网络安全法学第三讲 网络运行安全法律制度（二）

2010年，“震网”病毒攻击伊朗核设施，致使伊朗核电站延迟运行；2014年，乌俄冲突导致乌克兰通信基础设施多次遭受攻击，相关地区电话、手机、互联网服务被切断，变成“孤岛”；2015年，波兰航空公司地面操作系统遭遇黑客攻击，致使出现长达5小时的系统瘫痪，至少10个班次航班被迫取消。这一系列事件均表明，能源、金融、通信、交通、电力等重要行业关键信息基础设施成为了网络攻击的“重灾区”。2019年3月7日下午5点（当地时间），委内瑞拉全国23个州中的18个州发生了停电，原因是向全国提供80%电力的古里水电站遭到蓄意破坏。9日上午，全国70%的地方恢复了供电，但没过多久电子系统再次遭到”高科技手段”实施的电磁攻击，导致再次大范围的停电。这次电力系统遭受攻击的目的，就是要瘫痪委内瑞拉民生基础，彻底瓦解民心，从而“手不血刃”，达到目的，支持反对派上台。2021年5月9日，因在美国最大的输油管道公司遭受网络攻击后，美国政府发布紧急声明宣布进入国家紧急状态。一、什么是“关键信息基础设施”？美国——关键基础设施：对于美国来说极其重要的物理的或虚拟的系统和资产，一旦它们能力丧失或遭到破坏，就会削弱国家安全、国家经济安全或者国家公众健康与安全。欧盟——基本服务运营者：提供维续关键社会活动及/或经济活动基本服务的主体，该服务的提供依赖于网络和信息系统，网络安全事件会对该服务的提供造成重大的破坏性影响，涉及能源(电力、石油及天然气)、运输(航空、铁路、水运及陆运)、银行、金融市场基础设施、医疗卫生、饮用水供应分配以及数字基础设施(互联网交换点、域名系统服务提供者及顶级域名注册)领域。德国——关键基础设施：对于德国共同体的运作具有重大意义的设施、设备或者其组成，一旦停止运作或者遭受损害将造成严重的供应紧张或者对公共安全产生严重威胁，涉及能源、电信、信息技术、交通运输、卫生、食品以及金融保险领域;具体范围由联邦政府以法规命令予以规定，但明确排除了这些领域中的小企业。

关键性：1、关系到国家安全与公共安全2、在整个基础设施系统中的地位非常重要，一、什么是“关键信息基础设施”？《网络安全法》第三十一条第一款：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。《关键信息基础设施安全保护条例》第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施的特征：1.

关键信息基础设施为国家正常运转提供必需的产品和服务。2.

关键信息基础设施是结构体系中被强依赖的关键节点。3.

关键信息基础设施可能是高危设施，被攻击可导致直接的破坏后果。4.

存储或传输的信息数据大量集中或极其敏感。5.

关键信息基础设施可以具备象征意义，被攻击和破坏可影响社会稳定。关键信息基础设施的认定：（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。关键信息基础设施主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。二、谁来保护关键信息基础设施？（一）主管部门根据《网络安全法》第三十二条，按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。《网络安全法》第三十三条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。因此，无论是哪个行业和领域的关键信息基础设施，都应当确保其具有支持业务稳定、持续运行的性能，并坚持安全技术措施“三同步”的原则，即应该保证安全技术措施实现“同步规划、同步建设、同步使用”。《条例》第三条第一款在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。（二）关键信息基础设施的运营者关键信息基础设施的运营者是关键信息基础设施保护的义务主体。关键信息基础设施的运营者承担着主要的安全维护和保障义务。三、如何保护关键信息基础设施？总体原则：在网络安全等级保护制度的基础上，实行重点保护。（《网络安全法》第31条）（一）运营者的义务1.安全保护措施“三同时”义务2.应当建立健全网络安全保护制度和责任制3.应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。4.检测与评估：应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。5.报告义务：键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。6.采购义务：应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。7.运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。境内维护、个人信息及重要数据境内存储关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门（批准）。（二）监管部门的职责国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。三、违反CII保护义务的法律责任关键信息基础设施运营者的法律责任国家行业主管部门的法律责任境外机构、组织、个人的法律责任关键信息基础设施运营者的法律责任

第一，关键信息基础设施的运营者不履行《网络安全法》第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。第二，关键信息基础设施的运营者违反《网络安全法》第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。第三，关键信息基础设施的运营者违反《网络安全法》第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

国家行业主管部门的法律责任

根据《网络安全法》第七十三条第二款的规定，网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。因此，作为国家行业主管部门的网信部门和有关部门在保障关键信息基础设施安全问题上存在玩忽职守