关键信息基础设施安全保护条例解读

作者：宁宣凤 吴涵 陈胜男 屈尘 甘雨丰金杜律师事务所合规业务部

自2017年7月10日国家互联网信息办公室（以下简称“网信办”）发布《关键信息基础设施安全保护条例（征求意见稿）》（以下简称《征求意见稿》）并向全社会征求意见已四年有余（见此前的解读文章“。2021年8月17日，《关键信息基础设施保护条例》（以下简称《CII条例》）终于千呼万唤始出来，并将于9月1日正式实施。作为我国在关键信息基础设施安全方面的首部行政法规，《CII条例》在推进关键信息基础设施保障、完善我国网络安全体系、保障国家安全、国计民生与公共利益等诸多方面都有着十分重要的作用。

《CII条例》从关键信息基础设施的认定、完善监督管理体系、运营者责任义务、保障和促进措施与法律责任等多个方面提出总体监管要求，在关键信息基础设施保护法律体系建设中起到提纲挈领的作用。本文将从《网络安全法》（以下简称《网安法》）体系构建的角度出发，对《CII条例》规定的重点内容进行梳理和解读。

关键信息基础设施的认定与识别

CII的定义

《CII条例》第二条与《网安法》第三十一条采取了类似定义，强调相关网络设备与信息系统被破坏、丧失功能或者数据泄露后的严重危害性。较之于《征求意见稿》围绕行业和领域分别进行细化说明的定义方式，《CII条例》沿用了《网安法》对于CII所涉行业的开放式列举方式，并在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务基础上增加了“国防科技工业”这一类别。实际上，通过行业列举方式明确CII涉及的关键行业已成为国内外认定关键（信息）基础设施的重要且首要方法，例如英国明确了“关键国家基础设施”（Critical National Infrastructure, CNI）涉及化工、民用核能、通信、国防、应急服务、能源、金融、食品、政府、医疗、航天、交通运输和水务等十三个行业；[1]美国则于2013年以第21号总统令形式，对关键基础设施进行调整并按联邦部门进行划分，确定了十六类关键基础设施部门，包括化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、交通运输系统、水务及污水处理系统。[2]

CII认定过程

相较于《征求意见稿》中将关键信息基础设施识别的组织工作交由国家行业主管或监管部门来进行，《CII条例》则进一步明确了相关监管部门在认定、识别CII工作上的主动权——基于《CII条例》第九条、第十条的规定，重要行业和领域的主管部门、监督管理部门（即保护工作部门）需要在制定本行业、本领域关键信息基础设施认定规则的基础上，组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

另一方面，实践中可能出现网络设施或信息系统因业务调整、技术迭代或其他情况，导致其数据范围、数据重要性、数据量发生重大变化，从而不再被认定为CII或可能被认定为CII的情况。根据《CII条例》第十一条，在CII发生较大变化可能影响其认定结果时，运营者应及时将相关情况报告保护工作部门，保护工作部门进而进行重新认定。

上述规定使得CII认定工作的职权分工更加明确，也向可能处于关键领域和重点行业的企业主体释放了明确的信号，在未来自身CII认定与保护工作中，有必要紧跟主管、监管部门步伐，密切跟踪所述行业、领域CII认定与保护规则的最新动向，并适时根据与主管、监管部门的沟通情况审慎把控自身网络设施、信息系统落入CII的可能性。

CII边界识别

诚然，仅凭对于CII所涉行业及对象的规定，实践中可能仍较难准确界定处于“模糊地带”的网络设施与信息系统是否落入CII的范畴。这一问题自《网安法》生效及《征求意见稿》颁布以来，就始终是全国各地有关部门广为研究和探索的话题。例如，云南省互联网信息办公室曾发布研究报告，认为CII的最大可能边界为关键业务正常运行所需的信息流从初始到终止所流经的网络设施、信息系统；如果上述网络设施、信息系统对保障关键业务正常运行至关重要，就应当纳入CII保护范围。[3]可见，报告认为在识别CII边界时，首先应当明晰企业关键业务类型及其对应的信息流，再依据该信息流即可确定有关的网络设施与信息系统，从而一一判断其是否落入CII保护范围。该文件同时为识别者设置了CII边界识别流程，从业务分析到CII元素识别、关键性评估，最后进行CII边界确定，如属于CII则按照规定进行信息备案。

除地方相关工作部门对于CII边界识别进行研究确认外，2020年8月，全国信息安全标准化技术委员会（以下简称“信安标委”）发布了《信息安全技术关键信息基础设施边界确定方法（征求意见稿）》（以下简称《CII边界确定方法（草案）》），明确提出一种基于信息流的CII边界确定方法。《CII边界确定方法（草案）》提出了CII边界识别模型所涵盖的六个方面，包括关键业务、网络设施、信息系统、CBI（关键业务信息）、CBIF（关键业务信息流），以及基础运行环境。其中关键业务为核心要求，由行业主管部门进行认定，是开展CII边界识别的基础，其他要素都围绕关键业务产生。

对比分析可以看出，《CII边界确定方法（草案）》所提出的CII边界识别方法与上述云南网信办研究确定方法理念相似，可见确认CII边界的关键要素仍在于关键业务及其相关信息流。网络设施及信息系统运营者可针对行业主管部门认定的关键业务进一步梳理分析，从而明确关键业务信息种类和作用等关键业务基础情况信息，方可辅助各行业各领域保护工作部门对CII的识别与认定。

此外，根据《CII边界确定方法（草案）》，CII边界具体的识别流程如下图所示：[4]

具体而言，当行业主管部门认定关键业务后，在关键业务基础情况梳理阶段，需要对基本信息、业务特征、业务架构、业务范围进行梳理，并基于此输出关键业务基础情况描述文件；随后，在关键业务信息化情况梳理阶段，则需要就信息化范围、CBI等进行细致梳理；在CII元素梳理阶段，需要根据关键业务信息化情况描述文件，识别并分析关键业务信息（CBI）在整个生存周期内的流动轨迹，即CBIF，并对其中的网络设施、信息系统进行去重处理，得到CII候选元素清单；而后，在CII元素关键性评估阶段，需要考察CII候选元素对关键业务持续、稳定运行的重要性，如评估结果为“关键”，则列入CII元素清单；最终，通过对上述关键业务基础情况梳理、信息化情况梳理、CII元素梳理、CII元素关键性评估的结果进行整合，即可形成CII边界信息文件，作为保护、审查、应急处置等工作的参考依据。

虽然《CII条例》将关键信息基础设施的认定规则交由各行业、各领域的保护工作部门来具体制定，考虑到《CII条例》适才颁布，各行业、各领域的配套规则仍有待未来一段时间成熟定型。因此对于企业而言，现阶段上述地方及标准层面对于CII边界识别的探索研究仍具有重要的参考价值，特别是在国家大力推动CII安全标准体系建设的背景下，关于CII边界识别的各类标准指导文件仍具有十分重要的实践意义。

关键信息基础设施运营者的基本义务

CII运营者义务概述

《CII条例》第四条规定：关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者（“运营者”）主体责任。为此，《CII条例》第三章专章规定了运营者的具体义务，并在《网安法》的基础上，进行了更为具体、全面且深入的规定。据报道，《CII条例》带来的安全投入规模预计将达到百亿元级。[5]因此，运营者应当严格依照《CII条例》以及其他法律法规的要求，严格落实针对CII的网络安全保护义务。

我们总结了《CII条例》中规定的运营者的九大基本义务，以及其下设的专门安全管理机构的八大义务，如下图所示：

与《网安法》的衔接

四部门在就《CII条例》答记者问时曾强调，《CII条例》的一个重要的总体思路就是做好与相关法律、行政法规的衔接，即在《网安法》确立的制度框架下，细化相关制度措施，同时处理好与相关法律、行政法规的关系。[6]《网安法》第三章第二节对CII的运行安全作出了明确规定，相关要求在《CII条例》中进一步得到重申与细化。例如，《网安法》第三十三条规定了CII安全保障的“三同步”原则，即“保证安全技术措施同步规划、同步建设、同步使用”，而《CII条例》在第三章开篇便再次强调了该基础原则。此外，《网安法》规定的运营者设置安全管理机构和负责人和进行安全背景审查，以及在采购网络产品和服务时进行国家安全审查和保密协议签订等义务，也分别在《CII条例》第十四条、十九条和第二十条得到重申。

值得注意的是，《CII条例》对《网安法》第三十四条第一款规定的“设置专门安全管理机构”作出进一步规定，并明确了其具体义务。具体而言，专门安全管理机构是运营者的内设机构，具体负责本单位的CII的安全保护工作，其运行经费、配备相应的人员等均有运营者保障。同时，《CII条例》要求运营者在开展与网络安全和信息化有关的决策时，应当有专门安全管理机构人员参与。此外，《网安法》第三十四条明确的运营者的部分安全保护义务，包括定期进行教育培训与考核、制定应急预案与应急演练等，也由专门安全管理机构一并承接。《网安法》第三十四条第三款规定的“对重要系统和数据库进行容灾备份”虽并未在《CII条例》中具体规定，但信息系统的容灾备份既是个人信息和数据安全保护的考察重点，理论上也是CII运维安全管理的重要组成部分，从上位法规定角度，这一要求同样构成CII运营者应当同步落实的安全保障措施。

与《网络安全审查办法》的衔接

《CII条例》第十九条要求运营者优先采购安全可信的网络产品和服务，如该等产品和服务可能影响国家安全，还应当按照国家网络安全规定通过安全审查；该义务是对《网安法》第三十五条的重申。我们理解，此处“国家网络安全规定”主要指《网络安全审查办法》（以下简称《审查办法》）。近期，有关部门也在尝试就《审查办法》根据国内网络安全相关的立法与实践进行修订与更新，引起业界不小的关注，具体可见我们此前对于相关征求意见稿的分析“八问八答——《网络安全审查办法（修订草案征求意见稿）》重点解读”。

此处所指的“网络产品和服务”，结合《审查办法》的规定，主要包括核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对CII安全有重要影响的网络产品和服务。根据《审查办法》，运营者在采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。如影响或者可能影响国家安全，则应当向网信办下属的网络安全审查办公室申报，提交申报书、报告、采购文件等材料。同时，运营者就已申报的采购活动，还应通过采购文件、协议等要求该等产品和服务提供者配合执法者进行网络安全审查，并督促其履行其在网络安全审查中作出的承诺。

CII的监管落地

CII监管保护“各司其职”

在CII的监督管理体制方面，《CII条例》第三条明确了各个监管机构的职责分工。具体而言，国家网信部门负责CII安全保护的统筹协调，而国务院公安部门则负责具体指导监督CII的安全保护工作。国务院电信主管部门和其他有关部门依照《CII条例》及其他相关法律、行政法规的规定，在各自职责范围内负责CII安全保护和监督管理工作，而省级人民政府有关部门依据各自职责对CII实施安全保护和监督管理。

较之于此前的《征求意见稿》第四条，《CII条例》有明显的变更：首先，《CII条例》再次强调了网信部门在CII的安全保护工作中“统筹协调”的地位，但删除了“相关监督管理工作”的表述。其次，《CII条例》明确了公安部门对CII指导监督的基本职能，该规定进一步明确了监管机构的职权划分，能够有效预防不同机构之间职权交叉与冲突的情况。再次，《CII条例》将此前《征求意见稿》中“国家安全、国家保密行政管理、国家密码管理等部门”这一列举式表述改为了“国务院电信主管部门和其他有关部门”的定性式表述，这一改动强调了国务院电信主管部门在CII保护和监管中的作用，有效防止定义过宽或是过窄，同时还规避了“泄露关键信息基础设施清单”的情况。[7]最后，地方层面的管理机构由县级以上提升至省级，从监管级别层面进一步提升了CII安全保护和监督管理的重要程度。

具体到上述机构的职权方面，《CII条例》着重规定了网信部门、公安机关、电信部门、负责关键信息基础设施安全保护工作的部门（“保护工作部门”）等机构的职权。具体而言，上述机构的职权如下图所示：

不难看出，《CII条例》强调了本行业、本领域的保护工作部门在CII的认定与保护工作中的重要性。我们理解，考虑到行业主管部门在各自领域、行业长期的执法实践，在准确识别、认定、保护和管理CII上拥有更多经验。当出现网络安全问题时，行业主管部门也可以结合行业实践，寻求更符合行业特征的解决方式。但是，考虑到网络安全作为一种不断变化、不断演进的非传统风险，行业主管部门在统筹传统安全和非传统安全的过程中也可能出现无法及时应对新型安全威胁因素、不同行业安全保障措施标准不一等问题。因此，《CII条例》着重强调了国家网信办在CII保护与监督执法中的统筹地位，以及公安部的指导监督作用。通过网信办与公安部的统一指导监督，能够有效统筹各个行业、各个领域在CII安全保障层面的基本要求，保障《CII条例》在各个行业的适用性。

CII保护细则形成“纵横体系”

《CII条例》作为我国CII安全保障方面的首部行政法规，为保障CII的各项监督管理制度能够有效实施，通过一个更为完备、全面、精细的法规体系支持其进一步落地，从行业、地方、标准化等多个方面对CII的安全保障实现多方位、立体化的规则设定，同样构成《CII条例》发挥其提纲挈领地位的重要内容。

首先，在行业层面，《CII条例》对保护工作部门提出了制定本行业、本领域CII安全规划，建立网络安全监测预警制度，健全网络安全事件预案等要求。基于此，建立、健全本行业、本领域CII配套安全管理体系将成为相关重要行业和领域的主管、监管部门的重要职责。这将为《CII条例》及运营者的CII安全保障义务在具体行业的横向落地提供便利与保障。

其次，在地方层面，《CII条例》第三条规定省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理，使得CII在横向的行业保护的基础上，能够有效的通过地方政府有关部门的安全保障和监管措施得以纵向践行。

再次，在标准化建设层面，《CII条例》第三十四条同步要求国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作，表明国家在推动CII安全保护标准化体系方面的决心。与网络安全、个人信息保护类似，标准化工作也将为CII领域在行业和地方安全保护细则的基础上提供有益补充，为包括主管、监管部门和企业在内的各类主体在CII的认定与保护工作中提供更具有实践意义的深化指引。此前，信安标委制定了《信息安全技术网络安全等级保护基本要求》等多部网络安全等级保护相关的行业标准，对包括CII运营者在内的所有网络运营者均具有重要的参考意义，涉及的维度包括但不限于基本保护要求、安全保护要求、安全控制措施、防护能力评价要求、供应链安全要求。当前，针对CII安全保障体系建设，信安标委也在积极推动9项相关标准的研制工作，围绕安全保障体系建设各维度，从边界识别、保护要求、控制措施、保障指标、应急体系、检查评估以及供应链安全、数据安全、信息共享、监测预警等方面系统开展标准研制与标准试点工作。信安标委还选取金融、能源、交通等多个行业的运营者展开标准试点，验证标准的可行性、合理性与完备性。[8]通过地方与与行业规则的纵横部署，辅之以标准化体系建设，将能够有效保障《CII条例》全局性、概括性、总体性规定得以进一步细化和落地。

结语

从国家战略高度，关键信息基础设施的保护工作历来是国家网络安全战略部署的核心要素之一。早在2016年7月，中共中央办公厅、国务院办公厅印发的《国家信息化发展战略纲要》就明确提出要“加快构建关键信息基础设施安全保障体系，加强党政机关以及重点领域网站的安全防护，建立政府、行业与企业网络安全信息有序共享机制”[9]。特别是在近期因某些企业赴境外上市而引发国内监管部门发动网络安全审查之际，作为网络安全审查核心角色的关键信息基础设施，其具体识别和边界认定更加成为行业内争相讨论却悬而不决的热门话题。因此，对于特别是处于重要行业领域或扮演行业领域内基础设施角色的企业而言，在看待《CII条例》规则时不可忽视与之相互呼应和配套的网络安全保护规则，严格把握和评估自身业务的安全风险，审时度势，谋求业务的稳健发展：

密切关注行业主管部门在CII识别认定方面的最新动向，与主管、监管部门及地方政府部门保持持续沟通。
结合CII识别现有规则趋势，必要情况下对自身网络信息系统构成CII的可能性展开内部评估，形成事先预期，为未来可能的CII保护工作做好提前预备。
关注与CII保护相配套的具体规则制定和落地情况，特别是对于CII涉及的网络产品和服务采购引发的网络安全审查、CII个人信息和重要数据跨境等专门的制度规范，提前形成风险防范意识。

附：《CII条例》与《征求意见稿》条文对比

	关键信息基础设施保护条例（征求意见稿）	关键信息基础设施保护条例（最终稿）
目录	第一章总则第二章支持与保障第三章关键信息基础设施范围第四章运营者安全保护第五章产品和服务安全第六章监测预警、应急处置和检测评估第七章法律责任第八章附则	第一章总则第二章关键信息基础设施认定第三章运营者责任义务第四章保障和促进第五章法律责任第六章附则
意见稿对应章节	意见稿对应条文内容	第一章总则
第一章总则	第一条为了保障关键信息基础设施安全，根据《中华人民共和国网络安全法》，制定本条例。	第一条为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。
第三章关键信息基础设施范围	第十八条下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；（四）广播电台、电视台、通讯社等新闻单位；（五）其他重点单位。	第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第一章总则	第四条国家行业主管或监管部门按照国务院规定的职责分工，负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。	第三条在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
第三条关键信息基础设施安全保护坚持顶层设计、整体防护，统筹协调、分工负责的原则，充分发挥运营主体作用，社会各方积极参与，共同保护关键信息基础设施安全。	第四条关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。
第六条关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。	第五条国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。
第二章支持与保障	第八条国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动。
第十六条任何个人和组织不得从事下列危害关键信息基础设施的活动和行为：（一）攻击、侵入、干扰、破坏关键信息基础设施；（二）非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息；（三）未经授权对关键信息基础设施开展渗透性、攻击性扫描探测；（四）明知他人从事危害关键信息基础设施安全的活动，仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助；（五）其他危害关键信息基础设施的活动和行为。
第四章运营者安全保护	第二十三条运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，严格身份认证和权限管理；（二）采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；（三）采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密认证等措施。	第六条运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。
		第七条对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。
意见稿对应章节	意见稿对应条文内容	第二章关键信息基础设施认定
第一章总则	第四条第一款国家行业主管或监管部门按照国务院规定的职责分工，负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。	第八条本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。
第三章关键信息基础设施范围	第十九条国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别本行业、本领域的关键信息基础设施，并按程序报送识别结果。关键信息基础设施识别认定过程中，应当充分发挥有关专家作用，提高关键信息基础设施识别认定的准确性、合理性和科学性。	第九条保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。制定认定规则应当主要考虑下列因素：（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。
第十条保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。
第二十条新建、停运关键信息基础设施，或关键信息基础设施发生重大变化的，运营者应当及时将相关情况报告国家行业主管或监管部门。国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整，并按程序报送调整情况。	第十一条关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。
意见稿对应章节	意见稿对应条文内容	第三章运营者责任义务
第四章运营者安全保护	第二十一条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。	第十二条安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
第二十二条运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。	第十三条运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。
第二十四条除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务：（一）设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；（四）制定网络安全事件应急预案并定期进行演练；（五）法律、行政法规规定的其他义务。	第十四条运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。
第二十三条运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，严格身份认证和权限管理； …	第十五条专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；（五）组织网络安全教育、培训；（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；（八）按照规定报告网络安全事件和重要事项。
第二十四条除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务： … （四）制定网络安全事件应急预案并定期进行演练； …
第二十五条运营者网络安全管理负责人履行下列职责：（一）组织制定网络安全规章制度、操作规程并监督执行；（二）组织对关键岗位人员的技能考核；（三）组织制定并实施本单位网络安全教育和培训计划；（四）组织开展网络安全检查和应急演练，应对处置网络安全事件；（五）按规定向国家有关部门报告网络安全重要事项、事件。
第二十七条运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
第二十八条第一款运营者应当建立健全关键信息基础设施安全检测评估制度，关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。
		第十六条运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
第四章运营者安全保护	第二十八条第二款运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估，对发现的问题及时进行整改，并将有关情况报国家行业主管或监管部门。	第十七条运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。
		第十八条关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。
第五章产品和服务安全	第三十一条运营者采购网络产品和服务，可能影响国家安全的，应当按照网络产品和服务安全审查办法的要求，通过网络安全审查，并与提供者签订安全保密协议。	第十九条运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。
第二十条运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。
		第二十一条运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。
意见稿对应章节	意见稿对应条文内容	第四章保障和促进
第二章支持与保障	第十三条国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员，编制并组织实施本行业、本领域的网络安全规划，建立健全工作经费保障机制并督促落实。	第二十二条保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。
第六章监测预警、应急处置和检测评估	第三十六条国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度，组织指导有关机构开展网络安全信息汇总、分析研判和通报工作，按照规定统一发布网络安全监测预警信息。	第二十三条国家网信部门统筹协调有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
第三十八条国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制，促进网络安全信息共享。
第三十七条国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度，及时掌握本行业、本领域关键信息基础设施运行状况和安全风险，向有关运营者通报安全风险和相关工作信息。国家行业主管或监管部门应当组织对安全监测信息进行研判，认为需要立即采取防范应对措施的，应当及时向有关运营者发布预警信息和应急防范措施建议，并按照国家网络安全事件应急预案的要求向有关部门报告。	第二十四条保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。
第三十九条国家网信部门按照国家网络安全事件应急预案的要求，统筹有关部门建立健全关键信息基础设施网络安全应急协作机制，加强网络安全应急力量建设，指导协调有关部门组织跨行业、跨地域网络安全应急演练。国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案，并定期组织演练，提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后，应立即启动应急预案组织应对，并及时报告有关情况。	第二十五条保护工作部门应当按照国家网络安全事件应急预案的要求，建立健全本行业、本领域的网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。
第四十条国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测，提出改进措施，指导、督促运营者及时整改检测评估中发现的问题。国家网信部门统筹协调有关部门开展的抽查检测工作，避免交叉重复检测评估。第四十四条有关部门组织开展关键信息基础设施安全检测评估，不得向被检测评估单位收取费用，不得要求被检测评估单位购买指定品牌或者指定生产、销售单位的产品和服务。	第二十六条保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。
第二十七条国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测，提出改进措施。有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。
第四十一条有关部门组织开展关键信息基础设施安全检测评估，应坚持客观公正、高效透明的原则，采取科学的检测评估方法，规范检测评估流程，控制检测评估风险。运营者应当对有关部门依法实施的检测评估予以配合，对检测评估发现的问题及时进行整改。	第二十八条运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。
	第二十九条在关键信息基础设施安全保护工作中，国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要，及时提供技术支持和协助。
第四十三条有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。	第三十条网信部门、公安机关、保护工作部门等有关部门，网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息，只能用于维护网络安全，并严格按照有关法律、行政法规的要求确保信息安全，不得泄露、出售或者非法向他人提供。
第二章支持与保障	第十六条任何个人和组织不得从事下列危害关键信息基础设施的活动和行为： … （三）未经授权对关键信息基础设施开展渗透性、攻击性扫描探测； … （五）其他危害关键信息基础设施的活动和行为。	第三十一条未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。
第十四条能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。	第三十二条国家采取措施，优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重点保障。
第十五条公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。	第三十三条公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。
第十条国家建立和完善网络安全标准体系，利用标准指导、规范关键信息基础设施安全保护工作。	第三十四条国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。
第九条国家制定产业、财税、金融、人才等政策，支持关键信息基础设施安全相关的技术、产品、服务创新，推广安全可信的网络产品和服务，培养和选拔网络安全人才，提高关键信息基础设施的安全水平。	第三十五条国家采取措施，鼓励网络安全专门人才从事关键信息基础设施安全保护工作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。
第三十六条国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关。
		第三十七条国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导，不断提升服务机构能力水平，充分发挥其在关键信息基础设施安全保护中的作用。
第八章附则	第五十四条军事关键信息基础设施的安全保护，由中央军事委员会另行规定。	第三十八条国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。
意见稿对应章节	意见稿对应条文内容	第五章法律责任
第七章法律责任	第四十五条运营者不履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的网络安全保护义务的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。	第三十九条运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；（三）未建立健全网络安全保护制度和责任制的；（四）未设置专门安全管理机构的；（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；（七）专门安全管理机构未履行本条例第十五条规定的职责的；（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。
第四十条运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。
第四十七条运营者违反本条例第三十一条规定，使用未经安全审查或安全审查未通过的网络产品或者服务的，由国家有关主管部门依据职责责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第四十一条运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
		第四十二条运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。
第七章法律责任	第四十八条个人违反本条例第十六条规定，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款；构成犯罪的，依法追究刑事责任。单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。违反本条例第十六条规定，受到刑事处罚的人员，终身不得从事关键信息基础设施安全管理和网络运营关键岗位的工作。	第四十三条实施非法侵入、干扰、破坏关键信息基础设施，危害其安全的活动尚不构成犯罪的，依照《中华人民共和国网络安全法》有关规定，由公安机关没收违法所得，处5日以下拘留，可以并处5万元以上50万元以下罚款；情节较重的，处5日以上15日以下拘留，可以并处10万元以上100万元以下罚款。单位有前款行为的，由公安机关没收违法所得，处10万元以上100万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。违反本条例第五条第二款和第三十一条规定，受到治安管理处罚的人员，5年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。
第五十条有关部门及其工作人员有下列行为之一的，对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任：（一）在工作中利用职权索取、收受贿赂；（二）玩忽职守、滥用职权；（三）擅自泄露关键信息基础设施有关信息、资料及数据文件；（四）其他违反法定职责的行为。	第四十四条网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的，依法对直接负责的主管人员和其他直接责任人员给予处分。
第四十五条公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用，或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的，由其上级机关责令改正，退还收取的费用；情节严重的，依法对直接负责的主管人员和其他直接责任人员给予处分。
第四十六条网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途，或者泄露、出售、非法向他人提供的，依法对直接负责的主管人员和其他直接责任人员给予处分。
第五十一条关键信息基础设施发生重大网络安全事件，经调查确定为责任事故的，除应当查明运营单位责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。	第四十七条关键信息基础设施发生重大和特别重大网络安全事件，经调查确定为责任事故的，除应当查明运营者责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。
		第四十八条电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，依照《中华人民共和国网络安全法》有关规定予以处理。
		第四十九条违反本条例规定，给他人造成损害的，依法承担民事责任。违反本条例规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。
意见稿对应章节	意见稿对应条文内容	第六章附则
第八章附则	第五十三条存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。关键信息基础设施中的密码使用和管理，还应当遵守密码法律、行政法规的规定。	第五十条存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。
第五十五条本条例自**年月**日起施行。	第五十一条本条例自2021年9月1日起施行。
意见稿对应章节	意见稿被删减条文内容
第一章总则	第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施，以及开展关键信息基础设施的安全保护，适用本条例。
第五条关键信息基础设施的运营者（以下称运营者）对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第七条任何个人和组织发现危害关键信息基础设施安全的行为，有权向网信、电信、公安等部门以及行业主管或监管部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。
第二章支持与保障	第十一条地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划，加大投入，开展工作绩效考核评价。
第十二条国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。
第十七条国家立足开放环境维护网络安全，积极开展关键信息基础设施安全领域的国际交流与合作。
第四章运营者安全保护	第二十六条运营者网络安全关键岗位专业技术人员实行执证上岗制度。执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
第二十九条运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。
第五章产品和服务安全	第三十条运营者采购、使用的网络关键设备、网络安全专用产品，应当符合法律、行政法规的规定和相关国家标准的强制性要求。
第三十二条运营者应当对外包开发的系统、软件，接受捐赠的网络产品，在其上线应用前进行安全检测。
第三十三条运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的，应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告。
第三十四条关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门。
第三十五条面向关键信息基础设施开展安全检测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构，应当符合有关要求。具体要求由国家网信部门会同国务院有关部门制定。
第六章监测预警、应急处置和检测评估	第四十二条有关部门组织开展关键信息基础设施安全检测评估，可采取下列措施：（一）要求运营者相关人员就检测评估事项作出说明；（二）查阅、调取、复制与安全保护有关的文档、记录；（三）查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况；（四）利用检测工具或委托网络安全服务机构进行技术检测；（五）经运营者同意的其他必要方式。
第七章法律责任	第四十六条运营者违反本条例第二十九条规定，在境外存储网络数据，或者向境外提供网络数据的，由国家有关主管部门依据职责责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十九条国家机关关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接负责人员依法给予处分。
第五十二条境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门、国家安全机关和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。