全面解讀《關鍵信息基礎設施安全保護條例(征求意見稿)》
作者:吳衛明、李榮榮 2017-07-212017年6月1日,《網絡安全法》開始施行。《網絡安全法》中規定了“關鍵信息基礎設施提供者的相關義務和規則,對其在網絡運營者的義務基礎上,增加了特殊的責任。但總體而言,《網絡安全法》的規定較為原則,缺乏細化的措施。
時隔1個半月,國家互聯網信息辦公室于2017年7月12日發布了《關鍵信息基礎設施安全保護條例(征求意見稿)》(以下簡稱“《安全保護條例》”),該部條例屬于《網絡安全法》的重要配套規定和下位法。相對于《網絡安全法》而言,《安全保護條例》在重要行業領域的網絡安全要求規定具體如下:
一、《安全保護條例》中的細化規定
序號 | 細化要點 | 《網絡安全法》 | 《安全保護條例》 |
1 | 將國家保密、國家密碼行政管理部門納入監管機構范圍 | 第八條第一款:國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網絡安全保護和監督管理工作。 | 第四條第二款:國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內負責相關網絡安全保護和監督管理工作。 |
2 | 地方人民政府的監管職責包括將其納入地區經濟社會發展總體規劃,開展工作績效考核評價。 | 第八條第二款:縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責,按照國家有關規定確定。 | 第十一條:地市級以上人民政府應當將關鍵信息基礎設施安全保護工作納入地區經濟社會發展總體規劃,加大投入,開展工作績效考核評價。 |
3 | 沿用《網絡安全法》“列舉+兜底除”模式,除了傳統的重要行業領域外,將以云計算、大數據為代表的國家新興戰略行業領域納入關鍵信息基礎設施范圍 | 第三十一條:國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。 | 第十八條:下列單位運行、管理的網絡設施和信息系統,……應當納入關鍵信息基礎設施保護范圍:(一)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業(公共服務行業)等行業領域的單位;(二)電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位;(三)國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;(四)廣播電臺、電視臺、通訊社等新聞單位;(五)其他重點單位。 |
4 | 明確了運營者組織不同崗位從業人員網絡安全教育培訓的時間。 | 第三十四條:除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核; | 第二十七條:運營者應當組織從業人員網絡安全教育培訓,每人每年教育培訓時長不得少于1個工作日,關鍵崗位專業技術人員每人每年教育培訓時長不得少于3個工作日。 |
二、《安全保護條例》中的創新亮點
1、建立主管部門的安全評估檢測機制
《網絡安全法》只規定了網絡關鍵設備、網絡安全專用產品以及關鍵信息基礎設施須進行安全檢測,但并未涉及主管部門如何開展安全檢測評估。《安全保護條例》從實施主體、原則要求、具體措施、處罰機制等方面構建了完整的安全檢測評估機制。
從實施主體來看,行業主管或監管部門應當定期主動對各自領域中的關鍵信息基礎設施和運營者履行安全保護義務的情況進行抽查檢測。(第四十條)
從原則要求來看,《安全保護條例》確定了安全檢測評估的客觀公正、高效透明原則。同時,主管部門在實施安全檢測評估過程中的禁止行為包括不得收取費用,不得用于除維護網絡安全需要以外的用途,避免交叉重復檢測,不得要求被評估單位購買指定產品和服務。(第四十三條、第四十四條)
從具體措施來看,有關部門開展安全檢測時,可以采取的措施包括要求運營者作出說明,查閱、調取、復制有關文檔,查看制度制定、措施規劃、運行情況,以及進行技術檢測等。(第四十二條)
此外,與主管部門開展安全檢測評估機制相對應,《安全保護條例》還規定了運營者如何落實該機制,即必須建立健全關鍵信息基礎設施安全檢測評估制度,產品上線前或者發生變化時應當進行安全檢測評估,每半年進行一次定期安全檢測評估,發現問題時應及時整改并向主管部門進行報告。(第二十八條)
2、加重主要負責人的安全保護責任
網絡安全事故的危害后果不亞于一場安全生產責任事故,網絡安全運行制度中也應落實主要負責人責任追究機制。雖然《網絡安全法》提及運營者必須要設置安全管理的主要負責人,但并未對主要負責人的定位以及具體職責進行明確規定。
《安全保護條例》規定運營者主要負責人是本單位運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人,負責組織落實、全面負責網絡安全工作。具體職責范圍包括組織制定網絡安全教育和培訓、規章制度、操作規程,實施開展網絡安全檢查和應急演練以及處置網絡安全事件,向有關部門報告網絡安全重要事項。(第二十二條、第二十三條)
根據《安全保護條例》第七章的規定,如主要負責人未履行網絡安全保護義務,導致嚴重安全后果的,還面臨罰款等行政處罰和刑事處罰。運營單位的主要負責人涉及的罪名主要包括《刑法》第253條規定的“侵犯公司個人信息罪”、第286條規定的“拒不履行信息網絡安全管理義務罪”和第287條規定的“非法利用信息網絡罪、幫助信息網絡犯罪活動罪”。
3、境外遠程維護的事前報告機制
騰訊安全發布的《2016年五大網絡安全事件》包括德國核電站因惡意程序被迫關閉、美國網絡因惡意軟件攻擊大面積癱瘓、準大學生徐玉玉被騙學費悲憤去世、美國大選“郵件門”和雅虎15億用戶信息被盜,其中四起網絡安全事件均發生在國外,對于重要信息基礎設施而言,來自境外的安全威脅日益嚴重。而境外遠程維護將使關鍵信息基礎設施直接面臨境外機構的掃描探測,受到境外病毒滲透攻擊的危險性和可能性大大加強。
為此,在《網絡安全法》規定的境內儲存、境外提供時的安全評估機制外,《安全保護條例》第三十四條規定,關鍵信息基礎設施的運行維護確需進行境外遠程維護的,應事先報國家行業主管或監管部門和國務院公安部門。
三、對《安全保護條例》的進一步思考
1、部分內容尚需相關部門出臺細則。《安全保護條例》從支持與保障、運營者安全保護、產品和服務安全等方面構建了關鍵信息基礎設施的制度體系,但是,關鍵信息基礎設施范圍的具體認定還有待關鍵信息基礎設施識別指南出臺,網絡安全關鍵崗位專業技術人員持證上崗制度還有待人力資源社會保障部門制定細則。
2、行業協會在關鍵信息基礎設施保護領域的職責尚缺位。關鍵信息基礎設施領域同樣具有互聯網的虛擬性、廣泛性、開放性,那么,運營企業的行業自律和政府的外在監管應相輔相成。比如,美國、英國實行在政府指導下的行業自律監管模式。各種互聯網組織(比如中國網絡空間安全協會、中國互聯網協會)和技術聯盟(比如自有源代碼聯盟)在技術能力方面具有天然優勢,能夠協助政府甚至直接承擔一定的監管職能。
綜上,關鍵信息基礎設施安全是網絡安全領域的命脈所在,相對于《網絡安全法》而言,《安全保護條例》規定的條款內容更加詳盡、方法更具操行性、安全保護標準更嚴格,而且對《網絡安全法》中規定安全檢測評估機制等進行了創新,保證能夠最大程度實現互聯網領域中關鍵基礎設施的安全穩定運行。
