读懂《关键信息基础设施安全保护条例》


关键信息基础设施是网络安全的重中之重,是关乎国家安全的“命门”所在,是国家安全的重要战略资源。《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行,标志着我国建立起关键信息基础设施安全综合保护责任体系,进一步提升了我国关键信息基础设施安全保护能力。​


​1. 什么是关键信息基础设施?​​

  • 定义​:指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络设施、信息系统,一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生和公共利益。
  • 认定标准​:由各行业主管部门制定本行业、本领域具体认定规则,报国务院公安部门备案。

2. 谁来保护?责任如何划分?​

  • 运营者主体责任​:
    ▶ 建立健全网络安全保护制度,实行“一把手负责制”;
    ▶ 落实网络安全“三同步”原则(同步规划、同步建设、同步使用);
    ▶ 每年至少开展一次网络安全检测和风险评估;
    ▶ 设立专门安全管理机构,明确负责人和7×24小时应急响应机制。
  • 行业监管责任​:
    ▶ 行业主管监管部门负责制定本领域安全规划,明确保护要求;
    ▶ 建立关键信息基础设施名录,实施动态调整;
    ▶ 组织检查运营者安全管理制度落实情况。
  • 国家统筹责任​:
    ▶ 国家网信部门统筹协调;
    ▶ 公安部门负责指导监督;
    ▶ 国家安全机关依法打击针对关键信息基础设施的敌对势力攻击。

3. 重点保护措施有哪些?​

  • 供应链安全​:优先采购安全可信的网络产品和服务;采购可能影响国家安全的,应通过国家安全审查。
  • 数据安全​:境内运营中收集和产生的个人信息、重要数据应当在境内存储;向境外提供数据需依法进行安全评估。
  • 监测预警​:国家建立关键信息基础设施安全监测预警机制,运营者需及时报送网络安全威胁信息。
  • 应急处置​:制定网络安全事件应急预案,每年至少开展一次应急演练;发生重大安全事件时,1小时内向行业主管部门和公安部门报告。

4. 违反《条例》将面临哪些处罚?​

  • 运营者责任​:未履行安全保护义务导致严重后果的,处10万元以上100万元以下罚款,对直接责任人处1万元以上10万元以下罚款。
  • 境外追责​:境外的组织、个人对境内关键信息基础设施实施攻击、侵入、干扰、破坏的,依法追究法律责任;国务院公安部门、国家安全部门可决定对该组织、个人采取冻结财产或其他必要制裁措施。

5. 长效保障机制

  • 技术支撑​:推动安全防护技术创新,建立网络安全信息共享平台;
  • 人才培养​:将关键信息基础设施安全保护纳入国家网络安全教育体系;
  • 协同防护​:建立政府、运营者、专业机构、科研机构等协同联动的综合防护体系。


《关键信息基础设施安全保护条例》构建了“政府主导、企业主责、法治保障”的治理框架,为维护国家安全、保障经济社会发展筑起网络安全“防火墙”。