刘金瑞：依法保护关键信息基础设施

编者按：没有网络安全就没有国家安全，没有信息化就没有现代化。党的十八大以来，我国加强以法律手段切实保障国家网络安全，互联网法治体系构建不断加速，网络治理法治化进程阔步前进。在《网络安全法》正式施行之际，本报约请学者就我国网络法治建设的相关问题进行探讨。

2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式生效实施，该法第三章第二节专门规定了“关键信息基础设施的运行安全”，这是在我国立法中首次明确规定关键信息基础设施的定义和具体保护措施，对于切实维护我国网络空间主权与网络空间安全具有重大意义。

习近平总书记指出：“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”从世界范围来看，各个国家网络安全立法的核心就是保护关键基础设施。我国《国家安全法》第25条明确规定，“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，明确要求保护关键基础设施和重要领域信息系统。《网络安全法》明确规定关键信息基础设施保护，既是我国网络安全严峻形势的迫切需要，也是切实贯彻《国家安全法》的必然要求。

明确界定了关键信息基础设施的内涵。《网络安全法》对于关键信息基础设施的定义采用了“列举+概括”的形式。所谓“关键信息基础设施”是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的”信息基础设施。该定义将关键信息基础设施保护提升到维护国家安全和公共安全的高度，既突出了保护重点，避免将过多信息系统纳入监管而增加某些主体负担，也有利于统筹安排关键信息基础设施保护的立法体系。

规定了关键信息基础设施分行业、分领域主管部门负责制。负责关键信息基础设施安全保护工作的部门要按照国务院规定的职责分工，分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。这既明确了相关主管部门要在职权范围内切实履行保护关键信息基础设施的职责，也规定了分行业、分领域制定专门保护规划的基本工作方法。此外，《网络安全法》还明确规定，无论是哪个行业和领域的关键信息基础设施，都应当确保其具有支持业务稳定、持续运行的性能，并坚持安全技术措施“三同步”的原则，即应该保证安全技术措施实现“同步规划、同步建设、同步使用”。

规定了关键信息基础设施运营者日常的安全维护义务。在日常安全维护方面，关键信息基础设施运营者既要遵循安全等级保护制度对一般信息系统的安全要求，也要履行更加严格的安全维护义务。前者包括制定内部安全管理制度和操作规程、采取预防性技术措施、监测网络运行状态、按照规定留存网络日志、重要数据备份和加密以及执法协助等。后者包括对“人”的安全义务和对“系统”的安全义务两个方面：对“人”的安全义务包括设置专门的管理机构和负责人、对负责人和关键岗位人员进行安全背景审查、定期对从业人员进行教育培训和技能考核；对“系统”的安全义务包括对重要系统和数据库进行容灾备份、制定网络安全事件应急预案并定期组织演练等。此外，对于关键信息基础设施整体安全性和可能存在的风险，《网络安全法》还规定了定期检测评估制度。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。