關鍵信息基礎設施安全保護條例 

(征求意見稿）

第一章 總則

    第一條 為了保障關鍵信息基礎設施安全，根據《中華人民共和國網絡安全法》，
制定本條例。

    第二條 在中華人民共和國境內規劃、建設、運營、維護、使用關鍵信息基礎設
施，以及開展關鍵信息基礎設施的安全保護，適用本條例。

    第三條 關鍵信息基礎設施安全保護堅持頂層設計、整體防護，統籌協調、分工負
責的原則，充分發揮運營主體作用，社會各方積極參與，共同保護關鍵信息基礎設
施安全。

    第四條 國家行業主管或監管部門按照國務院規定的職責分工，負責指導和監督本
行業、本領域的關鍵信息基礎設施安全保護工作。

    國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作和相關監督管理工作。
國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內
負責相關網絡安全保護和監督管理工作。

    縣級以上地方人民政府有關部門按照國家有關規定開展關鍵信息基礎設施安全保
護工作。

    第五條 關鍵信息基礎設施的運營者（以下稱運營者）對本單位關鍵信息基礎設施
安全負主體責任，履行網絡安全保護義務，接受政府和社會監督，承擔社會責任。

    國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。

    第六條 關鍵信息基礎設施在網絡安全等級保護制度基礎上，實行重點保護。

    第七條 任何個人和組織發現危害關鍵信息基礎設施安全的行為，有權向網信、電信
、公安等部門以及行業主管或監管部門舉報。

    收到舉報的部門應當及時依法作出處理；不屬于本部門職責的，應當及時移送有權
處理的部門。

    有關部門應當對舉報人的相關信息予以保密，保護舉報人的合法權益。

第二章 支持與保障

    第八條 國家采取措施，監測、防御、處置來源于中華人民共和國境內外的網絡安
全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網
絡違法犯罪活動。

    第九條 國家制定產業、財稅、金融、人才等政策，支持關鍵信息基礎設施安全相
關的技術、產品、服務創新，推廣安全可信的網絡產品和服務，培養和選拔網絡安全
人才，提高關鍵信息基礎設施的安全水平。

    第十條 國家建立和完善網絡安全標準體系，利用標準指導、規范關鍵信息基礎設
施安全保護工作。

    第十一條 地市級以上人民政府應當將關鍵信息基礎設施安全保護工作納入地區經
濟社會發展總體規劃，加大投入，開展工作績效考核評價。

    第十二條 國家鼓勵政府部門、運營者、科研機構、網絡安全服務機構、行業組織
、網絡產品和服務提供者開展關鍵信息基礎設施安全合作。

    第十三條 國家行業主管或監管部門應當設立或明確專門負責本行業、本領域關鍵
信息基礎設施安全保護工作的機構和人員，編制并組織實施本行業、本領域的網絡
安全規劃，建立健全工作經費保障機制并督促落實。

    第十四條 能源、電信、交通等行業應當為關鍵信息基礎設施網絡安全事件應急處
置與網絡功能恢復提供電力供應、網絡通信、交通運輸等方面的重點保障和支持。

    第十五條 公安機關等部門依法偵查打擊針對和利用關鍵信息基礎設施實施的違法
犯罪活動。

    第十六條 任何個人和組織不得從事下列危害關鍵信息基礎設施的活動和行為：

    （一）攻擊、侵入、干擾、破壞關鍵信息基礎設施；

    （二）非法獲取、出售或者未經授權向他人提供可能被專門用于危害關鍵信息基礎
設施安全的技術資料等信息；

    （三）未經授權對關鍵信息基礎設施開展滲透性、攻擊性掃描探測；

    （四）明知他人從事危害關鍵信息基礎設施安全的活動，仍然為其提供互聯網接入
、服務器托管、網絡存儲、通訊傳輸、廣告推廣、支付結算等幫助；

    （五）其他危害關鍵信息基礎設施的活動和行為。

    第十七條 國家立足開放環境維護網絡安全，積極開展關鍵信息基礎設施安全領域
的國際交流與合作。

第三章 關鍵信息基礎設施范圍

    第十八條 下列單位運行、管理的網絡設施和信息系統，一旦遭到破壞、喪失功能或
者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基
礎設施保護范圍：

    （一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、
公用事業等行業領域的單位；

    （二）電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他
大型公共信息網絡服務的單位；

    （三）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；

    （四）廣播電臺、電視臺、通訊社等新聞單位；

    （五）其他重點單位。

    第十九條 國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基
礎設施識別指南。

    國家行業主管或監管部門按照關鍵信息基礎設施識別指南，組織識別本行業、本領域
的關鍵信息基礎設施，并按程序報送識別結果。

    關鍵信息基礎設施識別認定過程中，應當充分發揮有關專家作用，提高關鍵信息基礎
設施識別認定的準確性、合理性和科學性。

    第二十條 新建、停運關鍵信息基礎設施，或關鍵信息基礎設施發生重大變化的，運
營者應當及時將相關情況報告國家行業主管或監管部門。

    國家行業主管或監管部門應當根據運營者報告的情況及時進行識別調整，并按程序
報送調整情況。

第四章 運營者安全保護

    第二十一條 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性
能，并保證安全技術措施同步規劃、同步建設、同步使用。

    第二十二條 運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任
人，負責建立健全網絡安全責任制并組織落實，對本單位關鍵信息基礎設施安全保
護工作全面負責。

    第二十三條 運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義
務，保障關鍵信息基礎設施免受干擾、破壞或者未經授權的訪問，防止網絡數據泄
漏或者被竊取、篡改：

    （一）制定內部安全管理制度和操作規程，嚴格身份認證和權限管理；

    （二）采取技術措施，防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行
為；

    （三）采取技術措施，監測、記錄網絡運行狀態、網絡安全事件，并按照規定留
存相關的網絡日志不少于六個月；

    （四）采取數據分類、重要數據備份和加密認證等措施。

    第二十四條 除本條例第二十三條外，運營者還應當按照國家法律法規的規定和
相關國家標準的強制性要求，履行下列安全保護義務：

    （一）設置專門網絡安全管理機構和網絡安全管理負責人，并對該負責人和關鍵
崗位人員進行安全背景審查；

    （二）定期對從業人員進行網絡安全教育、技術培訓和技能考核；

    （三）對重要系統和數據庫進行容災備份，及時對系統漏洞等安全風險采取補救
措施；

    （四）制定網絡安全事件應急預案并定期進行演練；

    （五）法律、行政法規規定的其他義務。

    第二十五條 運營者網絡安全管理負責人履行下列職責：

    （一） 組織制定網絡安全規章制度、操作規程并監督執行；

    （二）組織對關鍵崗位人員的技能考核；

    （三）組織制定并實施本單位網絡安全教育和培訓計劃；

    （四）組織開展網絡安全檢查和應急演練，應對處置網絡安全事件；

    （五）按規定向國家有關部門報告網絡安全重要事項、事件。

    第二十六條 運營者網絡安全關鍵崗位專業技術人員實行執證上崗制度。

    執證上崗具體規定由國務院人力資源社會保障部門會同國家網信部門等部門制定。

    第二十七條 運營者應當組織從業人員網絡安全教育培訓，每人每年教育培訓時長不
得少于1個工作日，關鍵崗位專業技術人員每人每年教育培訓時長不得少于3個工作日。

    第二十八條 運營者應當建立健全關鍵信息基礎設施安全檢測評估制度，關鍵信息基
礎設施上線運行前或者發生重大變化時應當進行安全檢測評估。

    運營者應當自行或委托網絡安全服務機構對關鍵信息基礎設施的安全性和可能存在
的風險隱患每年至少進行一次檢測評估，對發現的問題及時進行整改，并將有關情況
報國家行業主管或監管部門。

    第二十九條 運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據
應當在境內存儲。因業務需要，確需向境外提供的，應當按照個人信息和重要數據出
境安全評估辦法進行評估；法律、行政法規另有規定的，依照其規定。

第五章 產品和服務安全

    第三十條 運營者采購、使用的網絡關鍵設備、網絡安全專用產品，應當符合法律、
行政法規的規定和相關國家標準的強制性要求。

    第三十一條 運營者采購網絡產品和服務，可能影響國家安全的，應當按照網絡產品
和服務安全審查辦法的要求，通過網絡安全審查，并與提供者簽訂安全保密協議。

    第三十二條 運營者應當對外包開發的系統、軟件，接受捐贈的網絡產品，在其上線
應用前進行安全檢測。

    第三十三條 運營者發現使用的網絡產品、服務存在安全缺陷、漏洞等風險的，應當
及時采取措施消除風險隱患，涉及重大風險的應當按規定向有關部門報告。

    第三十四條 關鍵信息基礎設施的運行維護應當在境內實施。因業務需要，確需進行
境外遠程維護的，應事先報國家行業主管或監管部門和國務院公安部門。

    第三十五條 面向關鍵信息基礎設施開展安全檢測評估，發布系統漏洞、計算機病毒
、網絡攻擊等安全威脅信息，提供云計算、信息技術外包等服務的機構，應當符合有
關要求。

    具體要求由國家網信部門會同國務院有關部門制定。

第六章 監測預警、應急處置和檢測評估

    第三十六條 國家網信部門統籌建立關鍵信息基礎設施網絡安全監測預警體系和信息
通報制度，組織指導有關機構開展網絡安全信息匯總、分析研判和通報工作，按照規
定統一發布網絡安全監測預警信息。

    第三十七條 國家行業主管或監管部門應當建立健全本行業、本領域的關鍵信息基礎
設施網絡安全監測預警和信息通報制度，及時掌握本行業、本領域關鍵信息基礎設施
運行狀況和安全風險，向有關運營者通報安全風險和相關工作信息。

    國家行業主管或監管部門應當組織對安全監測信息進行研判，認為需要立即采取防
范應對措施的，應當及時向有關運營者發布預警信息和應急防范措施建議，并按照國
家網絡安全事件應急預案的要求向有關部門報告。

    第三十八條 國家網信部門統籌協調有關部門、運營者以及有關研究機構、網絡安全
服務機構建立關鍵信息基礎設施網絡安全信息共享機制，促進網絡安全信息共享。

    第三十九條 國家網信部門按照國家網絡安全事件應急預案的要求，統籌有關部門建
立健全關鍵信息基礎設施網絡安全應急協作機制，加強網絡安全應急力量建設，指導
協調有關部門組織跨行業、跨地域網絡安全應急演練。

    國家行業主管或監管部門應當組織制定本行業、本領域的網絡安全事件應急預案，
并定期組織演練，提升網絡安全事件應對和災難恢復能力。發生重大網絡安全事件或
接到網信部門的預警信息后，應立即啟動應急預案組織應對，并及時報告有關情況。

    第四十條 國家行業主管或監管部門應當定期組織對本行業、本領域關鍵信息基礎設
施的安全風險以及運營者履行安全保護義務的情況進行抽查檢測，提出改進措施，指
導、督促運營者及時整改檢測評估中發現的問題。

    國家網信部門統籌協調有關部門開展的抽查檢測工作，避免交叉重復檢測評估。

    第四十一條 有關部門組織開展關鍵信息基礎設施安全檢測評估，應堅持客觀公正、
高效透明的原則，采取科學的檢測評估方法，規范檢測評估流程，控制檢測評估風險。

    運營者應當對有關部門依法實施的檢測評估予以配合，對檢測評估發現的問題及時
進行整改。

    第四十二條 有關部門組織開展關鍵信息基礎設施安全檢測評估，可采取下列措施：

    （一）要求運營者相關人員就檢測評估事項作出說明；

    （二）查閱、調取、復制與安全保護有關的文檔、記錄；

    （三）查看網絡安全管理制度制訂、落實情況以及網絡安全技術措施規劃、建設、
運行情況；

    （四）利用檢測工具或委托網絡安全服務機構進行技術檢測；

    （五）經運營者同意的其他必要方式。

    第四十三條 有關部門以及網絡安全服務機構在關鍵信息基礎設施安全檢測評估中獲
取的信息，只能用于維護網絡安全的需要，不得用于其他用途。

    第四十四條 有關部門組織開展關鍵信息基礎設施安全檢測評估，不得向被檢測評估
單位收取費用，不得要求被檢測評估單位購買指定品牌或者指定生產、銷售單位的產
品和服務。

第七章 法律責任

    第四十五條 運營者不履行本條例第二十條第一款、第二十一條、第二十三條、
第二十四條、第二十六條、第二十七條、第二十八條、第三十條、第三十二條、
第三十三條、第三十四條規定的網絡安全保護義務的，由有關主管部門依據職責責
令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百
萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

    第四十六條 運營者違反本條例第二十九條規定，在境外存儲網絡數據，或者向境
外提供網絡數據的，由國家有關主管部門依據職責責令改正，給予警告，沒收違法所
得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網
站、吊銷相關業務許可證；對直接負責的主管人員和其他直接責任人員處一萬元以上
十萬元以下罰款。

    第四十七條 運營者違反本條例第三十一條規定，使用未經安全審查或安全審查未通
過的網絡產品或者服務的，由國家有關主管部門依據職責責令停止使用，處采購金額
一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十
萬元以下罰款。

    第四十八條 個人違反本條例第十六條規定，尚不構成犯罪的，由公安機關沒收違法
所得，處五日以下拘留，可以并處五萬元以上五十萬元以下罰款；情節較重的，處五
日以上十五日以下拘留，可以并處十萬元以上一百萬元以下罰款；構成犯罪的，依法
追究刑事責任。

    單位有前款行為的，由公安機關沒收違法所得，處十萬元以上一百萬元以下罰款，
并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。

    違反本條例第十六條規定，受到刑事處罰的人員，終身不得從事關鍵信息基礎設施
安全管理和網絡運營關鍵崗位的工作。

    第四十九條 國家機關關鍵信息基礎設施的運營者不履行本條例規定的網絡安全保護
義務的，由其上級機關或者有關機關責令改正；對直接負責的主管人員和其他直接負
責人員依法給予處分。

    第五十條 有關部門及其工作人員有下列行為之一的，對直接負責的主管人員和其
他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任：

    （一）在工作中利用職權索取、收受賄賂；

    （二）玩忽職守、濫用職權；

    （三）擅自泄露關鍵信息基礎設施有關信息、資料及數據文件；

    （四）其他違反法定職責的行為。

    第五十一條 關鍵信息基礎設施發生重大網絡安全事件，經調查確定為責任事故的，
除應當查明運營單位責任并依法予以追究外，還應查明相關網絡安全服務機構及有關
部門的責任，對有失職、瀆職及其他違法行為的，依法追究責任。

    第五十二條 境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民
共和國的關鍵信息基礎設施的活動，造成嚴重后果的，依法追究法律責任；國務院公
安部門、國家安全機關和有關部門并可以決定對該機構、組織、個人采取凍結財產或
者其他必要的制裁措施。

第八章 附則

    第五十三條 存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護，還應
當遵守保密法律、行政法規的規定。

    關鍵信息基礎設施中的密碼使用和管理，還應當遵守密碼法律、行政法規的規定。

    第五十四條 軍事關鍵信息基礎設施的安全保護，由中央軍事委員會另行規定。

    第五十五條 本條例自****年**月**日起施行。