第一章 总则
1、正式稿第二条对于关键信息基础设施的定义进行了说明,与征求意见稿内容上有较大差异,但正式稿所定义的领域基本涵盖了征求意见稿中的内容。
2、正式稿第三条明确了相关工作的具体部门责任:
1)即网信部门作为统筹,公安部门负责指导和监督。
2)国务院电信主管部门(工信部)和其他有关部门根据条例和有关法律、行政法规的规定在各自范围内负责关键信息基础实施的安全保护和监督管理工作。
3)正式稿中明确了省级人民政府对于本省关键信息基础实施实施安全保护和监督管理,而不再是征求意见稿中的“县级以上”。
3、正式稿第四条明确了关键信息基础设施安全保护工作的基本原则:综合协调、分工负责、依法保护。
4、正式稿第五条增加了“任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础实施的活动,不得危害关键信息基础设施安全。”
5、正式稿第六条明确了关键信息基础设施安全保护要建立在网络安全等级保护的工作基础之上。
6、正式稿第七条增加了对于关键信息基础设施安全保护工作中做出贡献的单位和个人进行表彰的内容。
第二章 关键信息基础设施认定
1、正式稿把第二章的名称从“关键信息基础设施范围”改成了“关键信息基础设施认定”。
2、正式稿第八条增加了“本条例第二条涉及的重要行业和领域的主管部门、 监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。”如银行保险领域的保护工作部门为银保监会、中央企业的保护工作部门为国资委、交通领域的保护工作部门为交通运输部、水利领域的保护部门为水利部。
3、正式稿第九条、第十条明确了保护工作部门负责制定本行业、本领域关键信息基础设施认定规则,并提出了认定规则的主要考虑因素。同时,保护工作部门是本行业、本领域关键信息基础设施认定工作的责任部门。
4、正式稿第十一条明确了当关键信息基础设施发生较大变化时,运营者必须及时上报保护工作部门,保护工作部门在3个月内完成重新认定并将结果通知运营者,同时上报公安部。
第三章 运营者责任义务
1、正式稿把第三章名称从“运营者安全保护”改为了“运营者责任义务”。
2、正式稿第十三条进一步明确了运营者的主要负责人对关键信息基础设施保护的工作责任和内容。
3、正式稿第十四条明确了运营者对专门安全管理机构负责人和关键岗位人员进行安全背景审查时, 公安机关、国家安全机关应当予以协助。
4、正式稿第十五条明确了运营者内设的专门安全管理机构工作职责。其中征求意见稿中与网络安全法要求重复的部分进行了删减,如“采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月”,因为网络安全法第二十一条明确规定了“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。
原有征求意见稿中“制定网络安全事件应急预案并定期进行演练”在正式稿中进行了细化,变成了“按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件”,也就说国家有关部门和保护工作部门所制订的网络安全事件应急预案会是运营者制定相关预案的参考标准。
正式稿根据中华人民共和国数据安全法提出了“履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度”的内容。
5、正式稿第十六条提出了运营者应当对专门安全管理机构提供经费、人员的保障。
6、正式稿第十七条明确了运营者对关键信息基础设施每年至少进行一次网络安全检测和风险评估,并上报至保护工作部门。
7、正式稿第十八条明确要求运营者在发生重大网络安全事件或者发现重大网络安全威胁时要及时向保护工作部门和公安机关报告。同时对特别重大网络安全事件或者发现特别重大网络安全威胁的场景进行了描述,如果发生特别重大事件和威胁,保护工作部门在收到报告后需向国家网信部门和公安部报告。
8、正式稿第十九条明确了“运营者应当优先采购安全可信的网络产品和服务”,也就说入围信创产品名录的产品将能优先被采购。此外,采购网络产品和服务如果影响国家安全,应当依据国家网络安全审查办法进行审查。
9、正式稿第二十条明确了用于关键信息基础设施的网络安全产品和服务采购必须签订安全保密协议。
10、正式稿第二十一条明确了运营者发生合并、分立、解散等情况要及时报告保护工作部门,并确保关键信息基础设施的安全。
第四章 保障和促进
1、正式稿把“支持与保障”改成了“保障和促进”。
2、正式稿第二十二条再次明确了保护工作部门需要制定本领域、本行业的相关安全规划,明确保护目标、基本要求、工作任务、具体措施。
3、正式稿第二十三条明确了国家网信部门负责统筹协调建立网络安全信息共享机制,促进网络安全威胁、漏洞、事件等信息在有关部门、保护工作部门、运营者以及网络安全服务机构之间共享。
4、正式稿第二十四至二十六条继续对保护工作部门的工作进行了要求包括订制并落实网络安全监测预警制度、网络安全事件应急预案,定期组织应急演练,定期开展网络安全检查检测,指导和协助运营者做好相关工作。
5、正式稿第二十七条对关键信息基础设施进行网络安全检查检测的统筹部门为国家网信部门,并提出了“加强协同配合、信息沟通,避免不必要的检查和交叉重复检查”,如果保护工作部门已经对运营者进行定期的网络安全检查检测,如果没有其他检查检测内容,其他部门应当尽量避免重复检查。同时,明确要求网络安全检查检测不能收取任何费用,不能指定任何单位的产品和服务,避免权力寻租。
6、正式稿第二十八条明确了运营者必须对保护工作部门、公安、国家安全(国安部)、保密行政管理(保密局)、密码管理(密码管理局)等部门依法开展的安全检查工作应当予以配合。
7、正式稿第二十九条明确了国家网信部门和国务院电信主管部门、国务院公安部门应当在关键信息基础设施安全保护工作中及时提供技术支持和协助。
8、正式稿第三十条明确了网信部门、公安机关、保护工作部门、网络安全服务机构及工作人员在关键信息基础设施安全保护工作中获取的信息不得泄露、出售或者非法向他人提供。
9、正式稿第三十一条明确了“任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试”,这条对网络安全服务提供商具有警示作用,即便运营者要求,也需要签订正式授权协议才能进行相关工作,否则需要承担法律风险,尤其是对基础电信网络的相关漏洞探测、渗透性测试,更是需要事前向工信部报备。
10、正式稿第三十二条明确了能源、电信领域的关键信息基础设施安全是最优先保障的。
11、正式稿第三十三条明确了公安机关、国安机关是相关工作的执法部门。
12、正式稿第三十四至三十八条明确了国家将通过标准制定、人才培养、产业扶持、机构建设、军民融合等方式确保关键信息基础设施安全工作的开展。
第五章 法律责任
1、正式稿第三十九条阐述了运营者不履行保护条例的各种情形,并明确了处罚措施。
2、正式稿第四十条明确了运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时未及时报告的处罚措施。
3、正式稿第四十一条明确了运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查时的处罚措施。
4、正式稿第四十二条明确了运营者对于保护工作部门、公安、国家安全、保密行政管理、密码管理等单位依法依规开展检查活动不配合时的处罚措施。
5、正式稿第四十三条明确了非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪时的处罚措施,相关措施不仅包含了罚款,还有禁业相关的措施。
6、正式稿第四十四条明确了网信部门、公安机关、保护工作部门和其他有关部门及其工作人员违反条例时的处罚措施。
7、正式稿第四十五条明确了公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中不得收取费用,不得进行各种权利寻租,并提出了处罚措施。
8、正式稿第四十六条明确了网信部门、公安机关、保护工作部门等有关部 门、网络安全服务机构及其工作人员在关键信息基础设施安全保护工作中违规使用信息的处罚措施。
9、正式稿第四十七条明确了关键信息基础设施发生重大和特别重大网络安全事件,若是责任事故,那么不仅是运营者,相关网络安全服务机构及有关部门都有可能会承担责任。
10、正式稿第四十八条明确了电子政务关键信息基础设施的运营者不履行本条例,将会依据《中华人民共和国网络安全法》进行处理。
11、正式稿第四十八条明确了违反本条例将根据实际情况承担相应的民事、治安管理和刑事责任。
第六章 附则
1、正式稿第五十条明确了存储、处理涉及国家秘密信息的关键信息基础设施的安全保护还要受到保密相关、密码相关的法律法规约束。
2、正式稿第五十一条明确了该条款将于2021年9月1日开始施行。
