近日,國務院總理李克強簽署第745號國務院令,公布《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行。
《條例》是《網(wǎng)絡安全法》的一部重要配套法規(guī),用了較大的篇幅強化了關鍵信息基礎設施運營者的主體責任,在總則部分第四條、第六條對運營者責任作了原則規(guī)定,要求運營者依照本條例和有關法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求,在網(wǎng)絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網(wǎng)絡安全事件,防范網(wǎng)絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩(wěn)定運行,維護數(shù)據(jù)的完整性、保密性和可用性。
《條例》第三章專章細化了關鍵信息基礎設施運營者的六大主體責任和義務。
一、明確建設關鍵信息基礎設施的“三同步”原則
《網(wǎng)絡安全法》第三十三條:“建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能,并保證安全技術措施同步規(guī)劃、同步建設、同步使用。”《條例》第十二條延續(xù)了《網(wǎng)絡安全法》確定的“三同步”原則,進一步強調“安全保護措施應當與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用。”
運營者在具體落實三同步原則時,可以從以下方面理解安全保護措施應當與關鍵信息基礎設施的三同步:首先,“同步規(guī)劃”,是指在網(wǎng)絡設施與信息系統(tǒng)的規(guī)劃階段同步引入安全保護措施;其次,“同步建設”,要求在項目建設階段,通過落實系統(tǒng)集成商、網(wǎng)絡服務提供商,保證相關安全技術措施的順利準時建設,保證項目上線時,安全保護措施的驗收和工程驗收同步,確保只有符合安全要求的系統(tǒng)才能上線;再次,“同步使用”,網(wǎng)絡設施和信息系統(tǒng)安全驗收后的日常運行和維護中,應當保持網(wǎng)絡設施與信息系統(tǒng)處于持續(xù)安全防護的水平,并符合國家的相關安全技術標準。
二、建立健全網(wǎng)絡安全保護制度和責任制
《條例》第十三條規(guī)定:“運營者應當建立健全網(wǎng)絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網(wǎng)絡安全事件處置工作,組織研究解決重大網(wǎng)絡安全問題。”
首先,為了確保我國關鍵信息基礎設施的安全運行,運營者應當建立健全網(wǎng)絡安全保護制度和責任制,并從制度層面保障人力、財力、物力投入。2021年7月12日,工信部發(fā)布《網(wǎng)絡安全產業(yè)高質量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》,其中提出,到2023年,電信等重點行業(yè)網(wǎng)絡安全投入占信息化投入比例達10%。同時,推進網(wǎng)絡安全與信息化同步規(guī)劃、同步建設和同步使用,健全網(wǎng)絡安全管理和技術保障體系。
其次,明確運營者的“一把手”對本單位的關鍵信息基礎設施安全保護負總責,并重點夯實三大職責:一是領導關鍵信息基礎設施的安全保護;二是領導組織對重大網(wǎng)絡安全事件的處置工作;三是組織研究解決重大網(wǎng)絡安全問題。
三、應當設置專門的安全管理機構
《條例》第十四條規(guī)定:“運營者應當設置專門安全管理機構,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時,公安機關、國家安全機關應當予以協(xié)助。”
運營者應當設置專門安全管理機構,全面履行網(wǎng)絡設施與信息系統(tǒng)的安全保護職責,并參與本單位與網(wǎng)絡安全和信息化建設的相關決策,參與重大網(wǎng)絡安全事件的處置,研究本單位重大網(wǎng)絡與數(shù)據(jù)安全戰(zhàn)略、技術、管理、法律等問題。
鑒于關鍵信息基礎設的安全對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產的安全關系重大,運營者對機構負責人和關鍵崗位人員應當進行嚴格的安全背景審查。筆者建議,應當從以下三個方面進行安全背景審查:一是政治上可靠,必須把政治標準放在第一位,如果政治不合格、不過硬、靠不住,能力再大也不能用;二是作風上優(yōu)良,一定要做到實事求是、言行一致、與時俱進、開拓進取;三是能力上過硬,應當強調關鍵崗位人員的綜合能力素質,包括運用技術、管理、法律等綜合的能力,網(wǎng)絡安全是“三分技術、七分管理”,網(wǎng)絡安全的全生命周期管理是網(wǎng)絡安全的重中之重。
《條例》第十五條要求“專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作”,并具體履行八項職責:一是建立健全網(wǎng)絡安全管理、評價考核制度,擬訂關鍵信息基礎設施安全保護計劃;二是組織推動網(wǎng)絡安全防護能力建設,開展網(wǎng)絡安全監(jiān)測、檢測和風險評估;三是按照國家及行業(yè)網(wǎng)絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網(wǎng)絡安全事件;四是認定網(wǎng)絡安全關鍵崗位,組織開展網(wǎng)絡安全工作考核,提出獎勵和懲處建議;五是組織網(wǎng)絡安全教育、培訓;六是履行個人信息和數(shù)據(jù)安全保護責任,建立健全個人信息和數(shù)據(jù)安全保護制度;七是對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;八是按照規(guī)定報告網(wǎng)絡安全事件和重要事項。
四、進行網(wǎng)絡安全檢測和風險評估
《網(wǎng)絡安全法》第三十八條要求:“關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。”
《條例》第十七條基本沿用了《網(wǎng)絡安全法》第三十八條的規(guī)定,強調“運營者應當自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估,對發(fā)現(xiàn)的安全問題及時整改,并按照保護工作部門要求報送情況。”
網(wǎng)絡安全檢測和風險評估,包含網(wǎng)絡設備安全、網(wǎng)絡數(shù)據(jù)安全、網(wǎng)絡軟件安全,重點評估網(wǎng)絡系統(tǒng)的硬件、軟件以及其系統(tǒng)中的數(shù)據(jù)安全是否受到全面的保護,尤其評估網(wǎng)絡設施和信息系統(tǒng)在遭受到破壞、更改或數(shù)據(jù)泄露,網(wǎng)絡系統(tǒng)是否能夠連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷等。2015年10月,美國防部發(fā)布了《網(wǎng)絡安全檢測與評估指南》,主要針對美國國防部內部及其他關鍵信息系統(tǒng)的網(wǎng)絡信息環(huán)境開展安全性檢測與評估工作,并提供了一系列的關鍵技術理論和指導方法,尤其是對整個生命周期實施網(wǎng)絡空間安全測試和評估提出了六個階段的安全檢測和評估,一是理解網(wǎng)絡空間安全需求;二是監(jiān)測網(wǎng)絡攻擊特征化;三是網(wǎng)絡漏洞識別協(xié)作;四是對抗性網(wǎng)絡空間安全測試與評估;五是漏洞協(xié)作和滲透評估;六是對抗性評估。
五、履行重大網(wǎng)絡安全事件報告制度
《條例》第十八條規(guī)定:“關鍵信息基礎設施發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時,運營者應當按照有關規(guī)定向保護工作部門、公安機關報告。
發(fā)生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡安全威脅時,保護工作部門應當在收到報告后,及時向國家網(wǎng)信部門、國務院公安部門報告。”
關鍵信息基礎設的網(wǎng)絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等,對網(wǎng)絡設施和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害,對社會造成負面影響的事件,可分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。
根據(jù)中央網(wǎng)信辦發(fā)布的《國家網(wǎng)絡安全事件應急預案》的規(guī)定,符合下列情形之一的,為特別重大網(wǎng)絡安全事件:一是重要網(wǎng)絡和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失,造成系統(tǒng)大面積癱瘓,喪失業(yè)務處理能力;二是國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒,對國家安全和社會穩(wěn)定構成特別嚴重威脅;三是其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡安全事件。
根據(jù)上述《應急預案》的規(guī)定,符合下列情形之一且未達到特別重大網(wǎng)絡安全事件的,為重大網(wǎng)絡安全事件:一是重要網(wǎng)絡和信息系統(tǒng)遭受嚴重的系統(tǒng)損失,造成系統(tǒng)長時間中斷或局部癱瘓,業(yè)務處理能力受到極大影響;二是國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒,對國家安全和社會穩(wěn)定構成嚴重威脅;三是其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網(wǎng)絡安全事件。
首先,《條例》第十八條第一款要求在兩種情況下,運營者應當按照有關規(guī)定向保護工作部門、公安機關報告,一是關鍵信息基礎設施發(fā)生重大網(wǎng)絡安全事件;二是關鍵信息基礎設施發(fā)現(xiàn)重大網(wǎng)絡安全威脅。前者是已經(jīng)出現(xiàn)了重大網(wǎng)絡安全事件,后者是察覺到面臨重大網(wǎng)絡安全的威脅。
其次,《條例》第十八條第二款要求發(fā)生或發(fā)現(xiàn)以下六種特別重大的網(wǎng)絡安全事件,保護工作部門應當在收到運營者的報告后,及時向國家網(wǎng)信部門、國務院公安部門報告:一是發(fā)生關鍵信息基礎設施整體中斷運行或者主要功能故障;二是國家基礎信息以及其他重要數(shù)據(jù)泄露;三是較大規(guī)模個人信息泄露;四是造成較大經(jīng)濟損失;五是違法信息較大范圍傳播;六是發(fā)現(xiàn)特別重大網(wǎng)絡安全威脅。
六、確保采購安全可信的網(wǎng)絡產品和服務
為了防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或其他隱患而受到攻擊、破壞,從而危害國家安全,我國《網(wǎng)絡安全法》第三十五條規(guī)定,關鍵信息基礎設施的運營者采購網(wǎng)絡產品和服務,可能影響國家安全的,應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。《條例》第十九條在沿用《網(wǎng)絡安全法》第三十五的基礎上特別增加了“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產品和服務”的規(guī)定,即“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產品和服務;采購網(wǎng)絡產品和服務可能影響國家安全的,應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。”
為了確保運營者采購安全可信的網(wǎng)絡產品和服務,《條例》第二十條提出了運營者在簽訂采購網(wǎng)絡產品和服務合同時,應在合同中明確以下核心內容,一是應當按照國家有關規(guī)定與網(wǎng)絡產品和服務提供者簽訂安全保密協(xié)議;二是應當明確提供者的技術支持和安全保密義務與責任,并對其義務與責任履行情況進行監(jiān)督。
《網(wǎng)絡安全法》和《條例》明確要求,采購網(wǎng)絡產品和服務可能影響國家安全的,應當按照國家網(wǎng)絡安全規(guī)定通過安全審查制度,這項制度是國家安全法首先確立的一項重要法律制度,審查的內容包括但不限于核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產品和服務等。
2020年6月1日起實施的《網(wǎng)絡安全審查辦法》(下稱:《審查辦法》)確立了對影響或者可能影響國家安全的網(wǎng)絡信息技術產品和服務,以及其他重大事項和活動,實施國家層面的安全審查制度。這是維護我國關鍵信息基礎設施供應鏈安全的一項重大法治事件,對于保障和提升國家關鍵信息基礎設施供應鏈安全,維護國家安全具有重大的推動作用。
我國網(wǎng)絡安全審查的重點是研判和評估網(wǎng)絡運營者采購網(wǎng)絡產品和服務可能帶來的國家安全風險,根據(jù)《審查辦法》第九條的規(guī)定,主要考慮以下五大因素:一是產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風險;二是產品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害;三是產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;四是產品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;五是其他可能危害關鍵信息基礎設施安全和國家安全的因素。
本文作者:王春暉,浙江大學教授、博導,網(wǎng)絡空間治理與數(shù)字經(jīng)濟法治(長三角)研究基地主任兼首席專家,南京郵電大學數(shù)字經(jīng)濟戰(zhàn)略與法治研究中心主任,工信部信息通信經(jīng)濟專家委員會委員、中國通信學會網(wǎng)絡空間安全戰(zhàn)略與法律委員會副主任委員、中國互聯(lián)網(wǎng)協(xié)會應用創(chuàng)新工作委員會副主任委員、中國法學會網(wǎng)絡與信息法學研究會常務理事、上海市法學會互聯(lián)網(wǎng)司法研究會副會長。
