問：請簡要介紹一下《條例》出臺的背景？

答：黨中央、國務院高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，對于維護國家網(wǎng)絡(luò)空間主權(quán)和國家安全、保障經(jīng)濟社會健康發(fā)展、維護公共利益和公民合法權(quán)益具有重大意義。當前，關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢日趨嚴峻，網(wǎng)絡(luò)攻擊威脅上升，事故隱患易發(fā)多發(fā)，安全保護工作還存在法規(guī)制度不完善、工作基礎(chǔ)薄弱、資源力量分散、技術(shù)產(chǎn)業(yè)支撐不足等突出問題，亟待建立專門制度，明確各方責任，加快提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護能力。2017年施行的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務院制定。出臺《條例》旨在落實《中華人民共和國網(wǎng)絡(luò)安全法》有關(guān)要求，將為我國深入開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供有力法治保障。

問：制定《條例》的總體思路是什么？

答：在總體思路上主要把握了以下三點：一是堅持問題導向。針對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作實踐中的突出問題，細化《中華人民共和國網(wǎng)絡(luò)安全法》有關(guān)規(guī)定，將實踐證明成熟有效的做法上升為法律制度，為保護工作提供法治保障。二是壓實責任。堅持綜合協(xié)調(diào)、分工負責、依法保護，強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責任，充分發(fā)揮政府及社會各方面的作用，共同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全。三是做好與相關(guān)法律、行政法規(guī)的銜接。在《中華人民共和國網(wǎng)絡(luò)安全法》確立的制度框架下，細化相關(guān)制度措施，同時處理好與相關(guān)法律、行政法規(guī)的關(guān)系。

問：開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作，各部門的職責分工是什么？

答：《條例》第三條規(guī)定在國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下，國務院公安部門負責指導監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作；國務院電信主管部門和其他有關(guān)部門依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作。省級人民政府有關(guān)部門依據(jù)各自職責對關(guān)鍵信息基礎(chǔ)設(shè)施實施安全保護和監(jiān)督管理。

問：關(guān)鍵信息基礎(chǔ)設(shè)施如何認定？

答：《條例》從我國國情出發(fā)，借鑒國外通行做法，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的定義和認定程序。一是明確關(guān)鍵信息基礎(chǔ)設(shè)施的定義。二是明確關(guān)鍵信息基礎(chǔ)設(shè)施所在行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。三是明確由保護工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則，并組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施。四是規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變化，可能影響其認定結(jié)果時，運營者應當及時報告保護工作部門，由保護工作部門重新認定。

問：《條例》對保護工作部門職責作了哪些規(guī)定？

答：依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》有關(guān)規(guī)定，按照“誰主管誰負責”的原則，《條例》明確了保護工作部門對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護責任：一是制定關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，明確保護目標、基本要求、工作任務、具體措施。二是建立健全網(wǎng)絡(luò)安全監(jiān)測預警制度，及時掌握關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢，預警通報網(wǎng)絡(luò)安全威脅和隱患，指導做好安全防范工作。三是建立健全網(wǎng)絡(luò)安全事件應急預案，定期組織應急演練。四是指導運營者做好網(wǎng)絡(luò)安全事件應對處置，并根據(jù)需要組織提供技術(shù)支持與協(xié)助。五是定期組織開展網(wǎng)絡(luò)安全檢查檢測，指導監(jiān)督運營者及時整改安全隱患、完善安全措施。

問：為強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責任，《條例》主要作了哪些規(guī)定？

答：《條例》在總則部分對運營者責任作了原則規(guī)定，要求運營者依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求，在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，采取技術(shù)保護措施和其他必要措施，應對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性。

《條例》還設(shè)專章細化了有關(guān)義務要求，主要包括：一是建立健全網(wǎng)絡(luò)安全保護制度和責任制，實行“一把手負責制”，明確運營者主要負責人負總責，保障人財物投入。二是設(shè)置專門安全管理機構(gòu)，履行安全保護職責，參與本單位與網(wǎng)絡(luò)安全和信息化有關(guān)的決策，并對機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查。三是對關(guān)鍵信息基礎(chǔ)設(shè)施每年進行網(wǎng)絡(luò)安全檢測和風險評估，及時整改問題并按要求向保護工作部門報送情況。四是關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，按規(guī)定向保護工作部門、公安機關(guān)報告。五是優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務，并與提供者簽訂安全保密協(xié)議；可能影響國家安全的，應當按規(guī)定通過安全審查。

問：對于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作，《條例》明確了哪些保障和促進措施？

答：保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，需要統(tǒng)籌資源和力量，全方位實施保護?！稐l例》在保障方面，一是明確建立網(wǎng)絡(luò)安全信息共享機制，并規(guī)定工作中獲取的信息只能用于維護網(wǎng)絡(luò)安全，不得泄露、出售或者非法向他人提供。二是對國家有關(guān)部門開展安全檢查作出規(guī)定，要求避免不必要的檢查和交叉重復檢查，檢查不得收費，不得要求被檢查單位購買指定產(chǎn)品和服務；同時規(guī)定任何個人和組織未經(jīng)授權(quán)不得對關(guān)鍵信息基礎(chǔ)設(shè)施進行探測測試等活動。三是規(guī)定國家網(wǎng)信部門和國務院電信主管部門、公安部門等根據(jù)保護工作部門需要，提供技術(shù)支持和協(xié)助。四是明確國家對能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行實施優(yōu)先保障。五是規(guī)定公安機關(guān)、國家安全機關(guān)依據(jù)各自職責依法加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保衛(wèi)，防范打擊針對和利用關(guān)鍵信息基礎(chǔ)設(shè)施實施的違法犯罪活動。六是明確國家出臺安全標準，指導規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。《條例》在支持促進方面，從人才培養(yǎng)、技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)安全服務機構(gòu)建設(shè)與管理、軍民融合、表彰獎勵等方面作了相應規(guī)定。

問：對實施危害關(guān)鍵信息基礎(chǔ)設(shè)施安全活動的個人和組織，或未經(jīng)授權(quán)或批準，對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測、滲透性測試等活動的個人和組織，《條例》作了哪些規(guī)范？

答：實踐中，一些個人和組織擅自對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測、滲透性測試等活動，影響關(guān)鍵信息基礎(chǔ)設(shè)施安全。《條例》一是明確任何個人和組織不得實施非法侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施的活動，不得危害關(guān)鍵信息基礎(chǔ)設(shè)施安全。二是規(guī)定未經(jīng)國家網(wǎng)信部門、國務院公安部門批準或者保護工作部門、運營者授權(quán)，任何個人和組織不得對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動。對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測、滲透性測試等活動，應當事先向國務院電信主管部門報告。三是在法律責任章節(jié)中專門規(guī)定了相應罰則。

問：關(guān)鍵信息基礎(chǔ)設(shè)施中的重要數(shù)據(jù)出境如何進行？

答：《中華人民共和國數(shù)據(jù)安全法》已由第十三屆全國人民代表大會常務委員會第二十九次會議于2021年6月10日通過，將于9月1日起實施。其中，第三十一條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第三十七條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

切實抓住關(guān)鍵信息基礎(chǔ)設(shè)施安全這個“牛鼻子”

提升我國網(wǎng)絡(luò)安全保障能力，筑牢國家網(wǎng)絡(luò)安全屏障，維護國家網(wǎng)絡(luò)空間主權(quán)和安全，需要切實抓住關(guān)鍵信息基礎(chǔ)設(shè)施安全這個“牛鼻子”。

中國信息通信研究院院長認為，這需要完善配套標準規(guī)范體系，深化行業(yè)監(jiān)管職責落實，加強新技術(shù)新模式應用示范。具體來看，首先，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施共性安全需求和基線安全要求，加快制定出臺國家標準；保護工作部門聚焦行業(yè)實際和特點，深入推進行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施標準建設(shè)；圍繞運營者責任義務、信息共享模式、協(xié)同處置機制、安全防護能力認定等關(guān)鍵方面開展管理機制深入研究。

同時，指導監(jiān)督行業(yè)運營者落實安全主體責任，扎實做好網(wǎng)絡(luò)安全威脅監(jiān)測與處置、網(wǎng)絡(luò)安全審查等關(guān)鍵信息基礎(chǔ)設(shè)施安全保護相關(guān)工作；構(gòu)建完善應急保障體系，建立態(tài)勢感知、應急指揮等技術(shù)支撐手段，組織開展場景式、專題化、聯(lián)合型應急演練，打造專家隊伍；強化創(chuàng)新發(fā)展研究，積極利用云計算、大數(shù)據(jù)、人工智能等新技術(shù)提升關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力；建立創(chuàng)新激勵機制，深化網(wǎng)絡(luò)安全先進技術(shù)創(chuàng)新應用和試點示范，強化面向關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力供給。

“需要全面加強關(guān)鍵信息基礎(chǔ)設(shè)施安全防護，運營者應重點從脆弱性和風險隱患自查自糾、安全事件和威脅分析研判、極端極限情況下關(guān)鍵信息基礎(chǔ)設(shè)施的持續(xù)穩(wěn)定運行等能力入手，逐步培養(yǎng)網(wǎng)絡(luò)安全專業(yè)人才隊伍，注重防護措施有效性的檢驗評價?！眹倚畔⒓夹g(shù)安全研究中心主任表示。