一、前言
近日,國務院總理李克強簽署國務院令,公布《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行。
《條例》的正式出臺是我國網絡安全頂層設計的又一里程碑事件,標志著從十年前開始醞釀的關鍵信息基礎設施保護法規制定工作,經過漫長的探索、討論、嘗試、試點,終于迎來了有規可依、有章可循的新時代。理解好、落實好、執行好《條例》,對維護國家網絡安全、保障關鍵信息基礎設施平穩運行具有重要意義。
二、關鍵信息基礎設施安全綜合保護體系
《條例》最突出的特點,就是建立了以國家網信部門、國務院公安部門、關鍵信息基礎設施保護工作部門(以下簡稱“保護工作部門”)、關鍵信息基礎設施運營者(以下簡稱“運營者”)為主體的三層架構的關鍵信息基礎設施安全綜合保護責任體系。另外,省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。
(一)綜合保護體系的第一層是國家網信部門和國務院公安部門等國家有關職能部門
國家網信部門負責關鍵信息基礎設施安全保護工作的統籌協調。“黨政軍民學,東南西北中,黨是領導一切的”。國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作,既是落實“黨管互聯網”原則的應有之義,也是確保黨中央將關鍵信息基礎設施安全保護的重要部署和重大舉措落實到位的有力保障。國家網信部門位于關鍵信息基礎設施安全保護責任體系的頂層,在具有全局性、方向性、基礎性的問題上發揮關鍵作用,統籌協調國務院公安部門、保護工作部門開展工作。
公安部門負責指導監督關鍵信息基礎設施安全保護工作。《條例》賦予了公安部門除了打擊網絡違法犯罪之外更多的工作職能,具體體現在:關鍵信息基礎設施認定規則備案、協助運營者開展安全背景審查、為保護工作部門提供技術支持和協助等方面。
除此之外,國家安全、保密行政管理、密碼管理等部門依照本條例和有關法律、行政法規的規定,在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。
(二)綜合保護體系的第二層是保護工作部門
國務院電信主管部門和其他有關部門在各自職責范圍內負責關鍵信息基礎設施安全保護和監管管理工作。在關鍵信息基礎設施保護體系中,保護工作部門是與運營者聯系最密切、打交道最直接、具體職責最豐富的國家主管、監管部門。
首先,關鍵信息基礎設施的認定規則,由保護工作部門負責制定。開展關鍵信息基礎設施保護,第一步是弄清關鍵信息基礎設施保護的具體對象。《條例》規定,認定關鍵信息基礎設施,應結合本行業、本領域的實際情況和不同特點,綜合考慮重要程度、破壞后的危害程度、與其他行業的關聯性等因素。由此可見,關鍵信息基礎設施的認定工作與行業關鍵業務高度相關,由保護工作部門制定認定規則最為合理。
其次,保護工作部門是運營者的主要報告對象。運營者的報告義務主要有四種,分別在《條例》第十一條、十七條、十八條、二十一條中規定,主要有:影響關鍵信息基礎設施認定結果的重大變化、年度網絡安全檢測和風險評估情況、發生重大網絡安全事件和發現重大網絡安全威脅、運營者發生合并分立解散等情況。以上四種情況的報告對象都為保護工作部門。
第三,《條例》規定了保護工作部門對關鍵信息基礎設施的保障促進職能。具體包括:在本行業、本領域制定關鍵信息基礎設施安全規劃、建立監測預警制度、建立健全應急預案、定期組織應急演練、組織開展檢查檢測等。
特別值得一提的是,前不久剛剛公開的《黨委(黨組)網絡安全工作責任制實施辦法》規定了行業主管監管部門對本行業本領域的網絡安全工作所承擔的一系列職責,與《條例》中對保護工作部門職責的規定相一致。《條例》的相關規定,既是貫徹落實黨的方針路線政策的具體實踐,也是把黨的主張通過法定程序轉化為國家法律法規的具體體現。
(三)綜合保護體系的第三層是關鍵信息基礎設施運營者
《條例》第四條規定,“強化和落實關鍵信息基礎設施運營者主體責任”。關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,應發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。盡管需要全社會共同保護,但仍然改變不了運營者在綜合保護體系中的主體責任地位。《條例》第三章集中規定了運營者的主體責任義務,具體表現有:一是落實“三同步”安全要求。二是建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。三是設置專門安全管理機構。四是按照《條例》第十五條的規定,落實專門安全管理機構的各項職責。五是每年至少進行一次網絡安全檢測和風險評估。六是及時報告重大網絡安全事件和網絡安全威脅。七是優先采購安全可信的網絡產品和服務。八是明確其網絡產品和服務提供者的技術支持和安全保密義務與責任,并對履行情況進行監督。九是在發生合并、分立、解散等情況時,及時報告保護工作部門,并按保護工作部門的要求進行處置。
另外,《條例》不僅規定了運營者的責任義務,還充分發揮政府及社會各方面的支撐保障和協助支持作用,以增加運營者在開展關鍵信息基礎設施保護工作方面的“獲得感”。具體表現有:一是在開展機構負責人和關鍵崗位人員的安全背景審查方面,《條例》第十四條規定公安機關、國家安全機關應當予以協助。二是《條例》第七條規定,對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。三是《條例》第十六條規定開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與,改變了以往安全部門“有職無權”的困境。四是《條例》第二十五條規定在開展網絡安全事件處置時,可由保護工作部門提供技術支持與協助。五是《條例》第三十五條規定,國家采取措施,鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作;將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系。六是《條例》第三十二條規定,能源、電信行業應當采取措施,為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。
(四)省級人民政府有關部門
《條例》第三條規定,省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。省級人民政府有關部門在關鍵信息基礎設施保護工作體系中的職能主要體現在:一是根據條塊管理的職責劃分,在國家網信部門的統籌協調下,與國務院公安部門、保護工作部門協調開展關鍵信息基礎設施保護工作。二是根據《黨委(黨組)網絡安全工作責任制實施辦法》的規定,對本地區沒有主管監管部門的運營者負指導監管責任。
三、結語
《條例》建立的關鍵信息基礎設施安全綜合保護體系是以運營者為主體的綜合治理體系,在壓實運營者主體責任的基礎上,充分發揮政府和社會力量,賦予運營者必要的支持協助。從層次結構上看,形成了“網信公安-保護工作部門-運營者”的三層體系結構;從參與部門看,既有本行業的主管部門,也涵蓋了電信、能源、國家安全、保密、密碼等對關鍵信息基礎設施至關重要的主管監管部門;從職能協調看,明確了部門與部門、部門與地方、部門與運營者的各方職責。總體上看,《條例》充分調動了全社會的積極力量,建立起一套完整、科學、嚴密的制度框架。我們有理由相信,隨著《條例》的正式施行,我國的關鍵信息基礎設施保護工作將翻開新的篇章。
