2021年8月17日，中国政府网（www.gov.cn）发布了《关键信息基础设施安全保护条例》（2021年7月30日通过，2021年9月1日施行，以下简称《条例》），将《网络安全法》（2017年6月1日施行）确立的关键信息基础设施（Critical Information Infrastructures，以下简称“CII”）保护制度进一步细化要求，推动了落地进程。

在2017年7月10日，国家互联网信息办公室即就《关键信息基础设施安全保护条例（征求意见稿）》（以下简称《征求意见稿》）向社会公开征求意见，引起了行业广泛关注，但一直未正式发布。相比于《征求意见稿》，《条例》从框架到内容上都具有非常大的变化。

为了更好地聚焦重点问题，了解CII保护制度的主要要求，从内容变化挖掘监管关注点的变化，明晰政策导向，本文将从体例、监督管理体制、CII认定方式、运营者责任这四个主要方面的变化进行对比分析，对一些细节要点进行说明。

一、体例变化

从以上对比内容可以看出，除了《征求意见稿》和《条例》均有的规定框架和原则的“总则”、明确法律后果的“法律责任”和基于文本完整性需求进行补充的“附则”，《征求意见稿》整体上是从上至下、从前到后的逻辑按照“事项”进行排列——“支持与保障”体现国家政策上的倾向，“关键信息基础设施范围”体现国家如何划定CII范围，“运营者安全保护”体现CII运营者（以下简称“CIIO”）运行CII应当注意的安全事项，“产品和服务安全”体现CIIO采购和使用产品服务应当注意的安全事项，“监测预警、应急处置和检测评估”体现国家如何监控和处置安全风险；而《条例》则是围绕着不同类型“主体”来排列——在CII认定上区分出负责CII保护工作的监管主体“保护工作部门”（具体指重要行业和领域的主管部门、监督管理部门，如公共通信和信息服务行业的主管部门工信部）及采取保护措施的执行主体“运营者”，然后通过“运营者责任义务”和“保障和促进”针对运营者的责任和保护工作部门（及相关部门）的职责作出规定。

这一从事项维度到主体维度的转变，使得不同主体可以更聚焦于自己需要或应当负责的工作，也标志着《条例》对于各主体如何切实履行责任的重视。这一结论同样可以通过《征求意见稿》第五条中CIIO“负”主体责任和《条例》第四条中“强化和落实”CIIO主体责任的细微表述区别中推导出来。

二、监督管理体制变化

《征求意见稿》和《条例》都明确规定由国家网信部门统筹协调，但是《条例》相对于《征求意见稿》将重要行业和领域的主管部门、监督管理部门的负责“指导和监督”变更为负责“安全保护工作”，在此基础上还明确了国务院公安部门负责“负责指导监督”。同时，不再总则中强调“国家安全、国家保密行政管理、国家密码管理”这些部门，而由“国务院电信主管部门和其他有关部门”来替代。

以上变化在保持网信部门统筹、行业领域主管部门直接监督管理的基础上，明确了公安部门的指导责任，在一定程度上为缓解“九龙治水”的局面作出了有益尝试，可以在部门间出现分歧时提高决策效率。另外对于其他部门列举方式的变化则与《网络安全法》一脉相承，重视了电信部门在CII保护中的特殊性。不过列举方式的变化并没有削弱国家安全、保密行政管理、密码管理等部门介入CII保护的途径——《条例》第二十八条明确前述部门可以依法开展CII网络安全检查工作的内容。

在对地方政府的规定上，将“县级以上”变更为“省级”，提升了CII安全保护工作的行政区划管理层级，并未将相关管理工作进行进一步下放，既体现了对于CII安全保护工作的重视，又体现了高级别集中管理的导向，这一点与同样属于强监管领域的金融监管具有相似之处。

三、CII认定方式变化

《网络安全法》并没有明确规定CII的定义，仅对应当重点保护的CII的两方面特征作出形容：一是行业和领域特征，二是风险危害特征。可以看到前者起到一定的定位作用，但是其范围因为有兜底表述“其他”，可能覆盖到各行各业各领域，并未起到限制范围的作用，后者才是决定性的特征，即“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”这一特征。同时《网络安全法》将划定CII具体范围的权力授予国务院。

《征求意见稿》试图从单位的角度做进一步的细化规定，列举了很多与《网络安全法》提及的重要行业和领域有关的单位，将“公共通信和信息服务”这一概念展开，表述为“电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务”，将“公共服务”这一概念展开，表述为“卫生医疗、教育、社保、环境保护、公用事业”，并且将行业领域的列举拓展出“国防科工、大型装备、化工、食品药品”等概念。同时，《征求意见稿》将CII具体指代的对象明确为符合一定特征的“网络设施和信息系统”。

《条例》舍弃了《征求意见稿》从单位出发的角度，基本回归了《网络安全法》的表述。相对于《网络安全法》，《条例》在行业领域中新增了“国防科技工业”，并且保留了《征求意见稿》对于CII指代对象是“网络设施和信息系统”这一内容，同时用“等”保留了一定灵活性。

这种转变意味着从《征求意见稿》先找责任人再找CII的方法，回归到《网络安全法》先找CII再找责任人的方法，优先聚焦设备系统层面，也与下文中CII认定程序加强衔接。新增的“国防科技工业”则体现了网络安全是国家安全的衍生这一基本原则。

《条例》没有保留《征求意见稿》中由网信部门、电信部门、公安部门联合制定具有普遍适用性的识别指南的做法，而是改由保护工作部门分别制定认定规则并报公安部门备案。说明各个重点行业领域区别较大，制定适用各个重点行业领域的统一标准存在比较大的困难，各行各业CII的数据敏感度、稳定性要求都可能存在重大区别。因此，《条例》仅规定识别的原则：重要性标准（对于本行业、本领域关键核心业务的重要程度）、风险危害标准（一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度）、关联影响标准（对其他行业和领域的关联性影响），将制定具体标准的权力授予保护工作部门，依靠其更贴近行业的信息优势来制定更符合国情认定规则。接下来各个重点行业领域的主管部门可能会出台相应认定规则，建议持续关注。

其次，《条例》将《征求意见稿中》笼统的“按程序报送识别结果”明确为“将认定结果通知运营者，并通报国务院公安部门”，增加了行政透明度，也为各运营者明确自己的定位提供了依据。虽然启动认定程序的规则尚未明确，但是《条例》明确规定了变更认定结果的程序（第十一条），三个月的时限对于运营者来说变得可预期。

四、运营者责任变化

网络安全法》因为覆盖范围包括一般运营者和关键信息基础设施的运营者（CIIO），所以在梳理CIIO责任的过程中需要同步梳理对于一般运营者责任的规定。以下将针对对比表格中提及的不同方面分别进行分析。

（一）安全保护措施的整体要求

《条例》更聚焦于安全保护措施与CII本身在规划、建设、使用的同步性上的要求，而没有保留关于性能的规定。

（二）第一责任人/总责

相比《网络安全法》，《条例》和《征求意见稿》虽然表述不一样，但是都确立了CIIO负责人本身承担第一责任或总责的要求。并且比起《征求意见稿》，《条例》增加了保障人财物的投入与领导和研究的要求，既要求稳固安全保护工作的基础（人财物），又为其进步发展预留路径（研究）。关于保障基础的内容还有《条例》新增的关于保障经费、人员以及专门安全管理机构参与决策的相关规定。

（三）保护基本要求

《征求意见稿》沿用了《网络安全法》一般加重点责任的体例，并且对负责人的职责作出了规定。而正如前文对于体例变化的介绍，《条例》对于CIIO的责任更为聚焦，从专门安全管理机构的角度出发，进行了更为体系化的整合，也体现了CIIO对外整体责任及内部管理部门责任的区分度。可能是考虑到个人信息、数据安全将有其他具体的法律法规，比如《个人信息保护法》《个人信息和重要数据出境安全评估办法》等，为了增加衔接的灵活性，《条例》仅原则性地规定了CIIO履行个人信息和数据安全保护责任的要求，在后续的具体条款上并无进一步的展开，比如未明确用户个人信息保护的具体要求、数据境内存储原则和数据跨境传输评估要求等。同理，对于《网络安全法》中非针对CII的配合公安机关、国家安全机关维护国家安全、侦查犯罪的活动提供技术支持和协助的义务也没有在《条例》中再次明确。

此外，在保持《网络安全法》对于负责人和关键岗位人员进行安全背景审查的要求的基础上，《条例》还规定了公安机关、国家安全机关的协助义务，使得CIIO的审查工作可以得到国家的支持，有能力得到更充分的审查结论。

（四）执证上岗和培训时长

《条例》没有保留《征求意见稿》对于执证上岗和人员培训时长的要求，可能考虑的角度是如果强制执证上岗可能必然导致很长一段时间内CIIO不能达到要求，且效果导向可能更占据主导地位，只要CIIO有方法找到具有相应能力的人胜任该岗位，那么证书不宜成为CIIO履行安全责任的阻碍。不过，《条例》第三十五条规定“将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系”，所以也不会妨碍社会在人才培养和人才认证方面进行探索，可能在时间更成熟的时候会出台相应规定。同样的道理，如何保障培训效果也是CIIO可以通过内部实践自主制定规则的，硬性的培训时长要求在没有科学的依据的前提下可能并不是一个好选择。

（五）安全检测、风险评估

《条例》沿用了《网络安全法》至少每年一次进行网络安全检测和风险评估的要求，对报送方式进行了微调，将决定是否报送以及具体报送方式的权力授予了保护工作部门，没有保留《征求意见稿》中上线运行、重大变化时的安全检测评估要求和外包开发、接受捐赠后上线前的安全检测要求。没有额外增加CIIO的安全检测评估工作负担。

（六）安全事件报告

《网络安全法》对于运营者在不同情形下的报告义务作出了规定，《征求意见稿》并未进行细化，仅列明应当“按规定向国家有关部门报告网络安全重要事项、事件”。《条例》则与运营者的报告义务作出了区分，分别规定了“重大”和“特别重大”情形下具体的报告对象。不过如何认定“重大”和“特别重大”成为了新产生的问题，将来可能也会有更为具体的配套规则落地。

从报告义务的角度，《征求意见稿》在《网络安全法》的基础上新增了关于“境外远程运维”的要求，但《条例》中并未进行保留，一个可能的原因是境外运维的主要风险还是在于境内外的数据交互，通过数据出境的相关规定可以在一定程度上解决这个问题。另外，在一年一度的安全检测和风险评估中应当包含相应内容，专门针对这种独特的情形设置报告义务的必要性确实有待商榷。

（七）采购网络产品和服务

《条例》一以贯之地明确了网络安全审查制度，同时新增了“优先”采购“安全可信”产品服务的要求，以及在与提供者签订安全保密协议，明确对方安全保密义务与责任（《网络安全法》第三十六条要求）的基础上，增加了在协议中明确技术支持的要求和对对方义务与责任履行情况进行监督的要求。即不仅仅是形式上提出要求上，而在实际过程中也应当采用恰当的手段促使对方按协议约定履行义务。

（八）主体变化

与《征求意见稿》针对新建、停运CII时的报告义务作出规定不同，《条例》针对CIIO发生主体变化时的报告义务作出规定。这一变化与落实主体责任的导向密切相关。因为新建、停运CII，承担责任的主体CIIO并没有实质变化，各项义务责任的履行在一致性上具有更高的可预测性，同时该种情形可能被一系列工程类或行业类的审批所覆盖，且《条例》也有对CII认定产生影响的情况的报告义务。而CIIO主体发生变化，意味着履行义务责任的人和能力很可能发生重大变化，这种情形直接关乎到主体责任能否切实履行，所以这项要求是落实主体责任原则下合理产生的要求。

（九）网络安全信息共享

CIIO在此方面工作中只是配合主体，不过值得注意的是，相比于《网络安全法》目标性的要求、《征求意见稿》未区分主次共同建立的要求，《条例》明确是由有关部门建立，降低了CIIO及网络安全服务机构在机制中的参与深度。可能是考虑到这些信息的重要性，由政府主导才更符合国家安全的大方向需要。

（十）网络安全检查检测

相比于网络安全信息共享，在安全检查中，CIIO具有更重的配合义务，且规定更为具体，值得CIIO提高关注度。《条例》没有沿用《网络安全法》和《征求意见稿》中“抽查监测”的表述，而是使用“检查检测”的表述，但是保留了《征求意见稿》关于避免交叉重复检查的要求，并且新增了避免不必要的检查的要求。相对于可能更具有随机性色彩的“抽查”，“必要性”可能作为今后是否启动检查程序的评价标准，而是否属于必要也有待规则的进一步明确或者通过检查机构的实践执法活动来了解。同时，《条例》删除了《征求意见稿》中对于检测评估措施的列举，后续可能由实际执行检查检测的部门来自行制定。

此外，《条例》明确规定“检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务”，也为禁止权力寻租留下制度依据。

从上面的分析可以看出《条例》较《征求意见稿》在贴近国家网络安全目标以及落地性上都有明显的进步，但在具体操作细节上仍然有进一步明确和优化的空间。不过等待多年的靴子落地对于推动国家网络安全目标和保障社会稳定发展都具有重要的积极意义。

作为网络安全领域中与网络安全等级保护制度并重的制度设计，CII保护制度的重要性不言自明。而《条例》作为CII保护制度落地的重要一环，对于我国的网络安全事业有着举足轻重的意义。对于已经成为基础设施的头部公司和立志成为基础设施的创业新秀，《条例》既是其拓展业务的重要指引，又可能成为其脱颖而出、确立行业地位的护城河。同时可能标志着安全市场迎来一个新的历史机遇。