《網(wǎng)絡安全法》解讀系列

1、«網(wǎng)絡安全法解讀系列之四 -關鍵信息基礎設施安全要求本系列針對關鍵信息基礎設施安全條款和法律責任加以解讀。這部分條款，提出了關鍵信息基礎設施的范圍， 明確了與網(wǎng)絡安全等級保護制度的關系，規(guī)定了關鍵信息基礎設施保護的主要內(nèi)容，以及在數(shù)據(jù)留存和提供方面的要求?！镜谌粭l】國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要 行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國 計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。國家鼓勵關鍵信息基礎設施以

2、外的網(wǎng)絡運營者自愿參與關鍵信息基礎設施保護體系。解讀本條款定義了關鍵信息基礎設施的范圍，強調了必須落實網(wǎng)絡安全等級保護制度，并 進行重點保護。國務院將制定相應的關鍵信息基礎設施安全保護辦法。【第三十二條】按照國務院規(guī)定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。解讀本條款說明了要制定關鍵信息基礎設施安全規(guī)劃，和誰來負責制定規(guī)劃?！镜谌龡l】建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全 技術措施同步規(guī)劃、同步建設、同步使用。解讀：本條款說明了如何建設關鍵信

3、息基礎設施，強調了安全技術實施的三同步原則。適用法律責任：【第五十九條】【第三十四條】除本法第二十一條的規(guī)定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義 務：（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進 行安全背景審查；（二）定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核；（三）對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份；（四）制定網(wǎng)絡安全事件應急預案，并定期進行演練；（五）法律、行政法規(guī)規(guī)定的其他義務。解讀：本條款規(guī)定了關鍵信息基礎設施的保護要求高于第二十一條的網(wǎng)絡安全等級保護制度 要求；同時強調了背景審查、教育培訓和考核、容災備份、應急預案和演練。適用法律責任

4、：【第五十九條】【第三十五條】關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國 家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。解讀本條款規(guī)定了采購網(wǎng)絡產(chǎn)品和服務的非常態(tài)的國家安全審查要求。適用法律責任：【第六十五條】【第三十六條】關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。解讀本條款的核心是明確外包服務安全，強調簽訂安全保密協(xié)議。適用法律責任：【第五十九條】【第三十七條】關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。 因業(yè)務需要，確需向境外提供的， 應當

5、按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。解讀本條款是關鍵信息基礎設施的一項核心條款，其關鍵是個人信息和重要數(shù)據(jù)境內(nèi)存儲和對數(shù)據(jù)跨境提供的專門要求；目標是解決個人信息和重要數(shù)據(jù)的數(shù)據(jù)安全問題，而對重要數(shù)據(jù)的解讀雖然目前還沒有明確的分類，相信未來會有相應的規(guī)定出臺。適用法律責任：【第六十六條】【第三十八條】關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。解讀本條款的關鍵詞是等級測評，風險評估，滲透測試。適

6、用法律責任：【第五十九條】【第三十九條】國家網(wǎng)信部門應當統(tǒng)籌協(xié)調有關部門對關鍵信息基礎設施的安全保護采取下列措施：（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委 托網(wǎng)絡安全服務機構對網(wǎng)絡存在的安全風險進行檢測評估；（二）定期組織關鍵信息基礎設施的運營者進行網(wǎng)絡安全應急演練，提高應對網(wǎng)絡安 全事件的水平和協(xié)同配合能力；（三）促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網(wǎng)絡安全服務 機構等之間的網(wǎng)絡安全信息共享；（四）對網(wǎng)絡安全事件的應急處置與網(wǎng)絡功能的恢復等，提供技術支持和協(xié)助。解讀本條款規(guī)定了國家網(wǎng)信部門關于承擔統(tǒng)籌協(xié)調的工作要求。具體法律責任條款【第五

7、十九條】網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的， 處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬 元以上十萬元以下罰款。【第六十五條】 關鍵信息基礎設施的運營者違反本法第三十五條規(guī)定，使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡產(chǎn)品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元 以下罰款?！镜诹鶙l】 關鍵信息基礎設施的運營者違反本法第三十七條規(guī)定，在境外存儲網(wǎng)絡數(shù)據(jù)，或者向境外提供網(wǎng)絡數(shù)據(jù)