信创舆情一线--《关键信息基础设施安全保护条例》纳入2020年立法计划

一、舆情回顾

7月8日，《国务院2020年立法工作计划》公布，其中，《关键信息基础设施安全保护条例》被纳入立法计划。

二、小信点评

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。具体看来，党政机关网站、企事业单位网站、新闻网站等网站类平台，即时通信、网上购物、地图、视音频、论坛等网络服务类平台，大型数据中心、工业控制系统、云计算等生产业务类平台都属于关键信息基础设施范畴。

这些平台系统一旦发生网络安全事故，就会对行业正常运行造成影响，严重者甚至会给国家政治、经济、科技、国防等领域带来破坏性打击。

今年5月，委内瑞拉国家电网干线遭到网络攻击，造成全国11个州大范围停电；7月，日本通信巨头NTT公司内部服务器遭到网络攻击，271家公司信息被泄露；2月，日本多家军工企业遭到网络攻击，神户制钢承认包括防卫省相关信息在内，共250份文件可能外泄…

近年来，我国愈发重视对关键信息基础设施的安全保护，相继出台一系列法律法规政策，从顶层加强对关键信息基础设施的保障。

2017年5月，国家互联网信息办公室发布《网络产品和服务安全审查办法（试行）》，要求关系国家安全的网络和信息采购重要网络产品、服务应通过网络安全审查；18年5月，认监委、国家互联网信息办公室联合发布关于网络关键设备和网络安全专用产品安全认证实施要求的公告，将网络关键设备和网络安全专用产品安全认证实施要求予以公告；今年4月，工信部等12部门联合制定《网络安全审查办法》，指出关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照《办法》进行网络安全审查。

此次《关键信息基础设施安全保护条例》被纳入2020立法规划，将从制度机制、标准规范、教育培训、手段建设、技术创新等方面提升通信、能源、交通、金融等行业主管部门和关键信息基础设施运营单位的安全保护能力。

事实上，关于关键信息基础设施的相关法规政策可追溯至3年前。2017年6月1日，《网络安全法》开始施行。《网络安全法》中规定了“关键信息基础设施提供者的相关义务和规则，对其在网络运营者的义务基础上，增加了特殊的责任。时隔1个半月，国家互联网信息办公室于2017年7月12日发布了《关键信息基础设施安全保护条例（征求意见稿）》，该部条例属于《网络安全法》的重要配套规定和下位法，规定了重要行业领域的网络安全要求。

征求意见稿以八章共计五十五条的篇幅，对于关键信息基础设施保护相关的一系列制度要素作了更具体的规定，涵盖：总则（第一至七条），支持与保障（第八至十七条），关键信息基础设施范围（第十八至二十条），运营者安全保护（第二十一至二十九条），产品和服务安全（第三十至三十五条），监测预警、应急处置和检测评估（第三十六至四十四条），法律责任（第四十五至五十二条）和附则（第五十三至五十五条）。

征求意见稿在内容上有以下三个重点：一是在《网络安全法》的基础上明确了关键信息基础设施保护范围，以设施是否“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害、国计民生、公共利益”为标准判断是否属于《条例》保护范围，可以相对减少在规制范围上的不确定性；二是对运营者履行的安全保护义务主要围绕给出了具体的要求，可以为运营者提供较为具体的指引规范；三是对国家、政府、监管部门、行业主管部门、能源、电信、交通、公安部门给出了责任约束。

《关键信息基础设施安全保护条例》纳入立法进程，体现了国家对关键信息基础设施保护的决心，也意味着国家网络安全战略及法律法规标准框架在不断细化、完善和延伸。