《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》的亮点及完善建议

进一步规范公路水路关键信息基础设施安全保护管理

　　近日，交通运输部公布《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》（以下简称《征求意见稿》），面向社会公开征求意见。意见反馈截止时间为2022年9月26日。

　　《征求意见稿》进一步规范公路水路关键信息基础设施安全保护管理，落实关于关键信息基础设施安全保护工作责任，较好地划分各级部门监管责任，运营者责任及奖惩机制，有利于推动公路水路关键信息基础设施安全保护工作法制化、规范化，推动构建交通运输主管部门依法管理、运营者实施主动防护、社会力量共同参与的综合治理体系。

　　明确各级交通运输部门的职责、运营者主体地位与责任

　　具体规定各级交通运输部门的职责。《征求意见稿》第四条规定，交通运输部是负责全国公路水路关键信息基础设施安全保护工作的部门，并细化交通运输部的主要职责是对公路水路关键信息基础设施进行规划、认定、制定规范、风险评估等；第五条规定了地方交通运输部门的职责与工作方式，地方各级交通运输主管部门在地方党委与政府领导下展开工作，管辖范围按照谁主管谁负责、属地管理原则执行。此外，《征求意见稿》第十条规定了各级交通运输部门的关键信息基础设施识别工作的认定程序，这进一步有效解决各部门职责不明确问题，使各部门在明确分工下依法展开工作，互相配合，提高效率。

　　明确运营者主体地位与责任。《征求意见稿》第三条明确公路水路关键信息基础设施运营者的主体责任地位，即运营者负责公路水路关键信息基础设施保护措施、安全防护策略以及重大网络安全问题。这对运营单位工作人员身份背景及能力提出更高要求。因此，《征求意见稿》第十四条规定了运营单位工作人员的背景审查要求和负责审查的专门安全管理机构，第十五条规定了专门安全管理机构的职责，并在第五章专门规定运营者的法律责任，运营者不按规定作出相应措施的，要责令改正、警告、罚款等。此外，《征求意见稿》第八条规定：“对在公路水路关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照有关规定给予表彰，激励担当作为。”这进一步敦促、激励运营者的主体责任感，让其积极主动实施防护措施。上述规定相互照应，有利于有效解决公路水路关键信息基础设施保护问题。

　　实际操作、运营者权益保障等方面可进一步完善

　　总体上来看，《征求意见稿》建立了统一高效、权责分明的关键信息基础设施安全保护机制，但在实际操作层面和对运营者权益保障层面，还可以进一步完善。

　　进一步明确对运营单位人员安全背景审查的有关规定。《征求意见稿》第十四条规定：“运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查和安全技能培训，符合要求的人员方能上岗。鼓励网络安全专门人才从事公路水路关键信息基础设施安全保护工作。”按照该规定，对运营单位人员安全背景调查仅限于运营者及专门的安全管理机构，但并没有对其调查能力与权限进一步明确。根据《关键信息基础设施安全保护条例》第十四条的规定：“运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。”建议《征求意见稿》参考该条例在第十四条加入“审查时，公安机关、国家安全机关应当予以协助”的相关规定。

　　完善报送程序。《征求意见稿》第十条规定：“交通运输部根据认定规则负责组织认定公路水路关键信息基础设施，及时将认定结果通知运营者，形成公路水路关键信息基础设施清单，并通报国务院公安部门。地方交通运输主管部门管辖范围内的公路水路关键信息基础设施，其认定需经地方交通运输主管部门审核后报交通运输部评审认定。”第十一条规定：“地方交通运输主管部门管辖范围内的公路水路关键信息基础设施，发生可能影响认定结果的较大变化时，相关情况需经地方交通运输主管部门报告交通运输部。”以上两个条款规定地方交通运输部门的信息报送规则为直接报送交通运输部。但《征求意见稿》第五条规定：“地方交通运输主管部门在地方党委和政府的领导下，按照谁主管谁负责、属地管理的原则，对本地区公路水路关键信息基础设施实施安全保护和监督管理，配合上级交通运输主管部门和同级网信、公安等部门开展相关工作。”即地方行政机关也有主管权限。换言之，权限等级为交通运输部——地方政府——地方交通运输部门，但按照《征求意见稿》第十条、第十一条的规定，信息上报过程却又绕过地方行政机关，直接报至交通运输部，这在逻辑层面不自洽，建议对此进行完善。

　　建立有效的社会力量参与监督体系。《征求意见稿》起草说明表示，通过制定《征求意见稿》推动构建交通运输主管部门依法管理、运营者实施主动防护、社会力量共同参与的综合治理体系，但《征求意见稿》仅在第三条提到“综合协调”的基本原则。建议完善监督体系，加强监管效率，制定相应社会力量共同参与的群众监督措施，如《征求意见稿》第十六条规定：“运营者应合理安排专门安全管理机构的运行经费，并严格规范经费使用和管理，防止资金闲置或挤占挪用。当重要网络设施和安全设备达到使用期限，应优先保障设施设备更新经费。”该规定仅提出运营者对运行经费的安排要求，未规定相应监督措施，建议增加“运营者应当制定运行经费使用清单并公布，并且定期公布运营经费使用情况”的规定。

　　完善法律责任，保障运营者权益。《征求意见稿》第五章法律责任部分对运营者和主管部门的责任规定还可以进一步完善，如运营者“导致危害网络安全等后果”应具体细化，以解释什么是“危害网络安全等后果”，且《征求意见稿》中只有处罚措施，未规定相应救济措施。建议增加相应的救济措施，进一步保障运营者及相关人员的权利。如为保证主管部门处罚得当，可以借鉴《中华人民共和国行政处罚法》第六十三条的规定：“行政机关拟作出下列行政处罚决定，应当告知当事人有要求听证的权利，当事人要求听证的，行政机关应当组织听证：（一）较大数额罚款；（二）没收较大数额违法所得、没收较大价值非法财物……”建议增加一条，“对直接负责的主管人员和其他责任人员以及运营单位罚款数额较大的，主管部门当告知当事人有要求听证的权利，当事人要求听证的，主管部门应当组织听证。”

　　（作者单位：东南大学法学院）