數字經濟關鍵信息基礎設施安全保護義務：治理體系與改革建議

閆宇晨

（南京理工大學知識產權學院，江蘇南京 210094）

縱觀國際，近年與關鍵信息基礎設施（以下簡稱“關鍵設施”）有關的重大網絡安全事件頻頻發生，對人民財產安全、公共利益、國計民生甚至國家安全帶來巨大挑戰。習近平［1］總書記指出：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”，網絡安全已經成為數字經濟健康發展的前提。2016年，《網絡安全法》作為國家實施網絡空間管轄的首部法律正式頒布，該法首次引入網絡安全這一“地基”概念，并提出對關鍵設施進行重點安全保護，這也開啟了我國網絡安全立法的新篇章。在此背景下，為保障關鍵設施安全，進一步細化落實《網絡安全法》中指導和監督關鍵信息基礎設施運行安全保護工作的要求，國家互聯網信息辦公室（以下簡稱“國家網信辦”）制定出臺了《關鍵信息基礎設施安全保護條例》（以下簡稱“《條例》”），并于2021年9月1日起正式施行?！稐l例》作為《網絡安全法》的重要配套法規，明確了我國關鍵設施安全保護的具體要求，為相關工作開展提供了方向性指引，也標志著國家網絡安全保障體系建設進入新階段。

劉金瑞［2］從國家安全高度對關鍵設施概念進行了界定，指出對于涉及金融、能源、交通、通信等領域重要設施的保護，是各國網絡安全治理和立法的核心內容。王玥等［3］分析了我國關鍵設施安全保護的現狀及不足，提出現階段應加強互聯網時代關鍵設施的法律保護，這是我國當前網絡信息安全法治建設的重要使命。陳紅松等［4］、李留英［5］、周瑞玨［6］從比較研究角度，針對美國、歐盟、日本等國家（地區）關鍵設施安全保護的發展歷程和實施狀況進行梳理分析，為完善我國網絡安全立法提供了重要參考。2022年7月，國家網信辦結束對滴滴出行的網絡安全審查，并依據《網絡安全法》《數據安全法》《個人信息保護法》對其違法違規行為做出嚴厲處罰［7］。在數字經濟下的交通行業中，網約車占有重要地位，滴滴出行在國內網約車市場中又占有著絕對領先的市場份額，其作為交通行業的關鍵設施，掌握著大量的交通出行基礎數據、重要政務數據及公民個人信息數據，其不當行為會引發嚴重的網絡安全后果?！暗蔚问录碧嵝盐覀儯\營者作為維護關鍵設施安全的第一責任人，其如何正確認識并適當履行安全保護義務，事關重大。然而，理論界對此問題鮮有針對性研究，尚缺乏系統性分析總結。鑒于此，本文將對我國關鍵設施運營者的安全保護義務進行分析評述，在正確認識運營者責任主體地位的基礎上，勘定其安全保護義務的基本環節與基本類型，結合現有研究成果闡述現行治理體系中的不足與可完善之處，力圖為相關制度改革提供理論參考與方向指引。

1 關鍵設施安全保護義務的責任主體：網絡安全等級保護2.0時代下的運營者

1.1 等級保護1.0時代下的運營者

為加快推進信息安全等級保護，提高信息安全保障能力和水平，2007年至2012年公安部等各部委發布了以《信息安全等級保護管理辦法》為核心的一系列規范性法律文件，這標志著我國信息系統保護完成從無到有的跨越，邁入等級保護1.0時代。1.0時代的信息系統保護依安全保護的等級來決定運營者應當履行的義務。具體而言，依據信息系統在國家安全、經濟建設、社會生活中的重要程度，以及信息系統遭到破壞后的危害程度等因素，運營者的安全保護義務被劃分為數個等級。這時的運營者應當按照相應等級保護管理規范和技術標準，使用符合國家有關規定且滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作，履行定級備案、建設整改、等級測評與接受監督檢查等安全保護義務［8］。然而，隨著信息技術的發展，根據信息系統重要性劃分安全保護等級的做法弊端凸顯。

其一，保護對象過于狹隘，對運營者的認定范圍有待拓展。等級保護1.0時代中重點保護的是基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統。而如今是萬物互聯的時代，國家重要行業、領域的基礎設施皆與信息網絡相關聯，其關聯形式已拓展到網絡基礎設施、工業控制系統、云計算平臺、大數據平臺、物聯網等，新技術新應用提出了新的安全擴展要求。其二，以大數據為代表的數據化、數字化已經成為全球信息技術發展的重要趨勢，數據安全也成為國家網絡安全的一項核心內容［9］。一些關鍵行業、領域的運營者掌握著大量重要數據，數據的非法收集、使用，不但會對個人權益造成嚴重損害，還會威脅公共安全、國家安全。對于此類運營者，在等級保護的基礎上也亟需國家予以重點保護［10］。

1.2 等級保護2.0時代下的運營者

《網絡安全法》的頒布徹底改變了我國網絡安全保護格局，《條例》的出臺則為運營者落實安全保護義務提供了法律依據，自此，對于關鍵設施保護也進入到等級保護2.0時代。

首先，《網絡安全法》提出“網絡安全等級保護制度”的安全理念，將保護對象從信息系統拓展至一切能夠影響網絡安全的基礎設施、數據資源等，與之相應的安全責任主體范圍也得到了優化。其次，在網絡安全等級保護制度的基礎上，對運營者進行重點保護。具體來說，《條例》采取了“行業/領域+后果”的認定模式：對于公共通信和信息服務、能源、交通、水利、金融、電子政務、國防科技工業等重要行業和領域的重要網絡設施、信息系統予以重點保護；對于可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等，根據其可能帶來的危害、影響，列為重點保護的關注對象。最后，在等級保護2.0時代下，運營者的認定方式也更加靈活?；ヂ摼W技術快速發展的推動下，網絡設施、信息系統飛速更迭，運營者關鍵核心業務的重要程度、對于其他行業的關聯性影響以及可能造成的危害也處于動態變化中，因此對于運營者這一責任主體的認定應當是一個動態化的進程［11］，此次《條例》采用了靈活化的認定方式并用專章予以詳細說明。筆者認為，等級保護2.0時代下運營者的安全保護義務是指為落實《網絡安全法》和《條例》中與運營者責任義務有關的規定、滿足國家各項網絡安全管理規范和標準，而采取一切必要措施保護關鍵設施及其重要數據不受攻擊破壞，切實加強關鍵設施安全防護的義務。

2 關鍵設施運營者履行安全保護義務的基本環節及相關要求

為解決運營者履行安全保護義務缺乏可參照的實施標準與操作流程問題，我國在2017年開始布局關鍵設施安全保護標準體系。全國信息安全標準化技術委員會充分借鑒相關部門在重要領域網絡安全審查、網絡安全檢查等重點工作的成熟經驗、充分參考國際社會在關鍵設施安全保護方面的成功舉措，頒布了《信息安全技術 關鍵信息基礎設施網絡安全保護要求（征求意見稿）》，提出關鍵設施網絡安全保護要求的同時，也指明了運營者履行義務的基本環節（如圖1所示）。

圖1 運營者履行安全保護義務各環節關系

（1）識別認定環節：運營者須配合安全保護工作部門，開展關鍵設施認定活動，圍繞關鍵設施承載的關鍵業務進行風險識別；（2）安全防護環節：運營者根據已識別的安全風險，在規劃、人員、數據、供應鏈等方面制定和實施適當的安全防護措施，確保關鍵設施的運行安全；（3）檢測評估環節：運營者制定相應的檢測評估制度，確定檢測評估的流程及內容等要素，分析潛在安全風險與可能引起的安全事件；（4）監測預警環節：運營者制定并實施網絡安全監測預警和信息通報制度，針對即將發生或正在發生的網絡安全事件或威脅，提前或及時發出安全警示；（5）應急處置環節：根據檢測評估、監測預警環節發現的問題，運營者制定并實施適當的應對措施，來恢復由于網絡安全事件而受損的功能或服務。

從各環節的關系來看，第一，識別認定環節是其他各環節開展的前提和基礎。運營者在此環節應當配合保護工作部門的認定工作，并積極識別業務鏈上的安全風險，明確安全防護等級，當關鍵設施發生變化影響識別認定時，應及時將情況報告保護工作部門。第二，配置安全防護措施是運營者履行安全保護義務的核心環節，運營者應當圍繞可能發生的安全風險配置防護措施，最大程度上防范安全風險發生。第三，檢測評估環節與監測預警環節是運營者開展安全保護工作的重要保障。運營者建立檢測評估環節與監測預警環節，目的都是為了檢驗安全防護措施的有效性，提前預警、發現可能存在的網絡安全風險隱患，促使運營者提前研判安全風險與積極應對安全問題，同時推動運營者排查安全漏洞并開展整改工作。第四，應急處置環節是運營者履行安全保護義務的落腳點。在網絡安全事件發生后，運營者應按照應急預案組織人員、專家隊伍，確保安全事件得到及時有效處置，運營者也可在真實事件中檢驗設施安全狀況與處置安全風險的能力。

3 我國關鍵設施運營者安全保護義務具體內容的類型分析

《網絡安全法》作為維護國家網絡安全的頂層設計，對于運營者的安全保護義務作出了總體要求，而《條例》則以專章的形式對其進行細化。下文將以《條例》相關內容為參照，結合《信息安全技術關鍵信息基礎設施安全保障指標體系（征求意見稿）》（以下簡稱“《指標》”）等文件，從制度建設、機構人員管理、化解網絡安全風險等方面對其義務進行類型化分析（如圖2所示）。

圖2 關鍵設施運營者安全保護義務的基本類型

3.1 建立健全網絡安全保護制度的義務

其一，運營者配合實施網絡安全專項規劃與運行保障的義務?！稐l例》對如何夯實關鍵設施保護的各方面責任進行了規定，包括運營者的主體責任、保護工作部門的統籌協調與監督管理責任、社會各方面的協同配合與監督責任。其中，保護工作部門應當站在全局角度重點圍繞《條例》的落地實施，制定本行業、領域關鍵設施安全規劃。而運營者作為落實安全保護義務的責任主體，根據“誰運營、誰負責”的原則，其所承擔的主體責任是基礎，也是關鍵［12］。運營者應當以提高自身安全保護能力為主要目標，配合保護工作部門實施相關專項規劃。在此過程中，運營者有義務建立健全網絡安全保護制度和責任制；保障人力、財力、物力投入；建立健全網絡安全管理、評價考核制度；根據自身情況擬定本單位安全保護計劃［13］。

其二，運營者應當建立健全個人信息和數據安全保護制度，履行保障公民個人信息安全和數據出境信息安全的義務。當前關鍵設施面臨的網絡安全形勢嚴峻復雜，特別是新冠病毒感染疫情發生以來，網絡攻擊、網絡勒索、數據竊取等事件頻發，危害經濟社會穩定運行。一方面，在大數據和人工智能技術快速發展的時代，數據控制者對于海量數據分析、處理、使用變得十分普遍，個人信息被濫用的可能性劇增［14］。運營者在開展關鍵業務中可能掌握大量個人信息，其中不乏敏感信息，如果缺乏必要的制度約束將引發個人信息被濫用等一系列問題。另一方面，數據資源已經成為全球經濟與貿易發展的主要驅動因素，數據跨境流動成為信息產業實現利益的重要途徑，但運營者數據跨境行為所引發的安全風險問題卻十分突出，涉及重要數據的不當跨境給個人權益、國家安全造成嚴重威脅。因此，強調運營者維護數據安全的主體責任顯得尤為重要，國家也先后出臺了多部法律來廓清運營者責任。例如，《網絡安全法》第37條規定，運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲，數據出境應進行安全評估，該條文奠定了運營者個人信息和重要數據出境應遵循的基本原則；2017年國家網信辦發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》則為運營者履行相關義務提供了具體操作指南；2021年正式施行的《個人信息保護法》在延續上述規定的同時，特別強調在向境外提供個人信息時，運營者應當進行個人信息保護影響評估［15］。

3.2 設置安全管理機構、關鍵崗位人員的義務

對于關鍵設施保護，既應重視宏觀層面保護制度、標準的建設，也要關注到具體落實層面的機構與人員管理，做到技術安全與人員、機構管理安全的全方位保障與協調。我國關鍵設施保護長期存在重技術安全，輕人員、機構管理的問題，與后者直接相關安全事件占比較高［4］，對此，《條例》作出了重點優化。其一，機構管理方面，運營者應當設置專門安全管理機構，由該機構主導網絡安全和信息化的決策，負責管理與協調關鍵設施相關工作。其二，人員管理方面，首先，運營者施行網絡安全保護“一把手”責任制，由運營者機構主要負責人領導相關工作并負首要責任。其次，為有效防范來自機構內部人員的安全風險，必要時運營者可尋求公安機關、國家安全機關的力量，對專門安全管理機構負責人及關鍵崗位人員進行背景審查。最后，運營者負有就人員安全進行持續性保障的義務，應積極組織網絡安全教育、培訓，培養關鍵崗位人員安全意識，儲備網絡安全專業人才。

3.3 配備實施安全風險控制措施的義務

第一，采購安全網絡產品和服務的義務。關鍵設施安全很大程度上取決于運營者使用網絡產品和服務的供應鏈安全［16］。如果供應鏈中存在安全威脅或安全漏洞，運營者則面臨著關鍵設施被非法控制、重要數據泄漏、關鍵業務中斷等安全風險。首先，在采購行為發生前，運營者應當預判該產品和服務投入使用后可能帶來的安全風險，優先采購安全的網絡產品和服務。其次，運營者所采購的網絡產品和服務，影響或可能影響國家安全的，應當按照國家網絡安全規定進行網絡安全審查，履行相應的報送審查義務。最后，一旦確定采購網絡產品和服務，運營者必須與提供者簽訂保密協議，明確相關主體的安全責任義務。

第二，監測、檢測與評估義務，即運營者維護網絡“硬安全”的義務。運營者須通過一系列可測得、可量化的指標，客觀地掌握網絡安全狀況，實時監測網絡安全、檢測潛在的網絡安全事件、評估網絡安全風險［17］。對此，《指標》提供了可參照的安全保障指標體系及測量方法，運營者應當重點從建設情況指標、運行能力指標、安全態勢指標等三個大類（包含二十六個小類）開展信息安全管理工作，不斷提高安全保障水平。

第三，應急處置義務。運營者應當按照國家及行業要求制定本單位預案并定期開展演練，當發生網絡安全事件時，按照應急預案妥善處置安全風險。

第四，報告義務。首先，運營者應當按照規定報告網絡安全事件和重要事項，特別是發生重大網絡安全事件或發現重大網絡安全威脅時應當及時履行報告義務。其次，運營者在對網絡安全風險進行監測、監測與評估時，對于所發現的安全問題應當向保護工作部門報送相關情況。最后，當運營者發生合并、分立、解散等情況，此時會引起網絡安全條件的劇烈變化，應及時報告保護工作部門按照要求進行處置。

4 我國關鍵設施安全保護義務治理體系的進步與不足

4.1 我國已形成自上而下、逐層細化的治理體系

首先，《網絡安全法》首次確定了關鍵設施的概念，從宏觀層面明確了保障關鍵設施運行安全的總體目標與基本原則，部分條文規定了保障關鍵設施安全的技術要求和管理要求，該法作為規范關鍵設施安全保護的基礎性法規，為我國運營者履行安全保護義務提供了基本法律依據。

其次，《條例》作為《網絡安全法》的配套性立法，對關鍵設施的認定、運營者的責任義務、安全保護保障與促進措施以及各方法律責任等內容做出了更為具體細致的規定。就運營者安全保護義務而言，一方面，《條例》在總則中對運營者提出原則性要求，即運營者應當“依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求”履行相關義務，該條款明確了運營者履行安全保護義務的責任體系框架。另一方面，《條例》在厘清關鍵設施責任主體的基礎上，以專章的形式對運營者安全保護義務進行了細化，為運營者開展安全保護工作提供了規范性依據。

最后，作為國家網絡安全保障體系建設的重要組成部分，近年我國網絡安全標準化工作也在持續推進中。全國信息安全標準化技術委員會結合關鍵設施安全保護的需要，從邊界識別、保護要求、控制措施、保障指標、應急體系、檢查評估以及供應鏈安全、數據安全、信息共享、監測預警等方面系統性地開展標準研制與標準試點工作，努力構建安全標準來保障運營者安全保護義務的落實。持續豐富完善的網絡安全標準，也成為支撐《網絡安全法》《條例》等法律法規落地實施的重要抓手［18］。

4.2 我國關鍵設施安全保護義務治理體系存在的不足

4.2.1 網絡安全治理觀念“重預防而輕恢復”

針對頻發的網絡安全事件，一方面，我們要牢固“事后控制不如事中控制，事中控制不如事前控制”的風險防范理念，運營者必須配備風險控制措施，做好網絡安全檢查、隱患排查、風險評估和容災備份等相關工作［19］。另一方面，我們也應該認識到現實中網絡安全事件大多是由突發的網絡攻擊、網絡入侵、惡意程序等所引起的，客觀上難以有效預測，因而運營者應當具備減輕和消除突發事件造成損失的應急恢復能力［20］。

2019年美國國土安全部和國務院共同發布了《關鍵設施安全和彈性恢復指南》（以下簡稱“《指南》”），《指南》站在國家網絡安全戰略高度，總結了過去美國關鍵設施安全保護經驗并指出：第一，增強安全和彈性恢復能力是提高關鍵設施保護水平的兩個重要方面，保護工作部門在制定安全目標和確定工作計劃時，應將二者放在等同地位進行綜合考量；第二，強大、安全的關鍵設施必須具有較強的安全恢復能力，能夠承受蓄意攻擊、安全威脅或安全事故導致的網絡中斷并迅速恢復運行［21］。如今國際上普遍認同一種相對安全的關鍵設施保護理念：網絡信息安全無法實現絕對安全，只能盡早地發現風險、隔離風險、減少損失，最大限度保障關鍵設施持續運轉。

2020年，歐盟在其發布的《網絡安全戰略》中重新定義了維護網絡安全的目標與實現路徑，并指出提升關鍵設施的保護和恢復能力是未來五年網絡安全工作的重點，歐盟將統籌協調關鍵行業的公私部門，實現關鍵設施應具有彈性恢復能力的基本保護面向。與此同時，歐盟將依據《關鍵設施恢復力指南》指導各成員國制定本國的關鍵設施恢復戰略、設立應急恢復能力領導小組，改變以往針對關鍵設施安全的單一保護思路，轉而加強關鍵設施的恢復能力［22］?？梢姡瑲W美等發達國家已將運營者應對網絡安全事件的恢復力視為維護關鍵設施安全的重要組成部分，對其安全觀念與安全措施提出了新的要求，并將實現“恢復力”提升到國家網絡安全的戰略高度。

相較而言，我國《網絡安全法》第21條、第34條作為規定運營者安全保護義務的主要條款，僅突出強調了運營者應采取各類安全措施事前預防的安全保護義務，未對運營者在遭受網絡攻擊后的“恢復力”作出明確指引。該法第39條第4款要求國家網信部門應當統籌協調有關部門對“網絡安全事件的應急處置與網絡功能的恢復等，提供技術支持與支撐”，但從法條字面含義來看，網絡功能的恢復成為保護工作部門的協調義務，并不在運營者安全保護義務之列。更為遺憾的是，《條例》作為《網絡安全法》的配套性法規，也未對運營者應負有何種恢復義務做出細化規定。

4.2.2 網絡安全信息共享機制缺失

網絡安全信息共享，是指政府將關于網絡安全的信息、情報、研判等分享給企業，同時企業將其受到威脅、攻擊等有關信息報告給政府，以及企業之間互相交流與網絡安全相關的信息［23］。近年，網絡安全信息共享制度已成為關鍵設施保護制度的重要組成部分，該制度能夠量化關鍵設施的運行狀態，幫助運營者及時發現網絡安全漏洞和威脅信息，促使運營者真正履行網絡安全保護義務［6］。美國在《指南》中也指出實現關鍵設施安全保護與彈性恢復，關鍵就在于網絡安全信息共享，而成功的信息共享則需要建立良好的運行機制［24］。早在1998年美國就開始制定網絡安全信息共享的政策和立法，并成立政府主管機關——國家關鍵設施保護中心（NIPC）——來推動政府和運營者之間信息流通和共享，同時規定企業建立信息共享和分析中心（ISAC）負責收集和共享運營者之間的網絡安全信息。之后，立法者又通過《國土安全法》和《網絡安全信息共享法》進一步支持和規范了關鍵設施的網絡安全信息共享機制［25］。2009年，歐盟發布《關鍵設施保護條例》提出建立信息共享平臺，鼓勵運營者與政府開展信息共享合作，建設關鍵設施的安全信息共享機制，通過多年間不斷完善合作機制、共享規范，現已為歐盟成員國提供了一套較為成熟的安全信息共享標準化方案［5］。

我國《網絡安全法》第29條提出“國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網絡運營者的安全保障能力”。該法第39條第3款、《條例》第23條也對國家網信部門負有促進運營者之間網絡安全信息共享的義務作出了規定，這充分表明國家鼓勵、支持運營者之間的網絡安全信息共享合作。然而《條例》未能抓住此次立法契機充分明確運營者網絡安全信息共享的機制框架，存在以下立法缺憾：第一，在職能主體方面，未能明確主導運營者安全信息分享的核心負責機構、主要職能工作部門，僅籠統地授權國家網信部門具有統籌協調相關工作的職能。而從各國實踐經驗來看，能夠有效應對網絡安全威脅、安全事件的信息共享機制，須構建多個專門部門和機構來共同運作完成，大致應當包括統籌領導機構、核心工作機構、公私協調機構等。第二，在運作流程機制方面，目前我國尚未制定完整的數據開放共享標準、共享數據交換流程，特別是關鍵設施運營者這類特殊主體，掌握著大量重要數據，特殊共享場景下如何防范數據流動所產生的安全風險尚缺乏有效實現機制，《條例》對此也未能進行說明。第三，在責任與激勵機制方面，《條例》既未規定運營者負有網絡安全信息共享義務，也未規定相關激勵措施，不僅不利于增強運營者的法律責任感，也無法激發運營者履行共享義務的積極性。

4.2.3 供應鏈安全體系化保護不足

網絡產品和服務供應鏈安全風險在當今嚴峻的網絡安全形勢下日益凸顯，可以說“供應鏈就是風險鏈”。為嚴格把控關鍵設施供應鏈安全，我國陸續出臺了一系列規章辦法，然而，散見于各部門規章、條例的規制路徑帶有明顯體系化保障不足的弊端。關鍵設施供應鏈貫穿于網絡產品和服務的整個生命周期，其間涉及到多個安全責任主體與安全生產環節，缺乏完整性的安全審查制度容易引起審查不足或過度審查，而成熟的關鍵設施供應鏈安全體系須在整體性管理的思想與組織框架下得以實現［26］。

實踐中，美國國家標準技術研究院（NIST）制定的《關鍵設施網絡安全改進框架》（以下簡稱“《框架》”）便是體系化保護的典型代表。《框架》由框架核心、框架實施層、框架輪廓三個部分組成，各部分相互連接共同組成了一套指導運營者進行風險管控的系統化流程?？蚣芎诵氖峭ㄟ^具體化的產業標準、安全指南與相關最佳實踐，為運營者提供本行業、領域實踐中有效的網絡安全風險管理方法作為安全參考?？蚣軐嵤优c框架核心直接相關聯，為運營者快速審視安全風險、建立管理方法提供了具體操作模型?？蚣茌喞獎t用于描述安全風險的當時狀態與目標狀態，以幫助運營者盡快確定安全風險管控重點與網絡安全目標［27］。2015年美國能源部便以《框架》為依據，結合能源行業網絡安全保護現狀制定了《能源行業網絡安全框架實施指南》，幫助能源行業運營者有效管控全生命周期的供應鏈安全、順利實現網絡安全風險管理目標［4］。

5 加強我國關鍵設施安全保護義務的改革建議

5.1 運營者應樹立彈性安全的網絡安全治理理念

在現今網絡安全環境中，網絡攻擊幾乎不可避免，復雜的網絡安全局勢不斷對關鍵設施保護提出新的挑戰，在新技術新應用帶來的安全風險面前，運營者即使無限投入人力、物力、財力，也無法獲得絕對安全。從實踐來看，風險預防工作已不再是保護關鍵設施的唯一核心，建立關鍵設施的恢復能力成為網絡安全戰略目標的重要方面［28］。筆者認為，首先，保護工作部門應當積極引導運營者樹立科學的網絡安全治理觀，建立從絕對安全到可恢復的彈性安全責任機制框架。其次，保護工作部門在制定本行業、領域網絡安全事件應急預案時，應以如何實現彈性安全為落腳點，指導運營者加強響應網絡安全事件并減輕對關鍵業務造成不利影響的能力，引導運營者以彈性恢復為中心規劃設置安全技術措施、人員機構管理機制、應急響應機制等。最后，運營者應根據具體業務的重要性，設置一定區分度并配置相應的業務恢復能力，盡最大努力保證關鍵業務的持續性運轉。

5.2 完善網絡安全信息共享制度，構建操作運行機制

首先，設置業務主管機構。應授權國家網信辦建立專門的網絡安全信息共享中心，以該組織為核心推動政府與運營者之間的網絡安全信息共享；授權國家網信辦成立公私協調機構，推動建立運營者行業內部的網絡安全信息交換組織。其次，規定網絡安全信息共享的報告義務與責任豁免機制。一方面，對于涉及極為重要關鍵業務的運營者，例如，國家予以優先保障的能源、電信行業，可強制其履行報告義務。另一方面，通過責任豁免制度鼓勵其他運營者積極參與信息共享活動，免除運營者信息公開的披露義務，同時規定其不得利用共享機制侵犯個人隱私、商業秘密［2］。最后，加快重點領域標準研制工作。針對數字產業化、產業數字化給數據共享帶來的新型安全風險，應以現有信息共享安全標準為支撐，深入推動重要行業、領域關鍵設施的標準試點工作，促進標準研制與信息共享緊密互動。

5.3 優化建立全生命周期的供應鏈安全管理體系

首先，開展供應鏈安全風險防護體系化機制建設。供應鏈安全貫穿于關鍵行業上中下游各個環節、各個產業，國家應當盡快建立一套可廣泛應用于各行業的安全風險管理框架，保護工作部門可以依據該框架并結合本行業特點、實際工作需要制定風險管理流程規范，實現對本領域內網絡安全的系統性防護。其次，加強供應鏈安全風險檢查與評估工作。國家網信辦應積極統籌協調運營者供應鏈安全檢查、監督工作，了解各單位供應鏈安全管理情況。其一，應重點檢查運營者是否優先采購安全可信的網絡產品和服務、是否建立保障供應鏈安全的配套制度以及相應執行情況，其二，監督運營者不斷提高對供應鏈安全管理的重視程度，保證運營者定期開展供應鏈安全風險評估［29］。最后，從根本上講，供應鏈安全取決于關鍵核心技術安全。習近平［30］總書記曾指出，“只有把關鍵核心技術掌握在自己手中，才能從根本上保障國家經濟安全、國防安全和其他安全?！蔽覈鴵碛腥蜃钊墓I門類，最多的工業設備，豐富的工業互聯網生態以及大量的工業和信息化人才，應充分利用這一優勢條件，加快突破一批關鍵核心技術，強化關鍵環節、關鍵領域、關鍵產品的保障能力。

6 結論

《條例》的正式出臺成為我國網絡安全制度設計的又一里程碑事件，對于保護國家網絡安全、維護經濟平穩運行意義重大。研究發現，運營者作為關鍵設施安全保護義務的責任主體，在實施網絡安全等級保護的基礎上，應對其予以重點保護。文章明確了運營者履行安全保護義務的基本環節及相關要求，闡釋了運營者建立健全網絡安全保護制度、設置安全管理機構及關鍵崗位人員、配備實施安全風險控制措施等義務的具體內容。也注意到，我國關鍵設施安全保護義務仍存在網絡安全觀念“重預防而輕恢復”、網絡安全信息共享機制缺失、供應鏈安全體系化保護不足等問題，提出應從以下幾個方面予以完善：第一，引導運營者樹立科學網絡安全治理觀，實現關鍵設施保護從絕對安全向可恢復的彈性安全過渡，運營者有責任建立起預防能力與恢復能力并重的安全保護體系，增強安全事件發生后的響應、恢復能力；第二，完善網絡安全信息共享制度，保護工作部門與運營者應當協同共建網絡安全信息共享機制；第三，優化建立全生命周期的供應鏈安全管理體系，加快建立一套系統性的安全風險管理框架。綜上，應以《條例》頒布為新的歷史起點，開啟關鍵設施安全保護新階段。