作者：金茂律师事务所  万波 律师  王书玥 律师助理  吕卓然 实习生

2021年8月17日，国务院总理李克强签署中华人民共和国第745号国务院令，《关键信息基础设施安全保护条例》（下文简称《关基保护条例》）已经由国务院第133次常务会议通过并公布，于2021年9月1日起施行。

作为《网络安全法》、《数据安全法》、《个人信息保护法》的重要配套法规，早在2017年7月10日，国家网信办就发布了《关键信息基础设施安全保护条例（征求意见稿）》，向社会公开征求意见，现在终于正式颁布实施。

《关基保护条例》对关键信息基础设施（“CII”）的范围、各监管部门的职责、运营者的安全保护义务以及安全检测评估制度提出了更加具体、操作性也更强的要求，为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。

一、明确关键信息基础设施的主管部门及各自职责

综合《网络安全法》、《数据安全法》、《个人信息保护法》、《关基保护条例》及1960号文《贯彻落实网络安全等保制度和关保制度的指导意见》等法律法规的规定，当前我国关保监管体系大致如下：

二、确定关键信息基础设施的认定方法

关于CII的认定标准，《关基保护条例》摒弃了《关键信息基础设施安全保护条例（征求意见稿）》的概括加列举的认定模式，基本延续了《网络安全法》的“行业+风险”的双重认定模式。即，下列网络设施、信息系统等可能会被认定为CII：

（1）行业标准：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业（注：新增）等重要行业和领域的网络设施、信息系统；

（2）风险标准：虽然不在上述行业和领域，但一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益，或者会对其他行业或领域造成重大关联影响的重要网络设施、信息系统；

（3）其他标准：此外，《网络安全法（草案）》在CII认定时还有用户数量标准，即“用户数量众多的网络服务提供者所有或者管理的网络和系统”也会被认定为CII，后续坊间流传的《关键信息基础设施确定指南》也有参考用户数量这一指标，后续各保护工作部门在制定关键信息基础设施认定规则时是否会考虑用户数这一指标，有待进一步明确；此外，1960号文还从系统功能特征的维度提出了CII的认定标准，即“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施”。

值得注意的是，鉴于关键信息基础设施的认定主体是保护工作部门，而非运营者，保护工作部门认定关键信息基础设施后会将结果通知运营者，因此，如果企业没有被通知列入关键信息基础设施，则暂不负有关键信息基础设施运营者的相关义务。

三、明确运营者的三大特殊合规制度建设义务

1、建立健全网络安全保护制度

2、建立健全数据安全保护制度

鉴于《数据安全法》和《关基保护条例》将同时于2021年9月1日实施，相信两者结合，将更好的保护关键信息基础设施的网络系统安全和数据安全

3、建立健全个人信息保护制度

个人信息作为价值极高的数据，也是我国制度的保护对象，我国最新颁布的《中华人民共和国民法典》确立了个人信息保护这一基本民事制度；专门立法《个人信息保护法》亦在近日正式颁布，将于今年11月1日起生效；《儿童个人信息网络保护规定》、《信息技术安全个人信息安全规范》等不同层级规定密集出台且均对个人信息严加保护，都昭示着个人信息保护已然与网络系统安全、数据保护共列网络安全合规三大体系之一，因此，《关基保护条例》也提及了个人信息保护制度。

鉴于《个人信息保护法》过渡期较短，故建议关键信息基础设施运营者落实个人信息保护制度，对个人信息建立健全人员管理、岗位建设、全生命周期管理、个人信息出境管理、个人信息安全事件应急管理等各项保护措施，并针对不同类别不同级别的个人信息制定和履行安全保护策略。

四、对漏洞探测、渗透性测试等活动进行了特别规定

《关基保护条例》第三十一条规定：“未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。”

所谓的“漏洞探测、渗透性测试”，主要是通过安全扫描技术，检测系统是否存在已公布或尚未发现的安全漏洞，检测网络防御是否按照预期计划正常运行。如果关键信息基础设施的安全漏洞被不法分子掌握，则会给国家安全、国计民生、公共利益带来威胁，而未经授权或者批准进行此类活动，将会导致风险更具有不可控性，据此，《关基保护条例》直接规定禁止未经授权或批准的此类行为。值得注意的是，关于可能危害关键信息基础设施安全的具体活动要求，在《网络安全法》和17年的征求意见稿中均未出现，《关基保护条例》就此类活动专门提出要求，并特意提及“漏洞探测、渗透性测试”，尚属首次。
当然，虽然《关基保护条例》亮点很多，但是也有一些不足，比如关于数据安全制度和个人信息保护制度只是蜻蜓点水、并不明确，对于数据出境等重要问题也没有进行规定。但是瑕不掩瑜，笔者团队相信，《关基保护条例》的颁布对于网络安全、数据安全和个人信息保护具有纲领性指导意义，为后续各部门、各行业的保护工作部门分类制定本部门、本行业的关键信息基础设施认定规则及具体的关键信息基础设施认定和管理规则垫定了基础。