8月17日，國務院發布《關鍵信息基礎設施安全保護條例》（下稱《條例》），對CII安全保護的適用范圍、監管主體、評估對象等基礎要素做出界定，并為安全保護工作開展提供系統指引和工作遵循?！稐l例》將自今年9月1日起施行。

“這標志著我國網絡安全保護進入了以CII安全保護為重點的新階段?！敝袊畔⑼ㄐ叛芯吭涸洪L余曉暉表示，作為《網絡安全法》的重要配套立法，《條例》積極應對國內外網絡安全保護的主要問題和發展趨勢，為下一步加強CII安全保護工作提供了重要法治保障。

中國社會科學院經濟學博士方燕從事網絡安全、平臺反壟斷等領域研究多年。他對第一財經表示，該《條例》讓企業在CII安全保護方面的權利和責任得以合法化，也反映出政府在監管方面縱向橫向貫通、各界共同參與網絡安全治理的新方向。

歷時4年

從《關鍵信息基礎設施安全保護條例》（征求意見稿）（下稱“征求意見稿”）的發布到《條例》的正式出爐，共歷時四年有余。

2016 年 11 月《網絡安全法》出臺，第一次正式提出“CII”這一概念。2017年7月，國家網信辦發布征求意見稿，但業界普遍認為，征求意見稿在CII的認定、法律保護范圍等方面尚不明晰。

同年，國家標準化管理委員會對《信息安全技術CII安全保護要求》和《信息安全技術CII安全控制措施》進行立項，旨在壓實CII運營者的基本責任。但截至目前，二者分別處于報批稿和草稿階段，均尚未發布。

“當前，CII面臨的網絡安全形勢日趨嚴峻，網絡攻擊威脅上升，事故隱患易發多發，安全保護工作還存在法規制度不完善、工作基礎薄弱、資源力量分散、技術產業支撐不足等突出問題，亟待建立專門制度，明確各方責任，加快提升CII安全保護能力?！比涨?，司法部、網信辦、工信部、公安部負責人就《條例》有關問題答記者問時稱。

相較于2017年的征求意見稿，北京師范大學網絡法治國際中心執行主任吳沈括對第一財經表示，《條例》更為體系化。一方面，在綜合協調、分工負責、依法保護原則指導下，《條例》進一步明確了統籌協調機關、指導監督機關以及保護和監督管理機關等各方主體的職責權限；另一方面，《條例》側重厘清CII的認定標準，有助于更好發揮保護工作部門的主動性、積極性，便于各行業、各地區根據實際情況做出更有針對性的具體決定。

中國電子技術標準化研究院網安中心測評實驗室副主任何延哲對第一財經分析稱，“此前，各主管部門雖對重要信息系統和平臺等有相應的增強式保護手段，但缺少長效保障機制，如今《條例》的出臺，從法規層面明確了重點保護范圍和措施，這讓CII保護工作正式納入日常工作的序列?！?/p>

“一把手負責制”

根據《條例》，所謂“CII”，即指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

《條例》稱，強化和落實CII運營者（下稱“運營者”）主體責任，運營者的主要負責人對CII安全保護負總責。

對此，相關負責人在上述答記者問時稱，運營者需建立健全網絡安全保護制度和責任制，實行“一把手負責制”，明確運營者主要負責人負總責，保障人財物投入。

同時，在《網絡安全法》的基礎上，《條例》對運營者提出了更高的安全防護要求。

《條例》指出，落實“三同步”要求，要求安全保護措施與CII同步規劃、同步建設、同步使用，確保落實覆蓋全生命周期的安全保護。

其中，當發生CII整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等特別重大網絡安全事件或者發現特別重大網絡安全威脅時，根據《條例》，保護工作部門應當在收到報告后，及時向國家網信部門、國務院公安部門報告。

“實行動態的預警和監控，是該《條例》的一大亮點，但如何實現對于關鍵基礎設施的動態感知，又是《條例》落地的難點?！焙柭蓭熓聞账匣锶藯罱ㄦ聫氖戮W絡安全與數據合規、反腐敗等領域法律服務多年，她在接受第一財經記者采訪時說，《條例》給出了一個探索方向，即建立安全信息同享機制。

根據《條例》，國家網信部門統籌協調有關部門建立網絡安全信息共享機制，及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息，促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。

但由于網絡安全信息共享涉及到眾多部門、單位、行業和數據，何延哲認為，還需不斷探索才能達成“一盤棋”的效果?！翱梢哉f，《條例》的發布只是工作的開始，還需要大量的實踐來不斷印證、完善?！?/p>

此外，何延哲還稱，雖然《條例》或將給運營者帶來額外的經營成本和風險，但也包含了多條保障和促進的條目，并明確國家、行業主管部門等對運營者的協助、幫扶事項。

“不過，正因為被認定為CII運營者既是責任也是權利，還需警惕運營者以安全防護之名，行抑制競爭之實?！狈窖噙M一步表示，在《條例》落地后，或存在運營者打著“維護安全”的旗號，以維護數據和隱私等安全為名阻止同行業競爭對手接入自己的信息平臺?！斑@需要后續監管更加精細化，否則存在隱患?！?/p>

互聯網平臺納入監管？

《條例》落地后，是否意味著大型互聯網平臺會被納入CII？楊建媛認為，由于互聯網平臺擁有海量重要數據和個人數據，潛在的數據安全風險較大，且業務發展對社會經濟運行產生重要影響，不排除會有一批大型互聯網平臺被認定為CII。

根據《條例》，CII認定需考慮三點因素：其一，網絡設施、信息系統等對本行業、本領域關鍵核心業務的重要程度；其二，網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；其三，對其他行業和領域的關聯性影響。

“由此可見，互聯網平臺應被納入CII。但該《條例》并不是專門針對互聯網平臺而設置的，而是出于保障產業安全、網絡安全和經濟系統安全的需要，包含面會更廣?！敝袊嗣翊髮W數字經濟研究中心主任李三希對第一財經稱。

李三希認為，網站（黨政機關網站、新聞網站、企業網站等）、平臺（社交、網購類等平臺），以及生產業務類（辦公業務類系統、工業控制系統、大型數據中心、云計算平臺等）均應包含在CII中。

個人數據泄露和數據跨境流通的安全性問題，一直是互聯網平臺治理的重難點。吳沈括認為，該《條例》雖未直接涉及數據跨境制度的設計，但對于數據本身，包括數據安全和個人信息保護問題，給予了高度關注。

根據《條例》，運營者在負責本單位的CII安全保護工作時，應履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度。

事實上，在CII中的重要數據出境治理上，《網絡安全法》第三十七條已做出規定。

方燕認為，當《條例》落地后，互聯網平臺會被納入CII。這也就意味著其數據出境需遵循《網絡安全法》中跨境數據流動的基本管理原則，即CII運營者在境內收集的個人信息和重要數據應當遵守“本地化存儲 +出境安全評估”的要求。

“《網絡安全法》和《數據安全法》都屬于一般性法律，而《條例》聚焦于網絡安全方面的CII安全這一個點，是對《網絡安全法》中相應部分的細化和落實，使得《網絡安全法》中的CII部分內容具有可操作性?！狈窖喾Q。