梁思雨,公安部第三研究所

作为我国网络安全领域的基础性、综合性立法,《中华人民共和国网络安全法》(以下简称《网络安全法》)首次在法律层面确立了关键信息基础设施(以下简称“关基”,主要覆盖能源、交通、水利、金融等对国家安全、国计民生、公共利益至关重要的行业领域的重要网络设施、信息系统)安全保护制度。《网络安全法》施行以来,关基制度建设、识别认定、安全保护、监督管理等工作稳步推进,对于保障重要网络设施和信息系统安全、维护国家安全发挥了重要作用。

近年来,信息技术快速迭代与安全威胁持续演进给关基安全带来了双重挑战,世界主要国家和地区纷纷更新、升级本国关基安全保护立法,构建更加系统严密的现代化安全保护制度框架。我国也准确把握网络安全新形势、新特点,适时启动并完成了《网络安全法》的修改工作。此次修法将关基安全保护的法律责任作为重点关切,通过体系化、梯度化的责任设计,切实推动运营者履行安全保护主体责任,并进一步完善网络产品和服务责任链条,全面提升关基供应链安全水平,充分彰显法治建设与时代发展协同适配的治理逻辑。

一、网络安全新形势下全球关基安全保护法治特点

长期以来,关基安全保护都是全球网络安全立法的核心议题,各国在国际合作、战略布局、法律制定、安全实践等方面开展了大量工作。随着全球信息化进程日益加快,网络安全形势日趋复杂,针对电力、供水、医疗、政务等行业领域关基的网络攻击事件频发,关基安全仍面临着巨大风险。欧盟网络安全局2025年对《关于在欧盟实现高水平网络安全措施的指令》(NIS 2指令)适用行业的网络安全成熟度进行评估后指出,信息与通信技术(ICT)服务管理、航天、公共管理、海事、医疗保健等行业处于“风险区”,需立即采取行动保障网络安全。英国政府表示,2024年有95%的英国关基遭遇过数据泄露。新加坡、澳大利亚等国在官方网络威胁报告中表示,针对本国关基的恶意网络活动有所增加。我国国家安全部破获的美国国家安全局针对我国国家授时中心的网络攻击案件,再次印证了关基面临着严峻安全形势。基于此,各国近年来通过修订基础性立法或制定专项立法,完善本国关基保护立法框架,总体呈现出以下两大特点。

一是关基制度内核保持稳定。尽管各国调整更新了本国关基相关立法,扩展适用范围,或将部分关基进一步提级管理,但关基制度的内核并未发生变化,即仅聚焦对国家安全、社会运行至关重要的网络和信息系统。例如,英国修订的《网络和信息系统安全》(NIS)条例,提出的《网络安全与韧性(网络和信息系统)法案》将数据中心、托管服务提供商、特定关键供应商等主体纳入监管范围,表示该法案仅针对特别重要,一旦中断将影响日常生活的服务。欧盟、澳大利亚进一步聚焦对国家安全至关重要的特定关基对象,赋予更加严格的保护要求。欧盟《关键实体弹性指令》将关键实体中为三分之一以上成员国提供基本服务的实体认定为“具有特定重要性的欧洲关键实体”,将在安全保护方面获得额外建议;澳大利亚修订的《2018年关键基础设施安全法》,将一旦遭到破坏,可能对其他关基资产和领域造成连锁反应,进而威胁国家安全的部分关基进一步认定为“国家重要系统”,要求落实网络安全演习、开发并维护近乎实时的威胁态势图等增强型防护措施。

二是关基保护细化日渐明晰。各国关基立法呈现出事件报告要求细化普及、行业针对性指导逐步完善、法律责任更加严苛等共性特点。例如,美国网络安全和基础设施安全局更新跨行业网络安全绩效目标2.0版,从治理、识别、保护、检测、响应、恢复等六方面为关基实体提出普适性的安全保护措施;并发布首批针对特定关基行业的定制化目标,提供更加符合行业特性的安全建议。欧盟加快NIS 2指令细化,发布多项实施条例或指导性文件。英国《网络安全与韧性(网络和信息系统)法案》拟提高罚款额度,与GDPR保持一致。与此同时,我国也通过一系列制度文件细化关基保护要求。《网络数据安全管理条例》《关键信息基础设施商用密码使用管理规定》《国家网络安全事件报告管理办法》相继施行,细化关基供应链安全、事件报告、商用密码使用等要求。此外,邮政、公路水路、铁路等行业领域发布关基保护专门规定,严格落实国家法律法规要求,突出行业关基保护特性。

总的来说,近年来全球关基安全保护法治建设呈现的特点,为我国《网络安全法》的修改提供了重要参考。我国应充分结合自身关基安全面临的境外攻击渗透加剧、供应链风险凸显等现实挑战,在延续关基安全保护核心制度的基础上,重点强化法律责任体系,形成兼具国际接轨性与本土适应性的制度设计。

二、《网络安全法》修改全面强化关基安全保护法律责任

此次《网络安全法》的修改,压实了运营者主体责任,提升了安全保护主动性;健全网络产品和服务提供者责任机制,强化供应链安全保障能力;同时,完善了对境外危害网络安全活动的法律追责体系,为关基安全保护构筑起立体化、闭环式的治理路径。

(一)压实运营者主体责任

运营者承担关基安全保护主体责任,其义务履行情况将直接决定关基整体安全水平。为进一步督促运营者全面落实安全保护要求,《网络安全法》的修改从行政处罚类型、处罚对象、处罚情节三个方面切入,构建起更为严密、更具威慑力的运营者法律责任体系。

一是处罚类型扩充。对于一般违法行为,在原先责令改正,给予警告的基础上,增加“可以处五万元以上十万元以下罚款”的行政处罚。这意味着,只要运营者不履行《网络安全法》规定的安全保护义务,有关主管部门在责令改正、警告的同时可以视情直接处以罚款。

二是处罚对象延伸。对于拒不改正或者导致危害网络安全等后果的情形,将“其他直接责任人员”列为处罚对象之一。这意味着,当运营者构成此种情形时,有关主管部门在对运营者罚款的同时,对直接负责的主管人员和其他直接责任人员都将处以罚款。此举不仅与《网络安全法》其他法律责任条款、《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》在处罚对象上保持一致,也是纵深增强各类责任人员安全意识的有效方式。

《网络安全法》《关键信息基础设施安全保护条例》(以下简称《关保条例》)中,明确的运营者内部人员角色包括运营者的主要负责人(负总责)、专门安全管理机构负责人(具体负责保护工作)、专门安全管理机构人员、关键岗位人员。在此基础上,《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204—2022)进一步提出首席网络安全官(专职管理或分管安全保护工作)、每个关基的安全管理责任人,同时明确关键岗位的常见类型。《网络安全法》的修改扩大了责任人员范围,将进一步增强相关人员安全意识。

三是处罚情节分级。增设分级处罚情节,明确“严重危害网络安全后果”和“特别严重危害网络安全后果”两类情形并设定梯次化的处罚标准。严重危害网络安全后果包括造成关基丧失局部功能等场景,对运营者最高处以二百万元罚款,对直接负责的主管人员和其他直接责任人员最高处二十万元罚款。特别严重危害网络安全后果包括造成关基丧失主要功能等场景,对运营者最高可处一千万元罚款,对直接负责的主管人员和其他直接责任人员最高处一百万元罚款。

(二)深化供应链安全保障

《网络安全法》《关保条例》高度重视关基供应链安全,在网络产品和服务采购环节引入安全可信、保密协议、网络安全审查等规定。对于网络产品和服务提供者的普适性保护义务同样适用于为关基提供产品和服务的场景。

在网络产品和服务提供者的法律责任方面,此次修改增加行政处罚情节,明确网络产品和服务提供者设置恶意程序、未按规定告知及报告安全风险,并造成严重危害或特别严重危害网络安全后果时,最高可对单位罚款一千万元,对直接负责的主管人员和其他直接责任人员罚款一百万元。对于违反网络关键设备和网络安全专用产品管理要求、违法开展网络安全检测认证等服务的法律责任也进行相应补全和调整。这凸显了国家对于供应链安全的高度重视,通过强化网络产品和服务提供者在为包括关基运营者在内的用户提供产品或服务时的安全意识和安全保障能力,夯实供应链安全制度基础。

(三)夯实境外威胁惩治手段

关基是大国博弈背景下国家行为体、黑客组织的重点目标,长期面临着攻击、渗透、破坏的巨大风险。习近平总书记在围绕防范化解重大风险的讲话中曾指出,“既要有防范风险的先手,也要有应对和化解风险挑战的高招”。就网络安全形势而言,既要有防患于未然的现实能力,也要有全面应对、有效惩治的制度工具。

《网络安全法》的修改,扩大了我国有权对境外机构、组织、个人追究法律责任和采取制裁措施的适用情形。从原先仅针对危害关基的活动扩展至所有危害网络安全的活动,并且依法追究法律责任的情形不再以“造成严重后果”为前提。这意味着,境外机构、组织、个人只要从事了危害我国网络安全的活动,我国即有权追究法律责任;造成严重后果时,国务院公安部门和有关部门可以决定对其采取冻结财产或者其他必要的制裁措施。这充分反映出我国强化底线思维、严厉打击跨境网络攻击、提高网络空间威慑力的态度和决心。

三、关基安全保护责任落地机制和实施路径

2026年是“十五五”规划开局之年,也是修改后的《网络安全法》正式施行之年。如何确保修法精神落到实处,持续推动关基安全保护责任落地,最大化释放制度效能,仍需从制度优化实施、执法监管强化、技术深度赋能等多角度共同推进。

(一)系统落实关基安全保护各项要求

当前,关基安全保护工作已步入“深水区”。《网络安全法》《关保条例》施行至今,运营者的安全保护工作已从起步阶段逐步迈向攻坚阶段。鉴于关基对于国家安全的重要性,安全保护工作不应止步于及格线,应以风险为导向,持续推动法律法规各项要求落到实处,相应的评判标准从“是否满足基线要求”向“能否真正发挥作用”升级,有效提升防范、发现、处置网络安全风险的能力。

(二)着力优化关基安全保护制度体系

《网络安全法》对法律责任的修改,将引发部分配套法规中法律责任不适配、处罚力度不一致的情况。如《关保条例》的法律责任部分与原《网络安全法》一致,其中对运营者不履行安全保护义务最高可处一百万元罚款,这与修改后《网络安全法》最高一千万元的罚款处罚不符。需考虑适时启动对《关保条例》的同步调整,以确保制度体系的系统性和协调性。同时,《关保条例》已施行四年多,GB/T 39204—2022作为关基领域唯一正式发布的国家标准也已施行两年多。应启动对《关保条例》及国家标准实施效果的评估,判断其能否满足国家关基保护核心目标及运营者保护需求。此外,应加快探索关键岗位认定与管理、人员背景审查、供应链安全、网络安全检测和风险评估、渗透测试等关键环节的规范要求,持续筑牢关基安全保护制度体系。

(三)纵深推进关基安全保护执法监管

《网络安全法》的修改进一步激活运营者对于关基安全保护的重视,为加强监管执法提供了更有力的制度支撑。公安机关承担着指导监督关基安全保护的法定职责,应深化对各部门、各主体在关基安全保护、事件处置、信息共享等环节的指导和监督,依法惩处未履行安全保护义务的行为,有效防范并严厉打击针对和利用关基实施的违法犯罪活动。同时,各部门应提高站位、统一认识,始终将保障关基安全作为网络安全工作的重中之重,推动形成齐抓共管、协同治理的网络安全综合防控体系。

(四)持续强化技术赋能关基安全保护

技术赋能是关基安全保护的重要支撑。人工智能赋能关基安全保护是提高防护效率的有效路径,而防范人工智能安全风险是确保赋能可持续性的重要保障,两者并行不悖。需进一步加强人工智能安全监测预警能力建设,依托国家网络与信息安全信息通报机制、国家信息安全漏洞共享平台等渠道,加强公安机关、网信部门、保护工作部门、运营者、网络产品和服务提供者等主体间在人工智能安全信息共享、事件通报、应急处置等方面的协同联动。运营者将人工智能应用于关基时,需保持审慎态度,系统评估可能带来的安全风险,提前谋划,构建具备韧性的安全防护体系。

四、结 语

《网络安全法》的修改全面强化关基安全保护法律责任体系,这是在全球普遍优化关基安全保护立法的大背景下,我国立足网络安全新形势新特点所作出的重要立法回应,为我国关基安全保护提供了更为坚实的法治保障。展望未来,关基安全保护工作依然任重道远。各部门、各主体需持续强化思想认识,以制度要求为引领、监管执法为驱动、技术赋能为手段,深入推进各项安全保护工作,确保关基安全稳定持续运行,切实维护网络空间安全。【本文系国家社科基金青年项目“网络安全信息共享的法律保障研究”(项目编号:21CFX057)的阶段性研究成果】

(本文刊登于《中国信息安全》杂志2026年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。