从《关键信息基础设施安全保护条例》看运营者的安全保护义务（上）

二、对关键信息基础设施的保护

《网络安全法》对关键信息基础设施的安全防护提出专门要求。《网络安全法》第五条规定：“国家采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。”第三十一条规定：“国家对……的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

此后，多个部门出台文件，对关键信息基础设施的保护进行细致规定。2020年4月，国家网信办、国家发改委、工信部等12部门联合出台《网络安全审查办法》，以确保关键信息基础设施供应链安全，并于2021年7月公开征求对《网络安全审查办法（修订草案）》的意见，将数据处理者开展的数据处理行为纳入网络安全审查的对象。

2020年7月，公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》；8月，全国信息安全标准化技术委员会发布《关键信息基础设施边界确定方法》和《关键信息基础设施安全防护能力评价方法》两个标准的征求意见稿，对关键信息基础设施的边界确定和安全防护能力评价提出规范要求。

此次国务院发布的《条例》属于行政法规，其效力仅次于《网络安全法》，远高于部门规章及国家标准。作为《网络安全法》的配套规则，《条例》在网络安全等级保护制度之外，按照“谁主管谁负责”的原则，综合协调，明确保护工作部门对本行业、本领域关键信息基础设施的安全保护责任。其第四条规定：“关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全”。

1. 明确监管职责分工

为了保障关键信息基础设施保护工作顺利进行，《条例》对监管职责进行明确分工。《条例》第三条规定：“在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。”这样的分工安排，既保障关键信息基础设施的保护工作协同推进，又能充分发挥具体行业部门的专业优势，提升关键信息基础设施的保护力度。

2. 强化安全主体责任

《条例》强调运营者在关键信息基础设施的保护工作中承担主体责任，并对运营者自身的安全管理机制提出严格要求。

一是强调“一把手负责制”，明确运营者的主要负责人对关键信息基础设施的保护负总责，其职责在于领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。二是要求运营者设立专门机构，具体负责本单位关键信息基础设施的保护工作；并对专门机构的负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应予以协助。三是要求运营者为上述专门机构配备经费和人员，切实保障其工作运行。

3. 细化安全保护要求

《条例》强化关键信息基础设施的安全保护，在网络安全等级保护制度之外对运营者提出了更高的保护要求。

一是要求运营者落实“三同步”，即安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用；二是要求运营者开展网络安全检测和风险评估，这项工作运营者应当每年至少进行一次，可以自行进行，或委托网络安全服务机构进行；三是运营者应履行安全事件或安全威胁报告义务，在关键信息基础设施发生重大网络安全事件或发现重大网络安全威胁时，应当及时向保护工作部门、公安机关报告；四是落实安全审查要求，即运营者应当优先采购安全可信的网络产品和服务，并明确网络产品和服务提供者的安全保密义务与责任；采购的网络产品和服务可能影响国家安全的，应当通过安全审查。

运营者安全保护义务的相应思考

第一，确保安全保护措施覆盖关键信息基础设施的全生命周期，保证安全保护措施与关键信息基础设施同步规划、同步建设、同步使用；

第二，对安全保护工作设置专门机构，对专门机构的负责人和关键岗位人员进行安全背景审查，配备专门资金保障专门机构的运行；

第三，至少每年对关键信息基础设施进行一次安全检查评估；

第四，优先采购安全可信的网络产品和服务，对可能影响国家安全的网络产品和服务应当通过网络安全审查。

三、关键信息基础设施中的数据保护

《数据安全法》第二十一条规定，“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”对照《条例》对关键信息基础设施的定义，可以认定关键信息基础设施中的数据均为重要数据，甚至属于国家核心数据，运营者对其需要重点保护。

《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”结合国家网信部门对滴滴等企业的网络安全审查，以及国家近期出台的一系列政策，可以认定国家对关键信息基础设施的数据出境会实施严格监管。

运营者安全保护义务的相应思考

第一，在境内运营关键信息基础设施时收集和处理的数据应满足本地化存储的规定，运营者的服务器应架设于境内。

第二，关键信息基础设施收集和处理的数据确需出境时，应通过国家的网络安全审查。

新世纪以来，以互联网为代表的信息技术推动全球经济飞速发展，关键信息基础设施的安全保护已经成为各国推进数字经济发展的重要保障。运营者应当对照《条例》，认真履行对关键信息基础设施的保护义务，建立健全保护制度，为网络强国保驾护航。

盈科北京知产一部简介

盈科北京知产一部涉及竞争法、专利、商标、著作权、传媒娱乐与文创法律服务、网络安全与数据保护、知产与刑事、涉外知产九个法律服务领域。核心律师成员16名，执业律师及助理共46名，具有专利代理师和律师执业资格的“双证律师”8名，具有硕士学位的有15名，博士学位的有5名，其中8名律师具有海外求学经历，具备深厚的法学理论功底和实务经验，兼具多元化的学习背景和工作能力。

盈科北京知产一部的服务领域除了传统知识产权（专利、商标、著作权）法律服务领域外，还包括但不限于知识产权许可、企业知识产权战略咨询、知识产权组合管理等与知识产权相关的综合法律服务，并服务于知识产权产业化运营和企业知识产权合规等业务，同时涵盖与知识产权滥用有关的反垄断和反不正当竞争法律服务领域。部门还聘请了法学和实务领域的专家和学者担任顾问，为部门的专业法律服务提供全面智力支持。