2017年6月1日施行的《網(wǎng)絡(luò)安全法》首次正式明確了關(guān)鍵信息基礎(chǔ)設(shè)施的概念并提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的原則要求���。2017年7月10日,國家互聯(lián)網(wǎng)信息辦公室向社會公開發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》����。經(jīng)廣泛征求意見,國家互聯(lián)網(wǎng)信息辦公室對該征求意見稿進行了系統(tǒng)修訂和完善���,國務(wù)院于2021年8月17日正式發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(下稱《條例》)���。我們對《條例》的基本定位、重要意義與基本架構(gòu)����,《條例》體現(xiàn)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本原則等進行了解讀,并給出了關(guān)于《條例》貫徹實施的四點建議����。
一、《條例》的基本定位���、重要意義與基本架構(gòu)
《條例》是在《網(wǎng)絡(luò)安全法》框架下全面規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基礎(chǔ)性法規(guī)�,是加強網(wǎng)絡(luò)安全領(lǐng)域立法、完善網(wǎng)絡(luò)安全保護法律法規(guī)體系的重要舉措�,是依法治理關(guān)鍵信息基礎(chǔ)設(shè)施的綱領(lǐng)性文件之一,是化解關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險的法律法規(guī)重器和重要里程碑�。《條例》的出臺為我國科學(xué)��、有效開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了重要的基礎(chǔ)規(guī)范與法律法規(guī)支撐����。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī),《條例》對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的適用范圍���、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定��、運營者責(zé)任義務(wù)�、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護保障與促進以及攸關(guān)各方法律責(zé)任等提出了更為具體����、更具操作性的基本要求。
《條例》以六章共計五十一條的篇幅���,對于關(guān)鍵信息基礎(chǔ)設(shè)施保護一系列相關(guān)要素作出具體規(guī)定,涵蓋:總則(第一至七條)�、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定(第八至十一條)�����、運營者責(zé)任義務(wù)(第十二至二十一條)����、保障和促進(第二十二至三十八條)���、法律責(zé)任(第三十九至四十九條)和附則(第五十至五十一條)�����?�!稐l例》詳細(xì)闡明了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍及認(rèn)定�、運營者責(zé)任義務(wù)����,對政府機構(gòu)、行業(yè)主管及監(jiān)管部門����,以及公共通信和信息服務(wù)、能源、交通��、水利�、金融、公共服務(wù)���、電子政務(wù)�、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施運營者的責(zé)權(quán)利進行了規(guī)定�����,并對建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系���、信息通報制度以及網(wǎng)絡(luò)安全人才培養(yǎng)等提出了要求���,還就違反該條例可能會受到的行政處罰、判處罰金甚至是承擔(dān)刑事法律責(zé)任作出了明確規(guī)定���。
二�、《條例》體現(xiàn)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護基本原則
第一�,遵循了以《網(wǎng)絡(luò)安全法》為上位法的基本原則,體現(xiàn)了該法的自然延伸和具體細(xì)化�����?�!毒W(wǎng)絡(luò)安全法》明確了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理要求�����,該法第三章第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”中對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本要求�、部門分工以及主體責(zé)任等問題作了基本法層面的總體制度安排和原則性規(guī)范?!稐l例》是該法在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護領(lǐng)域的自然延伸和表現(xiàn),同時將我國近年在該領(lǐng)域一些成熟的好做法制度化����,并對未來可能的制度創(chuàng)新作了原則性規(guī)定,為后續(xù)發(fā)展預(yù)留了必要的���、足夠的制度空間�����。
第二���,給出了關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)范定義,體現(xiàn)了其“大”安全保護原則?!稐l例》在總則部分給出了關(guān)鍵信息基礎(chǔ)設(shè)施的定義,該定義聚焦關(guān)鍵信息基礎(chǔ)設(shè)施范圍認(rèn)定中的“非窮盡列舉重要行業(yè)和領(lǐng)域+功能保障+危害后果”因素�����,明確了設(shè)施的范圍及其性質(zhì)評判的核心標(biāo)準(zhǔn)�����,針對重要網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)面臨的威脅和風(fēng)險使用的“一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全��、國計民生��、公共利益”這種描述����,表明關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護要從物理安全�、功能安全以及信息安全等方面綜合考慮,彰顯了我國對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護核心價值的深刻認(rèn)知��。
第三,堅持了統(tǒng)籌協(xié)調(diào)���、共同治理的原則��。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護需要綜合協(xié)調(diào)��、分工負(fù)責(zé)、依法保護���。為此���,《條例》規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)�����,由國務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督�����,國務(wù)院電信主管部門和其他有關(guān)部門�、省級人民政府有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護和監(jiān)督管理,公安���、國家安全���、保密行政管理���、密碼管理等有關(guān)部門依法實施相關(guān)的網(wǎng)絡(luò)安全檢查工作等。這種“1+X”的安全監(jiān)管體制設(shè)計��,可形成攸關(guān)各方責(zé)權(quán)清晰���、齊抓共管��、共同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全的良好局面��,高度契合我國當(dāng)前關(guān)鍵信息基礎(chǔ)設(shè)施與現(xiàn)實社會深度融合的特點和保護���、監(jiān)管的實際需要。
第四���,明確了運營者主體責(zé)任的原則����?����!稐l例》單獨以整章篇幅,明確要求強化落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責(zé)任���,主要包括:建立健全網(wǎng)絡(luò)安全保護制度和責(zé)任制��,保障人力����、財力和物力投入���;運營者主要負(fù)責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負(fù)總責(zé);運營者應(yīng)當(dāng)設(shè)立專門安全管理機構(gòu)并負(fù)責(zé)實施相關(guān)人員安全背景審查��;專門安全管理機構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作��;運營者負(fù)責(zé)自行或委托機構(gòu)實施每年不低于一次的網(wǎng)絡(luò)安全檢測和風(fēng)險評估���,及時整改問題并向保護工作部門報送情況�����;運營者應(yīng)就重大網(wǎng)絡(luò)安全事件或潛在重大安全威脅向保護工作部門或公安機關(guān)報告��;運營者應(yīng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)��、簽訂安全保密協(xié)議等���。
第五�,強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施安全與信息化發(fā)展并重的原則��。習(xí)近平總書記指出:“安全是發(fā)展的前提�����,發(fā)展是安全的保障����,安全和發(fā)展要同步推進?��!本唧w到關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域���,其安全和信息化是一體之兩翼、驅(qū)動之雙輪��,必須統(tǒng)一謀劃��、統(tǒng)一部署、統(tǒng)一推進�����、統(tǒng)一實施����。為此,《條例》明確提出����,安全保護措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)����、同步使用�。因此,既要大力推進關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)��,又要建立健全其安全保護體系���、提升其安全保護能力和水平���,力求做到“雙輪驅(qū)動�、兩翼齊飛”���。
第六���,突出了關(guān)鍵信息基礎(chǔ)設(shè)施重點保護的原則?��!毒W(wǎng)絡(luò)安全法》重點強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全保護����,《條例》繼承并發(fā)展了該法的原則精神和相關(guān)規(guī)定����,進一步強調(diào)并細(xì)化了在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護�,明確關(guān)鍵信息基礎(chǔ)設(shè)施的運營者的安全保護主體責(zé)任義務(wù),并配以國家安全審查�����、檢查檢測等法律行政措施����,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全�。其中���,特別強調(diào)了能源���、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行的優(yōu)先保障權(quán)利,并要求能源�����、電信行業(yè)應(yīng)采取措施為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障�����。
三��、關(guān)于《條例》貫徹實施的四點建議
第一��,要對標(biāo)《條例》��,做好關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定工作���。《網(wǎng)絡(luò)安全法》對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的網(wǎng)絡(luò)安全保護義務(wù)設(shè)定了明確的法律要求,但并未就關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定給出明確的認(rèn)定機構(gòu)和認(rèn)定標(biāo)準(zhǔn)��?���!稐l例》明確關(guān)鍵信息基礎(chǔ)設(shè)施需由所涉重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門來負(fù)責(zé)其安全保護工作及認(rèn)定規(guī)則制定��。認(rèn)定規(guī)則需要考慮的主要因素是網(wǎng)絡(luò)設(shè)施�����、信息系統(tǒng)等對于本行業(yè)���、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度��、一旦遭到破壞后可能帶來的危害程度及對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響��。因此��,關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定權(quán)限在于該行業(yè)和領(lǐng)域的保護工作部門���,保護工作部門將認(rèn)定結(jié)果通知運營者,并向國務(wù)院公安部門通報����。
在《條例》貫徹實施中�,可結(jié)合關(guān)鍵信息基礎(chǔ)設(shè)施確定及其網(wǎng)絡(luò)安全檢查實踐����,重點考慮“關(guān)鍵業(yè)務(wù)”“支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)”“根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失”等因素����。比如“電信與互聯(lián)網(wǎng)”領(lǐng)域,關(guān)鍵業(yè)務(wù)可包括DNS�、DC/云服務(wù)、語音/數(shù)據(jù)/互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)及樞紐等業(yè)務(wù)�����。對于認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的量化標(biāo)準(zhǔn)�,可根據(jù)網(wǎng)站、平臺和生產(chǎn)業(yè)務(wù)等不同具體類型確定相應(yīng)的量化標(biāo)準(zhǔn)��。
第二�,要堅持從法律法規(guī)、政策�����、標(biāo)準(zhǔn)��、技術(shù)����、實踐等多維度開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作?��!稐l例》從法律法規(guī)層面對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作進行了原則規(guī)定����,在實踐過程中�����,要充分考慮我國國情��,做好與已頒布或正在制定法律法規(guī)�、標(biāo)準(zhǔn)規(guī)范等的有效配套和無縫銜接工作。具體涉及的主要法律包括《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》等�,涉及的規(guī)章制度包括《網(wǎng)絡(luò)安全審查辦法》等,涉及的標(biāo)準(zhǔn)規(guī)范包括全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織制定的《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》等���。同時�����,要進一步重視關(guān)鍵信息基礎(chǔ)設(shè)施安全威脅信息共享����、監(jiān)測預(yù)警、應(yīng)急處置等協(xié)同機制作用的發(fā)揮���,在國家網(wǎng)絡(luò)安全法律��、標(biāo)準(zhǔn)的統(tǒng)一框架下持續(xù)完善����。
第三�,要運用系統(tǒng)思維,科學(xué)�、全面、準(zhǔn)確地把握關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的重點���?�!稐l例》給出的關(guān)鍵信息基礎(chǔ)設(shè)施保護制度框架是一個統(tǒng)一的整體��,在貫徹實施過程中��,要把握各類主體全面責(zé)任�、全流程動態(tài)保護和監(jiān)管、核心重點保護的辯證統(tǒng)一��。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護本身涉及規(guī)劃����、建設(shè)����、使用、運維乃至廢棄等全生命周期�,國家、政府�、監(jiān)管、行業(yè)主管���、運營者等各類主體在其安全保護方面責(zé)權(quán)不同�,但共同維護安全的目標(biāo)一致��,因此需要堅持統(tǒng)籌協(xié)調(diào)���、頂層設(shè)計�、系統(tǒng)防護的整體思維,切實保障關(guān)鍵信息基礎(chǔ)設(shè)施安全�����。
第四����,要高度重視和大力加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的人才培養(yǎng)工作。習(xí)近平總書記明確指出��,“網(wǎng)絡(luò)空間的競爭����,歸根結(jié)底是人才競爭”。當(dāng)前����,國際信息技術(shù)發(fā)展日新月異,我國也處于數(shù)字化轉(zhuǎn)型升級關(guān)鍵期��,各種新場景����、新問題、新技術(shù)��、新方法層出不窮,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護所面臨的任務(wù)越來越繁重����、挑戰(zhàn)越來越艱巨。為此《條例》專門要求�����,國家將采取措施����,鼓勵網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作��,并將運營者的安全管理人員�、安全技術(shù)人員培訓(xùn)納入國家繼續(xù)教育體系,專門安全管理機構(gòu)要履行組織網(wǎng)絡(luò)安全教育���、培訓(xùn)職責(zé)����。在實踐中����,需要協(xié)調(diào)動員全社會相關(guān)企業(yè)����、行業(yè)組織�、高校和科研院所等協(xié)作配合,從在職培訓(xùn)和學(xué)歷教育等多個層次�����,共同建立適應(yīng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護人才需求特點的隊伍建設(shè)工作體系�����。
目前適逢我國新型基礎(chǔ)設(shè)施建設(shè)�����、數(shù)字經(jīng)濟轉(zhuǎn)型進入發(fā)展勢頭如火如荼���、保障體系亟需完善的重要戰(zhàn)略機遇期���,《條例》的公布實施,及時開啟了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護進程的新篇章����,必將在我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護以及國家安全�、國計民生�、公共利益等保障方面發(fā)揮不可或缺、不可替代的積極影響和重要作用�。(作者:閆懷志,北京理工大學(xué)網(wǎng)絡(luò)攻防研究所所長)
