《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》各方意見綜述

本刊編輯部

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》各方意見綜述

本刊編輯部

一．背景介紹

1.立法背景

近年來，伴隨著以云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)為代表的新技術(shù)在全球范圍內(nèi)的快速應(yīng)用，包括能源、電力、交通基礎(chǔ)設(shè)施等更多的傳統(tǒng)性、關(guān)鍵性領(lǐng)域也紛紛聯(lián)入網(wǎng)絡(luò)，這使得信息基礎(chǔ)設(shè)施的脆弱性和安全威脅呈現(xiàn)出幾何式增長態(tài)勢，特別是在有組織的、高強度的攻擊面前，關(guān)鍵信息基礎(chǔ)設(shè)施面臨著巨大挑戰(zhàn)。

在此背景下，為保障國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全，進(jìn)一步細(xì)化落實《網(wǎng)絡(luò)安全法》,國家互聯(lián)網(wǎng)信息辦公室于2017年7月11日制定并推出了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（以下簡稱“《條例》”）。

《條例》征求意見稿共有8章，共計55項條款，對于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)的一系列基本要素，包括適用范圍、監(jiān)管主體、評估對象、評估機制和相應(yīng)法律責(zé)任等，在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上做了更具體的細(xì)化和落地規(guī)定。此外，《條例》中還突出體現(xiàn)了對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的動態(tài)全鏈條保護(hù)思維、重點保護(hù)思維和各類主體全面負(fù)責(zé)等創(chuàng)新思維，較《網(wǎng)絡(luò)安全法》更具創(chuàng)新性，更能適應(yīng)目前關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的現(xiàn)實需求，為其安全保護(hù)提供新的解決思路。

2.研究背景

《條例》自發(fā)布之日起，便受到了網(wǎng)絡(luò)安全行業(yè)的熱切關(guān)注，成為業(yè)內(nèi)專家學(xué)者討論和研究的焦點性話題。因此，中國互聯(lián)網(wǎng)協(xié)會研究中心聯(lián)合互聯(lián)網(wǎng)實驗室、美國信息產(chǎn)業(yè)機構(gòu)（USITO）等機構(gòu)共同主辦了“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）研討會”，特邀政府部門主管領(lǐng)導(dǎo)、業(yè)內(nèi)專家學(xué)者和企業(yè)界代表圍繞關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定、保護(hù)機制和保護(hù)責(zé)任等重點問題進(jìn)行了深入探討，期冀為我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域的立法與執(zhí)法工作提供建設(shè)性參考意見。

二．各方關(guān)注的焦點問題

會議中各界專家的研討主要集中在有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱CII）保護(hù)的四個方面：1.法律定位和保護(hù)理念；2.保護(hù)范圍；3.保護(hù)機制；4.保護(hù)責(zé)任。出于對關(guān)鍵信息基礎(chǔ)設(shè)施問題的復(fù)雜性、敏感性及其可操作性的考量，上述四個方面的問題是企業(yè)界、學(xué)界和法律界共同關(guān)心的。

1.法律定位和保護(hù)理念

（1）應(yīng)賦予CII優(yōu)先保障權(quán)

騰訊研究院資深專家王融指出，從國家層面來看，除了CII在安全方面的關(guān)鍵屬性，還應(yīng)當(dāng)包括戰(zhàn)略性屬性以及先導(dǎo)性屬性。有專家建議，基于CII在國家中的關(guān)鍵性、戰(zhàn)略性、先導(dǎo)性的法律地位，《條例》應(yīng)該更多考慮賦權(quán)和保障。《條例》中對這一點也有所體現(xiàn)，比如第十四條，①第十四條：能源、電信、交通等行業(yè)應(yīng)當(dāng)為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件應(yīng)急處置與網(wǎng)絡(luò)功能恢復(fù)提供電力供應(yīng)、網(wǎng)絡(luò)通信、交通運輸?shù)确矫娴闹攸c保障和支持。規(guī)定了在應(yīng)急狀態(tài)下，電力、通信這些關(guān)鍵中的關(guān)鍵行業(yè)，但實際上這種優(yōu)先保障應(yīng)當(dāng)擴(kuò)展到CII的日常運營中。

（2）CII保護(hù)需要五個理念的轉(zhuǎn)變

①從泛安全到關(guān)鍵安全

王融認(rèn)為，雖然CII本身定義也在致力于解決從泛安全到關(guān)鍵安全的轉(zhuǎn)變，但從目前有關(guān)行業(yè)主管部門出臺的一些CII識別指南或者一些行業(yè)標(biāo)準(zhǔn)來看，怎么能切實解決從泛安全到關(guān)鍵安全的轉(zhuǎn)變，仍然需要深度的研究思考。

比如：行業(yè)主管部門可能會單純提出用戶量這一維度，即用戶數(shù)量達(dá)到一定級別，那么該業(yè)務(wù)設(shè)施很可能就落入CII范疇。用戶數(shù)量這個維度達(dá)到一個什么量的標(biāo)準(zhǔn)才能夠鎖定關(guān)鍵的范圍？我國的網(wǎng)絡(luò)用戶數(shù)量天然就大，如果數(shù)量標(biāo)準(zhǔn)定的低，可能一個小應(yīng)用就可能達(dá)到CII的標(biāo)準(zhǔn)。因此假如采取用戶數(shù)量標(biāo)準(zhǔn)，考慮產(chǎn)業(yè)實際狀況，這個數(shù)量標(biāo)準(zhǔn)應(yīng)當(dāng)足夠高，以真正鎖定關(guān)鍵范圍。

將用戶數(shù)量作為一個尺度，需要考慮的另一個因素則是“替代性”。如果一個網(wǎng)絡(luò)服務(wù)的用戶很多，但替代性很強，在遭遇了網(wǎng)絡(luò)攻擊后，用戶仍有其他選擇替代的產(chǎn)品，那么“用戶數(shù)量”這個指標(biāo)的權(quán)重就應(yīng)當(dāng)相應(yīng)下降。

②從事前的絕對安全到事后可恢復(fù)的彈性安全

王融指出，網(wǎng)絡(luò)安全中公認(rèn)的一個觀點是：任何網(wǎng)絡(luò)系統(tǒng)都不能夠?qū)崿F(xiàn)百分之百的事前安全，因此更多的考量應(yīng)當(dāng)是——如何在遭到網(wǎng)絡(luò)攻擊或者自然災(zāi)害后是否有很強的恢復(fù)能力。她建議，在立法設(shè)計上：在事前，法律機制可以不要過于依賴事前的監(jiān)測安全、評估安全——至少不把它設(shè)定為行政許可式的市場門檻（沒有事前監(jiān)測、評估的，就不能上線）。

當(dāng)然，這并非否認(rèn)事前的作用，其旨在強調(diào)在事后，將可恢復(fù)性作為一個安全的考量維度。如在法律責(zé)任中豁免。

③從單一行業(yè)的安全，到彼此互聯(lián)各行各業(yè)的安全

有專家認(rèn)為，當(dāng)前，CI（關(guān)鍵基礎(chǔ)設(shè)施）和CII（關(guān)鍵信息基礎(chǔ)設(shè)施）本身邊界已模糊，水利大壩、鐵路、航空、醫(yī)院、電廠這些關(guān)鍵基礎(chǔ)設(shè)施（CI）均已實現(xiàn)信息化。在當(dāng)前的萬物互聯(lián)時代，需要更加強調(diào)各行業(yè)的安全統(tǒng)籌。

Intel法律政策總監(jiān)續(xù)俊旗強調(diào)，從世界范圍來講，CII的概念正在從系統(tǒng)向設(shè)施演進(jìn)。現(xiàn)在隨著信息技術(shù)的發(fā)展，隨著網(wǎng)絡(luò)化、信息化的發(fā)展，CII和CI的概念是趨于統(tǒng)一，很多模式放在網(wǎng)上，早已信息化。所以談CII的話，現(xiàn)在的語境跟過去相比發(fā)生了很大變化。

王融認(rèn)為，從《條例》的具體條文看，這種關(guān)聯(lián)統(tǒng)籌明顯不足。如何做到跨行業(yè)的安全信息共享，以及如何在其中協(xié)調(diào)統(tǒng)籌，避免各行業(yè)部門采取不同的尺度、重復(fù)性的管理活動，目前沒有特別明確的對應(yīng)解決機制。她建議，在各行各業(yè)主管部門中網(wǎng)信辦應(yīng)該進(jìn)一步加強統(tǒng)籌能力，避免重復(fù)性的檢測問題，更高效打造一個信息共享的狀態(tài)。

④從單一企業(yè)合規(guī)視角的安全到各方支持參與的安全

王融認(rèn)為，《條例》特別強調(diào)CII運營者的主體責(zé)任，比如第七條和第二十二條。①第七條：任何個人和組織發(fā)現(xiàn)危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的行為，有權(quán)向網(wǎng)信、電信、公安等部門以及行業(yè)主管或監(jiān)管部門舉報。第二十二條：運營者主要負(fù)責(zé)人是本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作第一責(zé)任人，負(fù)責(zé)建立健全網(wǎng)絡(luò)安全責(zé)任制并組織落實，對本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作全面負(fù)責(zé)。無可否認(rèn)，在CII的保護(hù)中，運營者所起到的作用是最大的，但全面來看，CII保護(hù)不應(yīng)當(dāng)僅僅體現(xiàn)為企業(yè)合規(guī)的功能。在《條例》中還應(yīng)補充相關(guān)各方的主體義務(wù)和責(zé)任。

⑤從政府主導(dǎo)安全到市場能動安全

王融強調(diào)，單靠政府主導(dǎo)去實現(xiàn)安全目標(biāo)相對比較困難。如果能最大化發(fā)揮市場能動性去創(chuàng)造安全價值，會事半功倍。目前《條例》中涉及到安全檢測、評估的環(huán)節(jié)，向第三方市場機構(gòu)放開，能有效催生市場參與安全保障的積極性。從這一考慮出發(fā)，《條例》中關(guān)于關(guān)鍵崗位的持證上崗制度，也應(yīng)理解為其中的“證”包括市場已有的各類安全技能培訓(xùn)、測評認(rèn)證證書等，而非新設(shè)的資質(zhì)類許可。

2.保護(hù)范圍

與會專家學(xué)者對《條例》的保護(hù)范圍發(fā)表了觀點，部分專家認(rèn)為范圍過于寬泛，而且有些概念需要進(jìn)一步明確和細(xì)化。

（1）《條例》和《網(wǎng)絡(luò)安全法》的關(guān)系

中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任李海英指出，就保護(hù)范圍來講，既然《條例》是《網(wǎng)絡(luò)安全法》的配套規(guī)定，首先它的定位應(yīng)該是對后者的具體范圍和安全保護(hù)辦法進(jìn)行一些細(xì)致規(guī)定，應(yīng)該在原來等級保護(hù)基礎(chǔ)上實行重點保護(hù)，保護(hù)范圍應(yīng)該更小，制度上更加嚴(yán)格。《網(wǎng)絡(luò)安全法》對一般運營者規(guī)定，在《條例》中不需要再來規(guī)定，應(yīng)該在其基礎(chǔ)之上執(zhí)行更嚴(yán)格的制度。

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為，《條例》旨在落實《網(wǎng)絡(luò)安全法》，落實的話應(yīng)當(dāng)是細(xì)化和具體化。從總體感覺，《條例》在具體化和細(xì)化方面不太夠，實際上并未對《網(wǎng)絡(luò)安全法》的規(guī)定做到細(xì)化，有一些可能還做了不是很恰當(dāng)?shù)男薷模热缯f第三十六條。②第三十六條：國家網(wǎng)信部門統(tǒng)籌建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系和信息通報制度，組織指導(dǎo)有關(guān)機構(gòu)開展網(wǎng)絡(luò)安全信息匯總、分析研判和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。

（2）CII的范圍需要進(jìn)一步明確

戴姆勒公司代表認(rèn)為，關(guān)于信息基礎(chǔ)設(shè)施保護(hù)范圍尚待進(jìn)一步明確。比如第十八條內(nèi)容中有一個“大型裝備”，③第十八條：下列單位運行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：（三）國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；大型裝備可能涉及的面太廣了，希望進(jìn)一步明確什么是大型裝備。如果作為關(guān)鍵信息基礎(chǔ)設(shè)施運營者，這是一個公司法人的定義，還是作為一個具體某一個系統(tǒng)運營的部門，如果是一個公司實體被確定為運營者的話。這個公司里所有的信息系統(tǒng)，包括郵件系統(tǒng)，還有內(nèi)部管理系統(tǒng)，是不是都屬于關(guān)鍵基礎(chǔ)設(shè)施，都進(jìn)行同等的保護(hù)責(zé)任？

百度公司代表認(rèn)為，CII的范圍需要進(jìn)一步明確。百度下面有很多基礎(chǔ)設(shè)施，目前不清楚哪些算是多個CII設(shè)備，哪些算是CII，哪些不算？需要一個比較明確的認(rèn)定標(biāo)準(zhǔn)。簡單來說搜索、社交，電商這些是CII嗎？大的搜索算還是小的也算？這些需要明確一下。

有專家建議：關(guān)于CII的范圍，目前可參照的是2016年6月網(wǎng)信辦出臺的《網(wǎng)絡(luò)安全檢查操作指南》，④http://www.hbzfhcxjst.gov.cn/UpFiles/Attach/2017/06/26/1704191641.pdf這個標(biāo)準(zhǔn)具有非常強的參考意義。但是，指南里邊確定CII的范圍太廣。在將來制定識別指南時，需要把這一標(biāo)準(zhǔn)基礎(chǔ)上適當(dāng)提高一些。

有專家指出，外資企業(yè)在中國算不算我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的范圍？如果不算的話也是需要明確的。

（3）大數(shù)據(jù)、云計算（云服務(wù)）的概念有待進(jìn)一步明確

李海英指出，云計算應(yīng)該如何算作關(guān)鍵信息基礎(chǔ)設(shè)施？只是其中對于設(shè)施這一部分，或者是設(shè)施當(dāng)中某一部分作為關(guān)鍵基礎(chǔ)設(shè)施？這都有待進(jìn)一步界定。大數(shù)據(jù)也一樣，什么是大數(shù)據(jù)的業(yè)務(wù)或什么是大數(shù)據(jù)的服務(wù)，現(xiàn)在也沒有明確規(guī)定。

部分專家認(rèn)為，有關(guān)大數(shù)據(jù)和云計算的設(shè)施應(yīng)該列入關(guān)鍵基礎(chǔ)設(shè)施的范疇。至于說怎么去列，哪一部分列入，這些細(xì)節(jié)還需要進(jìn)一步的研究。

公安部等級保護(hù)評估中心技術(shù)部主任任衛(wèi)紅強調(diào)，2011年兩高對于辦理危害計算機信息系統(tǒng)這種刑事案件解釋當(dāng)中，已經(jīng)把“計算機信息系統(tǒng)”擴(kuò)展解釋到網(wǎng)絡(luò)設(shè)備，通信設(shè)備，自動控制設(shè)備等。那這次《條例》的保護(hù)范圍擴(kuò)展到大數(shù)據(jù)云計算是必然的。如果對關(guān)鍵信息基礎(chǔ)設(shè)施實施入侵、破壞等違法犯罪行為，《網(wǎng)絡(luò)安全法》定義了許多違法行為，但是違法行為到了一定程度，累計成為犯罪的，就會涉及到刑法條款，仍會被定性為計算機犯罪，所以無論是信息系統(tǒng)、網(wǎng)絡(luò)、基礎(chǔ)設(shè)施等概念，最終是落實在《條例》要管的那么一個單元，可能是網(wǎng)，可能是一個信息基礎(chǔ)設(shè)施，也可能是一個信息系統(tǒng)。這個不用過多的去區(qū)別它。

（4）“個人信息和重要數(shù)據(jù)”的概念有待進(jìn)一步明確

中國政法大學(xué)傳播法中心研究員朱巍認(rèn)為，關(guān)于數(shù)據(jù)出境方面，條例第二十九條①第二十九條：運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照個人信息和重要數(shù)據(jù)出境安全評估辦法進(jìn)行評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。規(guī)定是否欠妥？如“個人信息”方面，在高校學(xué)生到境外去留學(xué)，境外需要審核其本科畢業(yè)證，需要登錄學(xué)信網(wǎng)，教育系統(tǒng)也應(yīng)當(dāng)算是關(guān)鍵信息。這種信息可不可以向境外流動，其個人征信這方面是不是會受到影響？有待進(jìn)一步研究。

其次，“重要數(shù)據(jù)”所指不明。《條例》第二十九條②第二十九條：運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照個人信息和重要數(shù)據(jù)出境安全評估辦法進(jìn)行評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。提到“重要數(shù)據(jù)”，不知道是什么概念，重要數(shù)據(jù)到底是什么？

3.保護(hù)機制

綜合企業(yè)界、學(xué)界和法律界的意見，認(rèn)為保護(hù)機制諸多方面需要細(xì)化和明確化。

（1）關(guān)鍵信息基礎(chǔ)設(shè)施的運營者的識別步驟有待確立③參照《條例》第三十條—第三十五條

如何確定關(guān)鍵信息基礎(chǔ)設(shè)施的運營者？是先確定關(guān)鍵信息基礎(chǔ)設(shè)施還是先確定運營者？國外有一些案例是先識別一定的行業(yè)，然后識別一些重點的服務(wù)領(lǐng)域，再識別這些領(lǐng)域中系統(tǒng)和信息系統(tǒng)一類設(shè)施的部分。李海英建議，《條例》能否設(shè)立這樣一個識別的步驟。

（2）關(guān)鍵信息基礎(chǔ)設(shè)施的識別認(rèn)定標(biāo)準(zhǔn)需要細(xì)化

李海英認(rèn)為，識別的標(biāo)準(zhǔn)需要有原則性的規(guī)定，比如一旦遭到破壞嚴(yán)重的影響程度，怎樣界定地域范圍？對國家安全到底有哪些威脅，威脅的程度如何？這應(yīng)該是作為一個標(biāo)準(zhǔn)，然后再來界定，把這些設(shè)施圈定之后，認(rèn)定這些設(shè)施的運營者，在這些設(shè)施的范圍之內(nèi)他們承擔(dān)關(guān)鍵基礎(chǔ)設(shè)施運營者的責(zé)任。

續(xù)俊旗指出，假如某企業(yè)有一個大型裝備，交通、通信這些行業(yè)都有涉及此裝備的安全認(rèn)定標(biāo)準(zhǔn)，這些不同行業(yè)的識別標(biāo)準(zhǔn)是不是一致，這在邏輯上需要進(jìn)一步的梳理。此外，到底怎么來設(shè)定標(biāo)準(zhǔn)？他認(rèn)為，第一步確定重要的部門、行業(yè)。第二個來看關(guān)鍵的業(yè)務(wù)，第三個看支撐業(yè)務(wù)的系統(tǒng)，它的設(shè)施。

有專家建議：《條例》應(yīng)當(dāng)盡可能明確認(rèn)定程序。關(guān)鍵基礎(chǔ)設(shè)施是具體行政行為，認(rèn)定程序直接關(guān)系到網(wǎng)絡(luò)安全法安全責(zé)任措施和運營者的法律責(zé)任，同時明確程序可以避免因認(rèn)定部門不同，導(dǎo)致結(jié)果不同而引發(fā)爭議。另外因為用戶規(guī)模的變化，如何進(jìn)入CII以及CII的互聯(lián)網(wǎng)規(guī)模變化，如何退出CII，這是需要考慮的問題。《條例》里面有涉及到電信互聯(lián)網(wǎng)行業(yè)，這個行業(yè)用戶規(guī)模變化很快，本身業(yè)務(wù)變化和業(yè)務(wù)增長這方面，需要更加明確一些。因為主管部門涉及到網(wǎng)信部門和各地方主管部門，這些部門之間如何去協(xié)調(diào)的問題，同樣需要做出明確。

（3）對于關(guān)鍵人員的審查機制有待細(xì)化

有專家認(rèn)為，對于關(guān)鍵崗位和關(guān)鍵人員的安全背景審查，是作為關(guān)鍵基礎(chǔ)設(shè)施很重要的一部分。對于高管、安全管理的負(fù)責(zé)人或直接接觸到這項業(yè)務(wù)的技術(shù)人員，是不是需要進(jìn)行不同背景的審查，做完背景審查之后是不是有后續(xù)的義務(wù)，如要求簽署保密的協(xié)議？在人員或者其他特定條件發(fā)生變化的時候，要不要重新做審查？有關(guān)這方面的制度需要再進(jìn)行細(xì)化。

（4）對企業(yè)進(jìn)行安全評估不應(yīng)該涉及商業(yè)機密

有企業(yè)界代表指出，有關(guān)部門在進(jìn)行安全檢測評估的時候，會不會調(diào)取其公司一些關(guān)于受知識產(chǎn)權(quán)保護(hù)相關(guān)的數(shù)據(jù)，或者是涉及到商業(yè)機密的問題。這是作為合資企業(yè)的外方利益方考慮特別多的一點，所以不知道條例可不可以在這方面做出一些明確。

（5）企業(yè)是否有申訴的機會

有企業(yè)界代表表示，如果企業(yè)被認(rèn)定為是關(guān)鍵信息基礎(chǔ)設(shè)施，企業(yè)是否有申訴的機會，或者行業(yè)主管部門是否有重新考慮的可能？如果被認(rèn)定，認(rèn)定結(jié)果是不是有時間的期限？同時他們也希望目錄能夠進(jìn)行動態(tài)調(diào)整。

（6）相關(guān)行業(yè)主管部門和對《條例》的執(zhí)行需要統(tǒng)一和明確

戴姆勒公司代表指出，需要確立相關(guān)行業(yè)主管到底是哪個部門。同時需要明確以后具體的檢測抽查，是由國務(wù)院級別部門來做，還是說各個省或者是市也可以做？各個省或者主管部門對政策的解讀會不會有出入，執(zhí)行方面各地有一些是不是有偏差？這些也是業(yè)界比較疑惑的地方。

有專家指出，《網(wǎng)絡(luò)安全法》授權(quán)《條例》規(guī)定基礎(chǔ)設(shè)施范圍，《條例》授權(quán)有關(guān)部門制定具體識別指南。企業(yè)界擔(dān)心這樣層層授權(quán)的結(jié)果可能導(dǎo)致關(guān)鍵信息認(rèn)定條例，出現(xiàn)認(rèn)定尺度不協(xié)調(diào)，認(rèn)定交叉問題。同時，過于分散的識別主體，給企業(yè)的合規(guī)或具體的保護(hù)責(zé)任落實可能會帶來一些負(fù)擔(dān)。

有些企業(yè)的云服務(wù)對不同行業(yè)客戶都會提供，比如向政府機關(guān)或能源金融這些機構(gòu)可能都提供云服務(wù)，這些單位有可能也要有一個評估標(biāo)準(zhǔn)，在評估的時候是說這些單位要評估一次，云服務(wù)商評估一次，是不是盡量統(tǒng)一一下能夠復(fù)用？另外，境外向境內(nèi)的合理信息查詢請求，建議每年做一次評估。

（7）需要完善《條例》和其他相關(guān)制度的配合與銜接

續(xù)俊旗指出，CII保護(hù)制度和其他的安全審查、跨境數(shù)據(jù)流動和個人信息保護(hù)等制度的配套和銜接也是一個問題，如果銜接的好它們可以互為支撐，可以使CII保護(hù)制度更加優(yōu)化合理。如何做好這種銜接、優(yōu)化和平衡，對立法和執(zhí)法都是一種考驗。

4.保護(hù)責(zé)任

（1）建議擴(kuò)大參與保護(hù)體系的網(wǎng)絡(luò)運營者的范圍

有專家認(rèn)為，《條例》當(dāng)中前面（第五條）明確提出運營者是關(guān)鍵信息技術(shù)運營者，實際上我國也明確指出要鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的運營者，參與保護(hù)體系。建議第十二條中的“運營者”①第十二條：國家鼓勵政府部門、運營者、科研機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)、行業(yè)組織、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者開展關(guān)鍵信息基礎(chǔ)設(shè)施安全合作。能夠擴(kuò)大范圍，涵蓋一般的網(wǎng)絡(luò)運營者。

（2）需要明確安全檢測的主體

《條例》第三十二條②第三十二條：運營者應(yīng)當(dāng)對外包開發(fā)的系統(tǒng)、軟件，接受捐贈的網(wǎng)絡(luò)產(chǎn)品，在其上線應(yīng)用前進(jìn)行安全檢測。規(guī)定了對于產(chǎn)品進(jìn)行安全檢測評估的要求，但是安全檢測主體實際上沒有明確。關(guān)鍵信息基礎(chǔ)設(shè)施運營者自身還是可以委托第三方進(jìn)行，并不清楚。有專家建議在后續(xù)的條例制定過程中，此項內(nèi)容應(yīng)當(dāng)進(jìn)行進(jìn)一步的明確。

此外，第三十四條關(guān)于CII境內(nèi)實施的運行，是否需要報國家網(wǎng)信部門，③第三十四條：關(guān)鍵信息基礎(chǔ)設(shè)施的運行維護(hù)應(yīng)當(dāng)在境內(nèi)實施。因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程維護(hù)的，應(yīng)事先報國家行業(yè)主管或監(jiān)管部門和國務(wù)院公安部門。也有待進(jìn)一步明確。

（3）安全預(yù)警信息是否可以向社會公開

國家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)及時對有關(guān)運營者發(fā)布相應(yīng)的預(yù)警措施，面向基礎(chǔ)設(shè)施運營者發(fā)布的預(yù)警信息，④第三十七條：國家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，及時掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況和安全風(fēng)險，向有關(guān)運營者通報安全風(fēng)險和相關(guān)工作信息。是否能夠授權(quán)向社會公開，有專家認(rèn)為，這也是條例中需要考慮的問題。

（4）“關(guān)于主要負(fù)責(zé)人”的概念應(yīng)當(dāng)明確界定

《條例》第二十二條中的主要負(fù)責(zé)人，是指董事長還是其他主要負(fù)責(zé)人？中華全國律師協(xié)會信息網(wǎng)絡(luò)與高新技術(shù)專業(yè)委員會副主任陳際紅認(rèn)為，對于主要負(fù)責(zé)人一詞應(yīng)當(dāng)有明確的法律界定，這關(guān)系到法律承擔(dān)問題。這樣一個規(guī)定⑤第二十二條：運營者主要負(fù)責(zé)人是本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作第一責(zé)任人，負(fù)責(zé)建立健全網(wǎng)絡(luò)安全責(zé)任制并組織落實，對本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作全面負(fù)責(zé)。會延伸到刑事責(zé)任，《刑法》有拒不履行網(wǎng)絡(luò)安全管理義務(wù)一項規(guī)定。如果不做出清晰的界定，會帶來法律責(zé)任承擔(dān)的復(fù)雜化，所以要考慮這樣一個界定和其他法律的銜接問題。

（5）關(guān)鍵信息基礎(chǔ)設(shè)施識別的方式需要進(jìn)一步明確

陳際紅律師認(rèn)為，《條例》第十九條⑥第十九條：國家網(wǎng)信部門會同國務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識別指南。是不是可以這么理解：CII識別的話是自上而下的識別，企業(yè)不承擔(dān)這個責(zé)任？還是說企業(yè)本身承擔(dān)一個初步的識別和申報的，申報之后由行業(yè)機關(guān)來進(jìn)行一個確定和識別？這其實跟識別的效果是有關(guān)系的。這一點需要明確。

（6）網(wǎng)絡(luò)安全服務(wù)機構(gòu)的違法行為和法律責(zé)任需要明確

有專家認(rèn)為，網(wǎng)絡(luò)安全服務(wù)機構(gòu)實際上有三方面的合規(guī)要求，在條例中有所體現(xiàn)。但是對于它的法律責(zé)任，在法律責(zé)任一章實際上沒有做出具體規(guī)定。⑦第五十一條：關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件，經(jīng)調(diào)查確定為責(zé)任事故的，除應(yīng)當(dāng)查明運營單位責(zé)任并依法予以追究外，還應(yīng)查明相關(guān)網(wǎng)絡(luò)安全服務(wù)機構(gòu)及有關(guān)部門的責(zé)任，對有失職、瀆職及其他違法行為的，依法追究責(zé)任。網(wǎng)安法當(dāng)中對此做出了具體規(guī)定，專家建議《條例》也應(yīng)當(dāng)對相應(yīng)的違法行為和法律責(zé)任做出明確的規(guī)定。

三．各方提及的其他意見和建議

除去保護(hù)范圍等各界共同關(guān)注的焦點問題以外，企業(yè)界、學(xué)術(shù)界、律師界代表和專家，分別立法理念、立法技術(shù)、法律的實施和可操作性等方面提出了大量觀點和建議。

1.立法原則和理念

（1）立法的宗旨

國家創(chuàng)新與發(fā)展戰(zhàn)略研究會副會長郝葉力指出，要精準(zhǔn)地劃定安全的范圍，確保安全和發(fā)展的平衡，這是非常重要的工作內(nèi)容。立法應(yīng)該從實踐中來，在實踐中提煉出有價值的信息，認(rèn)真學(xué)習(xí)吸納，同時也應(yīng)當(dāng)參考?xì)W美等地的立法經(jīng)驗，取長補短。最關(guān)鍵的是保持立法觀念的更新和開放，要有一個開放開明的態(tài)度來立法，這樣的法律是能夠真正得到大家的擁護(hù)和自覺執(zhí)行的。

中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長楊春艷強調(diào)，立法的根本目的是滿足于產(chǎn)業(yè)安全和發(fā)展并重，滿足于公眾的應(yīng)用，滿足于經(jīng)濟(jì)發(fā)展和人民的生產(chǎn)生活的需要，滿足于社會更加安定。《條例》的所有出發(fā)點，都始于這一點。

（2）管轄范圍

朱巍認(rèn)為，《條例》沒有突出網(wǎng)絡(luò)主權(quán)原則。①第二條：在中華人民共和國境內(nèi)規(guī)劃、建設(shè)、運營、維護(hù)、使用關(guān)鍵信息基礎(chǔ)設(shè)施，以及開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，適用本條例。（一）攻擊、侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施……關(guān)鍵信息基礎(chǔ)設(shè)施不一定在境內(nèi)規(guī)劃建設(shè)，運營維護(hù)。互聯(lián)網(wǎng)上不一定存在境內(nèi)，也有可能在境外，也有可能涉及到關(guān)鍵基礎(chǔ)設(shè)施安全的情況。所以應(yīng)該把管轄擴(kuò)大一點。

2.法律的可操作性

（1）期待《識別指南》對CII的清晰界定

戴姆勒公司代表表示，關(guān)鍵基礎(chǔ)設(shè)施識別指南無疑是大家關(guān)注的關(guān)鍵點。《條例》第十八條②第十八條：下列單位運行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍。在分類和范圍上存在一些邏輯上的模糊情況，業(yè)界更期待在CII識別指南上有非常清晰的定位，更關(guān)注識別指南怎么分類的，并且對指南出臺的時間表非常關(guān)心。此外，業(yè)界包括外資企業(yè)能否有機會參與討論識別指南的一些過程，非常希望了解這些內(nèi)容。

（2）如何確立“重大網(wǎng)絡(luò)安全事件”？

西安交通大學(xué)信息安全法律研究中心博士生方婷表示，《條例》規(guī)定只有發(fā)生“重大網(wǎng)絡(luò)安全事件”才啟動應(yīng)急預(yù)案，③第三十九條：國家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)組織制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練，提升網(wǎng)絡(luò)安全事件應(yīng)對和災(zāi)難恢復(fù)能力。發(fā)生重大網(wǎng)絡(luò)安全事件或接到網(wǎng)信部門的預(yù)警信息后，應(yīng)立即啟動應(yīng)急預(yù)案組織應(yīng)對，并及時報告有關(guān)情況。這里沒有關(guān)于“重大”的界定。同時，實際上對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域發(fā)生網(wǎng)絡(luò)安全事件不應(yīng)當(dāng)只限于發(fā)生重大網(wǎng)絡(luò)安全事件下啟動應(yīng)急預(yù)案。

（3）監(jiān)管范圍可以由易到難，逐步推進(jìn)

有專家建議，可以把最核心的部門系統(tǒng)，進(jìn)行國家強制監(jiān)管，慢慢動態(tài)調(diào)整監(jiān)管的目錄，監(jiān)管的對象，使CII保護(hù)這項制度真正落地，做得更好。

3.立法技術(shù)

（1）部分條款和《網(wǎng)絡(luò)安全法》或其他法律條文重合

有專家指出，《條例》部分內(nèi)容跟《網(wǎng)絡(luò)安全法》以及相關(guān)法律法規(guī)重合的，沒有必要加進(jìn)去。如第十六條的內(nèi)容，《刑法》也有規(guī)定。④第十六條：任何個人和組織不得從事下列危害關(guān)鍵信息基礎(chǔ)設(shè)施的活動和行為：

（2）區(qū)分“抽查檢測”和“檢測評估”

任衛(wèi)紅指出，《網(wǎng)絡(luò)安全法》第三十九條⑤第三十九條：國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施：（一）對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險進(jìn)行抽查檢測，提出改進(jìn)措施，必要時可以委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對網(wǎng)絡(luò)存在的安全風(fēng)險進(jìn)行檢測評估；和《條例》第四十條，⑥第四十條：國家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)定期組織對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險以及運營者履行安全保護(hù)義務(wù)的情況進(jìn)行抽查檢測，提出改進(jìn)措施，指導(dǎo)、督促運營者及時整改檢測評估中發(fā)現(xiàn)的問題。國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門開展的抽查檢測工作，避免交叉重復(fù)檢測評估。在兩個條款當(dāng)中都有一個特點：前半部分說起主管部門定期的抽查檢測，又提到在對存在的問題要及時整改檢測評估中發(fā)現(xiàn)的問題，前后的表述不一致。抽查檢測和檢測評估在《網(wǎng)絡(luò)安全法》里面是不同的概念，要區(qū)別這兩個概念——在監(jiān)管的時候叫它抽查檢測，在網(wǎng)絡(luò)運營者義務(wù)這一部分叫做檢測評估，這樣可能概念更清晰一些。

（3）關(guān)于CII保護(hù)的行政管理機制的建議

有專家認(rèn)為，《條例》第四條是不是應(yīng)該增加國務(wù)院電信主管部門？①第四條：國家行業(yè)主管或監(jiān)管部門按照國務(wù)院規(guī)定的職責(zé)分工，負(fù)責(zé)指導(dǎo)和監(jiān)督本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。這主要是考慮到電信領(lǐng)域本身的重要性。事實上《條例》第十九條明確指出國家電信部門負(fù)責(zé)參與CII指南，所以第四條應(yīng)該把電信部門列出來。

（4）“監(jiān)測預(yù)警應(yīng)急處置和檢測評估”的章節(jié)標(biāo)題需要調(diào)整

方婷認(rèn)為，《條例》第六章的章節(jié)題目“監(jiān)測預(yù)警、應(yīng)急處置和檢測評估”，實際上這里的檢測評估包括主管部門以及相關(guān)部門組織的檢測評估，與運營者自身的檢測評估是不一致的。為了避免混淆，建議將這一部分改為檢查評估或者是安全檢查，或者是監(jiān)督檢查可能更為合適。

4.其他方面

美國科文頓柏靈律師事務(wù)所高級顧問羅嫣表示，希望美國供應(yīng)鏈管理監(jiān)管要求及實踐能夠?qū)ξ覈牧⒎ㄓ兴鶈⑹尽Ｄ壳啊稐l例》中沒有體現(xiàn)出對供應(yīng)鏈的要求。但是供應(yīng)鏈管理非常重要。在美國聯(lián)邦國防采購規(guī)則里面有五項關(guān)鍵的合規(guī)義務(wù)：安全保障、報告、保存義務(wù)、機構(gòu)審計權(quán)，以及下游合規(guī)要求。美國并不是只有國防供應(yīng)商在做供應(yīng)鏈的監(jiān)管，其實對于網(wǎng)絡(luò)安全很重視的大公司都在做。

事先的審查是一個很重要的要求，事后動態(tài)的保障，一種動態(tài)的合規(guī)義務(wù)也很重要。美國著重對網(wǎng)絡(luò)安全的應(yīng)對，而不是靜態(tài)的安全。從美國的監(jiān)管要求來說，通過市場機制來激勵的一個平衡監(jiān)管和創(chuàng)新的關(guān)系。它不僅是一種行政管理，而且是發(fā)揮市場作用一種管理。

（整理：田金強 責(zé)任編輯：鐘宇歡）

D 922

：A

：1001-4225（2017）07-0019-08