估。

（7）需要完善《條例》和其他相關(guān)制度的配合與銜接

續(xù)俊旗指出，CII保護(hù)制度和其他的安全審查、跨境數(shù)據(jù)流動(dòng)和個(gè)人信息保護(hù)等制度的配套和銜接也是一個(gè)問題，如果銜接的好它們可以互為支撐，可以使CII保護(hù)制度更加優(yōu)化合理。如何做好這種銜接、優(yōu)化和平衡，對(duì)立法和執(zhí)法都是一種考驗(yàn)。

4.保護(hù)責(zé)任

（1）建議擴(kuò)大參與保護(hù)體系的網(wǎng)絡(luò)運(yùn)營(yíng)者的范圍

有專家認(rèn)為，《條例》當(dāng)中前面（第五條）明確提出運(yùn)營(yíng)者是關(guān)鍵信息技術(shù)運(yùn)營(yíng)者，實(shí)際上我國(guó)也明確指出要鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的運(yùn)營(yíng)者，參與保護(hù)體系。建議第十二條中的“運(yùn)營(yíng)者”①第十二條：國(guó)家鼓勵(lì)政府部門、運(yùn)營(yíng)者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、行業(yè)組織、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者開展關(guān)鍵信息基礎(chǔ)設(shè)施安全合作。能夠擴(kuò)大范圍，涵蓋一般的網(wǎng)絡(luò)運(yùn)營(yíng)者。

（2）需要明確安全檢測(cè)的主體

《條例》第三十二條②第三十二條：運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)外包開發(fā)的系統(tǒng)、軟件，接受捐贈(zèng)的網(wǎng)絡(luò)產(chǎn)品，在其上線應(yīng)用前進(jìn)行安全檢測(cè)。規(guī)定了對(duì)于產(chǎn)品進(jìn)行安全檢測(cè)評(píng)估的要求，但是安全檢測(cè)主體實(shí)際上沒有明確。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者自身還是可以委托第三方進(jìn)行，并不清楚。有專家建議在后續(xù)的條例制定過程中，此項(xiàng)內(nèi)容應(yīng)當(dāng)進(jìn)行進(jìn)一步的明確。

此外，第三十四條關(guān)于CII境內(nèi)實(shí)施的運(yùn)行，是否需要報(bào)國(guó)家網(wǎng)信部門，③第三十四條：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)應(yīng)當(dāng)在境內(nèi)實(shí)施。因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程維護(hù)的，應(yīng)事先報(bào)國(guó)家行業(yè)主管或監(jiān)管部門和國(guó)務(wù)院公安部門。也有待進(jìn)一步明確。

（3）安全預(yù)警信息是否可以向社會(huì)公開

國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)及時(shí)對(duì)有關(guān)運(yùn)營(yíng)者發(fā)布相應(yīng)的預(yù)警措施，面向基礎(chǔ)設(shè)施運(yùn)營(yíng)者發(fā)布的預(yù)警信息，④第三十七條：國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，及時(shí)掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況和安全風(fēng)險(xiǎn)，向有關(guān)運(yùn)營(yíng)者通報(bào)安全風(fēng)險(xiǎn)和相關(guān)工作信息。是否能夠授權(quán)向社會(huì)公開，有專家認(rèn)為，這也是條例中需要考慮的問題。

（4）“關(guān)于主要負(fù)責(zé)人”的概念應(yīng)當(dāng)明確界定

《條例》第二十二條中的主要負(fù)責(zé)人，是指董事長(zhǎng)還是其他主要負(fù)責(zé)人？中華全國(guó)律師協(xié)會(huì)信息網(wǎng)絡(luò)與高新技術(shù)專業(yè)委員會(huì)副主任陳際紅認(rèn)為，對(duì)于主要負(fù)責(zé)人一詞應(yīng)當(dāng)有明確的法律界定，這關(guān)系到法律承擔(dān)問題。這樣一個(gè)規(guī)定⑤第二十二條：運(yùn)營(yíng)者主要負(fù)責(zé)人是本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作第一責(zé)任人，負(fù)責(zé)建立健全網(wǎng)絡(luò)安全責(zé)任制并組織落實(shí)，對(duì)本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作全面負(fù)責(zé)。會(huì)延伸到刑事責(zé)任，《刑法》有拒不履行網(wǎng)絡(luò)安全管理義務(wù)一項(xiàng)規(guī)定。如果不做出清晰的界定，會(huì)帶來法律責(zé)任承擔(dān)的復(fù)雜化，所以要考慮這樣一個(gè)界定和其他法律的銜接問題。

（5）關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別的方式需要進(jìn)一步明確

陳際紅律師認(rèn)為，《條例》第十九條⑥第十九條：國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南。是不是可以這么理解：CII識(shí)別的話是自上而下的識(shí)別，企業(yè)不承擔(dān)這個(gè)責(zé)任？還是說企業(yè)本身承擔(dān)一個(gè)初步的識(shí)別和申報(bào)的，申報(bào)之后由行業(yè)機(jī)關(guān)來進(jìn)行一個(gè)確定和識(shí)別？這其實(shí)跟識(shí)別的效果是有關(guān)系的。這一點(diǎn)需要明確。

（6）網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的違法行為和法律責(zé)任需要明確

有專家認(rèn)為，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)實(shí)際上有三方面的合規(guī)要求，在條例中有所體現(xiàn)。但是對(duì)于它的法律責(zé)任，在法律責(zé)任一章實(shí)際上沒有做出具體規(guī)定。⑦第五十一條：關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件，經(jīng)調(diào)查確定為責(zé)任事故的，除應(yīng)當(dāng)查明運(yùn)營(yíng)單位責(zé)任并依法予以追究外，還應(yīng)查明相關(guān)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)及有關(guān)部門的責(zé)任，對(duì)有失職、瀆職及其他違法行為的，依法追究責(zé)任。網(wǎng)安法當(dāng)中對(duì)此做出了具體規(guī)定，專家建議《條例》也應(yīng)當(dāng)對(duì)相應(yīng)的違法行為和法律責(zé)任做出明確的規(guī)定。

三．各方提及的其他意見和建議

除去保護(hù)范圍等各界共同關(guān)注的焦點(diǎn)問題以外，企業(yè)界、學(xué)術(shù)界、律師界代表和專家，分別立法理念、立法技術(shù)、法律的實(shí)施和可操作性等方面提出了大量觀點(diǎn)和建議。

1.立法原則和理念

（1）立法的宗旨

國(guó)家創(chuàng)新與發(fā)展戰(zhàn)略研究會(huì)副會(huì)長(zhǎng)郝葉力指出，要精準(zhǔn)地劃定安全的范圍，確保安全和發(fā)展的平衡，這是非常重要的工作內(nèi)容。立法應(yīng)該從實(shí)踐中來，在實(shí)踐中提煉出有價(jià)值的信息，認(rèn)真學(xué)習(xí)吸納，同時(shí)也應(yīng)當(dāng)參考?xì)W美等地的立法經(jīng)驗(yàn)，取長(zhǎng)補(bǔ)短。最關(guān)鍵的是保持立法觀念的更新和開放，要有一個(gè)開放開明的態(tài)度來立法，這樣的法律是能夠真正得到大家的擁護(hù)和自覺執(zhí)行的。

中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)楊春艷強(qiáng)調(diào)，立法的根本目的是滿足于產(chǎn)業(yè)安全和發(fā)展并重，滿足于公眾的應(yīng)用，滿足于經(jīng)濟(jì)發(fā)展和人民的生產(chǎn)生活的需要，滿足于社會(huì)更加安定?！稐l例》的所有出發(fā)點(diǎn)，都始于這一點(diǎn)。

（2）管轄范圍

朱巍認(rèn)為，《條例》沒有突出網(wǎng)絡(luò)主權(quán)原則。①第二條：在中華人民共和國(guó)境內(nèi)規(guī)劃、建設(shè)、運(yùn)營(yíng)、維護(hù)、使用關(guān)鍵信息基礎(chǔ)設(shè)施，以及開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，適用本條例。（一）攻擊、侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施……關(guān)鍵信息基礎(chǔ)設(shè)施不一定在境內(nèi)規(guī)劃建設(shè)，運(yùn)營(yíng)維護(hù)?；ヂ?lián)網(wǎng)上不一定存在境內(nèi)，也有可能在境外，也有可能涉及到關(guān)鍵基礎(chǔ)設(shè)施安全的情況。所以應(yīng)該把管轄擴(kuò)大一點(diǎn)。

2.法律的可操作性

（1）期待《識(shí)別指南》對(duì)CII的清晰界定

戴姆勒公司代表表示，關(guān)鍵基礎(chǔ)設(shè)施識(shí)別指南無疑是大家關(guān)注的關(guān)鍵點(diǎn)?！稐l例》第十八條②第十八條：下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍。在分類和范圍上存在一些邏輯上的模糊情況，業(yè)界更期待在CII識(shí)別指南上有非常清晰的定位，更關(guān)注識(shí)別指南怎么分類的，并且對(duì)指南出臺(tái)的時(shí)間表非常關(guān)心。此外，業(yè)界包括外資企業(yè)能否有機(jī)會(huì)參與討論識(shí)別指南的一些過程，非常希望了解這些內(nèi)容。

（2）如何確立“重大網(wǎng)絡(luò)安全事件”？

西安交通大學(xué)信息安全法律研究中心博士生方婷表示，《條例》規(guī)定只有發(fā)生“重大網(wǎng)絡(luò)安全事件”才啟動(dòng)應(yīng)急預(yù)案，③第三十九條：國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)組織制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練，提升網(wǎng)絡(luò)安全事件應(yīng)對(duì)和災(zāi)難恢復(fù)能力。發(fā)生重大網(wǎng)絡(luò)安全事件或接到網(wǎng)信部門的預(yù)警信息后，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案組織應(yīng)對(duì)，并及時(shí)報(bào)告有關(guān)情況。這里沒有關(guān)于“重大”的界定。同時(shí)，實(shí)際上對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域發(fā)生網(wǎng)絡(luò)安全事件不應(yīng)當(dāng)只限于發(fā)生重大網(wǎng)絡(luò)安全事件下啟動(dòng)應(yīng)急預(yù)案。

（3）監(jiān)管范圍可以由易到難，逐步推進(jìn)

有專家建議，可以把最核心的部門系統(tǒng)，進(jìn)行國(guó)家強(qiáng)制監(jiān)管，慢慢動(dòng)態(tài)調(diào)整監(jiān)管的目錄，監(jiān)管的對(duì)象，使CII保護(hù)這項(xiàng)制度真正落地，做得更好。

3.立法技術(shù)

（1）部分條款和《網(wǎng)絡(luò)安全法》或其他法律條文重合

有專家指出，《條例》部分內(nèi)容跟《網(wǎng)絡(luò)安全法》以及相關(guān)法律法規(guī)重合的，沒有必要加進(jìn)去。如第十六條的內(nèi)容，《刑法》也有規(guī)定。④第十六條：任何個(gè)人和組織不得從事下列危害關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng)和行為：

（2）區(qū)分“抽查檢測(cè)”和“檢測(cè)評(píng)估”

任衛(wèi)紅指出，《網(wǎng)絡(luò)安全法》第三十九條⑤第三十九條：國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施：（一）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估；和《條例》第四十條，⑥第四十條：國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)定期組織對(duì)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)以及運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的情況進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，指導(dǎo)、督促運(yùn)營(yíng)者及時(shí)整改檢測(cè)評(píng)估中發(fā)現(xiàn)的問題。國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門開展的抽查檢測(cè)工作，避免交叉重復(fù)檢測(cè)評(píng)估。在兩個(gè)條款當(dāng)中都有一個(gè)特點(diǎn)：前半部分說起主管部門定期的抽查檢測(cè)，又提到在對(duì)存在的問題要及時(shí)整改檢測(cè)評(píng)估中發(fā)現(xiàn)的問題，前后的表述不一致。抽查檢測(cè)和檢測(cè)評(píng)估在《網(wǎng)絡(luò)安全法》里面是不同的概念，要區(qū)別這兩個(gè)概念——在監(jiān)管的時(shí)候叫它抽查檢測(cè)，在網(wǎng)絡(luò)運(yùn)營(yíng)者義務(wù)這一部分叫做檢測(cè)評(píng)估，這樣可能概念更清晰一些。

（3）關(guān)于CII保護(hù)的行政管理機(jī)制的建議

有專家認(rèn)為，《條例》第四條是不是應(yīng)該增加國(guó)務(wù)院電信主管部門？①第四條：國(guó)家行業(yè)主管或監(jiān)管部門按照國(guó)務(wù)院規(guī)定的職責(zé)分工，負(fù)責(zé)指導(dǎo)和監(jiān)督本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院公安、國(guó)家安全、國(guó)家保密行政管理、國(guó)家密碼管理等部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。這主要是考慮到電信領(lǐng)域本身的重要性。事實(shí)上《條例》第十九條明確指出國(guó)家電信部門負(fù)責(zé)參與CII指南，所以第四條應(yīng)該把電信部門列出來。

（4）“監(jiān)測(cè)預(yù)警應(yīng)急處置和檢測(cè)評(píng)估”的章節(jié)標(biāo)題需要調(diào)整

方婷認(rèn)為，《條例》第六章的章節(jié)題目“監(jiān)測(cè)預(yù)警、應(yīng)急處置和檢測(cè)評(píng)估”，實(shí)際上這里的檢測(cè)評(píng)估包括主管部門以及相關(guān)部門組織的檢測(cè)評(píng)估，與運(yùn)營(yíng)者自身的檢測(cè)評(píng)估是不一致的。為了避免混淆，建議將這一部分改為檢查評(píng)估或者是安全檢查，或者是監(jiān)督檢查可能更為合適。

4.其他方面

美國(guó)科文頓柏靈律師事務(wù)所高級(jí)顧問羅嫣表示，希望美國(guó)供應(yīng)鏈管理監(jiān)管要求及實(shí)踐能夠?qū)ξ覈?guó)的立法有所啟示。目前《條例》中沒有體現(xiàn)出對(duì)供應(yīng)鏈的要求。但是供應(yīng)鏈管理非常重要。在美國(guó)聯(lián)邦國(guó)防采購規(guī)則里面有五項(xiàng)關(guān)鍵的合規(guī)義務(wù)：安全保障、報(bào)告、保存義務(wù)、機(jī)構(gòu)審計(jì)權(quán)，以及下游合規(guī)要求。美國(guó)并不是只有國(guó)防供應(yīng)商在做供應(yīng)鏈的監(jiān)管，其實(shí)對(duì)于網(wǎng)絡(luò)安全很重視的大公司都在做。

事先的審查是一個(gè)很重要的要求，事后動(dòng)態(tài)的保障，一種動(dòng)態(tài)的合規(guī)義務(wù)也很重要。美國(guó)著重對(duì)網(wǎng)絡(luò)安全的應(yīng)對(duì)，而不是靜態(tài)的安全。從美國(guó)的監(jiān)管要求來說，通過市場(chǎng)機(jī)制來激勵(lì)的一個(gè)平衡監(jiān)管和創(chuàng)新的關(guān)系。它不僅是一種行政管理，而且是發(fā)揮市場(chǎng)作用一種管理。

（整理：田金強(qiáng) 責(zé)任編輯：鐘宇歡）

D 922

：A

：1001-4225（2017）07-0019-08