《關鍵信息基礎設施安全保護條例（征求意見稿）》各方意見綜述

本刊編輯部

《關鍵信息基礎設施安全保護條例（征求意見稿）》各方意見綜述

本刊編輯部

一．背景介紹

1.立法背景

近年來，伴隨著以云計算、大數據、物聯網為代表的新技術在全球范圍內的快速應用，包括能源、電力、交通基礎設施等更多的傳統性、關鍵性領域也紛紛聯入網絡，這使得信息基礎設施的脆弱性和安全威脅呈現出幾何式增長態勢，特別是在有組織的、高強度的攻擊面前，關鍵信息基礎設施面臨著巨大挑戰。

在此背景下，為保障國內關鍵信息基礎設施安全，進一步細化落實《網絡安全法》,國家互聯網信息辦公室于2017年7月11日制定并推出了《關鍵信息基礎設施安全保護條例（征求意見稿）》（以下簡稱“《條例》”）。

《條例》征求意見稿共有8章，共計55項條款，對于關鍵信息基礎設施保護相關的一系列基本要素，包括適用范圍、監管主體、評估對象、評估機制和相應法律責任等，在《網絡安全法》的基礎上做了更具體的細化和落地規定。此外，《條例》中還突出體現了對關鍵信息基礎設施保護的動態全鏈條保護思維、重點保護思維和各類主體全面負責等創新思維，較《網絡安全法》更具創新性，更能適應目前關鍵信息基礎設施安全保護的現實需求，為其安全保護提供新的解決思路。

2.研究背景

《條例》自發布之日起，便受到了網絡安全行業的熱切關注，成為業內專家學者討論和研究的焦點性話題。因此，中國互聯網協會研究中心聯合互聯網實驗室、美國信息產業機構（USITO）等機構共同主辦了“關鍵信息基礎設施安全保護條例（征求意見稿）研討會”，特邀政府部門主管領導、業內專家學者和企業界代表圍繞關鍵信息基礎設施的范圍界定、保護機制和保護責任等重點問題進行了深入探討，期冀為我國關鍵信息基礎設施保護領域的立法與執法工作提供建設性參考意見。

二．各方關注的焦點問題

會議中各界專家的研討主要集中在有關關鍵信息基礎設施（以下簡稱CII）保護的四個方面：1.法律定位和保護理念；2.保護范圍；3.保護機制；4.保護責任。出于對關鍵信息基礎設施問題的復雜性、敏感性及其可操作性的考量，上述四個方面的問題是企業界、學界和法律界共同關心的。

1.法律定位和保護理念

（1）應賦予CII優先保障權

騰訊研究院資深專家王融指出，從國家層面來看，除了CII在安全方面的關鍵屬性，還應當包括戰略性屬性以及先導性屬性。有專家建議，基于CII在國家中的關鍵性、戰略性、先導性的法律地位，《條例》應該更多考慮賦權和保障。《條例》中對這一點也有所體現，比如第十四條，①第十四條：能源、電信、交通等行業應當為關鍵信息基礎設施網絡安全事件應急處置與網絡功能恢復提供電力供應、網絡通信、交通運輸等方面的重點保障和支持。規定了在應急狀態下，電力、通信這些關鍵中的關鍵行業，但實際上這種優先保障應當擴展到CII的日常運營中。

（2）CII保護需要五個理念的轉變

①從泛安全到關鍵安全

王融認為，雖然CII本身定義也在致力于解決從泛安全到關鍵安全的轉變，但從目前有關行業主管部門出臺的一些CII識別指南或者一些行業標準來看，怎么能切實解決從泛安全到關鍵安全的轉變，仍然需要深度的研究思考。

比如：行業主管部門可能會單純提出用戶量這一維度，即用戶數量達到一定級別，那么該業務設施很可能就落入CII范疇。用戶數量這個維度達到一個什么量的標準才能夠鎖定關鍵的范圍？我國的網絡用戶數量天然就大，如果數量標準定的低，可能一個小應用就可能達到CII的標準。因此假如采取用戶數量標準，考慮產業實際狀況，這個數量標準應當足夠高，以真正鎖定關鍵范圍。

將用戶數量作為一個尺度，需要考慮的另一個因素則是“替代性”。如果一個網絡服務的用戶很多，但替代性很強，在遭遇了網絡攻擊后，用戶仍有其他選擇替代的產品，那么“用戶數量”這個指標的權重就應當相應下降。

②從事前的絕對安全到事后可恢復的彈性安全

王融指出，網絡安全中公認的一個觀點是：任何網絡系統都不能夠實現百分之百的事前安全，因此更多的考量應當是——如何在遭到網絡攻擊或者自然災害后是否有很強的恢復能力。她建議，在立法設計上：在事前，法律機制可以不要過于依賴事前的監測安全、評估安全——至少不把它設定為行政許可式的市場門檻（沒有事前監測、評估的，就不能上線）。

當然，這并非否認事前的作用，其旨在強調在事后，將可恢復性作為一個安全的考量維度。如在法律責任中豁免。

③從單一行業的安全，到彼此互聯各行各業的安全

有專家認為，當前，CI（關鍵基礎設施）和CII（關鍵信息基礎設施）本身邊界已模糊，水利大壩、鐵路、航空、醫院、電廠這些關鍵基礎設施（CI）均已實現信息化。在當前的萬物互聯時代，需要更加強調各行業的安全統籌。

Intel法律政策總監續俊旗強調，從世界范圍來講，CII的概念正在從系統向設施演進?，F在隨著信息技術的發展，隨著網絡化、信息化的發展，CII和CI的概念是趨于統一，很多模式放在網上，早已信息化。所以談CII的話，現在的語境跟過去相比發生了很大變化。

王融認為，從《條例》的具體條文看，這種關聯統籌明顯不足。如何做到跨行業的安全信息共享，以及如何在其中協調統籌，避免各行業部門采取不同的尺度、重復性的管理活動，目前沒有特別明確的對應解決機制。她建議，在各行各業主管部門中網信辦應該進一步加強統籌能力，避免重復性的檢測問題，更高效打造一個信息共享的狀態。

④從單一企業合規視角的安全到各方支持參與的安全

王融認為，《條例》特別強調CII運營者的主體責任，比如第七條和第二十二條。①第七條：任何個人和組織發現危害關鍵信息基礎設施安全的行為，有權向網信、電信、公安等部門以及行業主管或監管部門舉報。第二十二條：運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人，負責建立健全網絡安全責任制并組織落實，對本單位關鍵信息基礎設施安全保護工作全面負責。無可否認，在CII的保護中，運營者所起到的作用是最大的，但全面來看，CII保護不應當僅僅體現為企業合規的功能。在《條例》中還應補充相關各方的主體義務和責任。

⑤從政府主導安全到市場能動安全

王融強調，單靠政府主導去實現安全目標相對比較困難。如果能最大化發揮市場能動性去創造安全價值，會事半功倍。目前《條例》中涉及到安全檢測、評估的環節，向第三方市場機構放開，能有效催生市場參與安全保障的積極性。從這一考慮出發，《條例》中關于關鍵崗位的持證上崗制度，也應理解為其中的“證”包括市場已有的各類安全技能培訓、測評認證證書等，而非新設的資質類許可。

2.保護范圍

與會專家學者對《條例》的保護范圍發表了觀點，部分專家認為范圍過于寬泛，而且有些概念需要進一步明確和細化。

（1）《條例》和《網絡安全法》的關系

中國信息通信研究院互聯網法律研究中心主任李海英指出，就保護范圍來講，既然《條例》是《網絡安全法》的配套規定，首先它的定位應該是對后者的具體范圍和安全保護辦法進行一些細致規定，應該在原來等級保護基礎上實行重點保護，保護范圍應該更小，制度上更加嚴格?！毒W絡安全法》對一般運營者規定，在《條例》中不需要再來規定，應該在其基礎之上執行更嚴格的制度。

北京郵電大學互聯網治理與法律研究中心常務副主任謝永江認為，《條例》旨在落實《網絡安全法》，落實的話應當是細化和具體化。從總體感覺，《條例》在具體化和細化方面不太夠，實際上并未對《網絡安全法》的規定做到細化，有一些可能還做了不是很恰當的修改，比如說第三十六條。②第三十六條：國家網信部門統籌建立關鍵信息基礎設施網絡安全監測預警體系和信息通報制度，組織指導有關機構開展網絡安全信息匯總、分析研判和通報工作，按照規定統一發布網絡安全監測預警信息。

（2）CII的范圍需要進一步明確

戴姆勒公司代表認為，關于信息基礎設施保護范圍尚待進一步明確。比如第十八條內容中有一個“大型裝備”，③第十八條：下列單位運行、管理的網絡設施和信息系統，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍：（三）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；大型裝備可能涉及的面太廣了，希望進一步明確什么是大型裝備。如果作為關鍵信息基礎設施運營者，這是一個公司法人的定義，還是作為一個具體某一個系統運營的部門，如果是一個公司實體被確定為運營者的話。這個公司里所有的信息系統，包括郵件系統，還有內部管理系統，是不是都屬于關鍵基礎設施，都進行同等的保護責任？

百度公司代表認為，CII的范圍需要進一步明確。百度下面有很多基礎設施，目前不清楚哪些算是多個CII設備，哪些算是CII，哪些不算？需要一個比較明確的認定標準。簡單來說搜索、社交，電商這些是CII嗎？大的搜索算還是小的也算？這些需要明確一下。

有專家建議：關于CII的范圍，目前可參照的是2016年6月網信辦出臺的《網絡安全檢查操作指南》，④http://www.hbzfhcxjst.gov.cn/UpFiles/Attach/2017/06/26/1704191641.pdf這個標準具有非常強的參考意義。但是，指南里邊確定CII的范圍太廣。在將來制定識別指南時，需要把這一標準基礎上適當提高一些。

有專家指出，外資企業在中國算不算我國關鍵信息基礎設施保護的范圍？如果不算的話也是需要明確的。

（3）大數據、云計算（云服務）的概念有待進一步明確

李海英指出，云計算應該如何算作關鍵信息基礎設施？只是其中對于設施這一部分，或者是設施當中某一部分作為關鍵基礎設施？這都有待進一步界定。大數據也一樣，什么是大數據的業務或什么是大數據的服務，現在也沒有明確規定。

部分專家認為，有關大數據和云計算的設施應該列入關鍵基礎設施的范疇。至于說怎么去列，哪一部分列入，這些細節還需要進一步的研究。

公安部等級保護評估中心技術部主任任衛紅強調，2011年兩高對于辦理危害計算機信息系統這種刑事案件解釋當中，已經把“計算機信息系統”擴展解釋到網絡設備，通信設備，自動控制設備等。那這次《條例》的保護范圍擴展到大數據云計算是必然的。如果對關鍵信息基礎設施實施入侵、破壞等違法犯罪行為，《網絡安全法》定義了許多違法行為，但是違法行為到了一定程度，累計成為犯罪的，就會涉及到刑法條款，仍會被定性為計算機犯罪，所以無論是信息系統、網絡、基礎設施等概念，最終是落實在《條例》要管的那么一個單元，可能是網，可能是一個信息基礎設施，也可能是一個信息系統。這個不用過多的去區別它。

（4）“個人信息和重要數據”的概念有待進一步明確

中國政法大學傳播法中心研究員朱巍認為，關于數據出境方面，條例第二十九條①第二十九條：運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照個人信息和重要數據出境安全評估辦法進行評估；法律、行政法規另有規定的，依照其規定。規定是否欠妥？如“個人信息”方面，在高校學生到境外去留學，境外需要審核其本科畢業證，需要登錄學信網，教育系統也應當算是關鍵信息。這種信息可不可以向境外流動，其個人征信這方面是不是會受到影響？有待進一步研究。

其次，“重要數據”所指不明?！稐l例》第二十九條②第二十九條：運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照個人信息和重要數據出境安全評估辦法進行評估；法律、行政法規另有規定的，依照其規定。提到“重要數據”，不知道是什么概念，重要數據到底是什么？

3.保護機制

綜合企業界、學界和法律界的意見，認為保護機制諸多方面需要細化和明確化。

（1）關鍵信息基礎設施的運營者的識別步驟有待確立③參照《條例》第三十條—第三十五條

如何確定關鍵信息基礎設施的運營者？是先確定關鍵信息基礎設施還是先確定運營者？國外有一些案例是先識別一定的行業，然后識別一些重點的服務領域，再識別這些領域中系統和信息系統一類設施的部分。李海英建議，《條例》能否設立這樣一個識別的步驟。

（2）關鍵信息基礎設施的識別認定標準需要細化

李海英認為，識別的標準需要有原則性的規定，比如一旦遭到破壞嚴重的影響程度，怎樣界定地域范圍？對國家安全到底有哪些威脅，威脅的程度如何？這應該是作為一個標準，然后再來界定，把這些設施圈定之后，認定這些設施的運營者，在這些設施的范圍之內他們承擔關鍵基礎設施運營者的責任。

續俊旗指出，假如某企業有一個大型裝備，交通、通信這些行業都有涉及此裝備的安全認定標準，這些不同行業的識別標準是不是一致，這在邏輯上需要進一步的梳理。此外，到底怎么來設定標準？他認為，第一步確定重要的部門、行業。第二個來看關鍵的業務，第三個看支撐業務的系統，它的設施。

有專家建議：《條例》應當盡可能明確認定程序。關鍵基礎設施是具體行政行為，認定程序直接關系到網絡安全法安全責任措施和運營者的法律責任，同時明確程序可以避免因認定部門不同，導致結果不同而引發爭議。另外因為用戶規模的變化，如何進入CII以及CII的互聯網規模變化，如何退出CII，這是需要考慮的問題?！稐l例》里面有涉及到電信互聯網行業，這個行業用戶規模變化很快，本身業務變化和業務增長這方面，需要更加明確一些。因為主管部門涉及到網信部門和各地方主管部門，這些部門之間如何去協調的問題，同樣需要做出明確。

（3）對于關鍵人員的審查機制有待細化

有專家認為，對于關鍵崗位和關鍵人員的安全背景審查，是作為關鍵基礎設施很重要的一部分。對于高管、安全管理的負責人或直接接觸到這項業務的技術人員，是不是需要進行不同背景的審查，做完背景審查之后是不是有后續的義務，如要求簽署保密的協議？在人員或者其他特定條件發生變化的時候，要不要重新做審查？有關這方面的制度需要再進行細化。

（4）對企業進行安全評估不應該涉及商業機密

有企業界代表指出，有關部門在進行安全檢測評估的時候，會不會調取其公司一些關于受知識產權保護相關的數據，或者是涉及到商業機密的問題。這是作為合資企業的外方利益方考慮特別多的一點，所以不知道條例可不可以在這方面做出一些明確。

（5）企業是否有申訴的機會

有企業界代表表示，如果企業被認定為是關鍵信息基礎設施，企業是否有申訴的機會，或者行業主管部門是否有重新考慮的可能？如果被認定，認定結果是不是有時間的期限？同時他們也希望目錄能夠進行動態調整。

（6）相關行業主管部門和對《條例》的執行需要統一和明確

戴姆勒公司代表指出，需要確立相關行業主管到底是哪個部門。同時需要明確以后具體的檢測抽查，是由國務院級別部門來做，還是說各個省或者是市也可以做？各個省或者主管部門對政策的解讀會不會有出入，執行方面各地有一些是不是有偏差？這些也是業界比較疑惑的地方。

有專家指出，《網絡安全法》授權《條例》規定基礎設施范圍，《條例》授權有關部門制定具體識別指南。企業界擔心這樣層層授權的結果可能導致關鍵信息認定條例，出現認定尺度不協調，認定交叉問題。同時，過于分散的識別主體，給企業的合規或具體的保護責任落實可能會帶來一些負擔。

有些企業的云服務對不同行業客戶都會提供，比如向政府機關或能源金融這些機構可能都提供云服務，這些單位有可能也要有一個評估標準，在評估的時候是說這些單位要評估一次，云服務商評估一次，是不是盡量統一一下能夠復用？另外，境外向境內的合理信息查詢請求，建議每年做一次評估。

（7）需要完善《條例》和其他相關制度的配合與銜接

續俊旗指出，CII保護制度和其他的安全審查、跨境數據流動和個人信息保護等制度的配套和銜接也是一個問題，如果銜接的好它們可以互為支撐，可以使CII保護制度更加優化合理。如何做好這種銜接、優化和平衡，對立法和執法都是一種考驗。

4.保護責任

（1）建議擴大參與保護體系的網絡運營者的范圍

有專家認為，《條例》當中前面（第五條）明確提出運營者是關鍵信息技術運營者，實際上我國也明確指出要鼓勵關鍵信息基礎設施以外的運營者，參與保護體系。建議第十二條中的“運營者”①第十二條：國家鼓勵政府部門、運營者、科研機構、網絡安全服務機構、行業組織、網絡產品和服務提供者開展關鍵信息基礎設施安全合作。能夠擴大范圍，涵蓋一般的網絡運營者。

（2）需要明確安全檢測的主體

《條例》第三十二條②第三十二條：運營者應當對外包開發的系統、軟件，接受捐贈的網絡產品，在其上線應用前進行安全檢測。規定了對于產品進行安全檢測評估的要求，但是安全檢測主體實際上沒有明確。關鍵信息基礎設施運營者自身還是可以委托第三方進行，并不清楚。有專家建議在后續的條例制定過程中，此項內容應當進行進一步的明確。

此外，第三十四條關于CII境內實施的運行，是否需要報國家網信部門，③第三十四條：關鍵信息基礎設施的運行維護應當在境內實施。因業務需要，確需進行境外遠程維護的，應事先報國家行業主管或監管部門和國務院公安部門。也有待進一步明確。

（3）安全預警信息是否可以向社會公開

國家行業主管或監管部門應當及時對有關運營者發布相應的預警措施，面向基礎設施運營者發布的預警信息，④第三十七條：國家行業主管或監管部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警和信息通報制度，及時掌握本行業、本領域關鍵信息基礎設施運行狀況和安全風險，向有關運營者通報安全風險和相關工作信息。是否能夠授權向社會公開，有專家認為，這也是條例中需要考慮的問題。

（4）“關于主要負責人”的概念應當明確界定

《條例》第二十二條中的主要負責人，是指董事長還是其他主要負責人？中華全國律師協會信息網絡與高新技術專業委員會副主任陳際紅認為，對于主要負責人一詞應當有明確的法律界定，這關系到法律承擔問題。這樣一個規定⑤第二十二條：運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人，負責建立健全網絡安全責任制并組織落實，對本單位關鍵信息基礎設施安全保護工作全面負責。會延伸到刑事責任，《刑法》有拒不履行網絡安全管理義務一項規定。如果不做出清晰的界定，會帶來法律責任承擔的復雜化，所以要考慮這樣一個界定和其他法律的銜接問題。

（5）關鍵信息基礎設施識別的方式需要進一步明確

陳際紅律師認為，《條例》第十九條⑥第十九條：國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基礎設施識別指南。是不是可以這么理解：CII識別的話是自上而下的識別，企業不承擔這個責任？還是說企業本身承擔一個初步的識別和申報的，申報之后由行業機關來進行一個確定和識別？這其實跟識別的效果是有關系的。這一點需要明確。

（6）網絡安全服務機構的違法行為和法律責任需要明確

有專家認為，網絡安全服務機構實際上有三方面的合規要求，在條例中有所體現。但是對于它的法律責任，在法律責任一章實際上沒有做出具體規定。⑦第五十一條：關鍵信息基礎設施發生重大網絡安全事件，經調查確定為責任事故的，除應當查明運營單位責任并依法予以追究外，還應查明相關網絡安全服務機構及有關部門的責任，對有失職、瀆職及其他違法行為的，依法追究責任。網安法當中對此做出了具體規定，專家建議《條例》也應當對相應的違法行為和法律責任做出明確的規定。

三．各方提及的其他意見和建議

除去保護范圍等各界共同關注的焦點問題以外，企業界、學術界、律師界代表和專家，分別立法理念、立法技術、法律的實施和可操作性等方面提出了大量觀點和建議。

1.立法原則和理念

（1）立法的宗旨

國家創新與發展戰略研究會副會長郝葉力指出，要精準地劃定安全的范圍，確保安全和發展的平衡，這是非常重要的工作內容。立法應該從實踐中來，在實踐中提煉出有價值的信息，認真學習吸納，同時也應當參考歐美等地的立法經驗，取長補短。最關鍵的是保持立法觀念的更新和開放，要有一個開放開明的態度來立法，這樣的法律是能夠真正得到大家的擁護和自覺執行的。

中央網信辦網絡安全協調局副局長楊春艷強調，立法的根本目的是滿足于產業安全和發展并重，滿足于公眾的應用，滿足于經濟發展和人民的生產生活的需要，滿足于社會更加安定?！稐l例》的所有出發點，都始于這一點。

（2）管轄范圍

朱巍認為，《條例》沒有突出網絡主權原則。①第二條：在中華人民共和國境內規劃、建設、運營、維護、使用關鍵信息基礎設施，以及開展關鍵信息基礎設施的安全保護，適用本條例。（一）攻擊、侵入、干擾、破壞關鍵信息基礎設施……關鍵信息基礎設施不一定在境內規劃建設，運營維護?；ヂ摼W上不一定存在境內，也有可能在境外，也有可能涉及到關鍵基礎設施安全的情況。所以應該把管轄擴大一點。

2.法律的可操作性

（1）期待《識別指南》對CII的清晰界定

戴姆勒公司代表表示，關鍵基礎設施識別指南無疑是大家關注的關鍵點?！稐l例》第十八條②第十八條：下列單位運行、管理的網絡設施和信息系統，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍。在分類和范圍上存在一些邏輯上的模糊情況，業界更期待在CII識別指南上有非常清晰的定位，更關注識別指南怎么分類的，并且對指南出臺的時間表非常關心。此外，業界包括外資企業能否有機會參與討論識別指南的一些過程，非常希望了解這些內容。

（2）如何確立“重大網絡安全事件”？

西安交通大學信息安全法律研究中心博士生方婷表示，《條例》規定只有發生“重大網絡安全事件”才啟動應急預案，③第三十九條：國家行業主管或監管部門應當組織制定本行業、本領域的網絡安全事件應急預案，并定期組織演練，提升網絡安全事件應對和災難恢復能力。發生重大網絡安全事件或接到網信部門的預警信息后，應立即啟動應急預案組織應對，并及時報告有關情況。這里沒有關于“重大”的界定。同時，實際上對關鍵信息基礎設施領域發生網絡安全事件不應當只限于發生重大網絡安全事件下啟動應急預案。

（3）監管范圍可以由易到難，逐步推進

有專家建議，可以把最核心的部門系統，進行國家強制監管，慢慢動態調整監管的目錄，監管的對象，使CII保護這項制度真正落地，做得更好。

3.立法技術

（1）部分條款和《網絡安全法》或其他法律條文重合

有專家指出，《條例》部分內容跟《網絡安全法》以及相關法律法規重合的，沒有必要加進去。如第十六條的內容，《刑法》也有規定。④第十六條：任何個人和組織不得從事下列危害關鍵信息基礎設施的活動和行為：

（2）區分“抽查檢測”和“檢測評估”

任衛紅指出，《網絡安全法》第三十九條⑤第三十九條：國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施：（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估；和《條例》第四十條，⑥第四十條：國家行業主管或監管部門應當定期組織對本行業、本領域關鍵信息基礎設施的安全風險以及運營者履行安全保護義務的情況進行抽查檢測，提出改進措施，指導、督促運營者及時整改檢測評估中發現的問題。國家網信部門統籌協調有關部門開展的抽查檢測工作，避免交叉重復檢測評估。在兩個條款當中都有一個特點：前半部分說起主管部門定期的抽查檢測，又提到在對存在的問題要及時整改檢測評估中發現的問題，前后的表述不一致。抽查檢測和檢測評估在《網絡安全法》里面是不同的概念，要區別這兩個概念——在監管的時候叫它抽查檢測，在網絡運營者義務這一部分叫做檢測評估，這樣可能概念更清晰一些。

（3）關于CII保護的行政管理機制的建議

有專家認為，《條例》第四條是不是應該增加國務院電信主管部門？①第四條：國家行業主管或監管部門按照國務院規定的職責分工，負責指導和監督本行業、本領域的關鍵信息基礎設施安全保護工作。國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內負責相關網絡安全保護和監督管理工作。這主要是考慮到電信領域本身的重要性。事實上《條例》第十九條明確指出國家電信部門負責參與CII指南，所以第四條應該把電信部門列出來。

（4）“監測預警應急處置和檢測評估”的章節標題需要調整

方婷認為，《條例》第六章的章節題目“監測預警、應急處置和檢測評估”，實際上這里的檢測評估包括主管部門以及相關部門組織的檢測評估，與運營者自身的檢測評估是不一致的。為了避免混淆，建議將這一部分改為檢查評估或者是安全檢查，或者是監督檢查可能更為合適。

4.其他方面

美國科文頓柏靈律師事務所高級顧問羅嫣表示，希望美國供應鏈管理監管要求及實踐能夠對我國的立法有所啟示。目前《條例》中沒有體現出對供應鏈的要求。但是供應鏈管理非常重要。在美國聯邦國防采購規則里面有五項關鍵的合規義務：安全保障、報告、保存義務、機構審計權，以及下游合規要求。美國并不是只有國防供應商在做供應鏈的監管，其實對于網絡安全很重視的大公司都在做。

事先的審查是一個很重要的要求，事后動態的保障，一種動態的合規義務也很重要。美國著重對網絡安全的應對，而不是靜態的安全。從美國的監管要求來說，通過市場機制來激勵的一個平衡監管和創新的關系。它不僅是一種行政管理，而且是發揮市場作用一種管理。

（整理：田金強 責任編輯：鐘宇歡）

D 922

：A

：1001-4225（2017）07-0019-08