【國(guó)家网络安(ān)全宣传周】关键信息基础设施安(ān)全保护条例

2022-09-07 15:09:38

中(zhōng)华人民(mín)共和國(guó)國(guó)務(wù)院令

第745号

《关键信息基础设施安(ān)全保护条例》已经2021年4月27日國(guó)務(wù)院第133次常務(wù)会议通过，现予公(gōng)布，自2021年9月1日起施行。

总理(lǐ)  李克强

2021年7月30日

关键信息基础设施安(ān)全保护条例

第一章 总  则

第一条 為(wèi)了保障关键信息基础设施安(ān)全，维护网络安(ān)全，根据《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》，制定本条例。

第二条 本条例所称关键信息基础设施，是指公(gōng)共通信和信息服務(wù)、能(néng)源、交通、水利、金融、公(gōng)共服務(wù)、電(diàn)子政務(wù)、國(guó)防科(kē)技(jì )工(gōng)业等重要行业和领域的，以及其他(tā)一旦遭到破坏、丧失功能(néng)或者数据泄露，可(kě)能(néng)严重危害國(guó)家安(ān)全、國(guó)计民(mín)生、公(gōng)共利益的重要网络设施、信息系统等。

第三条 在國(guó)家网信部门统筹协调下，國(guó)務(wù)院公(gōng)安(ān)部门负责指导监督关键信息基础设施安(ān)全保护工(gōng)作(zuò)。國(guó)務(wù)院電(diàn)信主管部门和其他(tā)有(yǒu)关部门依照本条例和有(yǒu)关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安(ān)全保护和监督管理(lǐ)工(gōng)作(zuò)。

省级人民(mín)政府有(yǒu)关部门依据各自职责对关键信息基础设施实施安(ān)全保护和监督管理(lǐ)。

第四条 关键信息基础设施安(ān)全保护坚持综合协调、分(fēn)工(gōng)负责、依法保护，强化和落实关键信息基础设施运营者（以下简称运营者）主體(tǐ)责任，充分(fēn)发挥政府及社会各方面的作(zuò)用(yòng)，共同保护关键信息基础设施安(ān)全。

第五条 國(guó)家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中(zhōng)华人民(mín)共和國(guó)境内外的网络安(ān)全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安(ān)全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安(ān)全。

第六条 运营者依照本条例和有(yǒu)关法律、行政法规的规定以及國(guó)家标准的强制性要求，在网络安(ān)全等级保护的基础上，采取技(jì )术保护措施和其他(tā)必要措施，应对网络安(ān)全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安(ān)全稳定运行，维护数据的完整性、保密性和可(kě)用(yòng)性。

第七条 对在关键信息基础设施安(ān)全保护工(gōng)作(zuò)中(zhōng)取得显著成绩或者作(zuò)出突出贡献的单位和个人，按照國(guó)家有(yǒu)关规定给予表彰。

第二章 关键信息基础设施认定

第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理(lǐ)部门是负责关键信息基础设施安(ān)全保护工(gōng)作(zuò)的部门（以下简称保护工(gōng)作(zuò)部门）。

第九条 保护工(gōng)作(zuò)部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报國(guó)務(wù)院公(gōng)安(ān)部门备案。

制定认定规则应当主要考虑下列因素：

（一）网络设施、信息系统等对于本行业、本领域关键核心业務(wù)的重要程度；

（二）网络设施、信息系统等一旦遭到破坏、丧失功能(néng)或者数据泄露可(kě)能(néng)带来的危害程度；

（三）对其他(tā)行业和领域的关联性影响。

第十条 保护工(gōng)作(zuò)部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报國(guó)務(wù)院公(gōng)安(ān)部门。

第十一条 关键信息基础设施发生较大变化，可(kě)能(néng)影响其认定结果的，运营者应当及时将相关情况报告保护工(gōng)作(zuò)部门。保护工(gōng)作(zuò)部门自收到报告之日起3个月内完成重新(xīn)认定，将认定结果通知运营者，并通报國(guó)務(wù)院公(gōng)安(ān)部门。

第三章 运营者责任义務(wù)

第十二条 安(ān)全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用(yòng)。

第十三条 运营者应当建立健全网络安(ān)全保护制度和责任制，保障人力、财力、物(wù)力投入。运营者的主要负责人对关键信息基础设施安(ān)全保护负总责，领导关键信息基础设施安(ān)全保护和重大网络安(ān)全事件处置工(gōng)作(zuò)，组织研究解决重大网络安(ān)全问题。

第十四条 运营者应当设置专门安(ān)全管理(lǐ)机构，并对专门安(ān)全管理(lǐ)机构负责人和关键岗位人员进行安(ān)全背景审查。审查时，公(gōng)安(ān)机关、國(guó)家安(ān)全机关应当予以协助。

第十五条 专门安(ān)全管理(lǐ)机构具(jù)體(tǐ)负责本单位的关键信息基础设施安(ān)全保护工(gōng)作(zuò)，履行下列职责：

（一）建立健全网络安(ān)全管理(lǐ)、评价考核制度，拟订关键信息基础设施安(ān)全保护计划；

（二）组织推动网络安(ān)全防护能(néng)力建设，开展网络安(ān)全监测、检测和风险评估；

（三）按照國(guó)家及行业网络安(ān)全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安(ān)全事件；

（四）认定网络安(ān)全关键岗位，组织开展网络安(ān)全工(gōng)作(zuò)考核，提出奖励和惩处建议；

（五）组织网络安(ān)全教育、培训；

（六）履行个人信息和数据安(ān)全保护责任，建立健全个人信息和数据安(ān)全保护制度；

（七）对关键信息基础设施设计、建设、运行、维护等服務(wù)实施安(ān)全管理(lǐ)；

（八）按照规定报告网络安(ān)全事件和重要事项。

第十六条 运营者应当保障专门安(ān)全管理(lǐ)机构的运行经费、配备相应的人员，开展与网络安(ān)全和信息化有(yǒu)关的决策应当有(yǒu)专门安(ān)全管理(lǐ)机构人员参与。

第十七条 运营者应当自行或者委托网络安(ān)全服務(wù)机构对关键信息基础设施每年至少进行一次网络安(ān)全检测和风险评估，对发现的安(ān)全问题及时整改，并按照保护工(gōng)作(zuò)部门要求报送情况。

第十八条 关键信息基础设施发生重大网络安(ān)全事件或者发现重大网络安(ān)全威胁时，运营者应当按照有(yǒu)关规定向保护工(gōng)作(zuò)部门、公(gōng)安(ān)机关报告。

发生关键信息基础设施整體(tǐ)中(zhōng)断运行或者主要功能(néng)故障、國(guó)家基础信息以及其他(tā)重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安(ān)全事件或者发现特别重大网络安(ān)全威胁时，保护工(gōng)作(zuò)部门应当在收到报告后，及时向國(guó)家网信部门、國(guó)務(wù)院公(gōng)安(ān)部门报告。

第十九条 运营者应当优先采購(gòu)安(ān)全可(kě)信的网络产(chǎn)品和服務(wù)；采購(gòu)网络产(chǎn)品和服務(wù)可(kě)能(néng)影响國(guó)家安(ān)全的，应当按照國(guó)家网络安(ān)全规定通过安(ān)全审查。

第二十条 运营者采購(gòu)网络产(chǎn)品和服務(wù)，应当按照國(guó)家有(yǒu)关规定与网络产(chǎn)品和服務(wù)提供者签订安(ān)全保密协议，明确提供者的技(jì )术支持和安(ān)全保密义務(wù)与责任，并对义務(wù)与责任履行情况进行监督。

第二十一条 运营者发生合并、分(fēn)立、解散等情况，应当及时报告保护工(gōng)作(zuò)部门，并按照保护工(gōng)作(zuò)部门的要求对关键信息基础设施进行处置，确保安(ān)全。

第四章 保障和促进

第二十二条 保护工(gōng)作(zuò)部门应当制定本行业、本领域关键信息基础设施安(ān)全规划，明确保护目标、基本要求、工(gōng)作(zuò)任務(wù)、具(jù)體(tǐ)措施。

第二十三条 國(guó)家网信部门统筹协调有(yǒu)关部门建立网络安(ān)全信息共享机制，及时汇总、研判、共享、发布网络安(ān)全威胁、漏洞、事件等信息，促进有(yǒu)关部门、保护工(gōng)作(zuò)部门、运营者以及网络安(ān)全服務(wù)机构等之间的网络安(ān)全信息共享。

第二十四条 保护工(gōng)作(zuò)部门应当建立健全本行业、本领域的关键信息基础设施网络安(ān)全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安(ān)全态势，预警通报网络安(ān)全威胁和隐患，指导做好安(ān)全防范工(gōng)作(zuò)。

第二十五条 保护工(gōng)作(zuò)部门应当按照國(guó)家网络安(ān)全事件应急预案的要求，建立健全本行业、本领域的网络安(ān)全事件应急预案，定期组织应急演练；指导运营者做好网络安(ān)全事件应对处置，并根据需要组织提供技(jì )术支持与协助。

第二十六条 保护工(gōng)作(zuò)部门应当定期组织开展本行业、本领域关键信息基础设施网络安(ān)全检查检测，指导监督运营者及时整改安(ān)全隐患、完善安(ān)全措施。

第二十七条 國(guó)家网信部门统筹协调國(guó)務(wù)院公(gōng)安(ān)部门、保护工(gōng)作(zuò)部门对关键信息基础设施进行网络安(ān)全检查检测，提出改进措施。

有(yǒu)关部门在开展关键信息基础设施网络安(ān)全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工(gōng)作(zuò)不得收取费用(yòng)，不得要求被检查单位購(gòu)买指定品牌或者指定生产(chǎn)、销售单位的产(chǎn)品和服務(wù)。

第二十八条 运营者对保护工(gōng)作(zuò)部门开展的关键信息基础设施网络安(ān)全检查检测工(gōng)作(zuò)，以及公(gōng)安(ān)、國(guó)家安(ān)全、保密行政管理(lǐ)、密码管理(lǐ)等有(yǒu)关部门依法开展的关键信息基础设施网络安(ān)全检查工(gōng)作(zuò)应当予以配合。

第二十九条 在关键信息基础设施安(ān)全保护工(gōng)作(zuò)中(zhōng)，國(guó)家网信部门和國(guó)務(wù)院電(diàn)信主管部门、國(guó)務(wù)院公(gōng)安(ān)部门等应当根据保护工(gōng)作(zuò)部门的需要，及时提供技(jì )术支持和协助。

第三十条 网信部门、公(gōng)安(ān)机关、保护工(gōng)作(zuò)部门等有(yǒu)关部门，网络安(ān)全服務(wù)机构及其工(gōng)作(zuò)人员对于在关键信息基础设施安(ān)全保护工(gōng)作(zuò)中(zhōng)获取的信息，只能(néng)用(yòng)于维护网络安(ān)全，并严格按照有(yǒu)关法律、行政法规的要求确保信息安(ān)全，不得泄露、出售或者非法向他(tā)人提供。

第三十一条 未经國(guó)家网信部门、國(guó)務(wù)院公(gōng)安(ān)部门批准或者保护工(gōng)作(zuò)部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可(kě)能(néng)影响或者危害关键信息基础设施安(ān)全的活动。对基础電(diàn)信网络实施漏洞探测、渗透性测试等活动，应当事先向國(guó)務(wù)院電(diàn)信主管部门报告。

第三十二条 國(guó)家采取措施，优先保障能(néng)源、電(diàn)信等关键信息基础设施安(ān)全运行。

能(néng)源、電(diàn)信行业应当采取措施，為(wèi)其他(tā)行业和领域的关键信息基础设施安(ān)全运行提供重点保障。

第三十三条 公(gōng)安(ān)机关、國(guó)家安(ān)全机关依据各自职责依法加强关键信息基础设施安(ān)全保卫，防范打击针对和利用(yòng)关键信息基础设施实施的违法犯罪活动。

第三十四条 國(guó)家制定和完善关键信息基础设施安(ān)全标准，指导、规范关键信息基础设施安(ān)全保护工(gōng)作(zuò)。

第三十五条 國(guó)家采取措施，鼓励网络安(ān)全专门人才从事关键信息基础设施安(ān)全保护工(gōng)作(zuò)；将运营者安(ān)全管理(lǐ)人员、安(ān)全技(jì )术人员培训纳入國(guó)家继续教育體(tǐ)系。

第三十六条 國(guó)家支持关键信息基础设施安(ān)全防护技(jì )术创新(xīn)和产(chǎn)业发展，组织力量实施关键信息基础设施安(ān)全技(jì )术攻关。

第三十七条 國(guó)家加强网络安(ān)全服務(wù)机构建设和管理(lǐ)，制定管理(lǐ)要求并加强监督指导，不断提升服務(wù)机构能(néng)力水平，充分(fēn)发挥其在关键信息基础设施安(ān)全保护中(zhōng)的作(zuò)用(yòng)。

第三十八条 國(guó)家加强网络安(ān)全军民(mín)融合，军地协同保护关键信息基础设施安(ān)全。

第五章 法律责任

第三十九条 运营者有(yǒu)下列情形之一的，由有(yǒu)关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安(ān)全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）在关键信息基础设施发生较大变化，可(kě)能(néng)影响其认定结果时未及时将相关情况报告保护工(gōng)作(zuò)部门的；

（二）安(ān)全保护措施未与关键信息基础设施同步规划、同步建设、同步使用(yòng)的；

（三）未建立健全网络安(ān)全保护制度和责任制的；

（四）未设置专门安(ān)全管理(lǐ)机构的；

（五）未对专门安(ān)全管理(lǐ)机构负责人和关键岗位人员进行安(ān)全背景审查的；

（六）开展与网络安(ān)全和信息化有(yǒu)关的决策没有(yǒu)专门安(ān)全管理(lǐ)机构人员参与的；

（七）专门安(ān)全管理(lǐ)机构未履行本条例第十五条规定的职责的；

（八）未对关键信息基础设施每年至少进行一次网络安(ān)全检测和风险评估，未对发现的安(ān)全问题及时整改，或者未按照保护工(gōng)作(zuò)部门要求报送情况的；

（九）采購(gòu)网络产(chǎn)品和服務(wù)，未按照國(guó)家有(yǒu)关规定与网络产(chǎn)品和服務(wù)提供者签订安(ān)全保密协议的；

（十）发生合并、分(fēn)立、解散等情况，未及时报告保护工(gōng)作(zuò)部门，或者未按照保护工(gōng)作(zuò)部门的要求对关键信息基础设施进行处置的。

第四十条 运营者在关键信息基础设施发生重大网络安(ān)全事件或者发现重大网络安(ān)全威胁时，未按照有(yǒu)关规定向保护工(gōng)作(zuò)部门、公(gōng)安(ān)机关报告的，由保护工(gōng)作(zuò)部门、公(gōng)安(ān)机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安(ān)全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

第四十一条 运营者采購(gòu)可(kě)能(néng)影响國(guó)家安(ān)全的网络产(chǎn)品和服務(wù)，未按照國(guó)家网络安(ān)全规定进行安(ān)全审查的，由國(guó)家网信部门等有(yǒu)关主管部门依据职责责令改正，处采購(gòu)金额1倍以上10倍以下罚款，对直接负责的主管人员和其他(tā)直接责任人员处1万元以上10万元以下罚款。

第四十二条 运营者对保护工(gōng)作(zuò)部门开展的关键信息基础设施网络安(ān)全检查检测工(gōng)作(zuò)，以及公(gōng)安(ān)、國(guó)家安(ān)全、保密行政管理(lǐ)、密码管理(lǐ)等有(yǒu)关部门依法开展的关键信息基础设施网络安(ān)全检查工(gōng)作(zuò)不予配合的，由有(yǒu)关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他(tā)直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。

第四十三条 实施非法侵入、干扰、破坏关键信息基础设施，危害其安(ān)全的活动尚不构成犯罪的，依照《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》有(yǒu)关规定，由公(gōng)安(ān)机关没收违法所得，处5日以下拘留，可(kě)以并处5万元以上50万元以下罚款；情节较重的，处5日以上15日以下拘留，可(kě)以并处10万元以上100万元以下罚款。

单位有(yǒu)前款行為(wèi)的，由公(gōng)安(ān)机关没收违法所得，处10万元以上100万元以下罚款，并对直接负责的主管人员和其他(tā)直接责任人员依照前款规定处罚。

违反本条例第五条第二款和第三十一条规定，受到治安(ān)管理(lǐ)处罚的人员，5年内不得从事网络安(ān)全管理(lǐ)和网络运营关键岗位的工(gōng)作(zuò)；受到刑事处罚的人员，终身不得从事网络安(ān)全管理(lǐ)和网络运营关键岗位的工(gōng)作(zuò)。

第四十四条 网信部门、公(gōng)安(ān)机关、保护工(gōng)作(zuò)部门和其他(tā)有(yǒu)关部门及其工(gōng)作(zuò)人员未履行关键信息基础设施安(ān)全保护和监督管理(lǐ)职责或者玩忽职守、滥用(yòng)职权、徇私舞弊的，依法对直接负责的主管人员和其他(tā)直接责任人员给予处分(fēn)。

第四十五条 公(gōng)安(ān)机关、保护工(gōng)作(zuò)部门和其他(tā)有(yǒu)关部门在开展关键信息基础设施网络安(ān)全检查工(gōng)作(zuò)中(zhōng)收取费用(yòng)，或者要求被检查单位購(gòu)买指定品牌或者指定生产(chǎn)、销售单位的产(chǎn)品和服務(wù)的，由其上级机关责令改正，退还收取的费用(yòng)；情节严重的，依法对直接负责的主管人员和其他(tā)直接责任人员给予处分(fēn)。

第四十六条 网信部门、公(gōng)安(ān)机关、保护工(gōng)作(zuò)部门等有(yǒu)关部门、网络安(ān)全服務(wù)机构及其工(gōng)作(zuò)人员将在关键信息基础设施安(ān)全保护工(gōng)作(zuò)中(zhōng)获取的信息用(yòng)于其他(tā)用(yòng)途，或者泄露、出售、非法向他(tā)人提供的，依法对直接负责的主管人员和其他(tā)直接责任人员给予处分(fēn)。

第四十七条 关键信息基础设施发生重大和特别重大网络安(ān)全事件，经调查确定為(wèi)责任事故的，除应当查明运营者责任并依法予以追究外，还应查明相关网络安(ān)全服務(wù)机构及有(yǒu)关部门的责任，对有(yǒu)失职、渎职及其他(tā)违法行為(wèi)的，依法追究责任。

第四十八条 電(diàn)子政務(wù)关键信息基础设施的运营者不履行本条例规定的网络安(ān)全保护义務(wù)的，依照《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》有(yǒu)关规定予以处理(lǐ)。

第四十九条 违反本条例规定，给他(tā)人造成损害的，依法承担民(mín)事责任。

违反本条例规定，构成违反治安(ān)管理(lǐ)行為(wèi)的，依法给予治安(ān)管理(lǐ)处罚；构成犯罪的，依法追究刑事责任。

第六章 附  则

第五十条 存储、处理(lǐ)涉及國(guó)家秘密信息的关键信息基础设施的安(ān)全保护，还应当遵守保密法律、行政法规的规定。

关键信息基础设施中(zhōng)的密码使用(yòng)和管理(lǐ)，还应当遵守相关法律、行政法规的规定。

第五十一条 本条例自2021年9月1日起施行。