国务院新闻办公室于2021年8月24日(星期二)下午3时举行国务院政策例行吹风会,请国家互联网信息办公室副主任盛荣华、国家互联网信息办公室网络安全协调局局长孙蔚敏、工业和信息化部网络安全管理局局长隋静、公安部网络安全保卫局局长王瑛玮、司法部立法一局负责人张耀明介绍《关键信息基础设施安全保护条例》有关情况,并答记者问。
条例出台的背景和内容
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施的安全,对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。
党中央、国务院高度重视关键信息基础设施安全保护立法工作,总书记强调,“要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民的合法权益”。《中华人民共和国网络安全法》明确国家对关键信息基础设施实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。
贯彻落实好习近平总书记重要指示和党中央、国务院的决策部署,国家网信办、工业和信息化部、公安部在前期深入调研、充分论证的基础上,起草了《条例(送审稿)》。司法部会同有关部门反复研究修改,先后两次大范围征求了中央有关单位、地方人民政府和有关协会、企事业单位、专家学者的意见,形成了《条例(草案)》。2021年4月27日,《条例》经国务院第133次常务会议审议通过,7月30日李克强总理签署第745号国务院令,公布《条例》,《条例》将于9月1日起正式施行。
出台《条例》是贯彻落实习近平总书记关于网络强国重要思想的具体措施,也是近年来国家网络安全和信息化工作成功经验的制度化提升,特别是回应了社会各界对加强关键信息基础设施安全保护的关注和呼吁,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。
《条例》共六章51条,主要包括六个方面的内容:一是明确了关键信息基础设施范围和保护工作的原则目标。二是明确了监督管理体制。三是完善了关键信息基础设施认定机制。四是明确了运营者的责任义务。五是明确了保障和促进措施。六是明确了各方面的法律责任。
答记者问
问:中央广播电视总台央视记者:通过您刚才的介绍我们了解到《条例》出台的背景、过程和主要框架,感受到了国家对于保护关键信息基础设施安全的坚定决心和鲜明态度,我们想进一步了解一下,当前关键信息基础设施安全保护面临怎样的形势和问题?《条例》确立的保护工作总体思路和责任体系是什么?
国家互联网信息办公室副主任 盛荣华
当前,关键信息基础设施面临的网络安全形势还是非常严峻复杂的,网络攻击威慑上升,特别是新冠肺炎疫情发生以来,高级持续性威胁、网络勒索、数据窃取等事件频发,危害经济社会稳定运行,而现在网络安全保护工作也还存在一些短板问题,比如我们的工作基础还不够扎实,有一些薄弱环节,资源力量分散,技术产业支撑不够,这都是我们存在的一些短板问题。需要我们建立专门的制度,进一步明确各方责任,加快提升关键信息基础设施安全保护的能力。在《条例》保护工作总体思路上,主要是把握几点:
一是坚持问题导向。针对关键信息基础设施安全保护工作当中存在的短板问题、薄弱环节,在细化《中华人民共和国网络安全法》有关规定的基础上,将实践证明比较成熟的一些做法上升为法规制度,为保护工作提供法治保障。
二是压实责任。压实各方面的责任,这里面有运营者的主体责任、有保护部门的协调统筹监督管理责任,也有社会各方面的协同配合和监督责任。这里特别强调和明确的是运营者的主体责任,这是基础、是关键。运营者的主体责任落实好了,关键信息基础设施安全保护的工作就能够做得更好。
三是要做好与相关法律、行政法规的衔接配套。在网络安全法确立的总框架下,我们细化相关制度措施,处理好与其他相关法律、行政法规的关系。
贯彻落实好习近平总书记关于“要筑牢网络安全防线、提高网络安全保障能力、强化关键信息基础设施防护”的重要指示精神,《条例》进一步明确了相关方面的责任。一是关键信息基础设施运营者要履行好主体责任,“谁运营、谁负责”,这是个原则。在《条例》的总则部分,我们对运营者的责任作了原则性规定,而且还有专章细化了有关规定和要求。二是保护工作部门的责任。落实好“谁主管、谁负责”的原则,《条例》当中明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护和监督管理具有哪些责任。三是国家相关职能部门的责任。比如,公安部门负责指导监督关键信息基础设施安全保护工作。电信主管部门和其他有关部门,要依照本《条例》和有关的法律法规,在各自职责范围内负责安全保护和监督管理的工作。《条例》还明确了省级人民政府有关部门依据各自职责,对关键信息基础设施也要实施安全保护和监督管理,提出了一系列保障和促进措施。
总的来讲,上下左右要共同构建一个关键信息基础设施安全保护的责任体系,这样才能筑牢国家网络安全的屏障。
问:经济日报记者:《关键信息基础设施安全保护条例》进一步完善了我国网络安全法律的体系,请问在《条例》立法过程中有哪些主要的考虑?
国家互联网信息办公室网络安全协调局局长孙蔚敏
近年来,国家网信部门会同工业和信息化部、公安部等部门全面推进国家网络安全保障体系和能力建设,切实开展了一系列扎实有效的工作,为开展关键信息基础设施的安全保护工作奠定了坚实的基础。
《条例》9月1日实施以后,我们重点要抓好以下几方面的工作:
首先,运营者要全面落实安全保护的主体责任,主要是从五个方面来开展:一是建立健全网络安全保护制度和责任制,实行一把手负责制,保障人力、财力、物力的投入。二是要设置专门的安全管理机构参与网络安全和信息化的决策,履行《条例》规定的8项工作职责。三是开展网络安全检测和风险评估,并及时整改。四是建立并落实网络安全事件和网络安全威胁的报告制度。五是要优先采购安全可信的网络产品和服务,按照规定申报网络安全审查。
第二,保护工作部门要切实做好安全保护和监督管理工作,重点开展以下六方面的工作:一是制定认定规则并组织认定。二是制定安全规划,明确保护目标、基本要求、工作任务、具体措施。三是建立健全网络安全监测预警制度,预警通报网络安全威胁和隐患,指导做好安全防范工作。四是建立健全网络安全事件应急预案,定期组织应急演练。五是指导运营者做好网络安全事件的应对处置,并视情提供技术支持和协助。六是组织开展网络安全检查检测,指导监督运营者及时进行整改。
第三,国家有关职能部门在国家网信部门统筹协调下,各司其职,分工协作,合力做好关键信息基础设施安全保护工作。国家网信部门将牵头会同有关部门,一是抓紧制定和完善关键信息基础设施安全法规制度和标准规范。二是统筹协调网络安全检查检测,避免不必要的检查和交叉检查、重复检查。三是建立关键信息基础设施的漏洞探测,渗透性测试活动的批准机制。四是建立健全网络安全信息共享机制。五是加强网络安全服务机构建设和管理。六是推动形成人才培养、技术创新、产业发展的良性生态。
公安部负责指导监督关键信息基础设施安全保护工作。工业和信息化部对基础电信网络、重要互联网基础设施加强安全保护和监督管理。国家安全机关、保密行政管理部门、密码管理部门等依据职责开展相关的安全保护工作。省级人民政府有关部门,依据各自的职责对关键信息基础实施安全保护和监督管理,他们参照中央层面的监督管理体制开展相关工作。
司法部立法一局负责人 张耀明
党中央、国务院高度重视关键信息基础设施安全保护的立法工作,刚才盛部长也作了详细介绍,我不重复。去年年底,中共中央印发了《法治社会建设实施纲要(2020-2025年)》,提出完善网络安全法配套规定和标准体系,建立健全关键信息基础设施安全保护、数据安全管理和网络安全审查等网络安全管理制度。国务院今年的立法工作计划也将《关键信息基础设施安全保护条例》纳入拟制定修订的行政法规。为深入贯彻落实党中央、国务院关于关键信息基础设施安全保护立法工作的决策部署,近日国务院公布了《条例》,进一步补齐补强了我国网络安全法律体系中的关键一环,为我国深入开展关键信息基础设施安全保护工作提供了坚实的法治保障。
司法部在推动《条例》出台过程中,着重把握处理好以下几方面的关系:
一是处理好安全与发展的关系。《条例》坚持安全防护与促进发展并重,在明确关键信息基础设施安全保护监督管理体制,完善关键信息基础设施认定机制,强化关键信息基础设施运营者网络安全责任的同时,提出培育发展网络安全专门人才,促进关键信息基础设施安全防护技术创新和产业发展,提升网络安全服务机构能力水平的保障和促进的举措。
二是处理好与网络安全法及相关立法的关系。在网络安全法确立的制度框架下,《条例》进一步细化了关键信息基础设施安全保护的具体制度要求。同时,在制度设计和条款内容上注意做好与《数据安全法》《个人信息保护法》《保守国家秘密法》《计算机信息系统安全保护条例》等相关法律法规的衔接和协调。
三是处理好统筹负责和协管共治的关系。我国网络法治建设秉持从监督管理向综合治理转变的思路,坚持综合共治、多元协同的治理原则。《条例》在制度设计上既体现了综合协调、分工负责的理念,也注意充分发挥关键信息基础设施运营者、政府部门以及社会各方面的作用,共同保护关键信息基础设施的安全。
四是处理好法规规范和技术标准以及其他措施的关系。在强化关键信息基础设施运营者、关键信息基础设施保护工作部门等相关主体的网络安全保护义务的同时,《条例》还提出制定和完善关键信息基础设施安全标准,通过技术保护措施和其他必要措施,进一步规范、完善关键信息基础设施的安全保护工作。
问:中央广播电视总台国广记者:请问根据《条例》,公安机关有什么样的职责和任务,下一步公安机关打算从哪些方面来加强工作,强化关键信息基础设施安全保护?
公安部网络安全保卫局局长 王瑛玮
首先感谢各位媒体朋友对公安工作的关心和支持,公安部高度重视关键信息基础设施安全保护工作。近年来,在深入贯彻实施网络安全等级保护制度的基础上,公安部组织全国公安机关不断加强网络安全保卫工作,有力维护了国家关键信息基础设施的安全。
《条例》中涉及公安机关的工作主要有五项:一是指导监督关键信息基础设施安全保护工作。二是组织指导保护工作部门制定关键信息基础设施认定规则并备案,指导开展关键信息基础设施认定工作。三是对关键信息基础设施重大网络安全事件或者重大网络安全威胁等情况进行监测处置,为保护工作部门提供技术支持和协助,为运营者开展核心人员安全背景审查提供协助。四是依法对关键信息基础设施进行网络安全检查检测,对漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动进行管理。五是依据法定职责,加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。
下一步,公安机关将在前期工作的基础上深入贯彻实施《条例》,切实履行公安机关法定职责,全力保障关键信息基础设施安全。
一是在国家网信办的统筹协调下,会同有关部门不断健全完善关键信息基础设施安全保护政策标准体系。同时,组织全国公安机关加强对关键信息基础设施安全保护工作的指导和监督。
二是依据《条例》规定,持续组织开展关键信息基础设施认定工作。加强动态管理,为关键信息基础设施安全保护、保卫和保障工作奠定基础。
三是加强关键信息基础设施的安全监督检查,加强行政执法,督促重点单位依法履行安全保护责任和义务。针对关键信息基础设施安全突出问题,组织开展专项整治,排查整改安全风险隐患,提高安全保护能力。
四是依托国家网络与信息安全信息通报机制,加强网络安全监测、通报预警和应急处置,防范网络安全事件和威胁风险。
五是加强关键信息基础设施安全事件的调查处置和案件侦办,严厉打击危害关键信息基础设施安全的违法犯罪活动。
问:新华社记者:《条例》中专门提到对基础电信网络安全的规定,提出国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。请问工信部的负责人,国家在保障基础电信网络安全方面有哪些考虑?
工业和信息化部网络安全管理局局长 隋静
基础电信网络、重要互联网基础设施等电信行业网络设施,本身既是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,一旦遭到网络攻击和破坏,将会带来严重的影响。因此,《条例》第3条规定,国务院电信主管部门依照本条例和有关法律、行政法规的规定,负责电信行业关键信息基础设施安全保护和监督管理工作。第31条规定,对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。第32条规定,国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。
工业和信息化部作为电信行业主管部门,在合力推进关键信息基础设施安全保护工作中,依法依规监督管理电信行业关键信息基础设施安全保护工作,重点从以下几个方面开展工作:
一是切实履职尽责。对于基础电信网络,重要互联网基础设施的安全保护和监督管理工作,工业和信息化部将严格落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《通信网络安全防护管理办法》等法律法规、部门规章的有关规定,切实履行保护工作部门职责,压实电信行业关键信息基础设施运营者的主体责任。
二是强化相关监督管理工作,持续完善电信行业安全监督管理机制,健全行业网络安全标准体系。加强网络安全防护、数据安全保护、监测预警、应急处置等技术能力建设,开展安全检查检测,督促运营者整改落实,强化网络安全产业支撑。特别是考虑到基础电信网络在国家经济社会活动中的极端重要性,以及公共通信和信息服务极高稳定性的要求,我部将加强监督管理,严格规范对基础电信网络的漏洞探测、渗透性测试活动。
三是做好优先保障和重点保障。我部将联合有关部门加大资金投入、技术创新、人才培育,优先保障电信行业关键信息基础设施安全运行。同时,我部也将积极采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障,根据保护工作部门的需要,及时提供技术支持和协助。
问:封面新闻记者:我的问题想提给公安部,我们注意到《条例》对如何界定关键信息基础设施进行了明确,请问这对后续的安全保护工作有何重要意义?此外,认定的核心标准是什么?
公安部网络安全保卫局局长 王瑛玮
识别认定关键信息基础设施是开展安全保护工作的前提,《条例》从我国国情出发,借鉴国外通行做法,规定了关键信息基础设施的定义、范围和认定程序,有利于国家明确网络安全保护的重点对象,采取有力措施,实施重点保护。同时,也为后续落实关键信息基础设施安全保护责任、加强关键信息基础设施安全保护工作,保障和促进关键信息基础设施安全奠定了基础。
对于认定的核心标准,根据《条例》规定,主要考虑三个方面的因素:一是网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用。二是网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。三是对其他行业和领域具有重要关联性影响。关键信息基础设施保护工作部门将重点考虑以上因素,结合本行业、本领域实际,制定关键信息基础设施的认定规则,报国务院公安部门备案,并根据认定规则,组织本行业、本领域的关键信息基础设施认定。
问:香港中评社记者:请问相关部门将如何做好关键信息基础设施中的重要数据出境监管?对于运营者来说,需要履行怎样的责任和义务?
国家互联网信息办公室网络安全协调局局长孙蔚敏
《中华人民共和国网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 今年以来,新出台的《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》对关键信息基础设施涉及的个人信息和重要数据出境制度作出了延续性规定。其中,《中华人民共和国数据安全法》第31条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定”;《中华人民共和国个人信息保护法》第40条规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”。
问:CNBC记者:我的问题有三方面,如何定义关键信息基础设施?企业尤其是外企需要更多注意什么流程?《条例》对外贸以及境外上市计划有何影响?谢谢。
国家互联网信息办公室副主任 盛荣华
第一,《条例》第2条明确了关键信息基础设施的定义和行业领域的范围,相关单位的网络设施、信息系统如果符合《条例》第2条规定的关键信息基础设施的范围,保护工作部门应当依据本行业本领域认定规则,组织认定是不是关键信息基础设施行业或者是范围。
第二,企业所有制的形式不作为关键信息基础设施认定的依据或条件。
第三,坚持对外开放政策是我们国家的一项基本国策,《条例》并不是针对外贸以及境外上市而出台的,《条例》是围绕保障关键信息基础设施安全,维护网络安全。长期以来,我们积极支持网信企业依法依规融资发展。无论是哪种类型的企业,无论在哪里上市,两条是必须符合的:一是必须符合国家的法律法规。二是必须确保国家的网络安全、关键信息基础设施的安全、个人信息保护的安全等。符合这两条就不受影响,不符合这两条就一定会受影响。
问:澎湃新闻记者:我的问题提给工信部,《条例》第三章特别明确了运营者的责任义务,请问有哪些特别值得我们关注?这些责任义务对运营单位提出了哪些新的要求?
工业和信息化部网络安全管理局局长 隋静
您提的问题有一部分在刚才中央网信办孙蔚敏局长已经介绍了《条例》对运营者主体责任的有关要求。下面,我结合工信部作为关键信息基础设施保护工作部门,就履行行业网络安全监督管理职责,压实运营者主体责任,回答您的问题。
近年来,我部认真贯彻落实《网络安全法》,陆续出台了《通信网络安全防护管理办法》等多项部门规章,发布了《公共互联网网络安全威胁监测与处置办法》《公共互联网网络安全突发事件应急预案》等近20项规范性文件,颁布实施了300余项网络与信息安全标准,持续组织开展电信和互联网行业网络安全监督检查,不断提升网络基础设施安全防护能力。
下一步,我部将认真贯彻落实《条例》,进一步细化明确本行业本领域关键信息基础设施运营者的主体责任,围绕完善行业监管机制、健全技术能力体系、加强监督检查、强化网络安全产业支撑等方面,督促运营者切实落实责任要求。
一是完善安全监督管理机制。我们将加快修订《通信网络安全防护管理办法》,扎实做好行业政策体系与条例的衔接和落实。健全行业网络安全标准体系,制定出台行业关键信息基础设施安全保护系列标准,并推动落地。持续推进行业关键信息基础设施识别认定。
二是健全安全技术能力体系。组织建设和运行行业关键信息基础设施网络安全防护、数据安全保护、监测预警和应急处置等技术措施,构建完善安全监测和事件处置机制,促进提升安全风险协同防范能力。
三是加强行业安全监督检查。监督管理行业关键信息基础设施运营者落实安全主体责任,完善行业关键信息基础设施网络安全监督检查机制,深入开展行业关键信息基础设施安全防护检查检测,督促整改网络安全问题隐患。
四是强化网络安全产业支撑,开展网络安全技术应用试点示范,支持面向关键信息基础设施的安全技术创新应用。提升网络安全产品和服务供给水平,举办多层次网络安全技能竞赛,强化人才队伍支撑保障。