落實“三同步”原則 全周期保障關鍵信息基礎設施安全
——從“新基建”項目建設角度解讀《關鍵信息基礎設施安全保護條例》

■ 北京德恒律師事務所 曹珊

德恒上海律師事務所 王洋

近日，國務院總理李克強簽署國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。作為《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的重要配套法規，《條例》的出臺為我國關鍵信息基礎設施的安全保護體系提供了更為明確的保障細則以及更具操作性的法律指引，并將關鍵信息基礎設施的安全保護措施與項目的規劃、建設、使用進行了同步融合（即“三同步”原則），使得《網絡安全法》中所規定的關鍵信息基礎設施保護制度得以全周期保障。

《條例》出臺背景

《條例》第一條規定：“為了保障關鍵信息基礎設施安全，維護網絡安全，根據《中華人民共和國網絡安全法》，制定本條例?！?/p>

信息網絡時代，互聯網是國家層面的戰略性基礎設施。早在2017年7月，國家互聯網信息辦公室便發布了《關鍵信息基礎設施安全保護條例（征求意見稿）》（以下簡稱《征求意見稿》）。伴隨著數字經濟的發展，網絡安全威脅和風險也與日俱增，特別是在能源、通信方面，均面臨著較大的網絡安全隱患。近年來，無論是國際市場還是國內市場，均遭受過不同程度的影響。國際方面，美國最大的燃油管道運營商、全球最大的肉類加工企業因黑客攻擊而停擺，直接導致美國乃至全球經濟運行的基礎設施受損，對全產業鏈產生連鎖影響；國內方面，據國家工業信息安全發展研究中心網站消息，人工智能研判的工業信息在去年一年的安全重大風險就近800余條，涉及制造業、交通、市政等多個行業，高危漏洞占比居高不下。上述眾多因素使得關鍵信息基礎設施的網絡安全保護刻不容緩，催化了《條例》的正式出臺。

除《條例》外，近年來，國家發展和改革委員會、工業和信息化部、公安部、國家互聯網信息辦公室、全國信息安全標準化技術委員會等有關部門也陸續出臺了網絡安全防控及關鍵信息基礎設施安全保護制度相關的管理文件及規范性要求。2020年4月，國家互聯網信息辦公室聯合國家發展和改革委員會、工業和信息化部和公安部等12部門聯合出臺《網絡安全審查辦法》，對關系國家安全和公共利益的信息系統使用的重要網絡產品和服務，提出了網絡安全審查具體的要求；2020年7月，公安部發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，進一步健全完善國家網絡安全綜合防控體系，切實保障關鍵信息基礎設施、重要網絡和數據安全；2020年8月，全國信息安全標準化技術委員會發布《信息安全技術 關鍵信息基礎設施邊界確定方法》和《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》征求意見稿，對關鍵信息基礎設施邊界確定和安全防護能力評價提出相應規范要求。

《條例》調整范圍

《條例》第二條規定：“本條例所稱關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。”第九條第一款規定：“保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并報國務院公安部門備案?！?/p>

2017版《征求意見稿》第十八條對關鍵信息基礎設施范圍作出如下規定：“下列單位運行、管理的網絡設施和信息系統，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍：（一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；（二）電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位；（三）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；（四）廣播電臺、電視臺、通訊社等新聞單位；（五）其他重點單位。”相較于《征求意見稿》中的規定，《條例》對關鍵信息基礎設施范圍的規定更為原則化、概念化，并未對具體的關鍵信息基礎設施進行列舉。據行業專家分析，采用列舉的方法，可能導致兩個弊端，一是列舉不全；二是列舉過于寬泛，比如電信、廣播電視等，某些小地方的新聞單位未必屬于關鍵信息基礎設施。此外，關鍵信息基礎設施切實關聯到國家安全和國家命脈，范圍若完全公開，可能會成為未來網絡攻擊中的靶子。從世界范圍來看，關鍵信息基礎設施的范圍一般實行保密清單制度?！稐l例》的規定，一方面保證了關鍵信息基礎設施劃定當中標準的統一協調；另一方面有助于發揮保護工作部門的主觀能動性，更好地結合各自行業及部門的實際情況做出具體認定，對于各類風險態勢的具體感知和實際應對更具可行性。

如何具象化地理解“關鍵信息基礎設施”？工信部高質量發展高層次咨詢專家項立剛曾表示：關鍵信息基礎設施就是對整個社會經濟各方面有比較重要影響的信息基礎設施，像通信基站、服務器、IDC（數據中心）等都屬于關鍵信息基礎設施，首先因為它非常重要，其次是如果破壞這些設施會影響正常的信息通信服務的進行。“新基建”的內涵以5G、人工智能、工業互聯網、物聯網、數據中心、云計算、固定寬帶、重大科技設施為重點，致力于打造數字化、智能化的新型基礎設施，運用數字化、智能化技術改造提升傳統基礎設施。可見，關鍵信息基礎設施的范圍與“新基建”的內涵存在一定的契合性，“新基建”作為數字產業化、產業數字化深度融合的產物，是關鍵信息基礎設施的重要組成。

《條例》對“新基建”項目建設的影響

《條例》第十二條規定：“安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用”；第十五條第七項規定“專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行下列職責：（七）對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理”；第三十九條第二項規定：“運營者有下列情形之一的，由有關主管部門依據職責責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：（二）安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用的”。

可見，《條例》對關鍵信息基礎設施相關項目的同步規劃、同步建設、同步使用要求進行了明確規定，且規定了較為嚴格的處罰措施。雖然《條例》的側重點在于強調關鍵信息基礎設施在運營過程中的“軟件”保護，但“硬件”過關是“軟件”安全的基礎，關鍵信息基礎設施項目在規劃、建設時期的物理防御對關鍵信息基礎設施的安全保障同樣重要。因此，有必要將運營單位的管理責任提前至項目規劃及建設階段。正如中國信息通信研究院院長余曉暉所提到的：“關鍵信息基礎設施自列入關基清單之日起，在設計建設（改擴建）、運行維護、應急恢復、停用廢棄各階段，應確保落實覆蓋全生命周期的安全保護。”

因此，《條例》的出臺勢必會對關鍵信息“新基建”項目的建設者及承包者帶來不同程度的影響。以IDC項目為例，目前我國對于IDC項目的前期規劃、建設方面都設有相應的業內標準，包括國家標準、行業標準以及企業標準，如《數據中心設計規范》（GB 50174-2017）、《數據中心基礎設施施工及驗收規范》（GB 50462-2015）、《數據中心供配電設計規程》（T/CECS 486-2017）、《數據中心網絡布線技術規程》（T/CECS 485-2017）等。上述標準中對安全防范系統也都有部分規定，如《數據中心設計規范》（GB 50174-2017）第11.3.1條規定：“安全防范系統宜由視頻安防監控系統、入侵報警系統和出入口控制系統組成，各系統之間應具備聯動控制功能。A級數據中心主機房的視頻監控應無盲區。”《數據中心基礎設施施工及驗收規范》（GB 50462-2015）第10.1.1條規定：“數據中心監控與安全防范系統施工及驗收宜包括環境監控系統、場地設備監控系統、安全防范系統的施工與驗收?！钡鲜鲆延幸幏吨袑DC項目安全防控措施的要求都較為原則，且對于安全防范系統所需包括的范圍并未進行強制性統一要求。在《條例》實施后，對于被列入關鍵信息基礎設施清單的IDC項目，其新、改、擴建工程的規劃及建設，可能會受到以下三個層面的影響：

其一，對于現有規范中的“宜包括”要求上升為“應包括”要求，進而對IDC項目安全防范系統中應包括的子系統范圍按照等級標準進行統一劃分，使機房及其配套設施具有統一且高效的安全性及可靠性。

其二，對于行業內未明確的規范，可能要求適用其他安全性規范，如住建部與公安部在2018年聯合修訂的《安全防范工程技術標準》（GB 50348-2018），其第1.0.2規定：“本標準適用于新建、改建和擴建的建（構）筑物的安全防范工程的建設以及系統運行與維護?！钡?.0.6條（強制性適用條款）規定：“在涉及國家安全、國家秘密的特殊領域開展安全防范工程建設，應按照相關管理要求，嚴格安全準入機制選用安全可控的產品設備和符合要求的專業設計、施工和服務隊伍。”當然，《條例》出臺后，不排除相關管理部門出臺新的行業規范，進而對關鍵信息基礎設施安全運行提供專項保障，建議建設方可持續關注相關配套規范及管理辦法的落地。

其三，在具體項目規劃時，監管部門可能還會要求建設方預留或新增部分分部分項工程，如要求增加輔助區、支持區等配套基礎設施的規劃，或要求采用相關軟硬件技術提供較強的管理機制、控制手段和事故監控與安全保密等技術措施以提高機房的安全性。在保證機房安全性的同時，要求建設方對機房的布局、電源、制冷、節能、備份等各個方面進行高可靠性的設計，在關鍵設備中采用硬件備份、冗余等技術提升機房的可靠性。

當然，作為關鍵信息基礎設施的建設者及運營者，按照《條例》要求筑牢新型基礎設施規劃及建設的標準根基，落實網絡安全“三同步”原則是不可推卸的責任，而如何進一步保障關鍵信息基礎設施的安全，仍值得我們進行更深一步的思考與探討。