---
name: critical-infrastructure-checker
description: >
  关键信息基础设施（CII）认定检查——判断企业是否构成CII运营者，
  以及CII认定后的合规义务。适用情形：用户说"我们属于关键信息基础设施吗"、
  "CII认定标准是什么"、"CII运营者有什么义务"、
  "网络安全审查需要做吗"、"等保三级以上算CII吗"。
argument-hint: "[行业领域 + 业务系统描述 + 是否处理个人信息]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: critical
escalation_triggers:
  - 已被认定为CII但未落实合规义务
  - 涉及CII网络安全审查申报
  - CII数据出境安全评估
  - 发生CII安全事件
trigger_phrases:
  - '检查'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
  - '跨境'
---

# /critical-infrastructure-checker — China Mainland

## 法律背景与法规框架

《网络安全法》（CSL）第31条首次在立法层面引入了关键信息基础设施（CII）概念，要求对可能危害国家安全、国计民生、公共利益的关键信息基础设施实行重点保护。2021年8月施行的《关键信息基础设施安全保护条例》（CII条例）进一步细化了CII的认定标准、运营者安全保护义务和监督管理机制。2021年修订的《网络安全审查办法》明确规定，CII运营者采购网络产品和服务、数据处理者开展数据处理活动，影响或可能影响国家安全的，须进行网络安全审查。

CII认定不是自动的，而是由行业主管部门（如工信部、央行、卫健委等）根据认定规则主动识别并通知运营者。但企业在被正式通知前，应当主动进行自查：如果自身的业务领域和系统特性很可能符合CII标准，则应主动开展合规建设，不可等待正式认定后再启动。

## 工作流程

### 第一步：领域与行业判断

CII认定的第一个维度是行业领域。根据CII条例第8条，以下行业属于CII重点范围：

| 行业领域 | 主管认定部门 | 常见CII系统 |
|---------|-------------|------------|
| 电信和互联网 | 工信部 / 省级通信管理局 | 骨干网、数据中心、云平台 |
| 能源（电力/石油/天然气） | 国家能源局 | 电网调度、油气管控 |
| 交通运输 | 交通运输部 | 航空管制、轨道交通、ETC |
| 水利 | 水利部 | 水文监测、水利枢纽 |
| 金融 | 央行/银保监会/证监会 | 支付清算、证券交易 |
| 公共服务（社保/医疗/教育） | 各自主管部门 | 社保系统、医保平台 |
| 电子政务 | 国家网信办 | 政务云、政务数据平台 |
| 国防科工 | 国防科工局 | 军工信息系统 |

**判断：** 如果企业所属行业不在上述清单中，则被认定为CII的可能性较低。但若企业为上述行业提供关键信息化服务（如云服务商为金融行业提供核心系统），可能成为CII。

### 第二步：系统关键性评估

即使属于上述行业，被认定为CII还需满足"一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益"的条件。评估标准：

```
系统关键性评估
├─ 1. 是否可能危害国家安全？
│   ├─ 系统承载国防/外交/重大政务数据 → 高风险
│   └─ 否 → 继续
├─ 2. 是否可能危害国计民生？
│   ├─ 服务用户数 > 100万 或 支撑关键行业运行 → 高风险
│   └─ 否 → 继续
├─ 3. 是否可能危害公共利益？
│   ├─ 导致大规模数据泄露 (>100万人) 或公共服务中断 → 高风险
│   └─ 否 → 较低风险
└─ 综合：同时满足1+2+3中任一条件 → 很可能被认定为CII
```

**等保等级参考：** 一般来说，安全保护等级为第三级及以上的系统是CII的重点候选对象，但不是唯一判断标准。

### 第三步：网络安全审查判断

如果企业被认定为CII运营者（或被正式通知），须检查以下情况是否需要申报网络安全审查：

```
CII运营者采购场景
├─ 采购网络产品和服务 → 判断是否影响国家安全
│   ├─ 采购核心网络设备、重要安全设备 → 建议申报
│   ├─ 采购云计算服务 → 须通过安全评估
│   └─ 采购数据处理服务（涉及个人信息）→ 建议申报
├─ 数据处理活动（非采购）→ 判断是否影响国家安全
│   ├─ 处理100万人以上个人信息 → 建议申报
│   ├─ 处理重要数据 → 建议申报
│   └─ 数据出境 → 参见data-export-assessment
└─ 发生以下变化 → 重新审查
    ├─ 股权结构变化（外资收购/控制）
    └─ 上市（特别是赴海外上市）
```

### 第四步：CII运营者合规义务清单

一旦被认定为CII运营者，须履行以下主要义务：

**安全保护义务：**
- 设置专门安全管理机构（CII条例 第13条）
- 对关键岗位人员进行安全背景审查（第14条）
- 制定安全保护制度和操作规程
- 对系统进行安全监测和风险评估（每半年至少一次）
- 制定网络安全事件应急预案并定期演练（每年至少一次）
- 将安全事件报告公安机关（第17条）
- 每年至少进行一次安全检测评估（第18条）

**数据保护义务：**
- CII运营者的个人信息原则上应境内存储（CSL 第37条）
- 数据出境须通过安全评估（不可用SCC或认证替代）
- 采购产品和服务的网络安全审查（第19条）
- 重要数据和核心数据的分类分级保护

### 第五步：输出认定结论与合规建议

## 输出模板

```
═══════════════════════════════════════
关键信息基础设施（CII）认定评估报告
═══════════════════════════════════════
企业名称：[名称]
所属行业：[行业]
评估日期：[日期]
═══════════════════════════════════════

## 认定评估结论

[很可能属于CII / 可能属于CII / 暂不属于CII]

判断依据：
1. 所属行业：[属于/不属于] CII重点行业
2. 系统关键性：[满足/不满足] 关键性条件
3. 其他因素：[说明]

## 合规差距分析

| 义务项 | 当前状态 | 差距 | 建议优先级 |
|-------|---------|------|-----------|
| 专门安全管理机构 | [已设立/未设立] | [差距说明] | [高/中/低] |
| 安全背景审查 | [已/否] | ... | ... |
| 安全检测评估 | [已/否] | ... | ... |
| 应急预案 | [有/无] | ... | ... |
| 境内存储 | [是/否] | ... | ... |
| 采购安全审查 | [已/否] | ... | ... |

## 升级建议

[如属于CII但尚未采取合规措施，或涉及网络安全审查申报]
```

## 升级决策门

以下情况须移交专业律师处理：

- 企业已被主管部门通知认定为CII运营者但未落实合规义务
- 涉及CII采购网络安全审查申报（须与网信办沟通）
- CII数据出境安全评估申报
- 涉及外资收购CII运营者股权
- CII运营者赴海外上市或变更控制权
- 发生CII安全事件（须立即向公安机关和行业主管部门报告）

---
*Greater China Legal — data-compliance critical-infrastructure-checker v1.0.0*
*[model] — 基于CSL第31/37条、CII条例、网络安全审查办法框架*
