何为关键信息基础设施

根据《中华人民共和国网络安全法》第三十一条之规定，关键信息基础设施是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施。

何为关键信息基础设施运营者

从字面含义来说，关键信息基础设施运营者即依法运行、管理关键信息基础设施、对本单位关键信息基础设施承担安全责任的主体。具体来说，根据《关键信息基础设施安全保护条例（征求意见稿）》（下简称征求意见条例）的规定，关键信息基础设施运营者不但涵盖了政府机关、能源、金融、交通、公用事业等重要行业单位，还包括了涉及大数据、大型公共信息网络服务的重点单位。

关键信息基础设施运营者

如何构建网络安全合规体系

网络安全涉及国家安全和公民权益，而关键信息基础设施由于直接事关国家安全、国计民生与社会利益，是整个国家网络安全体系中的基础核心和关键环节。对于关键信息基础设施运营者来说，建立完善的网络安全合规风险控制体系无疑会是一切工作与发展的逻辑起点和立足根基。

结合国内立法现状与发展趋势，鑫诺律师建议，涉网络安全、大数据等重点行业之关键信息基础设施运营者应至少从网络系统安全、网络数据安全和个人信息保护等三个方面进行网络安全合规体系建设。概述如下：

（一）网络系统安全合规体系设计

关于关键信息基础设施网络系统安全的规定，现阶段宜以《中华人民共和国网络安全法》、《网络安全审查办法》、《信息安全技术网络安全等级保护基本要求》等规定为核心，结合《关键信息基础设施安全保护条例》等尚未出台的规定，从网络安全等级保护、网络安全审查、网络安全应急预警制度、关键信息基础设施运营商安全测评、报告制度及网络系统安全管理制度建设要求等方面予以着手。

（二）数据安全合规体系设计

虽然关于数据安全我国尚没有正式出台相关法律法规，但考虑到关键信息基础设施对国家安全与社会发展的影响，确宜未雨绸缪。现阶段宜重点参考尚未正式出台的《中华人民共和国数据安全法》、《数据安全管理办法》及相应的配套制度的要求，结合国外部分国家数据保护制度（如英国数据保护法）建立以数据分级分类以及全生命周期保护为核心的数据安全保护合规体系的近、中期合规规划。

值得注意的是，关键信息基础设施必然会涉及到重要数据，重要数据是国家数据安全制度体系中的核心保护对象之一。从我国目前的制度体系规划来看，国家对重要数据的收集、共享、转让和公开等均进行了严格的规制，如拟定中的重要数据收集备案制度、重要数据的发布、共享、交易行政审批制度等。因此，在合规体系建设时，要着重关注重要数据的界定、识别并建立与之相应的保护体系和措施。

（三）个人信息保护合规体系设计

我国最新颁布的《中华人民共和国民法典》确立了个人信息保护这一基本民事制度；《个人信息保护法》作为专门立法亦被提上本届人大届期内的立法议程；《儿童个人信息网络保护规定》、《信息技术安全个人信息安全规范》等不同层级规定密集出台且均对个人信息严加保护。因此，强烈建议关键信息基础设施运营者尽快落实个人信息保护制度，围绕数据采集、数据处理（如数据清洗、分类、去标识化等）、数据共享与转让、数据使用、数据删除、数据销毁等数据全生命周期进行个人信息保护合规建设。

鑫诺律师正致力于关键信息基础设施

运营者网络安全合规前沿领域

10月13日，中资网络信息安全科技有限公司（以下简称“中资网安”）与鑫诺签署《常年法律顾问合同》，聘用林野丽、韩晗律师团队担任常年法律顾问。

中资网安，是国务院直管央企中国电子科技集团联合中能融合、中国电信、中国联通等单位共同打造的服务于国资国企的国家级专业网络信息安全科技公司。中资网安的定位为国资国企在线监管安全守护者、国有企业网络安全信息大数据运营者、国有网络信息企业体制机制创新领航者；是目前国内唯一专业从事国务院直属96家央企及各级子公司等国资国企网络信息安全科技的国家队。2019年10月19日，国资委副主任翁杰明出席中资网安揭牌仪式。

中资网安主要涉及四个业务板块：国资国企网络信息安全在线监管支撑服务；国资监管平台网络信息安全保障服务；高安全专网运营服务；网络信息安全大数据增值服务。由此，中资网安亦将属于典型的关键信息基础设施运营者。