本刊编辑部

《关键信息基础设施安全保护条例（征求意见稿）》各方意见综述

本刊编辑部

一．背景介绍

1.立法背景

近年来，伴随着以云计算、大数据、物联网为代表的新技术在全球范围内的快速应用，包括能源、电力、交通基础设施等更多的传统性、关键性领域也纷纷联入网络，这使得信息基础设施的脆弱性和安全威胁呈现出几何式增长态势，特别是在有组织的、高强度的攻击面前，关键信息基础设施面临着巨大挑战。

在此背景下，为保障国内关键信息基础设施安全，进一步细化落实《网络安全法》,国家互联网信息办公室于2017年7月11日制定并推出了《关键信息基础设施安全保护条例（征求意见稿）》（以下简称“《条例》”）。

《条例》征求意见稿共有8章，共计55项条款，对于关键信息基础设施保护相关的一系列基本要素，包括适用范围、监管主体、评估对象、评估机制和相应法律责任等，在《网络安全法》的基础上做了更具体的细化和落地规定。此外，《条例》中还突出体现了对关键信息基础设施保护的动态全链条保护思维、重点保护思维和各类主体全面负责等创新思维，较《网络安全法》更具创新性，更能适应目前关键信息基础设施安全保护的现实需求，为其安全保护提供新的解决思路。

2.研究背景

《条例》自发布之日起，便受到了网络安全行业的热切关注，成为业内专家学者讨论和研究的焦点性话题。因此，中国互联网协会研究中心联合互联网实验室、美国信息产业机构（USITO）等机构共同主办了“关键信息基础设施安全保护条例（征求意见稿）研讨会”，特邀政府部门主管领导、业内专家学者和企业界代表围绕关键信息基础设施的范围界定、保护机制和保护责任等重点问题进行了深入探讨，期冀为我国关键信息基础设施保护领域的立法与执法工作提供建设性参考意见。

二．各方关注的焦点问题

会议中各界专家的研讨主要集中在有关关键信息基础设施（以下简称CII）保护的四个方面：1.法律定位和保护理念；2.保护范围；3.保护机制；4.保护责任。出于对关键信息基础设施问题的复杂性、敏感性及其可操作性的考量，上述四个方面的问题是企业界、学界和法律界共同关心的。

1.法律定位和保护理念

（1）应赋予CII优先保障权

腾讯研究院资深专家王融指出，从国家层面来看，除了CII在安全方面的关键属性，还应当包括战略性属性以及先导性属性。有专家建议，基于CII在国家中的关键性、战略性、先导性的法律地位，《条例》应该更多考虑赋权和保障。《条例》中对这一点也有所体现，比如第十四条，①第十四条：能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。规定了在应急状态下，电力、通信这些关键中的关键行业，但实际上这种优先保障应当扩展到CII的日常运营中。

（2）CII保护需要五个理念的转变

①从泛安全到关键安全

王融认为，虽然CII本身定义也在致力于解决从泛安全到关键安全的转变，但从目前有关行业主管部门出台的一些CII识别指南或者一些行业标准来看，怎么能切实解决从泛安全到关键安全的转变，仍然需要深度的研究思考。

比如：行业主管部门可能会单纯提出用户量这一维度，即用户数量达到一定级别，那么该业务设施很可能就落入CII范畴。用户数量这个维度达到一个什么量的标准才能够锁定关键的范围？我国的网络用户数量天然就大，如果数量标准定的低，可能一个小应用就可能达到CII的标准。因此假如采取用户数量标准，考虑产业实际状况，这个数量标准应当足够高，以真正锁定关键范围。

将用户数量作为一个尺度，需要考虑的另一个因素则是“替代性”。如果一个网络服务的用户很多，但替代性很强，在遭遇了网络攻击后，用户仍有其他选择替代的产品，那么“用户数量”这个指标的权重就应当相应下降。

②从事前的绝对安全到事后可恢复的弹性安全

王融指出，网络安全中公认的一个观点是：任何网络系统都不能够实现百分之百的事前安全，因此更多的考量应当是——如何在遭到网络攻击或者自然灾害后是否有很强的恢复能力。她建议，在立法设计上：在事前，法律机制可以不要过于依赖事前的监测安全、评估安全——至少不把它设定为行政许可式的市场门槛（没有事前监测、评估的，就不能上线）。

当然，这并非否认事前的作用，其旨在强调在事后，将可恢复性作为一个安全的考量维度。如在法律责任中豁免。

③从单一行业的安全，到彼此互联各行各业的安全

有专家认为，当前，CI（关键基础设施）和CII（关键信息基础设施）本身边界已模糊，水利大坝、铁路、航空、医院、电厂这些关键基础设施（CI）均已实现信息化。在当前的万物互联时代，需要更加强调各行业的安全统筹。

Intel法律政策总监续俊旗强调，从世界范围来讲，CII的概念正在从系统向设施演进。现在随着信息技术的发展，随着网络化、信息化的发展，CII和CI的概念是趋于统一，很多模式放在网上，早已信息化。所以谈CII的话，现在的语境跟过去相比发生了很大变化。

王融认为，从《条例》的具体条文看，这种关联统筹明显不足。如何做到跨行业的安全信息共享，以及如何在其中协调统筹，避免各行业部门采取不同的尺度、重复性的管理活动，目前没有特别明确的对应解决机制。她建议，在各行各业主管部门中网信办应该进一步加强统筹能力，避免重复性的检测问题，更高效打造一个信息共享的状态。

④从单一企业合规视角的安全到各方支持参与的安全

王融认为，《条例》特别强调CII运营者的主体责任，比如第七条和第二十二条。①第七条：任何个人和组织发现危害关键信息基础设施安全的行为，有权向网信、电信、公安等部门以及行业主管或监管部门举报。第二十二条：运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。无可否认，在CII的保护中，运营者所起到的作用是最大的，但全面来看，CII保护不应当仅仅体现为企业合规的功能。在《条例》中还应补充相关各方的主体义务和责任。

⑤从政府主导安全到市场能动安全

王融强调，单靠政府主导去实现安全目标相对比较困难。如果能最大化发挥市场能动性去创造安全价值，会事半功倍。目前《条例》中涉及到安全检测、评估的环节，向第三方市场机构放开，能有效催生市场参与安全保障的积极性。从这一考虑出发，《条例》中关于关键岗位的持证上岗制度，也应理解为其中的“证”包括市场已有的各类安全技能培训、测评认证证书等，而非新设的资质类许可。

2.保护范围

与会专家学者对《条例》的保护范围发表了观点，部分专家认为范围过于宽泛，而且有些概念需要进一步明确和细化。

（1）《条例》和《网络安全法》的关系

中国信息通信研究院互联网法律研究中心主任李海英指出，就保护范围来讲，既然《条例》是《网络安全法》的配套规定，首先它的定位应该是对后者的具体范围和安全保护办法进行一些细致规定，应该在原来等级保护基础上实行重点保护，保护范围应该更小，制度上更加严格。《网络安全法》对一般运营者规定，在《条例》中不需要再来规定，应该在其基础之上执行更严格的制度。

北京邮电大学互联网治理与法律研究中心常务副主任谢永江认为，《条例》旨在落实《网络安全法》，落实的话应当是细化和具体化。从总体感觉，《条例》在具体化和细化方面不太够，实际上并未对《网络安全法》的规定做到细化，有一些可能还做了不是很恰当的修改，比如说第三十六条。②第三十六条：国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度，组织指导有关机构开展网络安全信息汇总、分析研判和通报工作，按照规定统一发布网络安全监测预警信息。

（2）CII的范围需要进一步明确

戴姆勒公司代表认为，关于信息基础设施保护范围尚待进一步明确。比如第十八条内容中有一个“大型装备”，③第十八条：下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；大型装备可能涉及的面太广了，希望进一步明确什么是大型装备。如果作为关键信息基础设施运营者，这是一个公司法人的定义，还是作为一个具体某一个系统运营的部门，如果是一个公司实体被确定为运营者的话。这个公司里所有的信息系统，包括邮件系统，还有内部管理系统，是不是都属于关键基础设施，都进行同等的保护责任？

百度公司代表认为，CII的范围需要进一步明确。百度下面有很多基础设施，目前不清楚哪些算是多个CII设备，哪些算是CII，哪些不算？需要一个比较明确的认定标准。简单来说搜索、社交，电商这些是CII吗？大的搜索算还是小的也算？这些需要明确一下。

有专家建议：关于CII的范围，目前可参照的是2016年6月网信办出台的《网络安全检查操作指南》，④http://www.hbzfhcxjst.gov.cn/UpFiles/Attach/2017/06/26/1704191641.pdf这个标准具有非常强的参考意义。但是，指南里边确定CII的范围太广。在将来制定识别指南时，需要把这一标准基础上适当提高一些。

有专家指出，外资企业在中国算不算我国关键信息基础设施保护的范围？如果不算的话也是需要明确的。

（3）大数据、云计算（云服务）的概念有待进一步明确

李海英指出，云计算应该如何算作关键信息基础设施？只是其中对于设施这一部分，或者是设施当中某一部分作为关键基础设施？这都有待进一步界定。大数据也一样，什么是大数据的业务或什么是大数据的服务，现在也没有明确规定。

部分专家认为，有关大数据和云计算的设施应该列入关键基础设施的范畴。至于说怎么去列，哪一部分列入，这些细节还需要进一步的研究。

公安部等级保护评估中心技术部主任任卫红强调，2011年两高对于办理危害计算机信息系统这种刑事案件解释当中，已经把“计算机信息系统”扩展解释到网络设备，通信设备，自动控制设备等。那这次《条例》的保护范围扩展到大数据云计算是必然的。如果对关键信息基础设施实施入侵、破坏等违法犯罪行为，《网络安全法》定义了许多违法行为，但是违法行为到了一定程度，累计成为犯罪的，就会涉及到刑法条款，仍会被定性为计算机犯罪，所以无论是信息系统、网络、基础设施等概念，最终是落实在《条例》要管的那么一个单元，可能是网，可能是一个信息基础设施，也可能是一个信息系统。这个不用过多的去区别它。

（4）“个人信息和重要数据”的概念有待进一步明确

中国政法大学传播法中心研究员朱巍认为，关于数据出境方面，条例第二十九条①第二十九条：运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。规定是否欠妥？如“个人信息”方面，在高校学生到境外去留学，境外需要审核其本科毕业证，需要登录学信网，教育系统也应当算是关键信息。这种信息可不可以向境外流动，其个人征信这方面是不是会受到影响？有待进一步研究。

其次，“重要数据”所指不明。《条例》第二十九条②第二十九条：运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。提到“重要数据”，不知道是什么概念，重要数据到底是什么？

3.保护机制

综合企业界、学界和法律界的意见，认为保护机制诸多方面需要细化和明确化。

（1）关键信息基础设施的运营者的识别步骤有待确立③参照《条例》第三十条—第三十五条

如何确定关键信息基础设施的运营者？是先确定关键信息基础设施还是先确定运营者？国外有一些案例是先识别一定的行业，然后识别一些重点的服务领域，再识别这些领域中系统和信息系统一类设施的部分。李海英建议，《条例》能否设立这样一个识别的步骤。

（2）关键信息基础设施的识别认定标准需要细化

李海英认为，识别的标准需要有原则性的规定，比如一旦遭到破坏严重的影响程度，怎样界定地域范围？对国家安全到底有哪些威胁，威胁的程度如何？这应该是作为一个标准，然后再来界定，把这些设施圈定之后，认定这些设施的运营者，在这些设施的范围之内他们承担关键基础设施运营者的责任。

续俊旗指出，假如某企业有一个大型装备，交通、通信这些行业都有涉及此装备的安全认定标准，这些不同行业的识别标准是不是一致，这在逻辑上需要进一步的梳理。此外，到底怎么来设定标准？他认为，第一步确定重要的部门、行业。第二个来看关键的业务，第三个看支撑业务的系统，它的设施。

有专家建议：《条例》应当尽可能明确认定程序。关键基础设施是具体行政行为，认定程序直接关系到网络安全法安全责任措施和运营者的法律责任，同时明确程序可以避免因认定部门不同，导致结果不同而引发争议。另外因为用户规模的变化，如何进入CII以及CII的互联网规模变化，如何退出CII，这是需要考虑的问题。《条例》里面有涉及到电信互联网行业，这个行业用户规模变化很快，本身业务变化和业务增长这方面，需要更加明确一些。因为主管部门涉及到网信部门和各地方主管部门，这些部门之间如何去协调的问题，同样需要做出明确。

（3）对于关键人员的审查机制有待细化

有专家认为，对于关键岗位和关键人员的安全背景审查，是作为关键基础设施很重要的一部分。对于高管、安全管理的负责人或直接接触到这项业务的技术人员，是不是需要进行不同背景的审查，做完背景审查之后是不是有后续的义务，如要求签署保密的协议？在人员或者其他特定条件发生变化的时候，要不要重新做审查？有关这方面的制度需要再进行细化。

（4）对企业进行安全评估不应该涉及商业机密

有企业界代表指出，有关部门在进行安全检测评估的时候，会不会调取其公司一些关于受知识产权保护相关的数据，或者是涉及到商业机密的问题。这是作为合资企业的外方利益方考虑特别多的一点，所以不知道条例可不可以在这方面做出一些明确。

（5）企业是否有申诉的机会

有企业界代表表示，如果企业被认定为是关键信息基础设施，企业是否有申诉的机会，或者行业主管部门是否有重新考虑的可能？如果被认定，认定结果是不是有时间的期限？同时他们也希望目录能够进行动态调整。

（6）相关行业主管部门和对《条例》的执行需要统一和明确

戴姆勒公司代表指出，需要确立相关行业主管到底是哪个部门。同时需要明确以后具体的检测抽查，是由国务院级别部门来做，还是说各个省或者是市也可以做？各个省或者主管部门对政策的解读会不会有出入，执行方面各地有一些是不是有偏差？这些也是业界比较疑惑的地方。

有专家指出，《网络安全法》授权《条例》规定基础设施范围，《条例》授权有关部门制定具体识别指南。企业界担心这样层层授权的结果可能导致关键信息认定条例，出现认定尺度不协调，认定交叉问题。同时，过于分散的识别主体，给企业的合规或具体的保护责任落实可能会带来一些负担。

有些企业的云服务对不同行业客户都会提供，比如向政府机关或能源金融这些机构可能都提供云服务，这些单位有可能也要有一个评估标准，在评估的时候是说这些单位要评估一次，云服务商评估一次，是不是尽量统一一下能够复用？另外，境外向境内的合理信息查询请求，建议每年做一次评估。

（7）需要完善《条例》和其他相关制度的配合与衔接

续俊旗指出，CII保护制度和其他的安全审查、跨境数据流动和个人信息保护等制度的配套和衔接也是一个问题，如果衔接的好它们可以互为支撑，可以使CII保护制度更加优化合理。如何做好这种衔接、优化和平衡，对立法和执法都是一种考验。

4.保护责任

（1）建议扩大参与保护体系的网络运营者的范围

有专家认为，《条例》当中前面（第五条）明确提出运营者是关键信息技术运营者，实际上我国也明确指出要鼓励关键信息基础设施以外的运营者，参与保护体系。建议第十二条中的“运营者”①第十二条：国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。能够扩大范围，涵盖一般的网络运营者。

（2）需要明确安全检测的主体

《条例》第三十二条②第三十二条：运营者应当对外包开发的系统、软件，接受捐赠的网络产品，在其上线应用前进行安全检测。规定了对于产品进行安全检测评估的要求，但是安全检测主体实际上没有明确。关键信息基础设施运营者自身还是可以委托第三方进行，并不清楚。有专家建议在后续的条例制定过程中，此项内容应当进行进一步的明确。

此外，第三十四条关于CII境内实施的运行，是否需要报国家网信部门，③第三十四条：关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门。也有待进一步明确。

（3）安全预警信息是否可以向社会公开

国家行业主管或监管部门应当及时对有关运营者发布相应的预警措施，面向基础设施运营者发布的预警信息，④第三十七条：国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度，及时掌握本行业、本领域关键信息基础设施运行状况和安全风险，向有关运营者通报安全风险和相关工作信息。是否能够授权向社会公开，有专家认为，这也是条例中需要考虑的问题。

（4）“关于主要负责人”的概念应当明确界定

《条例》第二十二条中的主要负责人，是指董事长还是其他主要负责人？中华全国律师协会信息网络与高新技术专业委员会副主任陈际红认为，对于主要负责人一词应当有明确的法律界定，这关系到法律承担问题。这样一个规定⑤第二十二条：运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。会延伸到刑事责任，《刑法》有拒不履行网络安全管理义务一项规定。如果不做出清晰的界定，会带来法律责任承担的复杂化，所以要考虑这样一个界定和其他法律的衔接问题。

（5）关键信息基础设施识别的方式需要进一步明确

陈际红律师认为，《条例》第十九条⑥第十九条：国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。是不是可以这么理解：CII识别的话是自上而下的识别，企业不承担这个责任？还是说企业本身承担一个初步的识别和申报的，申报之后由行业机关来进行一个确定和识别？这其实跟识别的效果是有关系的。这一点需要明确。

（6）网络安全服务机构的违法行为和法律责任需要明确

有专家认为，网络安全服务机构实际上有三方面的合规要求，在条例中有所体现。但是对于它的法律责任，在法律责任一章实际上没有做出具体规定。⑦第五十一条：关键信息基础设施发生重大网络安全事件，经调查确定为责任事故的，除应当查明运营单位责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。网安法当中对此做出了具体规定，专家建议《条例》也应当对相应的违法行为和法律责任做出明确的规定。

三．各方提及的其他意见和建议

除去保护范围等各界共同关注的焦点问题以外，企业界、学术界、律师界代表和专家，分别立法理念、立法技术、法律的实施和可操作性等方面提出了大量观点和建议。

1.立法原则和理念

（1）立法的宗旨

国家创新与发展战略研究会副会长郝叶力指出，要精准地划定安全的范围，确保安全和发展的平衡，这是非常重要的工作内容。立法应该从实践中来，在实践中提炼出有价值的信息，认真学习吸纳，同时也应当参考欧美等地的立法经验，取长补短。最关键的是保持立法观念的更新和开放，要有一个开放开明的态度来立法，这样的法律是能够真正得到大家的拥护和自觉执行的。

中央网信办网络安全协调局副局长杨春艳强调，立法的根本目的是满足于产业安全和发展并重，满足于公众的应用，满足于经济发展和人民的生产生活的需要，满足于社会更加安定。《条例》的所有出发点，都始于这一点。

（2）管辖范围

朱巍认为，《条例》没有突出网络主权原则。①第二条：在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施，以及开展关键信息基础设施的安全保护，适用本条例。（一）攻击、侵入、干扰、破坏关键信息基础设施……关键信息基础设施不一定在境内规划建设，运营维护。互联网上不一定存在境内，也有可能在境外，也有可能涉及到关键基础设施安全的情况。所以应该把管辖扩大一点。

2.法律的可操作性

（1）期待《识别指南》对CII的清晰界定

戴姆勒公司代表表示，关键基础设施识别指南无疑是大家关注的关键点。《条例》第十八条②第十八条：下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围。在分类和范围上存在一些逻辑上的模糊情况，业界更期待在CII识别指南上有非常清晰的定位，更关注识别指南怎么分类的，并且对指南出台的时间表非常关心。此外，业界包括外资企业能否有机会参与讨论识别指南的一些过程，非常希望了解这些内容。

（2）如何确立“重大网络安全事件”？

西安交通大学信息安全法律研究中心博士生方婷表示，《条例》规定只有发生“重大网络安全事件”才启动应急预案，③第三十九条：国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案，并定期组织演练，提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后，应立即启动应急预案组织应对，并及时报告有关情况。这里没有关于“重大”的界定。同时，实际上对关键信息基础设施领域发生网络安全事件不应当只限于发生重大网络安全事件下启动应急预案。

（3）监管范围可以由易到难，逐步推进

有专家建议，可以把最核心的部门系统，进行国家强制监管，慢慢动态调整监管的目录，监管的对象，使CII保护这项制度真正落地，做得更好。

3.立法技术

（1）部分条款和《网络安全法》或其他法律条文重合

有专家指出，《条例》部分内容跟《网络安全法》以及相关法律法规重合的，没有必要加进去。如第十六条的内容，《刑法》也有规定。④第十六条：任何个人和组织不得从事下列危害关键信息基础设施的活动和行为：

（2）区分“抽查检测”和“检测评估”

任卫红指出，《网络安全法》第三十九条⑤第三十九条：国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；和《条例》第四十条，⑥第四十条：国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测，提出改进措施，指导、督促运营者及时整改检测评估中发现的问题。国家网信部门统筹协调有关部门开展的抽查检测工作，避免交叉重复检测评估。在两个条款当中都有一个特点：前半部分说起主管部门定期的抽查检测，又提到在对存在的问题要及时整改检测评估中发现的问题，前后的表述不一致。抽查检测和检测评估在《网络安全法》里面是不同的概念，要区别这两个概念——在监管的时候叫它抽查检测，在网络运营者义务这一部分叫做检测评估，这样可能概念更清晰一些。

（3）关于CII保护的行政管理机制的建议

有专家认为，《条例》第四条是不是应该增加国务院电信主管部门？①第四条：国家行业主管或监管部门按照国务院规定的职责分工，负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。这主要是考虑到电信领域本身的重要性。事实上《条例》第十九条明确指出国家电信部门负责参与CII指南，所以第四条应该把电信部门列出来。

（4）“监测预警应急处置和检测评估”的章节标题需要调整

方婷认为，《条例》第六章的章节题目“监测预警、应急处置和检测评估”，实际上这里的检测评估包括主管部门以及相关部门组织的检测评估，与运营者自身的检测评估是不一致的。为了避免混淆，建议将这一部分改为检查评估或者是安全检查，或者是监督检查可能更为合适。

4.其他方面

美国科文顿柏灵律师事务所高级顾问罗嫣表示，希望美国供应链管理监管要求及实践能够对我国的立法有所启示。目前《条例》中没有体现出对供应链的要求。但是供应链管理非常重要。在美国联邦国防采购规则里面有五项关键的合规义务：安全保障、报告、保存义务、机构审计权，以及下游合规要求。美国并不是只有国防供应商在做供应链的监管，其实对于网络安全很重视的大公司都在做。

事先的审查是一个很重要的要求，事后动态的保障，一种动态的合规义务也很重要。美国着重对网络安全的应对，而不是静态的安全。从美国的监管要求来说，通过市场机制来激励的一个平衡监管和创新的关系。它不仅是一种行政管理，而且是发挥市场作用一种管理。

（整理：田金强 责任编辑：钟宇欢）

D 922

：A

：1001-4225（2017）07-0019-08