問：請簡要介紹一下《條例》出台的背景?

答：黨中央、國(guó)務院高度重視關鍵信息基礎設施安全保護工作。關鍵信息基礎設施是經(jīng)濟社會(huì)運行的神經(jīng)中樞，是網絡安全的重中之重。保障關鍵信息基礎設施安全，對(duì)于維護國(guó)家網絡空間主權和國(guó)家安全、保障經(jīng)濟社會(huì)健康發(fā)展、維護公共利益和公民合法權益具有重大意義。當前，關鍵信息基礎設施面(miàn)臨的網絡安全形勢日趨嚴峻，網絡攻擊威脅上升，事(shì)故隐患易發(fā)多發(fā)，安全保護工作還(hái)存在法規制度不完善、工作基礎薄弱、資源力量分散、技術産業支撐不足等突出問題，亟待建立專門制度，明确各方責任，加快提升關鍵信息基礎設施安全保護能(néng)力。2017年施行的《中華人民共和國(guó)網絡安全法》規定，關鍵信息基礎設施的具體範圍和安全保護辦法由國(guó)務院制定。出台《條例》旨在落實《中華人民共和國(guó)網絡安全法》有關要求，將(jiāng)爲我國(guó)深入開(kāi)展關鍵信息基礎設施安全保護工作提供有力法治保障。

問：制定《條例》的總體思路是什麼(me)?

答：在總體思路上主要把握了以下三點：一是堅持問題導向(xiàng)。針對(duì)關鍵信息基礎設施安全保護工作實踐中的突出問題，細化《中華人民共和國(guó)網絡安全法》有關規定，將(jiāng)實踐證明成(chéng)熟有效的做法上升爲法律制度，爲保護工作提供法治保障。二是壓實責任。堅持綜合協調、分工負責、依法保護，強化和落實關鍵信息基礎設施運營者主體責任，充分發(fā)揮政府及社會(huì)各方面(miàn)的作用，共同保護關鍵信息基礎設施安全。三是做好(hǎo)與相關法律、行政法規的銜接。在《中華人民共和國(guó)網絡安全法》确立的制度框架下，細化相關制度措施，同時處理好(hǎo)與相關法律、行政法規的關系。

問：開(kāi)展關鍵信息基礎設施安全保護工作，各部門的職責分工是什麼(me)?

答：《條例》第三條規定在國(guó)家網信部門統籌協調下，國(guó)務院公安部門負責指導監督關鍵信息基礎設施安全保護工作；國(guó)務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責範圍内負責關鍵信息基礎設施安全保護和監督管理工作。省級人民政府有關部門依據各自職責對(duì)關鍵信息基礎設施實施安全保護和監督管理。

問：關鍵信息基礎設施如何認定?

答：《條例》從我國(guó)國(guó)情出發(fā)，借鑒國(guó)外通行做法，明确了關鍵信息基礎設施的定義和認定程序。一是明确關鍵信息基礎設施的定義。二是明确關鍵信息基礎設施所在行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。三是明确由保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并組織認定本行業、本領域的關鍵信息基礎設施。四是規定關鍵信息基礎設施發(fā)生較大變化，可能(néng)影響其認定結果時，運營者應當及時報告保護工作部門，由保護工作部門重新認定。

問：《條例》對(duì)保護工作部門職責作了哪些規定？

答：依據《中華人民共和國(guó)網絡安全法》有關規定，按照“誰主管誰負責”的原則，《條例》明确了保護工作部門對(duì)本行業、本領域關鍵信息基礎設施的安全保護責任：一是制定關鍵信息基礎設施安全規劃，明确保護目标、基本要求、工作任務、具體措施。二是建立健全網絡安全監測預警制度，及時掌握關鍵信息基礎設施運行狀況、安全态勢，預警通報網絡安全威脅和隐患，指導做好(hǎo)安全防範工作。三是建立健全網絡安全事(shì)件應急預案，定期組織應急演練。四是指導運營者做好(hǎo)網絡安全事(shì)件應對(duì)處置，并根據需要組織提供技術支持與協助。五是定期組織開(kāi)展網絡安全檢查檢測，指導監督運營者及時整改安全隐患、完善安全措施。

問：爲強化和落實關鍵信息基礎設施運營者主體責任，《條例》主要作了哪些規定?

答：《條例》在總則部分對(duì)運營者責任作了原則規定，要求運營者依照本條例和有關法律、行政法規的規定以及國(guó)家标準的強制性要求，在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對(duì)網絡安全事(shì)件，防範網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

《條例》還(hái)設專章細化了有關義務要求，主要包括：一是建立健全網絡安全保護制度和責任制，實行“一把手負責制”，明确運營者主要負責人負總責，保障人财物投入。二是設置專門安全管理機構，履行安全保護職責，參與本單位與網絡安全和信息化有關的決策，并對(duì)機構負責人和關鍵崗位人員進(jìn)行安全背景審查。三是對(duì)關鍵信息基礎設施每年進(jìn)行網絡安全檢測和風險評估，及時整改問題并按要求向(xiàng)保護工作部門報送情況。四是關鍵信息基礎設施發(fā)生重大網絡安全事(shì)件或者發(fā)現重大網絡安全威脅時，按規定向(xiàng)保護工作部門、公安機關報告。五是優先采購安全可信的網絡産品和服務，并與提供者簽訂安全保密協議；可能(néng)影響國(guó)家安全的，應當按規定通過(guò)安全審查。

問：對(duì)于關鍵信息基礎設施安全保護工作，《條例》明确了哪些保障和促進(jìn)措施?

答：保障關鍵信息基礎設施安全，需要統籌資源和力量，全方位實施保護。《條例》在保障方面(miàn)，一是明确建立網絡安全信息共享機制，并規定工作中獲取的信息隻能(néng)用于維護網絡安全，不得洩露、出售或者非法向(xiàng)他人提供。二是對(duì)國(guó)家有關部門開(kāi)展安全檢查作出規定，要求避免不必要的檢查和交叉重複檢查，檢查不得收費，不得要求被(bèi)檢查單位購買指定産品和服務；同時規定任何個人和組織未經(jīng)授權不得對(duì)關鍵信息基礎設施進(jìn)行探測測試等活動。三是規定國(guó)家網信部門和國(guó)務院電信主管部門、公安部門等根據保護工作部門需要，提供技術支持和協助。四是明确國(guó)家對(duì)能(néng)源、電信等關鍵信息基礎設施安全運行實施優先保障。五是規定公安機關、國(guó)家安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛，防範打擊針對(duì)和利用關鍵信息基礎設施實施的違法犯罪活動。六是明确國(guó)家出台安全标準，指導規範關鍵信息基礎設施安全保護工作。《條例》在支持促進(jìn)方面(miàn)，從人才培養、技術創新和産業發(fā)展、網絡安全服務機構建設與管理、軍民融合、表彰獎勵等方面(miàn)作了相應規定。

問：對(duì)實施危害關鍵信息基礎設施安全活動的個人和組織，或未經(jīng)授權或批準，對(duì)關鍵信息基礎設施實施漏洞探測、滲透性測試等活動的個人和組織，《條例》作了哪些規範?

答：實踐中，一些個人和組織擅自對(duì)關鍵信息基礎設施實施漏洞探測、滲透性測試等活動，影響關鍵信息基礎設施安全。《條例》一是明确任何個人和組織不得實施非法侵入、幹擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安全。二是規定未經(jīng)國(guó)家網信部門、國(guó)務院公安部門批準或者保護工作部門、運營者授權，任何個人和組織不得對(duì)關鍵信息基礎設施實施漏洞探測、滲透性測試等可能(néng)影響或者危害關鍵信息基礎設施安全的活動。對(duì)基礎電信網絡實施漏洞探測、滲透性測試等活動，應當事(shì)先向(xiàng)國(guó)務院電信主管部門報告。三是在法律責任章節中專門規定了相應罰則。

問：關鍵信息基礎設施中的重要數據出境如何進(jìn)行?

答：《中華人民共和國(guó)數據安全法》已由第十三屆全國(guó)人民代表大會(huì)常務委員會(huì)第二十九次會(huì)議于2021年6月10日通過(guò)，將(jiāng)于9月1日起(qǐ)實施。其中，第三十一條規定，關鍵信息基礎設施的運營者在中華人民共和國(guó)境内運營中收集和産生的重要數據的出境安全管理，适用《中華人民共和國(guó)網絡安全法》的規定。《中華人民共和國(guó)網絡安全法》第三十七條規定，關鍵信息基礎設施的運營者在中華人民共和國(guó)境内運營中收集和産生的個人信息和重要數據應當在境内存儲。因業務需要，确需向(xiàng)境外提供的，應當按照國(guó)家網信部門會(huì)同國(guó)務院有關部門制定的辦法進(jìn)行安全評估；法律、行政法規另有規定的，依照其規定。