2.3 《网络安全法》的关键信息基础设施安全

《网络安全法》用近三分之一的篇幅立法规定了关键信息基础设施安全保护，确立了关键信息基础设施保护制度，界定了关键信息基础设施范围，全流程保护关键信息基础设施安全，对攻击、破坏我国关键信息基础设施的境外组织和个人规定了相应的惩治措施等。

1.立法为国家网络空间基本制度

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，是网络战首当其冲的攻击目标。2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上明确要求“树立正确的网络安全观，加快构建关键信息基础设施安全保障体系”。因此，《网络安全法》中提出“关键信息基础设施的具体范围和安全保护办法由国务院制定”，这标志着关键信息基础设施安全保护制度上升到法律，从法律层面立法为国家网络空间的基本制度之一。

2.确定国家关键信息基础设施内涵

《网络安全法》中首次明确了关键信息基础设施的原则性范围，规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”这是我国首次在法律层面提出关键信息基础设施的概念，明确关键信息基础设施涉及的主要行业和领域，为我国明确关键信息基础设施的定义范畴提供了法律依据，是开展关键信息基础设施安全保护的基础。

因此，关键信息基础设施的内涵在于“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”，该内涵可以作为界定关键信息基础设施范围的权威定义。

3.强化主体安全责任和法律责任

明确不同主体的安全责任以及相互关系是关键信息基础设施保护有效开展的前提。《网络安全法》明确了关键信息基础设施安全保护中国家、行业、运营者、个人等各方主体的责任义务以及法律责任。

《网络安全法》要求，国务院制定关键信息基础设施的具体范围和安全保护办法；行业主管编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作；关键信息基础设施运营者履行一般保护义务和增强保护义务，做好安全审查，做好重要数据出境的安全评估，定期开展检测评估。

同时，对境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。

一旦违法上述规定，则面临责令改正、警告、没收违法所得、处罚、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照，甚至治安管理处罚和追究刑事责任。

4.全流程保护关键信息基础设施

《网络安全法》提出要在网络安全等级保护基础之上，实施重点保护；要求关基建设落实同步规划、同步建设、同步使用；规定采购的网络产品和服务应通过国家安全审查；规定采购的网络产品和服务应签到保密协议；规定重要数据要境内存储；规定要开展安全评估；建立网络安全监测预警和应急制度等，全流程保护关键信息基础设施。

《网络安全法》就像一个“管家”，对关键信息基础设施给出了每个流程上的保护，足见国家重视程度。

5.督促出台配套法规条例

在关键信息基础设施保护制度框架下，关基配套的法规办法也在陆续出台。2017年，网信办会同相关部门起草《关键信息基础设施安全保护条例（征求意见稿）》，颁布《个人信息和重要数据出境安全评估办法（征求意见稿）》，发布《网络关键设备和网络安全专用产品目录（第一批）》公告，对关键信息基础设施的保护要求、重要数据和产品目录进行了细化。2020年，国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》，更是通过法规方式及早发现并避免采购产品和服务时，给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。

法律的生命力在于实施，法律的权威也在于实施。随着关键信息基础设施保护力度的加强，后面还有很多配套法规标准陆续出台。