近日,國務院公佈《關鍵資訊基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行。司法部、國家網信辦、工業和資訊化部、公安部負責人就條例有關問題回答了記者提問。
問:請簡要介紹一下條例出臺的背景。
答:保障關鍵資訊基礎設施安全,對於維護國家網路空間主權和國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益具有重大意義。當前,關鍵資訊基礎設施面臨的網路安全形勢日趨嚴峻,網路攻擊威脅上升,事故隱患易發多發,安全保護工作還存在法規制度不完善、工作基礎薄弱、資源力量分散、技術産業支撐不足等突出問題,亟待建立專門制度,明確各方責任,加快提升關鍵資訊基礎設施安全保護能力。2017年施行的《中華人民共和國網路安全法》規定,關鍵資訊基礎設施的具體範圍和安全保護辦法由國務院制定。出臺《條例》旨在落實《中華人民共和國網路安全法》有關要求,將為我國深入開展關鍵資訊基礎設施安全保護工作提供有力法治保障。
問:開展關鍵資訊基礎設施安全保護工作,各部門的職責分工是什麼?
答:在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵資訊基礎設施安全保護工作;國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定,在各自職責範圍內負責關鍵資訊基礎設施安全保護和監督管理工作。省級人民政府有關部門依據各自職責對關鍵資訊基礎設施實施安全保護和監督管理。
問:關鍵資訊基礎設施如何認定?
答:一是明確關鍵資訊基礎設施的定義。
二是明確關鍵資訊基礎設施所在行業和領域的主管部門、監督管理部門是負責關鍵資訊基礎設施安全保護工作的部門。
三是明確由保護工作部門結合本行業、本領域實際,制定關鍵資訊基礎設施認定規則,並組織認定本行業、本領域的關鍵資訊基礎設施。
四是規定關鍵資訊基礎設施發生較大變化,可能影響其認定結果時,運營者應當及時報告保護工作部門,由保護工作部門重新認定。
問:條例對保護工作部門職責作了哪些規定?
答:依據《中華人民共和國網路安全法》有關規定,按照“誰主管誰負責”的原則,《條例》明確了保護工作部門對本行業、本領域關鍵資訊基礎設施的安全保護責任:
一是制定關鍵資訊基礎設施安全規劃,明確保護目標、基本要求、工作任務、具體措施。
二是建立健全網路安全監測預警制度,及時掌握關鍵資訊基礎設施運作狀況、安全態勢,預警通報網路安全威脅和隱患,指導做好安全防範工作。
三是建立健全網路安全事件應急預案,定期組織應急演練。
四是指導運營者做好網路安全事件應對處置,並根據需要組織提供技術支援與協助。
五是定期組織開展網路安全檢查檢測,指導監督運營者及時整改安全隱患、完善安全措施。
問:為強化和落實關鍵資訊基礎設施運營者主體責任,條例作了哪些規定?
答:條例要求運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,防範網路攻擊和違法犯罪活動,保障關鍵資訊基礎設施安全穩定運作,維護數據的完整性、保密性和可用性。
有關義務要求主要包括:
一是建立健全網路安全保護制度和責任制,實行“一把手負責制”,明確運營者主要負責人負總責,保障人財物投入。
二是設置專門安全管理機構,履行安全保護職責,參與本單位與網路安全和資訊化有關的決策,並對機構負責人和關鍵崗位人員進行安全背景審查。
三是對關鍵資訊基礎設施每年進行網路安全檢測和風險評估,及時整改問題並按要求向保護工作部門報送情況。
四是關鍵資訊基礎設施發生重大網路安全事件或者發現重大網路安全威脅時,按規定向保護工作部門、公安機關報告。
五是優先採購安全可信的網路産品和服務,並與提供者簽訂安全保密協議;可能影響國家安全的,應當按規定通過安全審查。
問:對實施危害關鍵資訊基礎設施安全活動的個人和組織,或未經授權或批准,對關鍵資訊基礎設施實施漏洞探測、滲透性測試等活動的個人和組織,條例有哪些規定?
答:條例明確,任何個人和組織不得實施非法侵入、干擾、破壞關鍵資訊基礎設施的活動,不得危害關鍵資訊基礎設施安全。
未經國家網信部門、國務院公安部門批准或者保護工作部門、運營者授權,任何個人和組織不得對關鍵資訊基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵資訊基礎設施安全的活動。對基礎電信網路實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。
條例還在法律責任章節中對此作出專門規定。
問:關鍵資訊基礎設施中的重要數據出境如何進行?
答:根據網路安全法規定,關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和産生的個人資訊和重要數據應當在境記憶體儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
