全面解讀《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》
作者:吳衛(wèi)明、李榮榮 2017-07-212017年6月1日,《網(wǎng)絡(luò)安全法》開始施行。《網(wǎng)絡(luò)安全法》中規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施提供者的相關(guān)義務(wù)和規(guī)則,對其在網(wǎng)絡(luò)運(yùn)營者的義務(wù)基礎(chǔ)上,增加了特殊的責(zé)任。但總體而言,《網(wǎng)絡(luò)安全法》的規(guī)定較為原則,缺乏細(xì)化的措施。
時(shí)隔1個(gè)半月,國家互聯(lián)網(wǎng)信息辦公室于2017年7月12日發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》(以下簡稱“《安全保護(hù)條例》”),該部條例屬于《網(wǎng)絡(luò)安全法》的重要配套規(guī)定和下位法。相對于《網(wǎng)絡(luò)安全法》而言,《安全保護(hù)條例》在重要行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全要求規(guī)定具體如下:
一、《安全保護(hù)條例》中的細(xì)化規(guī)定
序號 | 細(xì)化要點(diǎn) | 《網(wǎng)絡(luò)安全法》 | 《安全保護(hù)條例》 |
1 | 將國家保密、國家密碼行政管理部門納入監(jiān)管機(jī)構(gòu)范圍 | 第八條第一款:國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。 | 第四條第二款:國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。 |
2 | 地方人民政府的監(jiān)管職責(zé)包括將其納入地區(qū)經(jīng)濟(jì)社會發(fā)展總體規(guī)劃,開展工作績效考核評價(jià)。 | 第八條第二款:縣級以上地方人民政府有關(guān)部門的網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理職責(zé),按照國家有關(guān)規(guī)定確定。 | 第十一條:地市級以上人民政府應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作納入地區(qū)經(jīng)濟(jì)社會發(fā)展總體規(guī)劃,加大投入,開展工作績效考核評價(jià)。 |
3 | 沿用《網(wǎng)絡(luò)安全法》“列舉+兜底除”模式,除了傳統(tǒng)的重要行業(yè)領(lǐng)域外,將以云計(jì)算、大數(shù)據(jù)為代表的國家新興戰(zhàn)略行業(yè)領(lǐng)域納入關(guān)鍵信息基礎(chǔ)設(shè)施范圍 | 第三十一條:國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。 | 第十八條:下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng),……應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍:(一)政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)(公共服務(wù)行業(yè))等行業(yè)領(lǐng)域的單位;(二)電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò),以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位;(三)國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位;(四)廣播電臺、電視臺、通訊社等新聞單位;(五)其他重點(diǎn)單位。 |
4 | 明確了運(yùn)營者組織不同崗位從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn)的時(shí)間。 | 第三十四條:除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):(二)定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核; | 第二十七條:運(yùn)營者應(yīng)當(dāng)組織從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn),每人每年教育培訓(xùn)時(shí)長不得少于1個(gè)工作日,關(guān)鍵崗位專業(yè)技術(shù)人員每人每年教育培訓(xùn)時(shí)長不得少于3個(gè)工作日。 |
二、《安全保護(hù)條例》中的創(chuàng)新亮點(diǎn)
1、建立主管部門的安全評估檢測機(jī)制
《網(wǎng)絡(luò)安全法》只規(guī)定了網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品以及關(guān)鍵信息基礎(chǔ)設(shè)施須進(jìn)行安全檢測,但并未涉及主管部門如何開展安全檢測評估。《安全保護(hù)條例》從實(shí)施主體、原則要求、具體措施、處罰機(jī)制等方面構(gòu)建了完整的安全檢測評估機(jī)制。
從實(shí)施主體來看,行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)定期主動對各自領(lǐng)域中的關(guān)鍵信息基礎(chǔ)設(shè)施和運(yùn)營者履行安全保護(hù)義務(wù)的情況進(jìn)行抽查檢測。(第四十條)
從原則要求來看,《安全保護(hù)條例》確定了安全檢測評估的客觀公正、高效透明原則。同時(shí),主管部門在實(shí)施安全檢測評估過程中的禁止行為包括不得收取費(fèi)用,不得用于除維護(hù)網(wǎng)絡(luò)安全需要以外的用途,避免交叉重復(fù)檢測,不得要求被評估單位購買指定產(chǎn)品和服務(wù)。(第四十三條、第四十四條)
從具體措施來看,有關(guān)部門開展安全檢測時(shí),可以采取的措施包括要求運(yùn)營者作出說明,查閱、調(diào)取、復(fù)制有關(guān)文檔,查看制度制定、措施規(guī)劃、運(yùn)行情況,以及進(jìn)行技術(shù)檢測等。(第四十二條)
此外,與主管部門開展安全檢測評估機(jī)制相對應(yīng),《安全保護(hù)條例》還規(guī)定了運(yùn)營者如何落實(shí)該機(jī)制,即必須建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估制度,產(chǎn)品上線前或者發(fā)生變化時(shí)應(yīng)當(dāng)進(jìn)行安全檢測評估,每半年進(jìn)行一次定期安全檢測評估,發(fā)現(xiàn)問題時(shí)應(yīng)及時(shí)整改并向主管部門進(jìn)行報(bào)告。(第二十八條)
2、加重主要負(fù)責(zé)人的安全保護(hù)責(zé)任
網(wǎng)絡(luò)安全事故的危害后果不亞于一場安全生產(chǎn)責(zé)任事故,網(wǎng)絡(luò)安全運(yùn)行制度中也應(yīng)落實(shí)主要負(fù)責(zé)人責(zé)任追究機(jī)制。雖然《網(wǎng)絡(luò)安全法》提及運(yùn)營者必須要設(shè)置安全管理的主要負(fù)責(zé)人,但并未對主要負(fù)責(zé)人的定位以及具體職責(zé)進(jìn)行明確規(guī)定。
《安全保護(hù)條例》規(guī)定運(yùn)營者主要負(fù)責(zé)人是本單位運(yùn)營者主要負(fù)責(zé)人是本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作第一責(zé)任人,負(fù)責(zé)組織落實(shí)、全面負(fù)責(zé)網(wǎng)絡(luò)安全工作。具體職責(zé)范圍包括組織制定網(wǎng)絡(luò)安全教育和培訓(xùn)、規(guī)章制度、操作規(guī)程,實(shí)施開展網(wǎng)絡(luò)安全檢查和應(yīng)急演練以及處置網(wǎng)絡(luò)安全事件,向有關(guān)部門報(bào)告網(wǎng)絡(luò)安全重要事項(xiàng)。(第二十二條、第二十三條)
根據(jù)《安全保護(hù)條例》第七章的規(guī)定,如主要負(fù)責(zé)人未履行網(wǎng)絡(luò)安全保護(hù)義務(wù),導(dǎo)致嚴(yán)重安全后果的,還面臨罰款等行政處罰和刑事處罰。運(yùn)營單位的主要負(fù)責(zé)人涉及的罪名主要包括《刑法》第253條規(guī)定的“侵犯公司個(gè)人信息罪”、第286條規(guī)定的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”和第287條規(guī)定的“非法利用信息網(wǎng)絡(luò)罪、幫助信息網(wǎng)絡(luò)犯罪活動罪”。
3、境外遠(yuǎn)程維護(hù)的事前報(bào)告機(jī)制
騰訊安全發(fā)布的《2016年五大網(wǎng)絡(luò)安全事件》包括德國核電站因惡意程序被迫關(guān)閉、美國網(wǎng)絡(luò)因惡意軟件攻擊大面積癱瘓、準(zhǔn)大學(xué)生徐玉玉被騙學(xué)費(fèi)悲憤去世、美國大選“郵件門”和雅虎15億用戶信息被盜,其中四起網(wǎng)絡(luò)安全事件均發(fā)生在國外,對于重要信息基礎(chǔ)設(shè)施而言,來自境外的安全威脅日益嚴(yán)重。而境外遠(yuǎn)程維護(hù)將使關(guān)鍵信息基礎(chǔ)設(shè)施直接面臨境外機(jī)構(gòu)的掃描探測,受到境外病毒滲透攻擊的危險(xiǎn)性和可能性大大加強(qiáng)。
為此,在《網(wǎng)絡(luò)安全法》規(guī)定的境內(nèi)儲存、境外提供時(shí)的安全評估機(jī)制外,《安全保護(hù)條例》第三十四條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)確需進(jìn)行境外遠(yuǎn)程維護(hù)的,應(yīng)事先報(bào)國家行業(yè)主管或監(jiān)管部門和國務(wù)院公安部門。
三、對《安全保護(hù)條例》的進(jìn)一步思考
1、部分內(nèi)容尚需相關(guān)部門出臺細(xì)則。《安全保護(hù)條例》從支持與保障、運(yùn)營者安全保護(hù)、產(chǎn)品和服務(wù)安全等方面構(gòu)建了關(guān)鍵信息基礎(chǔ)設(shè)施的制度體系,但是,關(guān)鍵信息基礎(chǔ)設(shè)施范圍的具體認(rèn)定還有待關(guān)鍵信息基礎(chǔ)設(shè)施識別指南出臺,網(wǎng)絡(luò)安全關(guān)鍵崗位專業(yè)技術(shù)人員持證上崗制度還有待人力資源社會保障部門制定細(xì)則。
2、行業(yè)協(xié)會在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域的職責(zé)尚缺位。關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域同樣具有互聯(lián)網(wǎng)的虛擬性、廣泛性、開放性,那么,運(yùn)營企業(yè)的行業(yè)自律和政府的外在監(jiān)管應(yīng)相輔相成。比如,美國、英國實(shí)行在政府指導(dǎo)下的行業(yè)自律監(jiān)管模式。各種互聯(lián)網(wǎng)組織(比如中國網(wǎng)絡(luò)空間安全協(xié)會、中國互聯(lián)網(wǎng)協(xié)會)和技術(shù)聯(lián)盟(比如自有源代碼聯(lián)盟)在技術(shù)能力方面具有天然優(yōu)勢,能夠協(xié)助政府甚至直接承擔(dān)一定的監(jiān)管職能。
綜上,關(guān)鍵信息基礎(chǔ)設(shè)施安全是網(wǎng)絡(luò)安全領(lǐng)域的命脈所在,相對于《網(wǎng)絡(luò)安全法》而言,《安全保護(hù)條例》規(guī)定的條款內(nèi)容更加詳盡、方法更具操行性、安全保護(hù)標(biāo)準(zhǔn)更嚴(yán)格,而且對《網(wǎng)絡(luò)安全法》中規(guī)定安全檢測評估機(jī)制等進(jìn)行了創(chuàng)新,保證能夠最大程度實(shí)現(xiàn)互聯(lián)網(wǎng)領(lǐng)域中關(guān)鍵基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行。
