■ 北京德恒律师事务所 曹珊

德恒上海律师事务所 王洋

近日，国务院总理李克强签署国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。作为《中华人民共和国网络安全法》（以下简称《网络安全法》）的重要配套法规，《条例》的出台为我国关键信息基础设施的安全保护体系提供了更为明确的保障细则以及更具操作性的法律指引，并将关键信息基础设施的安全保护措施与项目的规划、建设、使用进行了同步融合（即“三同步”原则），使得《网络安全法》中所规定的关键信息基础设施保护制度得以全周期保障。

《条例》出台背景

《条例》第一条规定：“为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。”

信息网络时代，互联网是国家层面的战略性基础设施。早在2017年7月，国家互联网信息办公室便发布了《关键信息基础设施安全保护条例（征求意见稿）》（以下简称《征求意见稿》）。伴随着数字经济的发展，网络安全威胁和风险也与日俱增，特别是在能源、通信方面，均面临着较大的网络安全隐患。近年来，无论是国际市场还是国内市场，均遭受过不同程度的影响。国际方面，美国最大的燃油管道运营商、全球最大的肉类加工企业因黑客攻击而停摆，直接导致美国乃至全球经济运行的基础设施受损，对全产业链产生连锁影响；国内方面，据国家工业信息安全发展研究中心网站消息，人工智能研判的工业信息在去年一年的安全重大风险就近800余条，涉及制造业、交通、市政等多个行业，高危漏洞占比居高不下。上述众多因素使得关键信息基础设施的网络安全保护刻不容缓，催化了《条例》的正式出台。

除《条例》外，近年来，国家发展和改革委员会、工业和信息化部、公安部、国家互联网信息办公室、全国信息安全标准化技术委员会等有关部门也陆续出台了网络安全防控及关键信息基础设施安全保护制度相关的管理文件及规范性要求。2020年4月，国家互联网信息办公室联合国家发展和改革委员会、工业和信息化部和公安部等12部门联合出台《网络安全审查办法》，对关系国家安全和公共利益的信息系统使用的重要网络产品和服务，提出了网络安全审查具体的要求；2020年7月，公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，进一步健全完善国家网络安全综合防控体系，切实保障关键信息基础设施、重要网络和数据安全；2020年8月，全国信息安全标准化技术委员会发布《信息安全技术 关键信息基础设施边界确定方法》和《信息安全技术 关键信息基础设施安全防护能力评价方法》征求意见稿，对关键信息基础设施边界确定和安全防护能力评价提出相应规范要求。

《条例》调整范围

《条例》第二条规定：“本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”第九条第一款规定：“保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。”

2017版《征求意见稿》第十八条对关键信息基础设施范围作出如下规定：“下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；（四）广播电台、电视台、通讯社等新闻单位；（五）其他重点单位。”相较于《征求意见稿》中的规定，《条例》对关键信息基础设施范围的规定更为原则化、概念化，并未对具体的关键信息基础设施进行列举。据行业专家分析，采用列举的方法，可能导致两个弊端，一是列举不全；二是列举过于宽泛，比如电信、广播电视等，某些小地方的新闻单位未必属于关键信息基础设施。此外，关键信息基础设施切实关联到国家安全和国家命脉，范围若完全公开，可能会成为未来网络攻击中的靶子。从世界范围来看，关键信息基础设施的范围一般实行保密清单制度。《条例》的规定，一方面保证了关键信息基础设施划定当中标准的统一协调；另一方面有助于发挥保护工作部门的主观能动性，更好地结合各自行业及部门的实际情况做出具体认定，对于各类风险态势的具体感知和实际应对更具可行性。

如何具象化地理解“关键信息基础设施”？工信部高质量发展高层次咨询专家项立刚曾表示：关键信息基础设施就是对整个社会经济各方面有比较重要影响的信息基础设施，像通信基站、服务器、IDC（数据中心）等都属于关键信息基础设施，首先因为它非常重要，其次是如果破坏这些设施会影响正常的信息通信服务的进行。“新基建”的内涵以5G、人工智能、工业互联网、物联网、数据中心、云计算、固定宽带、重大科技设施为重点，致力于打造数字化、智能化的新型基础设施，运用数字化、智能化技术改造提升传统基础设施。可见，关键信息基础设施的范围与“新基建”的内涵存在一定的契合性，“新基建”作为数字产业化、产业数字化深度融合的产物，是关键信息基础设施的重要组成。

《条例》对“新基建”项目建设的影响

《条例》第十二条规定：“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”；第十五条第七项规定“专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理”；第三十九条第二项规定：“运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的”。

可见，《条例》对关键信息基础设施相关项目的同步规划、同步建设、同步使用要求进行了明确规定，且规定了较为严格的处罚措施。虽然《条例》的侧重点在于强调关键信息基础设施在运营过程中的“软件”保护，但“硬件”过关是“软件”安全的基础，关键信息基础设施项目在规划、建设时期的物理防御对关键信息基础设施的安全保障同样重要。因此，有必要将运营单位的管理责任提前至项目规划及建设阶段。正如中国信息通信研究院院长余晓晖所提到的：“关键信息基础设施自列入关基清单之日起，在设计建设（改扩建）、运行维护、应急恢复、停用废弃各阶段，应确保落实覆盖全生命周期的安全保护。”

因此，《条例》的出台势必会对关键信息“新基建”项目的建设者及承包者带来不同程度的影响。以IDC项目为例，目前我国对于IDC项目的前期规划、建设方面都设有相应的业内标准，包括国家标准、行业标准以及企业标准，如《数据中心设计规范》（GB 50174-2017）、《数据中心基础设施施工及验收规范》（GB 50462-2015）、《数据中心供配电设计规程》（T/CECS 486-2017）、《数据中心网络布线技术规程》（T/CECS 485-2017）等。上述标准中对安全防范系统也都有部分规定，如《数据中心设计规范》（GB 50174-2017）第11.3.1条规定：“安全防范系统宜由视频安防监控系统、入侵报警系统和出入口控制系统组成，各系统之间应具备联动控制功能。A级数据中心主机房的视频监控应无盲区。”《数据中心基础设施施工及验收规范》（GB 50462-2015）第10.1.1条规定：“数据中心监控与安全防范系统施工及验收宜包括环境监控系统、场地设备监控系统、安全防范系统的施工与验收。”但上述已有规范中对IDC项目安全防控措施的要求都较为原则，且对于安全防范系统所需包括的范围并未进行强制性统一要求。在《条例》实施后，对于被列入关键信息基础设施清单的IDC项目，其新、改、扩建工程的规划及建设，可能会受到以下三个层面的影响：

其一，对于现有规范中的“宜包括”要求上升为“应包括”要求，进而对IDC项目安全防范系统中应包括的子系统范围按照等级标准进行统一划分，使机房及其配套设施具有统一且高效的安全性及可靠性。

其二，对于行业内未明确的规范，可能要求适用其他安全性规范，如住建部与公安部在2018年联合修订的《安全防范工程技术标准》（GB 50348-2018），其第1.0.2规定：“本标准适用于新建、改建和扩建的建（构）筑物的安全防范工程的建设以及系统运行与维护。”第1.0.6条（强制性适用条款）规定：“在涉及国家安全、国家秘密的特殊领域开展安全防范工程建设，应按照相关管理要求，严格安全准入机制选用安全可控的产品设备和符合要求的专业设计、施工和服务队伍。”当然，《条例》出台后，不排除相关管理部门出台新的行业规范，进而对关键信息基础设施安全运行提供专项保障，建议建设方可持续关注相关配套规范及管理办法的落地。

其三，在具体项目规划时，监管部门可能还会要求建设方预留或新增部分分部分项工程，如要求增加辅助区、支持区等配套基础设施的规划，或要求采用相关软硬件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施以提高机房的安全性。在保证机房安全性的同时，要求建设方对机房的布局、电源、制冷、节能、备份等各个方面进行高可靠性的设计，在关键设备中采用硬件备份、冗余等技术提升机房的可靠性。

当然，作为关键信息基础设施的建设者及运营者，按照《条例》要求筑牢新型基础设施规划及建设的标准根基，落实网络安全“三同步”原则是不可推卸的责任，而如何进一步保障关键信息基础设施的安全，仍值得我们进行更深一步的思考与探讨。