《关键信息基础设施安全保护条例》解读，开启网络安全新时代

一、《关键信息基础设施安全保护条例》立法背景

自党的十八大以来，以习近平同志为核心的党中央高度重视关键信息基础设施安全保护工作，就加强关键信息基础设施安全保护工作作出了一系列重大决策和部署。总书记强调，“要抓紧制定立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间，维护公民的合法权益”。不难看出，保障关键信息基础设施安全对社会运行具有重大意义，是网络安全的重中之重。

（1）中央网络安全和信息化领导小组第一次会议：习近平总书记指出，要完善关键信息基础设施保护等法律法规。在2016年的网络安全和信息化工作座谈会上，习近平总书记明确要求“加快构建关键信息基础设施安全保障体系”。

（2）《中华人民共和国网络安全法》：在2017年施行的《中华人民共和国网络安全法》规定，关键信息基础设施的具体范围和安全保护办法由国务院制定。出台《关键信息基础设施安全保护条例》旨在落实《中华人民共和国网络安全法》有关要求，将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。

（3）《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》：在纲要中，也明确强调要“建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力”。

当前，关键信息基础设施面临的网络安全形势日趋严峻，网络攻击威胁上升，事故隐患易发多发，安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题，亟待建立专门制度，明确各方责任，加快提升关键信息基础设施安全保护能力。

二、什么是关键信息基础设施？有什么特点？

▲关键信息基础设施行业和领域

1、关键信息基础设施的定义

在《关键信息基础设施安全保护条例》（以下简称《条例》）第一章第二条中明确说明，条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

此外，在《条例》的第二章第九条中说明，制定关键信息基础设施认定规则应当主要考虑下列因素：网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；对其他行业和领域的关联性影响。

2、关键信息基础设施的特点

高科技形态：网络设施和信息系统；分布广泛：各行各业均有涉及；意义重大：一旦遭到破坏或者数据泄露，会造成严重后果。

三、怎么划定关键信息基础设施？涉及哪些业务？

1、关键信息基础设施的范围划定

关键信息基础设施的范围划定，属于关系国计民生的行业和领域。
关键信息基础设施范围划定的系统是指垂直的业务系统，仅从业务角度划分，不区分省市级别。企业所有制的形式不作为关键信息基础设施认定的依据或条件，无论是哪种类型的企业，无论在哪里上市，两条是必须符合的：一是必须符合国家的法律法规，二是必须确保国家的网络安全、关键信息基础设施的安全、个人信息保护的安全等。

2、关键信息基础设施的确定步骤

根据中央网络安全和信息化领导小组办公室2016年发布的《国家网络安全检查操作指南》中，给出了确定关键信息基础设施的步骤，“关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。”

3、依据业务划分关键信息基础设施

依据国家互联网信息办公室发布的《关键信息基础设施确定指南（试行）》来看，关键信息基础设施包括：

网站类

符合以下条件之一的，可认定为关键信息基础设施：
● 县级（含）以上党政机关网站；
● 重点新闻网站或者日均访问超过100万人次的网站等。
平台类

符合以下条件之一的，可认定为关键信息基础设施：
● 注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万；
● 日均成交订单额或交易额超过1000万元等。
生产业务类

符合以下条件之一的，可认定为关键信息基础设施：
● 地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统；
● 规模超过3000个标准机架的数据中心等。