司法部 網(wǎng)信辦 工業(yè)和信息化部 公安部負責人就《關(guān)鍵信息基礎設施安全保護條例》答記者問(wèn)
2021年7月30日,國務(wù)院總理李克強簽署第745號國務(wù)院令,公布《關(guān)鍵信息基礎設施安全保護條例》(以下簡(jiǎn)稱(chēng)《條例》),自2021年9月1日起施行。日前,司法部、網(wǎng)信辦、工業(yè)和信息化部、公安部負責人就《條例》有關(guān)問(wèn)題回答了記者提問(wèn)。
問(wèn):請簡(jiǎn)要介紹一下《條例》出臺的背景?
答:黨中央、國務(wù)院高度重視關(guān)鍵信息基礎設施安全保護工作。關(guān)鍵信息基礎設施是經(jīng)濟社會(huì )運行的神經(jīng)中樞,是網(wǎng)絡(luò )安全的重中之重。保障關(guān)鍵信息基礎設施安全,對于維護國家網(wǎng)絡(luò )空間主權和國家安全、保障經(jīng)濟社會(huì )健康發(fā)展、維護公共利益和公民合法權益具有重大意義。當前,關(guān)鍵信息基礎設施面臨的網(wǎng)絡(luò )安全形勢日趨嚴峻,網(wǎng)絡(luò )攻擊威脅上升,事故隱患易發(fā)多發(fā),安全保護工作還存在法規制度不完善、工作基礎薄弱、資源力量分散、技術(shù)產(chǎn)業(yè)支撐不足等突出問(wèn)題,亟待建立專(zhuān)門(mén)制度,明確各方責任,加快提升關(guān)鍵信息基礎設施安全保護能力。2017年施行的《中華人民共和國網(wǎng)絡(luò )安全法》規定,關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務(wù)院制定。出臺《條例》旨在落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》有關(guān)要求,將為我國深入開(kāi)展關(guān)鍵信息基礎設施安全保護工作提供有力法治保障。
問(wèn):制定《條例》的總體思路是什么?
答:在總體思路上主要把握了以下三點(diǎn):一是堅持問(wèn)題導向。針對關(guān)鍵信息基礎設施安全保護工作實(shí)踐中的突出問(wèn)題,細化《中華人民共和國網(wǎng)絡(luò )安全法》有關(guān)規定,將實(shí)踐證明成熟有效的做法上升為法律制度,為保護工作提供法治保障。二是壓實(shí)責任。堅持綜合協(xié)調、分工負責、依法保護,強化和落實(shí)關(guān)鍵信息基礎設施運營(yíng)者主體責任,充分發(fā)揮政府及社會(huì )各方面的作用,共同保護關(guān)鍵信息基礎設施安全。三是做好與相關(guān)法律、行政法規的銜接。在《中華人民共和國網(wǎng)絡(luò )安全法》確立的制度框架下,細化相關(guān)制度措施,同時(shí)處理好與相關(guān)法律、行政法規的關(guān)系。
問(wèn):開(kāi)展關(guān)鍵信息基礎設施安全保護工作,各部門(mén)的職責分工是什么?
答:《條例》第三條規定在國家網(wǎng)信部門(mén)統籌協(xié)調下,國務(wù)院公安部門(mén)負責指導監督關(guān)鍵信息基礎設施安全保護工作;國務(wù)院電信主管部門(mén)和其他有關(guān)部門(mén)依照本條例和有關(guān)法律、行政法規的規定,在各自職責范圍內負責關(guān)鍵信息基礎設施安全保護和監督管理工作。省級人民政府有關(guān)部門(mén)依據各自職責對關(guān)鍵信息基礎設施實(shí)施安全保護和監督管理。
問(wèn):關(guān)鍵信息基礎設施如何認定?
答:《條例》從我國國情出發(fā),借鑒國外通行做法,明確了關(guān)鍵信息基礎設施的定義和認定程序。一是明確關(guān)鍵信息基礎設施的定義。二是明確關(guān)鍵信息基礎設施所在行業(yè)和領(lǐng)域的主管部門(mén)、監督管理部門(mén)是負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)。三是明確由保護工作部門(mén)結合本行業(yè)、本領(lǐng)域實(shí)際,制定關(guān)鍵信息基礎設施認定規則,并組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施。四是規定關(guān)鍵信息基礎設施發(fā)生較大變化,可能影響其認定結果時(shí),運營(yíng)者應當及時(shí)報告保護工作部門(mén),由保護工作部門(mén)重新認定。
問(wèn):《條例》對保護工作部門(mén)職責作了哪些規定?
答:依據《中華人民共和國網(wǎng)絡(luò )安全法》有關(guān)規定,按照“誰(shuí)主管誰(shuí)負責”的原則,《條例》明確了保護工作部門(mén)對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施的安全保護責任:一是制定關(guān)鍵信息基礎設施安全規劃,明確保護目標、基本要求、工作任務(wù)、具體措施。二是建立健全網(wǎng)絡(luò )安全監測預警制度,及時(shí)掌握關(guān)鍵信息基礎設施運行狀況、安全態(tài)勢,預警通報網(wǎng)絡(luò )安全威脅和隱患,指導做好安全防范工作。三是建立健全網(wǎng)絡(luò )安全事件應急預案,定期組織應急演練。四是指導運營(yíng)者做好網(wǎng)絡(luò )安全事件應對處置,并根據需要組織提供技術(shù)支持與協(xié)助。五是定期組織開(kāi)展網(wǎng)絡(luò )安全檢查檢測,指導監督運營(yíng)者及時(shí)整改安全隱患、完善安全措施。
問(wèn):為強化和落實(shí)關(guān)鍵信息基礎設施運營(yíng)者主體責任,《條例》主要作了哪些規定?
答:《條例》在總則部分對運營(yíng)者責任作了原則規定,要求運營(yíng)者依照本條例和有關(guān)法律、行政法規的規定以及國家標準的強制性要求,在網(wǎng)絡(luò )安全等級保護的基礎上,采取技術(shù)保護措施和其他必要措施,應對網(wǎng)絡(luò )安全事件,防范網(wǎng)絡(luò )攻擊和違法犯罪活動(dòng),保障關(guān)鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
《條例》還設專(zhuān)章細化了有關(guān)義務(wù)要求,主要包括:一是建立健全網(wǎng)絡(luò )安全保護制度和責任制,實(shí)行“一把手負責制”,明確運營(yíng)者主要負責人負總責,保障人財物投入。二是設置專(zhuān)門(mén)安全管理機構,履行安全保護職責,參與本單位與網(wǎng)絡(luò )安全和信息化有關(guān)的決策,并對機構負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查。三是對關(guān)鍵信息基礎設施每年進(jìn)行網(wǎng)絡(luò )安全檢測和風(fēng)險評估,及時(shí)整改問(wèn)題并按要求向保護工作部門(mén)報送情況。四是關(guān)鍵信息基礎設施發(fā)生重大網(wǎng)絡(luò )安全事件或者發(fā)現重大網(wǎng)絡(luò )安全威脅時(shí),按規定向保護工作部門(mén)、公安機關(guān)報告。五是優(yōu)先采購安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù),并與提供者簽訂安全保密協(xié)議;可能影響國家安全的,應當按規定通過(guò)安全審查。
問(wèn):對于關(guān)鍵信息基礎設施安全保護工作,《條例》明確了哪些保障和促進(jìn)措施?
答:保障關(guān)鍵信息基礎設施安全,需要統籌資源和力量,全方位實(shí)施保護。《條例》在保障方面,一是明確建立網(wǎng)絡(luò )安全信息共享機制,并規定工作中獲取的信息只能用于維護網(wǎng)絡(luò )安全,不得泄露、出售或者非法向他人提供。二是對國家有關(guān)部門(mén)開(kāi)展安全檢查作出規定,要求避免不必要的檢查和交叉重復檢查,檢查不得收費,不得要求被檢查單位購買(mǎi)指定產(chǎn)品和服務(wù);同時(shí)規定任何個(gè)人和組織未經(jīng)授權不得對關(guān)鍵信息基礎設施進(jìn)行探測測試等活動(dòng)。三是規定國家網(wǎng)信部門(mén)和國務(wù)院電信主管部門(mén)、公安部門(mén)等根據保護工作部門(mén)需要,提供技術(shù)支持和協(xié)助。四是明確國家對能源、電信等關(guān)鍵信息基礎設施安全運行實(shí)施優(yōu)先保障。五是規定公安機關(guān)、國家安全機關(guān)依據各自職責依法加強關(guān)鍵信息基礎設施安全保衛,防范打擊針對和利用關(guān)鍵信息基礎設施實(shí)施的違法犯罪活動(dòng)。六是明確國家出臺安全標準,指導規范關(guān)鍵信息基礎設施安全保護工作。《條例》在支持促進(jìn)方面,從人才培養、技術(shù)創(chuàng )新和產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò )安全服務(wù)機構建設與管理、軍民融合、表彰獎勵等方面作了相應規定。
問(wèn):對實(shí)施危害關(guān)鍵信息基礎設施安全活動(dòng)的個(gè)人和組織,或未經(jīng)授權或批準,對關(guān)鍵信息基礎設施實(shí)施漏洞探測、滲透性測試等活動(dòng)的個(gè)人和組織,《條例》作了哪些規范?
答:實(shí)踐中,一些個(gè)人和組織擅自對關(guān)鍵信息基礎設施實(shí)施漏洞探測、滲透性測試等活動(dòng),影響關(guān)鍵信息基礎設施安全。《條例》一是明確任何個(gè)人和組織不得實(shí)施非法侵入、干擾、破壞關(guān)鍵信息基礎設施的活動(dòng),不得危害關(guān)鍵信息基礎設施安全。二是規定未經(jīng)國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)批準或者保護工作部門(mén)、運營(yíng)者授權,任何個(gè)人和組織不得對關(guān)鍵信息基礎設施實(shí)施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎設施安全的活動(dòng)。對基礎電信網(wǎng)絡(luò )實(shí)施漏洞探測、滲透性測試等活動(dòng),應當事先向國務(wù)院電信主管部門(mén)報告。三是在法律責任章節中專(zhuān)門(mén)規定了相應罰則。
問(wèn):關(guān)鍵信息基礎設施中的重要數據出境如何進(jìn)行?
答:《中華人民共和國數據安全法》已由第十三屆全國人民代表大會(huì )常務(wù)委員會(huì )第二十九次會(huì )議于2021年6月10日通過(guò),將于9月1日起實(shí)施。其中,第三十一條規定,關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò )安全法》的規定。《中華人民共和國網(wǎng)絡(luò )安全法》第三十七條規定,關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據應當在境內存儲。因業(yè)務(wù)需要,確需向境外提供的,應當按照國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評估;法律、行政法規另有規定的,依照其規定。
