《關鍵信息基礎設施安全保護條例》旨在建立專門保護制度,明確各方責任,提出保障促進措施,保障關鍵信息基礎設施安全及維護網路安全,根據《中華人民共和國網路安全法》,制定的條例。
2021年4月27日,經國務院第133次常務會議通過,2021年7月30日,國務院總理李克強簽署中華人民共和國國務院令第745號,公布《關鍵信息基礎設施安全保護條例》,自2021年9月1日起施行。
基本介紹
- 中文名:關鍵信息基礎設施安全保護條例
- 外文名:Regulations on Security Protection of Critical Information Infrastructure
- 頒布時間:2021年8月17日
- 實施時間:2021年9月1日
- 發布機構:國務院
- 公布時間:2021年7月30日
- 發文字號:中華人民共和國國務院令(第745號)
條例發布,條例全文,相關解讀,
條例發布
中華人民共和國國務院令第745號
《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常務會議通過,現予公布,自2021年9月1日起施行。
總理 李克強
2021年7月30日
條例全文
關鍵信息基礎設施安全保護條例
第一章 總 則
第一條 為了保障關鍵信息基礎設施安全,維護網路安全,根據《中華人民共和國網路安全法》,制定本條例。
第二條 本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
第三條 在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定,在各自職責範圍內負責關鍵信息基礎設施安全保護和監督管理工作。
省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。
第四條 關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者(以下簡稱運營者)主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。
第五條 國家對關鍵信息基礎設施實行重點保護,採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。
任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。
第六條 運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,防範網路攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
第七條 對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。
第二章 關鍵信息基礎設施認定
第八條 本條例第二條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門(以下簡稱保護工作部門)。
第九條 保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,並報國務院公安部門備案。
制定認定規則應當主要考慮下列因素:
(一)網路設施、信息系統等對於本行業、本領域關鍵核心業務的重要程度;
(二)網路設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;
(三)對其他行業和領域的關聯性影響。
第十條 保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,並通報國務院公安部門。
第十一條 關鍵信息基礎設施發生較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定,將認定結果通知運營者,並通報國務院公安部門。
第三章 運營者責任義務
第十二條 安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。
第十三條 運營者應當建立健全網路安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網路安全事件處置工作,組織研究解決重大網路安全問題。
第十四條 運營者應當設定專門安全管理機構,並對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時,公安機關、國家安全機關應當予以協助。
第十五條 專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作,履行下列職責:
(一)建立健全網路安全管理、評價考核制度,擬訂關鍵信息基礎設施安全保護計畫;
(二)組織推動網路安全防護能力建設,開展網路安全監測、檢測和風險評估;
(三)按照國家及行業網路安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網路安全事件;
(四)認定網路安全關鍵崗位,組織開展網路安全工作考核,提出獎勵和懲處建議;
(五)組織網路安全教育、培訓;
(六)履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;
(七)對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;
(八)按照規定報告網路安全事件和重要事項。
第十六條 運營者應當保障專門安全管理機構的運行經費、配備相應的人員,開展與網路安全和信息化有關的決策應當有專門安全管理機構人員參與。
第十七條 運營者應當自行或者委託網路安全服務機構對關鍵信息基礎設施每年至少進行一次網路安全檢測和風險評估,對發現的安全問題及時整改,並按照保護工作部門要求報送情況。
第十八條 關鍵信息基礎設施發生重大網路安全事件或者發現重大網路安全威脅時,運營者應當按照有關規定向保護工作部門、公安機關報告。
發生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大範圍傳播等特別重大網路安全事件或者發現特別重大網路安全威脅時,保護工作部門應當在收到報告後,及時向國家網信部門、國務院公安部門報告。
第十九條 運營者應當優先採購安全可信的網路產品和服務;採購網路產品和服務可能影響國家安全的,應當按照國家網路安全規定通過安全審查。
第二十條 運營者採購網路產品和服務,應當按照國家有關規定與網路產品和服務提供者簽訂安全保密協定,明確提供者的技術支持和安全保密義務與責任,並對義務與責任履行情況進行監督。
第二十一條 運營者發生合併、分立、解散等情況,應當及時報告保護工作部門,並按照保護工作部門的要求對關鍵信息基礎設施進行處置,確保全全。
第四章 保障和促進
第二十二條 保護工作部門應當制定本行業、本領域關鍵信息基礎設施安全規劃,明確保護目標、基本要求、工作任務、具體措施。
第二十三條 國家網信部門統籌協調有關部門建立網路安全信息共享機制,及時匯總、研判、共享、發布網路安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網路安全服務機構等之間的網路安全信息共享。
第二十四條 保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網路安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網路安全威脅和隱患,指導做好安全防範工作。
第二十五條 保護工作部門應當按照國家網路安全事件應急預案的要求,建立健全本行業、本領域的網路安全事件應急預案,定期組織應急演練;指導運營者做好網路安全事件應對處置,並根據需要組織提供技術支持與協助。
第二十六條 保護工作部門應當定期組織開展本行業、本領域關鍵信息基礎設施網路安全檢查檢測,指導監督運營者及時整改安全隱患、完善安全措施。
第二十七條 國家網信部門統籌協調國務院公安部門、保護工作部門對關鍵信息基礎設施進行網路安全檢查檢測,提出改進措施。
有關部門在開展關鍵信息基礎設施網路安全檢查時,應當加強協同配合、信息溝通,避免不必要的檢查和交叉重複檢查。檢查工作不得收取費用,不得要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務。
第二十八條 運營者對保護工作部門開展的關鍵信息基礎設施網路安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網路安全檢查工作應當予以配合。
第二十九條 在關鍵信息基礎設施安全保護工作中,國家網信部門和國務院電信主管部門、國務院公安部門等應當根據保護工作部門的需要,及時提供技術支持和協助。
第三十條 網信部門、公安機關、保護工作部門等有關部門,網路安全服務機構及其工作人員對於在關鍵信息基礎設施安全保護工作中獲取的信息,只能用於維護網路安全,並嚴格按照有關法律、行政法規的要求確保信息安全,不得泄露、出售或者非法向他人提供。
第三十一條 未經國家網信部門、國務院公安部門批准或者保護工作部門、運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。對基礎電信網路實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。
第三十二條 國家採取措施,優先保障能源、電信等關鍵信息基礎設施安全運行。
能源、電信行業應當採取措施,為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。
第三十三條 公安機關、國家安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛,防範打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。
第三十四條 國家制定和完善關鍵信息基礎設施安全標準,指導、規範關鍵信息基礎設施安全保護工作。
第三十五條 國家採取措施,鼓勵網路安全專門人才從事關鍵信息基礎設施安全保護工作;將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系。
第三十六條 國家支持關鍵信息基礎設施安全防護技術創新和產業發展,組織力量實施關鍵信息基礎設施安全技術攻關。
第三十七條 國家加強網路安全服務機構建設和管理,制定管理要求並加強監督指導,不斷提升服務機構能力水平,充分發揮其在關鍵信息基礎設施安全保護中的作用。
第三十八條 國家加強網路安全軍民融合,軍地協同保護關鍵信息基礎設施安全。
第五章 法律責任
第三十九條 運營者有下列情形之一的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款:
(一)在關鍵信息基礎設施發生較大變化,可能影響其認定結果時未及時將相關情況報告保護工作部門的;
(二)安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用的;
(三)未建立健全網路安全保護制度和責任制的;
(四)未設定專門安全管理機構的;
(五)未對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查的;
(六)開展與網路安全和信息化有關的決策沒有專門安全管理機構人員參與的;
(七)專門安全管理機構未履行本條例第十五條規定的職責的;
(八)未對關鍵信息基礎設施每年至少進行一次網路安全檢測和風險評估,未對發現的安全問題及時整改,或者未按照保護工作部門要求報送情況的;
(九)採購網路產品和服務,未按照國家有關規定與網路產品和服務提供者簽訂安全保密協定的;
(十)發生合併、分立、解散等情況,未及時報告保護工作部門,或者未按照保護工作部門的要求對關鍵信息基礎設施進行處置的。
第四十條 運營者在關鍵信息基礎設施發生重大網路安全事件或者發現重大網路安全威脅時,未按照有關規定向保護工作部門、公安機關報告的,由保護工作部門、公安機關依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
第四十一條 運營者採購可能影響國家安全的網路產品和服務,未按照國家網路安全規定進行安全審查的,由國家網信部門等有關主管部門依據職責責令改正,處採購金額1倍以上10倍以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。
第四十二條 運營者對保護工作部門開展的關鍵信息基礎設施網路安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網路安全檢查工作不予配合的,由有關主管部門責令改正;拒不改正的,處5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款;情節嚴重的,依法追究相應法律責任。
第四十三條 實施非法侵入、干擾、破壞關鍵信息基礎設施,危害其安全的活動尚不構成犯罪的,依照《中華人民共和國網路安全法》有關規定,由公安機關沒收違法所得,處5日以下拘留,可以並處5萬元以上50萬元以下罰款;情節較重的,處5日以上15日以下拘留,可以並處10萬元以上100萬元以下罰款。
單位有前款行為的,由公安機關沒收違法所得,處10萬元以上100萬元以下罰款,並對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
違反本條例第五條第二款和第三十一條規定,受到治安管理處罰的人員,5年內不得從事網路安全管理和網路運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網路安全管理和網路運營關鍵崗位的工作。
第四十四條 網信部門、公安機關、保護工作部門和其他有關部門及其工作人員未履行關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的,依法對直接負責的主管人員和其他直接責任人員給予處分。
第四十五條 公安機關、保護工作部門和其他有關部門在開展關鍵信息基礎設施網路安全檢查工作中收取費用,或者要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務的,由其上級機關責令改正,退還收取的費用;情節嚴重的,依法對直接負責的主管人員和其他直接責任人員給予處分。
第四十六條 網信部門、公安機關、保護工作部門等有關部門、網路安全服務機構及其工作人員將在關鍵信息基礎設施安全保護工作中獲取的信息用於其他用途,或者泄露、出售、非法向他人提供的,依法對直接負責的主管人員和其他直接責任人員給予處分。
第四十七條 關鍵信息基礎設施發生重大和特別重大網路安全事件,經調查確定為責任事故的,除應當查明運營者責任並依法予以追究外,還應查明相關網路安全服務機構及有關部門的責任,對有失職、瀆職及其他違法行為的,依法追究責任。
第四十八條 電子政務關鍵信息基礎設施的運營者不履行本條例規定的網路安全保護義務的,依照《中華人民共和國網路安全法》有關規定予以處理。
第四十九條 違反本條例規定,給他人造成損害的,依法承擔民事責任。
違反本條例規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第六章 附 則
第五十條 存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護,還應當遵守保密法律、行政法規的規定。
關鍵信息基礎設施中的密碼使用和管理,還應當遵守相關法律、行政法規的規定。
第五十一條 本條例自2021年9月1日起施行。
相關解讀
制定出台《條例》,建立專門保護制度,明確各方責任,提出保障促進措施,有利於進一步健全關鍵信息基礎設施安全保護法律制度體系。
一是明確關鍵信息基礎設施範圍和保護工作原則目標。《條例》明確,重點行業和領域重要網路設施、信息系統屬於關鍵信息基礎設施,國家對關鍵信息基礎設施實行重點保護,採取措施,監測、防禦、處置來源於境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治違法犯罪活動。保護工作應當堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。
二是明確了監督管理體制。《條例》規定,在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照《條例》和有關法律、行政法規的規定,在各自職責範圍內負責關鍵信息基礎設施安全保護和監督管理工作。省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。
三是完善了關鍵信息基礎設施認定機制。《條例》明確了認定工作的組織方式和認定程式,依照行業認定規則,國家匯總並動態調整關鍵信息基礎設施認定結果,確保重要網路設施、信息系統納入保護範圍。
四是明確運營者責任義務。《條例》對關鍵信息基礎設施運營者落實網路安全責任、建立健全網路安全保護制度、設定專門安全管理機構、開展安全監測和風險評估、報告網路安全事件或網路安全威脅、規範網路產品和服務採購活動等作了規定。
五是明確了保障和促進措施。《條例》對制定行業安全保護規劃、建立信息共享機制、建立健全監測預警制度、明確網路安全事件應急處置要求、組織安全檢查檢測、提供技術支持和協助等作了規定。
六是明確了法律責任。《條例》對關鍵信息基礎設施運營者未履行安全保護主體責任、有關主管部門以及工作人員未能依法依規履行職責等情況,明確了處罰、處分、追究刑事責任等處理措施。對實施非法侵入、干擾、破壞關鍵信息基礎設施,危害其安全活動的組織和個人,依法予以處罰。
2021年8月,法務部、網信辦、工業和信息化部、公安部負責人就《條例》有關問題回答了記者提問。
問:請簡要介紹一下《條例》出台的背景。
答:黨中央、國務院高度重視關鍵信息基礎設施安全保護工作。關鍵信息基礎設施是經濟社會運行的神經中樞,是網路安全的重中之重。保障關鍵信息基礎設施安全,對於維護國家網路空間主權和國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益具有重大意義。當前,關鍵信息基礎設施面臨的網路安全形勢日趨嚴峻,網路攻擊威脅上升,事故隱患易發多發,安全保護工作還存在法規制度不完善、工作基礎薄弱、資源力量分散、技術產業支撐不足等突出問題,亟待建立專門制度,明確各方責任,加快提升關鍵信息基礎設施安全保護能力。2017年施行的《中華人民共和國網路安全法》規定,關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。出台《條例》旨在落實《中華人民共和國網路安全法》有關要求,將為我國深入開展關鍵信息基礎設施安全保護工作提供有力法治保障。
問:制定《條例》的總體思路是什麼?
答:在總體思路上主要把握了以下三點:一是堅持問題導向。針對關鍵信息基礎設施安全保護工作實踐中的突出問題,細化《中華人民共和國網路安全法》有關規定,將實踐證明成熟有效的做法上升為法律制度,為保護工作提供法治保障。二是壓實責任。堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。三是做好與相關法律、行政法規的銜接。在《中華人民共和國網路安全法》確立的制度框架下,細化相關制度措施,同時處理好與相關法律、行政法規的關係。
問:開展關鍵信息基礎設施安全保護工作,各部門的職責分工是什麼?
答:《條例》第三條規定在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作;國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定,在各自職責範圍內負責關鍵信息基礎設施安全保護和監督管理工作。省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。
問:關鍵信息基礎設施如何認定?
答:《條例》從我國國情出發,借鑑國外通行做法,明確了關鍵信息基礎設施的定義和認定程式。一是明確關鍵信息基礎設施的定義。二是明確關鍵信息基礎設施所在行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。三是明確由保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,並組織認定本行業、本領域的關鍵信息基礎設施。四是規定關鍵信息基礎設施發生較大變化,可能影響其認定結果時,運營者應當及時報告保護工作部門,由保護工作部門重新認定。
問:《條例》對保護工作部門職責作了哪些規定?
答:依據《中華人民共和國網路安全法》有關規定,按照“誰主管誰負責”的原則,《條例》明確了保護工作部門對本行業、本領域關鍵信息基礎設施的安全保護責任:一是制定關鍵信息基礎設施安全規劃,明確保護目標、基本要求、工作任務、具體措施。二是建立健全網路安全監測預警制度,及時掌握關鍵信息基礎設施運行狀況、安全態勢,預警通報網路安全威脅和隱患,指導做好安全防範工作。三是建立健全網路安全事件應急預案,定期組織應急演練。四是指導運營者做好網路安全事件應對處置,並根據需要組織提供技術支持與協助。五是定期組織開展網路安全檢查檢測,指導監督運營者及時整改安全隱患、完善安全措施。
問:為強化和落實關鍵信息基礎設施運營者主體責任,《條例》主要作了哪些規定?
答:《條例》在總則部分對運營者責任作了原則規定,要求運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,防範網路攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
《條例》還設專章細化了有關義務要求,主要包括:一是建立健全網路安全保護制度和責任制,實行“一把手負責制”,明確運營者主要負責人負總責,保障人財物投入。二是設定專門安全管理機構,履行安全保護職責,參與本單位與網路安全和信息化有關的決策,並對機構負責人和關鍵崗位人員進行安全背景審查。三是對關鍵信息基礎設施每年進行網路安全檢測和風險評估,及時整改問題並按要求向保護工作部門報送情況。四是關鍵信息基礎設施發生重大網路安全事件或者發現重大網路安全威脅時,按規定向保護工作部門、公安機關報告。五是優先採購安全可信的網路產品和服務,並與提供者簽訂安全保密協定;可能影響國家安全的,應當按規定通過安全審查。
問:對於關鍵信息基礎設施安全保護工作,《條例》明確了哪些保障和促進措施?
答:保障關鍵信息基礎設施安全,需要統籌資源和力量,全方位實施保護。《條例》在保障方面,一是明確建立網路安全信息共享機制,並規定工作中獲取的信息只能用於維護網路安全,不得泄露、出售或者非法向他人提供。二是對國家有關部門開展安全檢查作出規定,要求避免不必要的檢查和交叉重複檢查,檢查不得收費,不得要求被檢查單位購買指定產品和服務;同時規定任何個人和組織未經授權不得對關鍵信息基礎設施進行探測測試等活動。三是規定國家網信部門和國務院電信主管部門、公安部門等根據保護工作部門需要,提供技術支持和協助。四是明確國家對能源、電信等關鍵信息基礎設施安全運行實施優先保障。五是規定公安機關、國家安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛,防範打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。六是明確國家出台安全標準,指導規範關鍵信息基礎設施安全保護工作。《條例》在支持促進方面,從人才培養、技術創新和產業發展、網路安全服務機構建設與管理、軍民融合、表彰獎勵等方面作了相應規定。
問:對實施危害關鍵信息基礎設施安全活動的個人和組織,或未經授權或批准,對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動的個人和組織,《條例》作了哪些規範?
答:實踐中,一些個人和組織擅自對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動,影響關鍵信息基礎設施安全。《條例》一是明確任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。二是規定未經國家網信部門、國務院公安部門批准或者保護工作部門、運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。對基礎電信網路實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。三是在法律責任章節中專門規定了相應罰則。
問:關鍵信息基礎設施中的重要數據出境如何進行?
答:《中華人民共和國數據安全法》已由第十三屆全國人民代表大會常務委員會第二十九次會議於2021年6月10日通過,將於9月1日起實施。其中,第三十一條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網路安全法》的規定。《中華人民共和國網路安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境記憶體儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
