光明网讯 在《关键信息基础设施安全保护条例》颁布实施一周年之际，由光明网网络安全频道、中国信息协会信息安全专业委员会主办，北京六方云信息技术有限公司承办的推进落实《关键信息基础设施安全保护条例》专题分享会在京举行。会上，北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括围绕《关键信息基础设施安全保护条例》（以下简称《条例》）等关基保护相关法律法规，分享了自己的看法和思考。

　　吴沈括认为，《条例》的性质不仅是法律的规则汇集，也是一个“工具箱”，以及战略引领和业务操作的规则。《条例》与新技术、新应用产生的风险相伴而生，并要求防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。力图建构以网络安全信息共享机制为核心，不同主体共同参与网络安全关键信息基础设施保护工作的全方位生态系统。

　　“从数据治理和信息安全的角度看，《条例》对于国家基础信息、重要数据、个人信息以及违法信息的治理有极高的关注，这也形成了关键信息基础设施安全保护制度的亮点。”吴沈括提到，《条例》规定专门安全管理机构运营者的八项责任义务，并规定了六大主要违法情形。

　　会上，吴沈括谈到关键信息基础设施企业涉侵犯个人信息刑事风险问题。近年来，相关企业涉侵犯公民个人信息罪的司法现状有以下特征：刑事处罚案件与行政处罚案件同步增长，单位犯罪案件与自然人犯罪案件同步增长；同时，相关企业涉侵犯公民个人信息罪的行为特征主要包括非法出售或提供公民个人信息，将职务业务活动中获得的公民信息非法出售或提供给他人，通过“交换”方式非法获取公民个人信息，以及为合法经营活动而非法购买公民个人信息。

　　吴沈括强调，需要注意的是，该《条例》与《网络安全法》《刑法》等法律之间存在的“制度互动”。换句话说，各法律的具体实施，事实上是对《刑法》中条文内涵的不断扩大。

　　基于此，吴沈括认为，关键信息基础设施企业涉个人信息刑事风险的合规风控中需要注意技术风控、组织风控和人员风控三个层次。

　　其中，在技术风控层面，有三个方面需要特别注意：一是盘点企业个人信息保护措施是否满足相关规定，二是要做好全面的风险评估，三是要构建兼具技术成本等合理应急处置机制。

　　在组织风控层面，要建立高位阶、跨部门、跨条线的个人信息保护机构，做好企业内外数据资产管理、严防个人信息泄露，并且围绕第三方数据合作建构，完善协议管理监督体系。

　　在人员风控层面，要持续改进企业个人信息风险管理和内部控制的有效性，普及企业个人信息保护事务的全员法治素养培训，并且落实个人信息相关关键岗位和人员的高水平管理。（记者 穆子叶）