闫宇晨

（南京理工大学知识产权学院，江苏南京 210094）

纵观国际，近年与关键信息基础设施（以下简称“关键设施”）有关的重大网络安全事件频频发生，对人民财产安全、公共利益、国计民生甚至国家安全带来巨大挑战。习近平［1］总书记指出：“没有网络安全就没有国家安全，没有信息化就没有现代化”，网络安全已经成为数字经济健康发展的前提。2016年，《网络安全法》作为国家实施网络空间管辖的首部法律正式颁布，该法首次引入网络安全这一“地基”概念，并提出对关键设施进行重点安全保护，这也开启了我国网络安全立法的新篇章。在此背景下，为保障关键设施安全，进一步细化落实《网络安全法》中指导和监督关键信息基础设施运行安全保护工作的要求，国家互联网信息办公室（以下简称“国家网信办”）制定出台了《关键信息基础设施安全保护条例》（以下简称“《条例》”），并于2021年9月1日起正式施行。《条例》作为《网络安全法》的重要配套法规，明确了我国关键设施安全保护的具体要求，为相关工作开展提供了方向性指引，也标志着国家网络安全保障体系建设进入新阶段。

刘金瑞［2］从国家安全高度对关键设施概念进行了界定，指出对于涉及金融、能源、交通、通信等领域重要设施的保护，是各国网络安全治理和立法的核心内容。王玥等［3］分析了我国关键设施安全保护的现状及不足，提出现阶段应加强互联网时代关键设施的法律保护，这是我国当前网络信息安全法治建设的重要使命。陈红松等［4］、李留英［5］、周瑞珏［6］从比较研究角度，针对美国、欧盟、日本等国家（地区）关键设施安全保护的发展历程和实施状况进行梳理分析，为完善我国网络安全立法提供了重要参考。2022年7月，国家网信办结束对滴滴出行的网络安全审查，并依据《网络安全法》《数据安全法》《个人信息保护法》对其违法违规行为做出严厉处罚［7］。在数字经济下的交通行业中，网约车占有重要地位，滴滴出行在国内网约车市场中又占有着绝对领先的市场份额，其作为交通行业的关键设施，掌握着大量的交通出行基础数据、重要政务数据及公民个人信息数据，其不当行为会引发严重的网络安全后果。“滴滴事件”提醒我们，运营者作为维护关键设施安全的第一责任人，其如何正确认识并适当履行安全保护义务，事关重大。然而，理论界对此问题鲜有针对性研究，尚缺乏系统性分析总结。鉴于此，本文将对我国关键设施运营者的安全保护义务进行分析评述，在正确认识运营者责任主体地位的基础上，勘定其安全保护义务的基本环节与基本类型，结合现有研究成果阐述现行治理体系中的不足与可完善之处，力图为相关制度改革提供理论参考与方向指引。

1 关键设施安全保护义务的责任主体：网络安全等级保护2.0时代下的运营者

1.1 等级保护1.0时代下的运营者

为加快推进信息安全等级保护，提高信息安全保障能力和水平，2007年至2012年公安部等各部委发布了以《信息安全等级保护管理办法》为核心的一系列规范性法律文件，这标志着我国信息系统保护完成从无到有的跨越，迈入等级保护1.0时代。1.0时代的信息系统保护依安全保护的等级来决定运营者应当履行的义务。具体而言，依据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后的危害程度等因素，运营者的安全保护义务被划分为数个等级。这时的运营者应当按照相应等级保护管理规范和技术标准，使用符合国家有关规定且满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作，履行定级备案、建设整改、等级测评与接受监督检查等安全保护义务［8］。然而，随着信息技术的发展，根据信息系统重要性划分安全保护等级的做法弊端凸显。

其一，保护对象过于狭隘，对运营者的认定范围有待拓展。等级保护1.0时代中重点保护的是基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。而如今是万物互联的时代，国家重要行业、领域的基础设施皆与信息网络相关联，其关联形式已拓展到网络基础设施、工业控制系统、云计算平台、大数据平台、物联网等，新技术新应用提出了新的安全扩展要求。其二，以大数据为代表的数据化、数字化已经成为全球信息技术发展的重要趋势，数据安全也成为国家网络安全的一项核心内容［9］。一些关键行业、领域的运营者掌握着大量重要数据，数据的非法收集、使用，不但会对个人权益造成严重损害，还会威胁公共安全、国家安全。对于此类运营者，在等级保护的基础上也亟需国家予以重点保护［10］。

1.2 等级保护2.0时代下的运营者

《网络安全法》的颁布彻底改变了我国网络安全保护格局，《条例》的出台则为运营者落实安全保护义务提供了法律依据，自此，对于关键设施保护也进入到等级保护2.0时代。

首先，《网络安全法》提出“网络安全等级保护制度”的安全理念，将保护对象从信息系统拓展至一切能够影响网络安全的基础设施、数据资源等，与之相应的安全责任主体范围也得到了优化。其次，在网络安全等级保护制度的基础上，对运营者进行重点保护。具体来说，《条例》采取了“行业/领域+后果”的认定模式：对于公共通信和信息服务、能源、交通、水利、金融、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统予以重点保护；对于可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等，根据其可能带来的危害、影响，列为重点保护的关注对象。最后，在等级保护2.0时代下，运营者的认定方式也更加灵活。互联网技术快速发展的推动下，网络设施、信息系统飞速更迭，运营者关键核心业务的重要程度、对于其他行业的关联性影响以及可能造成的危害也处于动态变化中，因此对于运营者这一责任主体的认定应当是一个动态化的进程［11］，此次《条例》采用了灵活化的认定方式并用专章予以详细说明。笔者认为，等级保护2.0时代下运营者的安全保护义务是指为落实《网络安全法》和《条例》中与运营者责任义务有关的规定、满足国家各项网络安全管理规范和标准，而采取一切必要措施保护关键设施及其重要数据不受攻击破坏，切实加强关键设施安全防护的义务。

2 关键设施运营者履行安全保护义务的基本环节及相关要求

为解决运营者履行安全保护义务缺乏可参照的实施标准与操作流程问题，我国在2017年开始布局关键设施安全保护标准体系。全国信息安全标准化技术委员会充分借鉴相关部门在重要领域网络安全审查、网络安全检查等重点工作的成熟经验、充分参考国际社会在关键设施安全保护方面的成功举措，颁布了《信息安全技术 关键信息基础设施网络安全保护要求（征求意见稿）》，提出关键设施网络安全保护要求的同时，也指明了运营者履行义务的基本环节（如图1所示）。

图1 运营者履行安全保护义务各环节关系

（1）识别认定环节：运营者须配合安全保护工作部门，开展关键设施认定活动，围绕关键设施承载的关键业务进行风险识别；（2）安全防护环节：运营者根据已识别的安全风险，在规划、人员、数据、供应链等方面制定和实施适当的安全防护措施，确保关键设施的运行安全；（3）检测评估环节：运营者制定相应的检测评估制度，确定检测评估的流程及内容等要素，分析潜在安全风险与可能引起的安全事件；（4）监测预警环节：运营者制定并实施网络安全监测预警和信息通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示；（5）应急处置环节：根据检测评估、监测预警环节发现的问题，运营者制定并实施适当的应对措施，来恢复由于网络安全事件而受损的功能或服务。

从各环节的关系来看，第一，识别认定环节是其他各环节开展的前提和基础。运营者在此环节应当配合保护工作部门的认定工作，并积极识别业务链上的安全风险，明确安全防护等级，当关键设施发生变化影响识别认定时，应及时将情况报告保护工作部门。第二，配置安全防护措施是运营者履行安全保护义务的核心环节，运营者应当围绕可能发生的安全风险配置防护措施，最大程度上防范安全风险发生。第三，检测评估环节与监测预警环节是运营者开展安全保护工作的重要保障。运营者建立检测评估环节与监测预警环节，目的都是为了检验安全防护措施的有效性，提前预警、发现可能存在的网络安全风险隐患，促使运营者提前研判安全风险与积极应对安全问题，同时推动运营者排查安全漏洞并开展整改工作。第四，应急处置环节是运营者履行安全保护义务的落脚点。在网络安全事件发生后，运营者应按照应急预案组织人员、专家队伍，确保安全事件得到及时有效处置，运营者也可在真实事件中检验设施安全状况与处置安全风险的能力。

3 我国关键设施运营者安全保护义务具体内容的类型分析

《网络安全法》作为维护国家网络安全的顶层设计，对于运营者的安全保护义务作出了总体要求，而《条例》则以专章的形式对其进行细化。下文将以《条例》相关内容为参照，结合《信息安全技术关键信息基础设施安全保障指标体系（征求意见稿）》（以下简称“《指标》”）等文件，从制度建设、机构人员管理、化解网络安全风险等方面对其义务进行类型化分析（如图2所示）。

图2 关键设施运营者安全保护义务的基本类型

3.1 建立健全网络安全保护制度的义务

其一，运营者配合实施网络安全专项规划与运行保障的义务。《条例》对如何夯实关键设施保护的各方面责任进行了规定，包括运营者的主体责任、保护工作部门的统筹协调与监督管理责任、社会各方面的协同配合与监督责任。其中，保护工作部门应当站在全局角度重点围绕《条例》的落地实施，制定本行业、领域关键设施安全规划。而运营者作为落实安全保护义务的责任主体，根据“谁运营、谁负责”的原则，其所承担的主体责任是基础，也是关键［12］。运营者应当以提高自身安全保护能力为主要目标，配合保护工作部门实施相关专项规划。在此过程中，运营者有义务建立健全网络安全保护制度和责任制；保障人力、财力、物力投入；建立健全网络安全管理、评价考核制度；根据自身情况拟定本单位安全保护计划［13］。

其二，运营者应当建立健全个人信息和数据安全保护制度，履行保障公民个人信息安全和数据出境信息安全的义务。当前关键设施面临的网络安全形势严峻复杂，特别是新冠病毒感染疫情发生以来，网络攻击、网络勒索、数据窃取等事件频发，危害经济社会稳定运行。一方面，在大数据和人工智能技术快速发展的时代，数据控制者对于海量数据分析、处理、使用变得十分普遍，个人信息被滥用的可能性剧增［14］。运营者在开展关键业务中可能掌握大量个人信息，其中不乏敏感信息，如果缺乏必要的制度约束将引发个人信息被滥用等一系列问题。另一方面，数据资源已经成为全球经济与贸易发展的主要驱动因素，数据跨境流动成为信息产业实现利益的重要途径，但运营者数据跨境行为所引发的安全风险问题却十分突出，涉及重要数据的不当跨境给个人权益、国家安全造成严重威胁。因此，强调运营者维护数据安全的主体责任显得尤为重要，国家也先后出台了多部法律来廓清运营者责任。例如，《网络安全法》第37条规定，运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储，数据出境应进行安全评估，该条文奠定了运营者个人信息和重要数据出境应遵循的基本原则；2017年国家网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》则为运营者履行相关义务提供了具体操作指南；2021年正式施行的《个人信息保护法》在延续上述规定的同时，特别强调在向境外提供个人信息时，运营者应当进行个人信息保护影响评估［15］。

3.2 设置安全管理机构、关键岗位人员的义务

对于关键设施保护，既应重视宏观层面保护制度、标准的建设，也要关注到具体落实层面的机构与人员管理，做到技术安全与人员、机构管理安全的全方位保障与协调。我国关键设施保护长期存在重技术安全，轻人员、机构管理的问题，与后者直接相关安全事件占比较高［4］，对此，《条例》作出了重点优化。其一，机构管理方面，运营者应当设置专门安全管理机构，由该机构主导网络安全和信息化的决策，负责管理与协调关键设施相关工作。其二，人员管理方面，首先，运营者施行网络安全保护“一把手”责任制，由运营者机构主要负责人领导相关工作并负首要责任。其次，为有效防范来自机构内部人员的安全风险，必要时运营者可寻求公安机关、国家安全机关的力量，对专门安全管理机构负责人及关键岗位人员进行背景审查。最后，运营者负有就人员安全进行持续性保障的义务，应积极组织网络安全教育、培训，培养关键岗位人员安全意识，储备网络安全专业人才。

3.3 配备实施安全风险控制措施的义务

第一，采购安全网络产品和服务的义务。关键设施安全很大程度上取决于运营者使用网络产品和服务的供应链安全［16］。如果供应链中存在安全威胁或安全漏洞，运营者则面临着关键设施被非法控制、重要数据泄漏、关键业务中断等安全风险。首先，在采购行为发生前，运营者应当预判该产品和服务投入使用后可能带来的安全风险，优先采购安全的网络产品和服务。其次，运营者所采购的网络产品和服务，影响或可能影响国家安全的，应当按照国家网络安全规定进行网络安全审查，履行相应的报送审查义务。最后，一旦确定采购网络产品和服务，运营者必须与提供者签订保密协议，明确相关主体的安全责任义务。

第二，监测、检测与评估义务，即运营者维护网络“硬安全”的义务。运营者须通过一系列可测得、可量化的指标，客观地掌握网络安全状况，实时监测网络安全、检测潜在的网络安全事件、评估网络安全风险［17］。对此，《指标》提供了可参照的安全保障指标体系及测量方法，运营者应当重点从建设情况指标、运行能力指标、安全态势指标等三个大类（包含二十六个小类）开展信息安全管理工作，不断提高安全保障水平。

第三，应急处置义务。运营者应当按照国家及行业要求制定本单位预案并定期开展演练，当发生网络安全事件时，按照应急预案妥善处置安全风险。

第四，报告义务。首先，运营者应当按照规定报告网络安全事件和重要事项，特别是发生重大网络安全事件或发现重大网络安全威胁时应当及时履行报告义务。其次，运营者在对网络安全风险进行监测、监测与评估时，对于所发现的安全问题应当向保护工作部门报送相关情况。最后，当运营者发生合并、分立、解散等情况，此时会引起网络安全条件的剧烈变化，应及时报告保护工作部门按照要求进行处置。

4 我国关键设施安全保护义务治理体系的进步与不足

4.1 我国已形成自上而下、逐层细化的治理体系

首先，《网络安全法》首次确定了关键设施的概念，从宏观层面明确了保障关键设施运行安全的总体目标与基本原则，部分条文规定了保障关键设施安全的技术要求和管理要求，该法作为规范关键设施安全保护的基础性法规，为我国运营者履行安全保护义务提供了基本法律依据。

其次，《条例》作为《网络安全法》的配套性立法，对关键设施的认定、运营者的责任义务、安全保护保障与促进措施以及各方法律责任等内容做出了更为具体细致的规定。就运营者安全保护义务而言，一方面，《条例》在总则中对运营者提出原则性要求，即运营者应当“依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求”履行相关义务，该条款明确了运营者履行安全保护义务的责任体系框架。另一方面，《条例》在厘清关键设施责任主体的基础上，以专章的形式对运营者安全保护义务进行了细化，为运营者开展安全保护工作提供了规范性依据。

最后，作为国家网络安全保障体系建设的重要组成部分，近年我国网络安全标准化工作也在持续推进中。全国信息安全标准化技术委员会结合关键设施安全保护的需要，从边界识别、保护要求、控制措施、保障指标、应急体系、检查评估以及供应链安全、数据安全、信息共享、监测预警等方面系统性地开展标准研制与标准试点工作，努力构建安全标准来保障运营者安全保护义务的落实。持续丰富完善的网络安全标准，也成为支撑《网络安全法》《条例》等法律法规落地实施的重要抓手［18］。

4.2 我国关键设施安全保护义务治理体系存在的不足

4.2.1 网络安全治理观念“重预防而轻恢复”

针对频发的网络安全事件，一方面，我们要牢固“事后控制不如事中控制，事中控制不如事前控制”的风险防范理念，运营者必须配备风险控制措施，做好网络安全检查、隐患排查、风险评估和容灾备份等相关工作［19］。另一方面，我们也应该认识到现实中网络安全事件大多是由突发的网络攻击、网络入侵、恶意程序等所引起的，客观上难以有效预测，因而运营者应当具备减轻和消除突发事件造成损失的应急恢复能力［20］。

2019年美国国土安全部和国务院共同发布了《关键设施安全和弹性恢复指南》（以下简称“《指南》”），《指南》站在国家网络安全战略高度，总结了过去美国关键设施安全保护经验并指出：第一，增强安全和弹性恢复能力是提高关键设施保护水平的两个重要方面，保护工作部门在制定安全目标和确定工作计划时，应将二者放在等同地位进行综合考量；第二，强大、安全的关键设施必须具有较强的安全恢复能力，能够承受蓄意攻击、安全威胁或安全事故导致的网络中断并迅速恢复运行［21］。如今国际上普遍认同一种相对安全的关键设施保护理念：网络信息安全无法实现绝对安全，只能尽早地发现风险、隔离风险、减少损失，最大限度保障关键设施持续运转。

2020年，欧盟在其发布的《网络安全战略》中重新定义了维护网络安全的目标与实现路径，并指出提升关键设施的保护和恢复能力是未来五年网络安全工作的重点，欧盟将统筹协调关键行业的公私部门，实现关键设施应具有弹性恢复能力的基本保护面向。与此同时，欧盟将依据《关键设施恢复力指南》指导各成员国制定本国的关键设施恢复战略、设立应急恢复能力领导小组，改变以往针对关键设施安全的单一保护思路，转而加强关键设施的恢复能力［22］。可见，欧美等发达国家已将运营者应对网络安全事件的恢复力视为维护关键设施安全的重要组成部分，对其安全观念与安全措施提出了新的要求，并将实现“恢复力”提升到国家网络安全的战略高度。

相较而言，我国《网络安全法》第21条、第34条作为规定运营者安全保护义务的主要条款，仅突出强调了运营者应采取各类安全措施事前预防的安全保护义务，未对运营者在遭受网络攻击后的“恢复力”作出明确指引。该法第39条第4款要求国家网信部门应当统筹协调有关部门对“网络安全事件的应急处置与网络功能的恢复等，提供技术支持与支撑”，但从法条字面含义来看，网络功能的恢复成为保护工作部门的协调义务，并不在运营者安全保护义务之列。更为遗憾的是，《条例》作为《网络安全法》的配套性法规，也未对运营者应负有何种恢复义务做出细化规定。

4.2.2 网络安全信息共享机制缺失

网络安全信息共享，是指政府将关于网络安全的信息、情报、研判等分享给企业，同时企业将其受到威胁、攻击等有关信息报告给政府，以及企业之间互相交流与网络安全相关的信息［23］。近年，网络安全信息共享制度已成为关键设施保护制度的重要组成部分，该制度能够量化关键设施的运行状态，帮助运营者及时发现网络安全漏洞和威胁信息，促使运营者真正履行网络安全保护义务［6］。美国在《指南》中也指出实现关键设施安全保护与弹性恢复，关键就在于网络安全信息共享，而成功的信息共享则需要建立良好的运行机制［24］。早在1998年美国就开始制定网络安全信息共享的政策和立法，并成立政府主管机关——国家关键设施保护中心（NIPC）——来推动政府和运营者之间信息流通和共享，同时规定企业建立信息共享和分析中心（ISAC）负责收集和共享运营者之间的网络安全信息。之后，立法者又通过《国土安全法》和《网络安全信息共享法》进一步支持和规范了关键设施的网络安全信息共享机制［25］。2009年，欧盟发布《关键设施保护条例》提出建立信息共享平台，鼓励运营者与政府开展信息共享合作，建设关键设施的安全信息共享机制，通过多年间不断完善合作机制、共享规范，现已为欧盟成员国提供了一套较为成熟的安全信息共享标准化方案［5］。

我国《网络安全法》第29条提出“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力”。该法第39条第3款、《条例》第23条也对国家网信部门负有促进运营者之间网络安全信息共享的义务作出了规定，这充分表明国家鼓励、支持运营者之间的网络安全信息共享合作。然而《条例》未能抓住此次立法契机充分明确运营者网络安全信息共享的机制框架，存在以下立法缺憾：第一，在职能主体方面，未能明确主导运营者安全信息分享的核心负责机构、主要职能工作部门，仅笼统地授权国家网信部门具有统筹协调相关工作的职能。而从各国实践经验来看，能够有效应对网络安全威胁、安全事件的信息共享机制，须构建多个专门部门和机构来共同运作完成，大致应当包括统筹领导机构、核心工作机构、公私协调机构等。第二，在运作流程机制方面，目前我国尚未制定完整的数据开放共享标准、共享数据交换流程，特别是关键设施运营者这类特殊主体，掌握着大量重要数据，特殊共享场景下如何防范数据流动所产生的安全风险尚缺乏有效实现机制，《条例》对此也未能进行说明。第三，在责任与激励机制方面，《条例》既未规定运营者负有网络安全信息共享义务，也未规定相关激励措施，不仅不利于增强运营者的法律责任感，也无法激发运营者履行共享义务的积极性。

4.2.3 供应链安全体系化保护不足

网络产品和服务供应链安全风险在当今严峻的网络安全形势下日益凸显，可以说“供应链就是风险链”。为严格把控关键设施供应链安全，我国陆续出台了一系列规章办法，然而，散见于各部门规章、条例的规制路径带有明显体系化保障不足的弊端。关键设施供应链贯穿于网络产品和服务的整个生命周期，其间涉及到多个安全责任主体与安全生产环节，缺乏完整性的安全审查制度容易引起审查不足或过度审查，而成熟的关键设施供应链安全体系须在整体性管理的思想与组织框架下得以实现［26］。

实践中，美国国家标准技术研究院（NIST）制定的《关键设施网络安全改进框架》（以下简称“《框架》”）便是体系化保护的典型代表。《框架》由框架核心、框架实施层、框架轮廓三个部分组成，各部分相互连接共同组成了一套指导运营者进行风险管控的系统化流程。框架核心是通过具体化的产业标准、安全指南与相关最佳实践，为运营者提供本行业、领域实践中有效的网络安全风险管理方法作为安全参考。框架实施层与框架核心直接相关联，为运营者快速审视安全风险、建立管理方法提供了具体操作模型。框架轮廓则用于描述安全风险的当时状态与目标状态，以帮助运营者尽快确定安全风险管控重点与网络安全目标［27］。2015年美国能源部便以《框架》为依据，结合能源行业网络安全保护现状制定了《能源行业网络安全框架实施指南》，帮助能源行业运营者有效管控全生命周期的供应链安全、顺利实现网络安全风险管理目标［4］。

5 加强我国关键设施安全保护义务的改革建议

5.1 运营者应树立弹性安全的网络安全治理理念

在现今网络安全环境中，网络攻击几乎不可避免，复杂的网络安全局势不断对关键设施保护提出新的挑战，在新技术新应用带来的安全风险面前，运营者即使无限投入人力、物力、财力，也无法获得绝对安全。从实践来看，风险预防工作已不再是保护关键设施的唯一核心，建立关键设施的恢复能力成为网络安全战略目标的重要方面［28］。笔者认为，首先，保护工作部门应当积极引导运营者树立科学的网络安全治理观，建立从绝对安全到可恢复的弹性安全责任机制框架。其次，保护工作部门在制定本行业、领域网络安全事件应急预案时，应以如何实现弹性安全为落脚点，指导运营者加强响应网络安全事件并减轻对关键业务造成不利影响的能力，引导运营者以弹性恢复为中心规划设置安全技术措施、人员机构管理机制、应急响应机制等。最后，运营者应根据具体业务的重要性，设置一定区分度并配置相应的业务恢复能力，尽最大努力保证关键业务的持续性运转。

5.2 完善网络安全信息共享制度，构建操作运行机制

首先，设置业务主管机构。应授权国家网信办建立专门的网络安全信息共享中心，以该组织为核心推动政府与运营者之间的网络安全信息共享；授权国家网信办成立公私协调机构，推动建立运营者行业内部的网络安全信息交换组织。其次，规定网络安全信息共享的报告义务与责任豁免机制。一方面，对于涉及极为重要关键业务的运营者，例如，国家予以优先保障的能源、电信行业，可强制其履行报告义务。另一方面，通过责任豁免制度鼓励其他运营者积极参与信息共享活动，免除运营者信息公开的披露义务，同时规定其不得利用共享机制侵犯个人隐私、商业秘密［2］。最后，加快重点领域标准研制工作。针对数字产业化、产业数字化给数据共享带来的新型安全风险，应以现有信息共享安全标准为支撑，深入推动重要行业、领域关键设施的标准试点工作，促进标准研制与信息共享紧密互动。

5.3 优化建立全生命周期的供应链安全管理体系

首先，开展供应链安全风险防护体系化机制建设。供应链安全贯穿于关键行业上中下游各个环节、各个产业，国家应当尽快建立一套可广泛应用于各行业的安全风险管理框架，保护工作部门可以依据该框架并结合本行业特点、实际工作需要制定风险管理流程规范，实现对本领域内网络安全的系统性防护。其次，加强供应链安全风险检查与评估工作。国家网信办应积极统筹协调运营者供应链安全检查、监督工作，了解各单位供应链安全管理情况。其一，应重点检查运营者是否优先采购安全可信的网络产品和服务、是否建立保障供应链安全的配套制度以及相应执行情况，其二，监督运营者不断提高对供应链安全管理的重视程度，保证运营者定期开展供应链安全风险评估［29］。最后，从根本上讲，供应链安全取决于关键核心技术安全。习近平［30］总书记曾指出，“只有把关键核心技术掌握在自己手中，才能从根本上保障国家经济安全、国防安全和其他安全。”我国拥有全球最全的工业门类，最多的工业设备，丰富的工业互联网生态以及大量的工业和信息化人才，应充分利用这一优势条件，加快突破一批关键核心技术，强化关键环节、关键领域、关键产品的保障能力。

6 结论

《条例》的正式出台成为我国网络安全制度设计的又一里程碑事件，对于保护国家网络安全、维护经济平稳运行意义重大。研究发现，运营者作为关键设施安全保护义务的责任主体，在实施网络安全等级保护的基础上，应对其予以重点保护。文章明确了运营者履行安全保护义务的基本环节及相关要求，阐释了运营者建立健全网络安全保护制度、设置安全管理机构及关键岗位人员、配备实施安全风险控制措施等义务的具体内容。也注意到，我国关键设施安全保护义务仍存在网络安全观念“重预防而轻恢复”、网络安全信息共享机制缺失、供应链安全体系化保护不足等问题，提出应从以下几个方面予以完善：第一，引导运营者树立科学网络安全治理观，实现关键设施保护从绝对安全向可恢复的弹性安全过渡，运营者有责任建立起预防能力与恢复能力并重的安全保护体系，增强安全事件发生后的响应、恢复能力；第二，完善网络安全信息共享制度，保护工作部门与运营者应当协同共建网络安全信息共享机制；第三，优化建立全生命周期的供应链安全管理体系，加快建立一套系统性的安全风险管理框架。综上，应以《条例》颁布为新的历史起点，开启关键设施安全保护新阶段。