咨询热线:010-85199916
随着网络和信息化的快速发展,关键信息基础设施已成为各国的重要战略资源。近年来,全球多地网络安全事件频发,特别是2021年美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,对全球经济运行产生重大影响,也引发全球关于加强关键信息基础设施安全保护的思考。
为保障国家安全和社会稳定,美国、欧盟等积极制定出台关键信息基础设施安全相关法律法规。美国早在2001年就颁布《关键基础设施保护法》,之后相继出台《改进关键基础设施网络安全行政令》《增强联邦政府网络与关键基础设施网络安全行政令》等相关法令。随着网络安全形势日益严峻,美国积极调整保护策略,于2021年发布《关于改善国家网络安全的行政令》等相关政策。欧盟针对关键基础设施出台了《欧盟关键基础设施认定和安全评估指令》《网络与信息安全指令》等多部法律法规。此外,英国、德国、日本等国也出台了关键基础设施保护的相关立法和政策。
2017年6月1日,《中华人民共和国网络安全法》(以下称《网络安全法》)开始施行,其中第三十一条规定:“国家对关键信息基础设施在网络安全等级保护制度的基础上实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”
《关键信息基础设施安全保护条例》(以下简称《条例》)于2021年4月27日经国务院第133次常务会议通过,自2021年9月1日起施行。《条例》旨在细化《网络安全法》的有关要求,将实践证明成熟有效的做法上升为法律制度,为我国深入开展关键信息基础设施安全保护工作提供有力的法治保障。
一、关键信息基础设施的认定
关键信息基础设施的认定方式与保护范围一直是行业的关注焦点。《网络安全法》第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”
根据《网络安全法》这一条款的规定,国家网信办在2017年制定了《关键信息基础设施安全保护条例(征求意见稿)》,第十八条规定关键信息基础设施的保护范围,包括:
1)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
2)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
3)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
4)广播电台、电视台、通讯社等新闻单位;
5)其他重点单位。
可以看出,征求意见稿以非穷尽列举的方式给出关键信息基础设施的保护范围,但这种方式存在列举不全的明显不足。随着经济社会的发展,极可能出现新型涉及国计民生的信息基础设施,但因为立法的滞后性,这类新型设施将不能作为关键信息基础设施予以保护。另外,征求意见稿完全以行业划定保护范围则过于宽泛,比如在互联网信息网络领域,新成立的小型互联网企业的设备未必属于关键信息基础设施的保护范围。
本次正式出台的《条例》在总则部分明确了关键信息基础设施的定义。《条例》第二条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
可以看出,《条例》在认定关键信息基础设施时主要考虑以下因素:
1)该网络设施、信息系统等对于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要程度;
2)该网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露,可能带来的危害程度。
这一方式从总体上确定了关键信息基础设施的范围,具体认定规则由重要行业和领域的主管部门、监管部门结合各自行业及部门的实际情况划定,这样在面对各类安全风险态势时更具有可行性。
运营者安全保护义务的相应思考
根据《条例》的规定,关键信息基础设施包括公共通信和信息服务等重要行业和领域的网络设施、信息系统,而美团、滴滴等大型互联网平台的用户规模普遍在亿级以上。这些互联网平台掌握着海量数据,一旦遭到破坏、丧失功能或者数据泄露,给国民经济带来的危害程度可能是灾难性的。
从这一点来分析,大型互联网平台会被纳入关键信息基础设施的保护范围,这也是近期国家网信部门对滴滴等公司进行网络安全审查的原因之一。
二、对关键信息基础设施的保护
《网络安全法》对关键信息基础设施的安全防护提出专门要求。《网络安全法》第五条规定:“国家采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”第三十一条规定:“国家对……的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
此后,多个部门出台文件,对关键信息基础设施的保护进行细致规定。2020年4月,国家网信办、国家发改委、工信部等12部门联合出台《网络安全审查办法》,以确保关键信息基础设施供应链安全,并于2021年7月公开征求对《网络安全审查办法(修订草案)》的意见,将数据处理者开展的数据处理行为纳入网络安全审查的对象。
2020年7月,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》;8月,全国信息安全标准化技术委员会发布《关键信息基础设施边界确定方法》和《关键信息基础设施安全防护能力评价方法》两个标准的征求意见稿,对关键信息基础设施的边界确定和安全防护能力评价提出规范要求。
此次国务院发布的《条例》属于行政法规,其效力仅次于《网络安全法》,远高于部门规章及国家标准。作为《网络安全法》的配套规则,《条例》在网络安全等级保护制度之外,按照“谁主管谁负责”的原则,综合协调,明确保护工作部门对本行业、本领域关键信息基础设施的安全保护责任。其第四条规定:“关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全”。
1. 明确监管职责分工
为了保障关键信息基础设施保护工作顺利进行,《条例》对监管职责进行明确分工。《条例》第三条规定:“在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。”这样的分工安排,既保障关键信息基础设施的保护工作协同推进,又能充分发挥具体行业部门的专业优势,提升关键信息基础设施的保护力度。
2. 强化安全主体责任
《条例》强调运营者在关键信息基础设施的保护工作中承担主体责任,并对运营者自身的安全管理机制提出严格要求。
一是强调“一把手负责制”,明确运营者的主要负责人对关键信息基础设施的保护负总责,其职责在于领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。二是要求运营者设立专门机构,具体负责本单位关键信息基础设施的保护工作;并对专门机构的负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应予以协助。三是要求运营者为上述专门机构配备经费和人员,切实保障其工作运行。
3. 细化安全保护要求
《条例》强化关键信息基础设施的安全保护,在网络安全等级保护制度之外对运营者提出了更高的保护要求。
一是要求运营者落实“三同步”,即安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用;二是要求运营者开展网络安全检测和风险评估,这项工作运营者应当每年至少进行一次,可以自行进行,或委托网络安全服务机构进行;三是运营者应履行安全事件或安全威胁报告义务,在关键信息基础设施发生重大网络安全事件或发现重大网络安全威胁时,应当及时向保护工作部门、公安机关报告;四是落实安全审查要求,即运营者应当优先采购安全可信的网络产品和服务,并明确网络产品和服务提供者的安全保密义务与责任;采购的网络产品和服务可能影响国家安全的,应当通过安全审查。
运营者安全保护义务的相应思考
第一,确保安全保护措施覆盖关键信息基础设施的全生命周期,保证安全保护措施与关键信息基础设施同步规划、同步建设、同步使用;
第二,对安全保护工作设置专门机构,对专门机构的负责人和关键岗位人员进行安全背景审查,配备专门资金保障专门机构的运行;
第三,至少每年对关键信息基础设施进行一次安全检查评估;
第四,优先采购安全可信的网络产品和服务,对可能影响国家安全的网络产品和服务应当通过网络安全审查。
三、关键信息基础设施中的数据保护
《数据安全法》第二十一条规定,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”对照《条例》对关键信息基础设施的定义,可以认定关键信息基础设施中的数据均为重要数据,甚至属于国家核心数据,运营者对其需要重点保护。
《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”结合国家网信部门对滴滴等企业的网络安全审查,以及国家近期出台的一系列政策,可以认定国家对关键信息基础设施的数据出境会实施严格监管。
运营者安全保护义务的相应思考
第一,在境内运营关键信息基础设施时收集和处理的数据应满足本地化存储的规定,运营者的服务器应架设于境内。
第二,关键信息基础设施收集和处理的数据确需出境时,应通过国家的网络安全审查。
新世纪以来,以互联网为代表的信息技术推动全球经济飞速发展,关键信息基础设施的安全保护已经成为各国推进数字经济发展的重要保障。运营者应当对照《条例》,认真履行对关键信息基础设施的保护义务,建立健全保护制度,为网络强国保驾护航。
(本文为原创文章,作者为王俊林律师、石陇辉律师助理。欢迎转载,转发请注明出处,侵权必究)