閆宇晨

（南京理工大學(xué)知識(shí)產(chǎn)權(quán)學(xué)院，江蘇南京 210094）

縱觀國(guó)際，近年與關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡(jiǎn)稱“關(guān)鍵設(shè)施”）有關(guān)的重大網(wǎng)絡(luò)安全事件頻頻發(fā)生，對(duì)人民財(cái)產(chǎn)安全、公共利益、國(guó)計(jì)民生甚至國(guó)家安全帶來(lái)巨大挑戰(zhàn)。習(xí)近平［1］總書(shū)記指出：“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”，網(wǎng)絡(luò)安全已經(jīng)成為數(shù)字經(jīng)濟(jì)健康發(fā)展的前提。2016年，《網(wǎng)絡(luò)安全法》作為國(guó)家實(shí)施網(wǎng)絡(luò)空間管轄的首部法律正式頒布，該法首次引入網(wǎng)絡(luò)安全這一“地基”概念，并提出對(duì)關(guān)鍵設(shè)施進(jìn)行重點(diǎn)安全保護(hù)，這也開(kāi)啟了我國(guó)網(wǎng)絡(luò)安全立法的新篇章。在此背景下，為保障關(guān)鍵設(shè)施安全，進(jìn)一步細(xì)化落實(shí)《網(wǎng)絡(luò)安全法》中指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作的要求，國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱“國(guó)家網(wǎng)信辦”）制定出臺(tái)了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱“《條例》”），并于2021年9月1日起正式施行?！稐l例》作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī)，明確了我國(guó)關(guān)鍵設(shè)施安全保護(hù)的具體要求，為相關(guān)工作開(kāi)展提供了方向性指引，也標(biāo)志著國(guó)家網(wǎng)絡(luò)安全保障體系建設(shè)進(jìn)入新階段。

劉金瑞［2］從國(guó)家安全高度對(duì)關(guān)鍵設(shè)施概念進(jìn)行了界定，指出對(duì)于涉及金融、能源、交通、通信等領(lǐng)域重要設(shè)施的保護(hù)，是各國(guó)網(wǎng)絡(luò)安全治理和立法的核心內(nèi)容。王玥等［3］分析了我國(guó)關(guān)鍵設(shè)施安全保護(hù)的現(xiàn)狀及不足，提出現(xiàn)階段應(yīng)加強(qiáng)互聯(lián)網(wǎng)時(shí)代關(guān)鍵設(shè)施的法律保護(hù)，這是我國(guó)當(dāng)前網(wǎng)絡(luò)信息安全法治建設(shè)的重要使命。陳紅松等［4］、李留英［5］、周瑞玨［6］從比較研究角度，針對(duì)美國(guó)、歐盟、日本等國(guó)家（地區(qū)）關(guān)鍵設(shè)施安全保護(hù)的發(fā)展歷程和實(shí)施狀況進(jìn)行梳理分析，為完善我國(guó)網(wǎng)絡(luò)安全立法提供了重要參考。2022年7月，國(guó)家網(wǎng)信辦結(jié)束對(duì)滴滴出行的網(wǎng)絡(luò)安全審查，并依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》對(duì)其違法違規(guī)行為做出嚴(yán)厲處罰［7］。在數(shù)字經(jīng)濟(jì)下的交通行業(yè)中，網(wǎng)約車占有重要地位，滴滴出行在國(guó)內(nèi)網(wǎng)約車市場(chǎng)中又占有著絕對(duì)領(lǐng)先的市場(chǎng)份額，其作為交通行業(yè)的關(guān)鍵設(shè)施，掌握著大量的交通出行基礎(chǔ)數(shù)據(jù)、重要政務(wù)數(shù)據(jù)及公民個(gè)人信息數(shù)據(jù)，其不當(dāng)行為會(huì)引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全后果?！暗蔚问录碧嵝盐覀?，運(yùn)營(yíng)者作為維護(hù)關(guān)鍵設(shè)施安全的第一責(zé)任人，其如何正確認(rèn)識(shí)并適當(dāng)履行安全保護(hù)義務(wù)，事關(guān)重大。然而，理論界對(duì)此問(wèn)題鮮有針對(duì)性研究，尚缺乏系統(tǒng)性分析總結(jié)。鑒于此，本文將對(duì)我國(guó)關(guān)鍵設(shè)施運(yùn)營(yíng)者的安全保護(hù)義務(wù)進(jìn)行分析評(píng)述，在正確認(rèn)識(shí)運(yùn)營(yíng)者責(zé)任主體地位的基礎(chǔ)上，勘定其安全保護(hù)義務(wù)的基本環(huán)節(jié)與基本類型，結(jié)合現(xiàn)有研究成果闡述現(xiàn)行治理體系中的不足與可完善之處，力圖為相關(guān)制度改革提供理論參考與方向指引。

1 關(guān)鍵設(shè)施安全保護(hù)義務(wù)的責(zé)任主體：網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代下的運(yùn)營(yíng)者

1.1 等級(jí)保護(hù)1.0時(shí)代下的運(yùn)營(yíng)者

為加快推進(jìn)信息安全等級(jí)保護(hù)，提高信息安全保障能力和水平，2007年至2012年公安部等各部委發(fā)布了以《信息安全等級(jí)保護(hù)管理辦法》為核心的一系列規(guī)范性法律文件，這標(biāo)志著我國(guó)信息系統(tǒng)保護(hù)完成從無(wú)到有的跨越，邁入等級(jí)保護(hù)1.0時(shí)代。1.0時(shí)代的信息系統(tǒng)保護(hù)依安全保護(hù)的等級(jí)來(lái)決定運(yùn)營(yíng)者應(yīng)當(dāng)履行的義務(wù)。具體而言，依據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及信息系統(tǒng)遭到破壞后的危害程度等因素，運(yùn)營(yíng)者的安全保護(hù)義務(wù)被劃分為數(shù)個(gè)等級(jí)。這時(shí)的運(yùn)營(yíng)者應(yīng)當(dāng)按照相應(yīng)等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定且滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作，履行定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)與接受監(jiān)督檢查等安全保護(hù)義務(wù)［8］。然而，隨著信息技術(shù)的發(fā)展，根據(jù)信息系統(tǒng)重要性劃分安全保護(hù)等級(jí)的做法弊端凸顯。

其一，保護(hù)對(duì)象過(guò)于狹隘，對(duì)運(yùn)營(yíng)者的認(rèn)定范圍有待拓展。等級(jí)保護(hù)1.0時(shí)代中重點(diǎn)保護(hù)的是基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。而如今是萬(wàn)物互聯(lián)的時(shí)代，國(guó)家重要行業(yè)、領(lǐng)域的基礎(chǔ)設(shè)施皆與信息網(wǎng)絡(luò)相關(guān)聯(lián)，其關(guān)聯(lián)形式已拓展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)等，新技術(shù)新應(yīng)用提出了新的安全擴(kuò)展要求。其二，以大數(shù)據(jù)為代表的數(shù)據(jù)化、數(shù)字化已經(jīng)成為全球信息技術(shù)發(fā)展的重要趨勢(shì)，數(shù)據(jù)安全也成為國(guó)家網(wǎng)絡(luò)安全的一項(xiàng)核心內(nèi)容［9］。一些關(guān)鍵行業(yè)、領(lǐng)域的運(yùn)營(yíng)者掌握著大量重要數(shù)據(jù)，數(shù)據(jù)的非法收集、使用，不但會(huì)對(duì)個(gè)人權(quán)益造成嚴(yán)重?fù)p害，還會(huì)威脅公共安全、國(guó)家安全。對(duì)于此類運(yùn)營(yíng)者，在等級(jí)保護(hù)的基礎(chǔ)上也亟需國(guó)家予以重點(diǎn)保護(hù)［10］。

1.2 等級(jí)保護(hù)2.0時(shí)代下的運(yùn)營(yíng)者

《網(wǎng)絡(luò)安全法》的頒布徹底改變了我國(guó)網(wǎng)絡(luò)安全保護(hù)格局，《條例》的出臺(tái)則為運(yùn)營(yíng)者落實(shí)安全保護(hù)義務(wù)提供了法律依據(jù)，自此，對(duì)于關(guān)鍵設(shè)施保護(hù)也進(jìn)入到等級(jí)保護(hù)2.0時(shí)代。

首先，《網(wǎng)絡(luò)安全法》提出“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”的安全理念，將保護(hù)對(duì)象從信息系統(tǒng)拓展至一切能夠影響網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施、數(shù)據(jù)資源等，與之相應(yīng)的安全責(zé)任主體范圍也得到了優(yōu)化。其次，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，對(duì)運(yùn)營(yíng)者進(jìn)行重點(diǎn)保護(hù)。具體來(lái)說(shuō)，《條例》采取了“行業(yè)/領(lǐng)域+后果”的認(rèn)定模式：對(duì)于公共通信和信息服務(wù)、能源、交通、水利、金融、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)予以重點(diǎn)保護(hù)；對(duì)于可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等，根據(jù)其可能帶來(lái)的危害、影響，列為重點(diǎn)保護(hù)的關(guān)注對(duì)象。最后，在等級(jí)保護(hù)2.0時(shí)代下，運(yùn)營(yíng)者的認(rèn)定方式也更加靈活?；ヂ?lián)網(wǎng)技術(shù)快速發(fā)展的推動(dòng)下，網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)飛速更迭，運(yùn)營(yíng)者關(guān)鍵核心業(yè)務(wù)的重要程度、對(duì)于其他行業(yè)的關(guān)聯(lián)性影響以及可能造成的危害也處于動(dòng)態(tài)變化中，因此對(duì)于運(yùn)營(yíng)者這一責(zé)任主體的認(rèn)定應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)化的進(jìn)程［11］，此次《條例》采用了靈活化的認(rèn)定方式并用專章予以詳細(xì)說(shuō)明。筆者認(rèn)為，等級(jí)保護(hù)2.0時(shí)代下運(yùn)營(yíng)者的安全保護(hù)義務(wù)是指為落實(shí)《網(wǎng)絡(luò)安全法》和《條例》中與運(yùn)營(yíng)者責(zé)任義務(wù)有關(guān)的規(guī)定、滿足國(guó)家各項(xiàng)網(wǎng)絡(luò)安全管理規(guī)范和標(biāo)準(zhǔn)，而采取一切必要措施保護(hù)關(guān)鍵設(shè)施及其重要數(shù)據(jù)不受攻擊破壞，切實(shí)加強(qiáng)關(guān)鍵設(shè)施安全防護(hù)的義務(wù)。

2 關(guān)鍵設(shè)施運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的基本環(huán)節(jié)及相關(guān)要求

為解決運(yùn)營(yíng)者履行安全保護(hù)義務(wù)缺乏可參照的實(shí)施標(biāo)準(zhǔn)與操作流程問(wèn)題，我國(guó)在2017年開(kāi)始布局關(guān)鍵設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)充分借鑒相關(guān)部門(mén)在重要領(lǐng)域網(wǎng)絡(luò)安全審查、網(wǎng)絡(luò)安全檢查等重點(diǎn)工作的成熟經(jīng)驗(yàn)、充分參考國(guó)際社會(huì)在關(guān)鍵設(shè)施安全保護(hù)方面的成功舉措，頒布了《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求（征求意見(jiàn)稿）》，提出關(guān)鍵設(shè)施網(wǎng)絡(luò)安全保護(hù)要求的同時(shí)，也指明了運(yùn)營(yíng)者履行義務(wù)的基本環(huán)節(jié)（如圖1所示）。

圖1 運(yùn)營(yíng)者履行安全保護(hù)義務(wù)各環(huán)節(jié)關(guān)系

（1）識(shí)別認(rèn)定環(huán)節(jié)：運(yùn)營(yíng)者須配合安全保護(hù)工作部門(mén)，開(kāi)展關(guān)鍵設(shè)施認(rèn)定活動(dòng)，圍繞關(guān)鍵設(shè)施承載的關(guān)鍵業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)識(shí)別；（2）安全防護(hù)環(huán)節(jié)：運(yùn)營(yíng)者根據(jù)已識(shí)別的安全風(fēng)險(xiǎn)，在規(guī)劃、人員、數(shù)據(jù)、供應(yīng)鏈等方面制定和實(shí)施適當(dāng)?shù)陌踩雷o(hù)措施，確保關(guān)鍵設(shè)施的運(yùn)行安全；（3）檢測(cè)評(píng)估環(huán)節(jié)：運(yùn)營(yíng)者制定相應(yīng)的檢測(cè)評(píng)估制度，確定檢測(cè)評(píng)估的流程及內(nèi)容等要素，分析潛在安全風(fēng)險(xiǎn)與可能引起的安全事件；（4）監(jiān)測(cè)預(yù)警環(huán)節(jié)：運(yùn)營(yíng)者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出安全警示；（5）應(yīng)急處置環(huán)節(jié)：根據(jù)檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問(wèn)題，運(yùn)營(yíng)者制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)措施，來(lái)恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

從各環(huán)節(jié)的關(guān)系來(lái)看，第一，識(shí)別認(rèn)定環(huán)節(jié)是其他各環(huán)節(jié)開(kāi)展的前提和基礎(chǔ)。運(yùn)營(yíng)者在此環(huán)節(jié)應(yīng)當(dāng)配合保護(hù)工作部門(mén)的認(rèn)定工作，并積極識(shí)別業(yè)務(wù)鏈上的安全風(fēng)險(xiǎn)，明確安全防護(hù)等級(jí)，當(dāng)關(guān)鍵設(shè)施發(fā)生變化影響識(shí)別認(rèn)定時(shí)，應(yīng)及時(shí)將情況報(bào)告保護(hù)工作部門(mén)。第二，配置安全防護(hù)措施是運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的核心環(huán)節(jié)，運(yùn)營(yíng)者應(yīng)當(dāng)圍繞可能發(fā)生的安全風(fēng)險(xiǎn)配置防護(hù)措施，最大程度上防范安全風(fēng)險(xiǎn)發(fā)生。第三，檢測(cè)評(píng)估環(huán)節(jié)與監(jiān)測(cè)預(yù)警環(huán)節(jié)是運(yùn)營(yíng)者開(kāi)展安全保護(hù)工作的重要保障。運(yùn)營(yíng)者建立檢測(cè)評(píng)估環(huán)節(jié)與監(jiān)測(cè)預(yù)警環(huán)節(jié)，目的都是為了檢驗(yàn)安全防護(hù)措施的有效性，提前預(yù)警、發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，促使運(yùn)營(yíng)者提前研判安全風(fēng)險(xiǎn)與積極應(yīng)對(duì)安全問(wèn)題，同時(shí)推動(dòng)運(yùn)營(yíng)者排查安全漏洞并開(kāi)展整改工作。第四，應(yīng)急處置環(huán)節(jié)是運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的落腳點(diǎn)。在網(wǎng)絡(luò)安全事件發(fā)生后，運(yùn)營(yíng)者應(yīng)按照應(yīng)急預(yù)案組織人員、專家隊(duì)伍，確保安全事件得到及時(shí)有效處置，運(yùn)營(yíng)者也可在真實(shí)事件中檢驗(yàn)設(shè)施安全狀況與處置安全風(fēng)險(xiǎn)的能力。

3 我國(guó)關(guān)鍵設(shè)施運(yùn)營(yíng)者安全保護(hù)義務(wù)具體內(nèi)容的類型分析

《網(wǎng)絡(luò)安全法》作為維護(hù)國(guó)家網(wǎng)絡(luò)安全的頂層設(shè)計(jì)，對(duì)于運(yùn)營(yíng)者的安全保護(hù)義務(wù)作出了總體要求，而《條例》則以專章的形式對(duì)其進(jìn)行細(xì)化。下文將以《條例》相關(guān)內(nèi)容為參照，結(jié)合《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“《指標(biāo)》”）等文件，從制度建設(shè)、機(jī)構(gòu)人員管理、化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等方面對(duì)其義務(wù)進(jìn)行類型化分析（如圖2所示）。

圖2 關(guān)鍵設(shè)施運(yùn)營(yíng)者安全保護(hù)義務(wù)的基本類型

3.1 建立健全網(wǎng)絡(luò)安全保護(hù)制度的義務(wù)

其一，運(yùn)營(yíng)者配合實(shí)施網(wǎng)絡(luò)安全專項(xiàng)規(guī)劃與運(yùn)行保障的義務(wù)。《條例》對(duì)如何夯實(shí)關(guān)鍵設(shè)施保護(hù)的各方面責(zé)任進(jìn)行了規(guī)定，包括運(yùn)營(yíng)者的主體責(zé)任、保護(hù)工作部門(mén)的統(tǒng)籌協(xié)調(diào)與監(jiān)督管理責(zé)任、社會(huì)各方面的協(xié)同配合與監(jiān)督責(zé)任。其中，保護(hù)工作部門(mén)應(yīng)當(dāng)站在全局角度重點(diǎn)圍繞《條例》的落地實(shí)施，制定本行業(yè)、領(lǐng)域關(guān)鍵設(shè)施安全規(guī)劃。而運(yùn)營(yíng)者作為落實(shí)安全保護(hù)義務(wù)的責(zé)任主體，根據(jù)“誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則，其所承擔(dān)的主體責(zé)任是基礎(chǔ)，也是關(guān)鍵［12］。運(yùn)營(yíng)者應(yīng)當(dāng)以提高自身安全保護(hù)能力為主要目標(biāo)，配合保護(hù)工作部門(mén)實(shí)施相關(guān)專項(xiàng)規(guī)劃。在此過(guò)程中，運(yùn)營(yíng)者有義務(wù)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制；保障人力、財(cái)力、物力投入；建立健全網(wǎng)絡(luò)安全管理、評(píng)價(jià)考核制度；根據(jù)自身情況擬定本單位安全保護(hù)計(jì)劃［13］。

其二，運(yùn)營(yíng)者應(yīng)當(dāng)建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度，履行保障公民個(gè)人信息安全和數(shù)據(jù)出境信息安全的義務(wù)。當(dāng)前關(guān)鍵設(shè)施面臨的網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻復(fù)雜，特別是新冠病毒感染疫情發(fā)生以來(lái)，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)勒索、數(shù)據(jù)竊取等事件頻發(fā)，危害經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行。一方面，在大數(shù)據(jù)和人工智能技術(shù)快速發(fā)展的時(shí)代，數(shù)據(jù)控制者對(duì)于海量數(shù)據(jù)分析、處理、使用變得十分普遍，個(gè)人信息被濫用的可能性劇增［14］。運(yùn)營(yíng)者在開(kāi)展關(guān)鍵業(yè)務(wù)中可能掌握大量個(gè)人信息，其中不乏敏感信息，如果缺乏必要的制度約束將引發(fā)個(gè)人信息被濫用等一系列問(wèn)題。另一方面，數(shù)據(jù)資源已經(jīng)成為全球經(jīng)濟(jì)與貿(mào)易發(fā)展的主要驅(qū)動(dòng)因素，數(shù)據(jù)跨境流動(dòng)成為信息產(chǎn)業(yè)實(shí)現(xiàn)利益的重要途徑，但運(yùn)營(yíng)者數(shù)據(jù)跨境行為所引發(fā)的安全風(fēng)險(xiǎn)問(wèn)題卻十分突出，涉及重要數(shù)據(jù)的不當(dāng)跨境給個(gè)人權(quán)益、國(guó)家安全造成嚴(yán)重威脅。因此，強(qiáng)調(diào)運(yùn)營(yíng)者維護(hù)數(shù)據(jù)安全的主體責(zé)任顯得尤為重要，國(guó)家也先后出臺(tái)了多部法律來(lái)廓清運(yùn)營(yíng)者責(zé)任。例如，《網(wǎng)絡(luò)安全法》第37條規(guī)定，運(yùn)營(yíng)者在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)，數(shù)據(jù)出境應(yīng)進(jìn)行安全評(píng)估，該條文奠定了運(yùn)營(yíng)者個(gè)人信息和重要數(shù)據(jù)出境應(yīng)遵循的基本原則；2017年國(guó)家網(wǎng)信辦發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》則為運(yùn)營(yíng)者履行相關(guān)義務(wù)提供了具體操作指南；2021年正式施行的《個(gè)人信息保護(hù)法》在延續(xù)上述規(guī)定的同時(shí)，特別強(qiáng)調(diào)在向境外提供個(gè)人信息時(shí)，運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估［15］。

3.2 設(shè)置安全管理機(jī)構(gòu)、關(guān)鍵崗位人員的義務(wù)

對(duì)于關(guān)鍵設(shè)施保護(hù)，既應(yīng)重視宏觀層面保護(hù)制度、標(biāo)準(zhǔn)的建設(shè)，也要關(guān)注到具體落實(shí)層面的機(jī)構(gòu)與人員管理，做到技術(shù)安全與人員、機(jī)構(gòu)管理安全的全方位保障與協(xié)調(diào)。我國(guó)關(guān)鍵設(shè)施保護(hù)長(zhǎng)期存在重技術(shù)安全，輕人員、機(jī)構(gòu)管理的問(wèn)題，與后者直接相關(guān)安全事件占比較高［4］，對(duì)此，《條例》作出了重點(diǎn)優(yōu)化。其一，機(jī)構(gòu)管理方面，運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)置專門(mén)安全管理機(jī)構(gòu)，由該機(jī)構(gòu)主導(dǎo)網(wǎng)絡(luò)安全和信息化的決策，負(fù)責(zé)管理與協(xié)調(diào)關(guān)鍵設(shè)施相關(guān)工作。其二，人員管理方面，首先，運(yùn)營(yíng)者施行網(wǎng)絡(luò)安全保護(hù)“一把手”責(zé)任制，由運(yùn)營(yíng)者機(jī)構(gòu)主要負(fù)責(zé)人領(lǐng)導(dǎo)相關(guān)工作并負(fù)首要責(zé)任。其次，為有效防范來(lái)自機(jī)構(gòu)內(nèi)部人員的安全風(fēng)險(xiǎn)，必要時(shí)運(yùn)營(yíng)者可尋求公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)的力量，對(duì)專門(mén)安全管理機(jī)構(gòu)負(fù)責(zé)人及關(guān)鍵崗位人員進(jìn)行背景審查。最后，運(yùn)營(yíng)者負(fù)有就人員安全進(jìn)行持續(xù)性保障的義務(wù)，應(yīng)積極組織網(wǎng)絡(luò)安全教育、培訓(xùn)，培養(yǎng)關(guān)鍵崗位人員安全意識(shí)，儲(chǔ)備網(wǎng)絡(luò)安全專業(yè)人才。

3.3 配備實(shí)施安全風(fēng)險(xiǎn)控制措施的義務(wù)

第一，采購(gòu)安全網(wǎng)絡(luò)產(chǎn)品和服務(wù)的義務(wù)。關(guān)鍵設(shè)施安全很大程度上取決于運(yùn)營(yíng)者使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈安全［16］。如果供應(yīng)鏈中存在安全威脅或安全漏洞，運(yùn)營(yíng)者則面臨著關(guān)鍵設(shè)施被非法控制、重要數(shù)據(jù)泄漏、關(guān)鍵業(yè)務(wù)中斷等安全風(fēng)險(xiǎn)。首先，在采購(gòu)行為發(fā)生前，運(yùn)營(yíng)者應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的安全風(fēng)險(xiǎn)，優(yōu)先采購(gòu)安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。其次，運(yùn)營(yíng)者所采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定進(jìn)行網(wǎng)絡(luò)安全審查，履行相應(yīng)的報(bào)送審查義務(wù)。最后，一旦確定采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，運(yùn)營(yíng)者必須與提供者簽訂保密協(xié)議，明確相關(guān)主體的安全責(zé)任義務(wù)。

第二，監(jiān)測(cè)、檢測(cè)與評(píng)估義務(wù)，即運(yùn)營(yíng)者維護(hù)網(wǎng)絡(luò)“硬安全”的義務(wù)。運(yùn)營(yíng)者須通過(guò)一系列可測(cè)得、可量化的指標(biāo)，客觀地掌握網(wǎng)絡(luò)安全狀況，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全、檢測(cè)潛在的網(wǎng)絡(luò)安全事件、評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)［17］。對(duì)此，《指標(biāo)》提供了可參照的安全保障指標(biāo)體系及測(cè)量方法，運(yùn)營(yíng)者應(yīng)當(dāng)重點(diǎn)從建設(shè)情況指標(biāo)、運(yùn)行能力指標(biāo)、安全態(tài)勢(shì)指標(biāo)等三個(gè)大類（包含二十六個(gè)小類）開(kāi)展信息安全管理工作，不斷提高安全保障水平。

第三，應(yīng)急處置義務(wù)。運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家及行業(yè)要求制定本單位預(yù)案并定期開(kāi)展演練，當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，按照應(yīng)急預(yù)案妥善處置安全風(fēng)險(xiǎn)。

第四，報(bào)告義務(wù)。首先，運(yùn)營(yíng)者應(yīng)當(dāng)按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件和重要事項(xiàng)，特別是發(fā)生重大網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)應(yīng)當(dāng)及時(shí)履行報(bào)告義務(wù)。其次，運(yùn)營(yíng)者在對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)、監(jiān)測(cè)與評(píng)估時(shí)，對(duì)于所發(fā)現(xiàn)的安全問(wèn)題應(yīng)當(dāng)向保護(hù)工作部門(mén)報(bào)送相關(guān)情況。最后，當(dāng)運(yùn)營(yíng)者發(fā)生合并、分立、解散等情況，此時(shí)會(huì)引起網(wǎng)絡(luò)安全條件的劇烈變化，應(yīng)及時(shí)報(bào)告保護(hù)工作部門(mén)按照要求進(jìn)行處置。

4 我國(guó)關(guān)鍵設(shè)施安全保護(hù)義務(wù)治理體系的進(jìn)步與不足

4.1 我國(guó)已形成自上而下、逐層細(xì)化的治理體系

首先，《網(wǎng)絡(luò)安全法》首次確定了關(guān)鍵設(shè)施的概念，從宏觀層面明確了保障關(guān)鍵設(shè)施運(yùn)行安全的總體目標(biāo)與基本原則，部分條文規(guī)定了保障關(guān)鍵設(shè)施安全的技術(shù)要求和管理要求，該法作為規(guī)范關(guān)鍵設(shè)施安全保護(hù)的基礎(chǔ)性法規(guī)，為我國(guó)運(yùn)營(yíng)者履行安全保護(hù)義務(wù)提供了基本法律依據(jù)。

其次，《條例》作為《網(wǎng)絡(luò)安全法》的配套性立法，對(duì)關(guān)鍵設(shè)施的認(rèn)定、運(yùn)營(yíng)者的責(zé)任義務(wù)、安全保護(hù)保障與促進(jìn)措施以及各方法律責(zé)任等內(nèi)容做出了更為具體細(xì)致的規(guī)定。就運(yùn)營(yíng)者安全保護(hù)義務(wù)而言，一方面，《條例》在總則中對(duì)運(yùn)營(yíng)者提出原則性要求，即運(yùn)營(yíng)者應(yīng)當(dāng)“依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求”履行相關(guān)義務(wù)，該條款明確了運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的責(zé)任體系框架。另一方面，《條例》在厘清關(guān)鍵設(shè)施責(zé)任主體的基礎(chǔ)上，以專章的形式對(duì)運(yùn)營(yíng)者安全保護(hù)義務(wù)進(jìn)行了細(xì)化，為運(yùn)營(yíng)者開(kāi)展安全保護(hù)工作提供了規(guī)范性依據(jù)。

最后，作為國(guó)家網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分，近年我國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作也在持續(xù)推進(jìn)中。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)結(jié)合關(guān)鍵設(shè)施安全保護(hù)的需要，從邊界識(shí)別、保護(hù)要求、控制措施、保障指標(biāo)、應(yīng)急體系、檢查評(píng)估以及供應(yīng)鏈安全、數(shù)據(jù)安全、信息共享、監(jiān)測(cè)預(yù)警等方面系統(tǒng)性地開(kāi)展標(biāo)準(zhǔn)研制與標(biāo)準(zhǔn)試點(diǎn)工作，努力構(gòu)建安全標(biāo)準(zhǔn)來(lái)保障運(yùn)營(yíng)者安全保護(hù)義務(wù)的落實(shí)。持續(xù)豐富完善的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，也成為支撐《網(wǎng)絡(luò)安全法》《條例》等法律法規(guī)落地實(shí)施的重要抓手［18］。

4.2 我國(guó)關(guān)鍵設(shè)施安全保護(hù)義務(wù)治理體系存在的不足

4.2.1 網(wǎng)絡(luò)安全治理觀念“重預(yù)防而輕恢復(fù)”

針對(duì)頻發(fā)的網(wǎng)絡(luò)安全事件，一方面，我們要牢固“事后控制不如事中控制，事中控制不如事前控制”的風(fēng)險(xiǎn)防范理念，運(yùn)營(yíng)者必須配備風(fēng)險(xiǎn)控制措施，做好網(wǎng)絡(luò)安全檢查、隱患排查、風(fēng)險(xiǎn)評(píng)估和容災(zāi)備份等相關(guān)工作［19］。另一方面，我們也應(yīng)該認(rèn)識(shí)到現(xiàn)實(shí)中網(wǎng)絡(luò)安全事件大多是由突發(fā)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、惡意程序等所引起的，客觀上難以有效預(yù)測(cè)，因而運(yùn)營(yíng)者應(yīng)當(dāng)具備減輕和消除突發(fā)事件造成損失的應(yīng)急恢復(fù)能力［20］。

2019年美國(guó)國(guó)土安全部和國(guó)務(wù)院共同發(fā)布了《關(guān)鍵設(shè)施安全和彈性恢復(fù)指南》（以下簡(jiǎn)稱“《指南》”），《指南》站在國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略高度，總結(jié)了過(guò)去美國(guó)關(guān)鍵設(shè)施安全保護(hù)經(jīng)驗(yàn)并指出：第一，增強(qiáng)安全和彈性恢復(fù)能力是提高關(guān)鍵設(shè)施保護(hù)水平的兩個(gè)重要方面，保護(hù)工作部門(mén)在制定安全目標(biāo)和確定工作計(jì)劃時(shí)，應(yīng)將二者放在等同地位進(jìn)行綜合考量；第二，強(qiáng)大、安全的關(guān)鍵設(shè)施必須具有較強(qiáng)的安全恢復(fù)能力，能夠承受蓄意攻擊、安全威脅或安全事故導(dǎo)致的網(wǎng)絡(luò)中斷并迅速恢復(fù)運(yùn)行［21］。如今國(guó)際上普遍認(rèn)同一種相對(duì)安全的關(guān)鍵設(shè)施保護(hù)理念：網(wǎng)絡(luò)信息安全無(wú)法實(shí)現(xiàn)絕對(duì)安全，只能盡早地發(fā)現(xiàn)風(fēng)險(xiǎn)、隔離風(fēng)險(xiǎn)、減少損失，最大限度保障關(guān)鍵設(shè)施持續(xù)運(yùn)轉(zhuǎn)。

2020年，歐盟在其發(fā)布的《網(wǎng)絡(luò)安全戰(zhàn)略》中重新定義了維護(hù)網(wǎng)絡(luò)安全的目標(biāo)與實(shí)現(xiàn)路徑，并指出提升關(guān)鍵設(shè)施的保護(hù)和恢復(fù)能力是未來(lái)五年網(wǎng)絡(luò)安全工作的重點(diǎn)，歐盟將統(tǒng)籌協(xié)調(diào)關(guān)鍵行業(yè)的公私部門(mén)，實(shí)現(xiàn)關(guān)鍵設(shè)施應(yīng)具有彈性恢復(fù)能力的基本保護(hù)面向。與此同時(shí)，歐盟將依據(jù)《關(guān)鍵設(shè)施恢復(fù)力指南》指導(dǎo)各成員國(guó)制定本國(guó)的關(guān)鍵設(shè)施恢復(fù)戰(zhàn)略、設(shè)立應(yīng)急恢復(fù)能力領(lǐng)導(dǎo)小組，改變以往針對(duì)關(guān)鍵設(shè)施安全的單一保護(hù)思路，轉(zhuǎn)而加強(qiáng)關(guān)鍵設(shè)施的恢復(fù)能力［22］?？梢?jiàn)，歐美等發(fā)達(dá)國(guó)家已將運(yùn)營(yíng)者應(yīng)對(duì)網(wǎng)絡(luò)安全事件的恢復(fù)力視為維護(hù)關(guān)鍵設(shè)施安全的重要組成部分，對(duì)其安全觀念與安全措施提出了新的要求，并將實(shí)現(xiàn)“恢復(fù)力”提升到國(guó)家網(wǎng)絡(luò)安全的戰(zhàn)略高度。

相較而言，我國(guó)《網(wǎng)絡(luò)安全法》第21條、第34條作為規(guī)定運(yùn)營(yíng)者安全保護(hù)義務(wù)的主要條款，僅突出強(qiáng)調(diào)了運(yùn)營(yíng)者應(yīng)采取各類安全措施事前預(yù)防的安全保護(hù)義務(wù)，未對(duì)運(yùn)營(yíng)者在遭受網(wǎng)絡(luò)攻擊后的“恢復(fù)力”作出明確指引。該法第39條第4款要求國(guó)家網(wǎng)信部門(mén)應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)對(duì)“網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等，提供技術(shù)支持與支撐”，但從法條字面含義來(lái)看，網(wǎng)絡(luò)功能的恢復(fù)成為保護(hù)工作部門(mén)的協(xié)調(diào)義務(wù)，并不在運(yùn)營(yíng)者安全保護(hù)義務(wù)之列。更為遺憾的是，《條例》作為《網(wǎng)絡(luò)安全法》的配套性法規(guī)，也未對(duì)運(yùn)營(yíng)者應(yīng)負(fù)有何種恢復(fù)義務(wù)做出細(xì)化規(guī)定。

4.2.2 網(wǎng)絡(luò)安全信息共享機(jī)制缺失

網(wǎng)絡(luò)安全信息共享，是指政府將關(guān)于網(wǎng)絡(luò)安全的信息、情報(bào)、研判等分享給企業(yè)，同時(shí)企業(yè)將其受到威脅、攻擊等有關(guān)信息報(bào)告給政府，以及企業(yè)之間互相交流與網(wǎng)絡(luò)安全相關(guān)的信息［23］。近年，網(wǎng)絡(luò)安全信息共享制度已成為關(guān)鍵設(shè)施保護(hù)制度的重要組成部分，該制度能夠量化關(guān)鍵設(shè)施的運(yùn)行狀態(tài)，幫助運(yùn)營(yíng)者及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞和威脅信息，促使運(yùn)營(yíng)者真正履行網(wǎng)絡(luò)安全保護(hù)義務(wù)［6］。美國(guó)在《指南》中也指出實(shí)現(xiàn)關(guān)鍵設(shè)施安全保護(hù)與彈性恢復(fù)，關(guān)鍵就在于網(wǎng)絡(luò)安全信息共享，而成功的信息共享則需要建立良好的運(yùn)行機(jī)制［24］。早在1998年美國(guó)就開(kāi)始制定網(wǎng)絡(luò)安全信息共享的政策和立法，并成立政府主管機(jī)關(guān)——國(guó)家關(guān)鍵設(shè)施保護(hù)中心（NIPC）——來(lái)推動(dòng)政府和運(yùn)營(yíng)者之間信息流通和共享，同時(shí)規(guī)定企業(yè)建立信息共享和分析中心（ISAC）負(fù)責(zé)收集和共享運(yùn)營(yíng)者之間的網(wǎng)絡(luò)安全信息。之后，立法者又通過(guò)《國(guó)土安全法》和《網(wǎng)絡(luò)安全信息共享法》進(jìn)一步支持和規(guī)范了關(guān)鍵設(shè)施的網(wǎng)絡(luò)安全信息共享機(jī)制［25］。2009年，歐盟發(fā)布《關(guān)鍵設(shè)施保護(hù)條例》提出建立信息共享平臺(tái)，鼓勵(lì)運(yùn)營(yíng)者與政府開(kāi)展信息共享合作，建設(shè)關(guān)鍵設(shè)施的安全信息共享機(jī)制，通過(guò)多年間不斷完善合作機(jī)制、共享規(guī)范，現(xiàn)已為歐盟成員國(guó)提供了一套較為成熟的安全信息共享標(biāo)準(zhǔn)化方案［5］。

我國(guó)《網(wǎng)絡(luò)安全法》第29條提出“國(guó)家支持網(wǎng)絡(luò)運(yùn)營(yíng)者之間在網(wǎng)絡(luò)安全信息收集、分析、通報(bào)和應(yīng)急處置等方面進(jìn)行合作，提高網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保障能力”。該法第39條第3款、《條例》第23條也對(duì)國(guó)家網(wǎng)信部門(mén)負(fù)有促進(jìn)運(yùn)營(yíng)者之間網(wǎng)絡(luò)安全信息共享的義務(wù)作出了規(guī)定，這充分表明國(guó)家鼓勵(lì)、支持運(yùn)營(yíng)者之間的網(wǎng)絡(luò)安全信息共享合作。然而《條例》未能抓住此次立法契機(jī)充分明確運(yùn)營(yíng)者網(wǎng)絡(luò)安全信息共享的機(jī)制框架，存在以下立法缺憾：第一，在職能主體方面，未能明確主導(dǎo)運(yùn)營(yíng)者安全信息分享的核心負(fù)責(zé)機(jī)構(gòu)、主要職能工作部門(mén)，僅籠統(tǒng)地授權(quán)國(guó)家網(wǎng)信部門(mén)具有統(tǒng)籌協(xié)調(diào)相關(guān)工作的職能。而從各國(guó)實(shí)踐經(jīng)驗(yàn)來(lái)看，能夠有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅、安全事件的信息共享機(jī)制，須構(gòu)建多個(gè)專門(mén)部門(mén)和機(jī)構(gòu)來(lái)共同運(yùn)作完成，大致應(yīng)當(dāng)包括統(tǒng)籌領(lǐng)導(dǎo)機(jī)構(gòu)、核心工作機(jī)構(gòu)、公私協(xié)調(diào)機(jī)構(gòu)等。第二，在運(yùn)作流程機(jī)制方面，目前我國(guó)尚未制定完整的數(shù)據(jù)開(kāi)放共享標(biāo)準(zhǔn)、共享數(shù)據(jù)交換流程，特別是關(guān)鍵設(shè)施運(yùn)營(yíng)者這類特殊主體，掌握著大量重要數(shù)據(jù)，特殊共享場(chǎng)景下如何防范數(shù)據(jù)流動(dòng)所產(chǎn)生的安全風(fēng)險(xiǎn)尚缺乏有效實(shí)現(xiàn)機(jī)制，《條例》對(duì)此也未能進(jìn)行說(shuō)明。第三，在責(zé)任與激勵(lì)機(jī)制方面，《條例》既未規(guī)定運(yùn)營(yíng)者負(fù)有網(wǎng)絡(luò)安全信息共享義務(wù)，也未規(guī)定相關(guān)激勵(lì)措施，不僅不利于增強(qiáng)運(yùn)營(yíng)者的法律責(zé)任感，也無(wú)法激發(fā)運(yùn)營(yíng)者履行共享義務(wù)的積極性。

4.2.3 供應(yīng)鏈安全體系化保護(hù)不足

網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈安全風(fēng)險(xiǎn)在當(dāng)今嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下日益凸顯，可以說(shuō)“供應(yīng)鏈就是風(fēng)險(xiǎn)鏈”。為嚴(yán)格把控關(guān)鍵設(shè)施供應(yīng)鏈安全，我國(guó)陸續(xù)出臺(tái)了一系列規(guī)章辦法，然而，散見(jiàn)于各部門(mén)規(guī)章、條例的規(guī)制路徑帶有明顯體系化保障不足的弊端。關(guān)鍵設(shè)施供應(yīng)鏈貫穿于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的整個(gè)生命周期，其間涉及到多個(gè)安全責(zé)任主體與安全生產(chǎn)環(huán)節(jié)，缺乏完整性的安全審查制度容易引起審查不足或過(guò)度審查，而成熟的關(guān)鍵設(shè)施供應(yīng)鏈安全體系須在整體性管理的思想與組織框架下得以實(shí)現(xiàn)［26］。

實(shí)踐中，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）制定的《關(guān)鍵設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》（以下簡(jiǎn)稱“《框架》”）便是體系化保護(hù)的典型代表?！犊蚣堋酚煽蚣芎诵?、框架實(shí)施層、框架輪廓三個(gè)部分組成，各部分相互連接共同組成了一套指導(dǎo)運(yùn)營(yíng)者進(jìn)行風(fēng)險(xiǎn)管控的系統(tǒng)化流程?？蚣芎诵氖峭ㄟ^(guò)具體化的產(chǎn)業(yè)標(biāo)準(zhǔn)、安全指南與相關(guān)最佳實(shí)踐，為運(yùn)營(yíng)者提供本行業(yè)、領(lǐng)域?qū)嵺`中有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法作為安全參考?？蚣軐?shí)施層與框架核心直接相關(guān)聯(lián)，為運(yùn)營(yíng)者快速審視安全風(fēng)險(xiǎn)、建立管理方法提供了具體操作模型?？蚣茌喞?jiǎng)t用于描述安全風(fēng)險(xiǎn)的當(dāng)時(shí)狀態(tài)與目標(biāo)狀態(tài)，以幫助運(yùn)營(yíng)者盡快確定安全風(fēng)險(xiǎn)管控重點(diǎn)與網(wǎng)絡(luò)安全目標(biāo)［27］。2015年美國(guó)能源部便以《框架》為依據(jù)，結(jié)合能源行業(yè)網(wǎng)絡(luò)安全保護(hù)現(xiàn)狀制定了《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南》，幫助能源行業(yè)運(yùn)營(yíng)者有效管控全生命周期的供應(yīng)鏈安全、順利實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理目標(biāo)［4］。

5 加強(qiáng)我國(guó)關(guān)鍵設(shè)施安全保護(hù)義務(wù)的改革建議

5.1 運(yùn)營(yíng)者應(yīng)樹(shù)立彈性安全的網(wǎng)絡(luò)安全治理理念

在現(xiàn)今網(wǎng)絡(luò)安全環(huán)境中，網(wǎng)絡(luò)攻擊幾乎不可避免，復(fù)雜的網(wǎng)絡(luò)安全局勢(shì)不斷對(duì)關(guān)鍵設(shè)施保護(hù)提出新的挑戰(zhàn)，在新技術(shù)新應(yīng)用帶來(lái)的安全風(fēng)險(xiǎn)面前，運(yùn)營(yíng)者即使無(wú)限投入人力、物力、財(cái)力，也無(wú)法獲得絕對(duì)安全。從實(shí)踐來(lái)看，風(fēng)險(xiǎn)預(yù)防工作已不再是保護(hù)關(guān)鍵設(shè)施的唯一核心，建立關(guān)鍵設(shè)施的恢復(fù)能力成為網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的重要方面［28］。筆者認(rèn)為，首先，保護(hù)工作部門(mén)應(yīng)當(dāng)積極引導(dǎo)運(yùn)營(yíng)者樹(shù)立科學(xué)的網(wǎng)絡(luò)安全治理觀，建立從絕對(duì)安全到可恢復(fù)的彈性安全責(zé)任機(jī)制框架。其次，保護(hù)工作部門(mén)在制定本行業(yè)、領(lǐng)域網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案時(shí)，應(yīng)以如何實(shí)現(xiàn)彈性安全為落腳點(diǎn)，指導(dǎo)運(yùn)營(yíng)者加強(qiáng)響應(yīng)網(wǎng)絡(luò)安全事件并減輕對(duì)關(guān)鍵業(yè)務(wù)造成不利影響的能力，引導(dǎo)運(yùn)營(yíng)者以彈性恢復(fù)為中心規(guī)劃設(shè)置安全技術(shù)措施、人員機(jī)構(gòu)管理機(jī)制、應(yīng)急響應(yīng)機(jī)制等。最后，運(yùn)營(yíng)者應(yīng)根據(jù)具體業(yè)務(wù)的重要性，設(shè)置一定區(qū)分度并配置相應(yīng)的業(yè)務(wù)恢復(fù)能力，盡最大努力保證關(guān)鍵業(yè)務(wù)的持續(xù)性運(yùn)轉(zhuǎn)。

5.2 完善網(wǎng)絡(luò)安全信息共享制度，構(gòu)建操作運(yùn)行機(jī)制

首先，設(shè)置業(yè)務(wù)主管機(jī)構(gòu)。應(yīng)授權(quán)國(guó)家網(wǎng)信辦建立專門(mén)的網(wǎng)絡(luò)安全信息共享中心，以該組織為核心推動(dòng)政府與運(yùn)營(yíng)者之間的網(wǎng)絡(luò)安全信息共享；授權(quán)國(guó)家網(wǎng)信辦成立公私協(xié)調(diào)機(jī)構(gòu)，推動(dòng)建立運(yùn)營(yíng)者行業(yè)內(nèi)部的網(wǎng)絡(luò)安全信息交換組織。其次，規(guī)定網(wǎng)絡(luò)安全信息共享的報(bào)告義務(wù)與責(zé)任豁免機(jī)制。一方面，對(duì)于涉及極為重要關(guān)鍵業(yè)務(wù)的運(yùn)營(yíng)者，例如，國(guó)家予以優(yōu)先保障的能源、電信行業(yè)，可強(qiáng)制其履行報(bào)告義務(wù)。另一方面，通過(guò)責(zé)任豁免制度鼓勵(lì)其他運(yùn)營(yíng)者積極參與信息共享活動(dòng)，免除運(yùn)營(yíng)者信息公開(kāi)的披露義務(wù)，同時(shí)規(guī)定其不得利用共享機(jī)制侵犯?jìng)€(gè)人隱私、商業(yè)秘密［2］。最后，加快重點(diǎn)領(lǐng)域標(biāo)準(zhǔn)研制工作。針對(duì)數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化給數(shù)據(jù)共享帶來(lái)的新型安全風(fēng)險(xiǎn)，應(yīng)以現(xiàn)有信息共享安全標(biāo)準(zhǔn)為支撐，深入推動(dòng)重要行業(yè)、領(lǐng)域關(guān)鍵設(shè)施的標(biāo)準(zhǔn)試點(diǎn)工作，促進(jìn)標(biāo)準(zhǔn)研制與信息共享緊密互動(dòng)。

5.3 優(yōu)化建立全生命周期的供應(yīng)鏈安全管理體系

首先，開(kāi)展供應(yīng)鏈安全風(fēng)險(xiǎn)防護(hù)體系化機(jī)制建設(shè)。供應(yīng)鏈安全貫穿于關(guān)鍵行業(yè)上中下游各個(gè)環(huán)節(jié)、各個(gè)產(chǎn)業(yè)，國(guó)家應(yīng)當(dāng)盡快建立一套可廣泛應(yīng)用于各行業(yè)的安全風(fēng)險(xiǎn)管理框架，保護(hù)工作部門(mén)可以依據(jù)該框架并結(jié)合本行業(yè)特點(diǎn)、實(shí)際工作需要制定風(fēng)險(xiǎn)管理流程規(guī)范，實(shí)現(xiàn)對(duì)本領(lǐng)域內(nèi)網(wǎng)絡(luò)安全的系統(tǒng)性防護(hù)。其次，加強(qiáng)供應(yīng)鏈安全風(fēng)險(xiǎn)檢查與評(píng)估工作。國(guó)家網(wǎng)信辦應(yīng)積極統(tǒng)籌協(xié)調(diào)運(yùn)營(yíng)者供應(yīng)鏈安全檢查、監(jiān)督工作，了解各單位供應(yīng)鏈安全管理情況。其一，應(yīng)重點(diǎn)檢查運(yùn)營(yíng)者是否優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)、是否建立保障供應(yīng)鏈安全的配套制度以及相應(yīng)執(zhí)行情況，其二，監(jiān)督運(yùn)營(yíng)者不斷提高對(duì)供應(yīng)鏈安全管理的重視程度，保證運(yùn)營(yíng)者定期開(kāi)展供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估［29］。最后，從根本上講，供應(yīng)鏈安全取決于關(guān)鍵核心技術(shù)安全。習(xí)近平［30］總書(shū)記曾指出，“只有把關(guān)鍵核心技術(shù)掌握在自己手中，才能從根本上保障國(guó)家經(jīng)濟(jì)安全、國(guó)防安全和其他安全?！蔽覈?guó)擁有全球最全的工業(yè)門(mén)類，最多的工業(yè)設(shè)備，豐富的工業(yè)互聯(lián)網(wǎng)生態(tài)以及大量的工業(yè)和信息化人才，應(yīng)充分利用這一優(yōu)勢(shì)條件，加快突破一批關(guān)鍵核心技術(shù)，強(qiáng)化關(guān)鍵環(huán)節(jié)、關(guān)鍵領(lǐng)域、關(guān)鍵產(chǎn)品的保障能力。

6 結(jié)論

《條例》的正式出臺(tái)成為我國(guó)網(wǎng)絡(luò)安全制度設(shè)計(jì)的又一里程碑事件，對(duì)于保護(hù)國(guó)家網(wǎng)絡(luò)安全、維護(hù)經(jīng)濟(jì)平穩(wěn)運(yùn)行意義重大。研究發(fā)現(xiàn)，運(yùn)營(yíng)者作為關(guān)鍵設(shè)施安全保護(hù)義務(wù)的責(zé)任主體，在實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，應(yīng)對(duì)其予以重點(diǎn)保護(hù)。文章明確了運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的基本環(huán)節(jié)及相關(guān)要求，闡釋了運(yùn)營(yíng)者建立健全網(wǎng)絡(luò)安全保護(hù)制度、設(shè)置安全管理機(jī)構(gòu)及關(guān)鍵崗位人員、配備實(shí)施安全風(fēng)險(xiǎn)控制措施等義務(wù)的具體內(nèi)容。也注意到，我國(guó)關(guān)鍵設(shè)施安全保護(hù)義務(wù)仍存在網(wǎng)絡(luò)安全觀念“重預(yù)防而輕恢復(fù)”、網(wǎng)絡(luò)安全信息共享機(jī)制缺失、供應(yīng)鏈安全體系化保護(hù)不足等問(wèn)題，提出應(yīng)從以下幾個(gè)方面予以完善：第一，引導(dǎo)運(yùn)營(yíng)者樹(shù)立科學(xué)網(wǎng)絡(luò)安全治理觀，實(shí)現(xiàn)關(guān)鍵設(shè)施保護(hù)從絕對(duì)安全向可恢復(fù)的彈性安全過(guò)渡，運(yùn)營(yíng)者有責(zé)任建立起預(yù)防能力與恢復(fù)能力并重的安全保護(hù)體系，增強(qiáng)安全事件發(fā)生后的響應(yīng)、恢復(fù)能力；第二，完善網(wǎng)絡(luò)安全信息共享制度，保護(hù)工作部門(mén)與運(yùn)營(yíng)者應(yīng)當(dāng)協(xié)同共建網(wǎng)絡(luò)安全信息共享機(jī)制；第三，優(yōu)化建立全生命周期的供應(yīng)鏈安全管理體系，加快建立一套系統(tǒng)性的安全風(fēng)險(xiǎn)管理框架。綜上，應(yīng)以《條例》頒布為新的歷史起點(diǎn)，開(kāi)啟關(guān)鍵設(shè)施安全保護(hù)新階段。