互联网
首页  >  互联网  >  互联网要闻

国家关键信息基础设施安全保护法律制度
——《网络安全法》系列解读(二)

2017-08-15  来源:中国信息产业网  作者:王春晖

引言:2017年6月1日,《网络安全法》正式实施,作为我国网络安全领域的首部基础性法律,内容十分丰富,奠定了中国网络安全保护和网络空间治理的基本框架,是引导我国网信事业沿着健康安全轨道运行的指南针,具有里程碑意义。《网络安全法》集中体现了网络空间各利益相关方普遍关心的问题,确定了网络建设、运营、维护和使用网络,以及网络安全监管等多项法律规范和制度,这些规范和制度相互影响、相互作用、相互协调,形成了一个维护网络空间安全的闭环系统。

为了配合《网络安全法》的宣传与贯彻,普及我国首部网络安全法,笔者将对《网络安全法》中的重要法律制度进行系列解读,本期解读:国家关键信息基础设施安全保护法律制度。

“关键信息基础设施”( Critical Information Infrastructure,CII)是网络时代基于“关键基础设施”(Critical Infrastructure CI)延展出的一个新概念。2001年10月,美国政府颁布了一项《美国爱国者法案》(USA PATRIOT Act),该法案全称:Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001,中文译文为“通过提供拦截和阻止恐怖活动所需要的适当手段统一和强化美国法案”,其中“Providing Appropriate Tools Required to Intercept and Obstruct Terrorism”的首个字母缩写恰好是英语中 的“PATRIOT”(爱国者)的组合,因此被统一称为“爱国者法案”。《美国爱国者法案》以法律的形式定义了“关键基础设施”,即“对美国至关重要的系统和资产,不论实体的还是虚拟的,重要到如果这类系统或资产不运行或是遭到破坏将会对安全、国家经济安全、国家公众健康或安全,或这些事项的任何组合造成削弱影响。”该法案还特别明确了属于国家关键基础设施的经济部门范畴,包括:电信、能源、金融服务、海洋、交通领域,以及“对维护国防、政府连续性、经济繁荣以及在美生活质量至关重要的网络和物理基础设施服务”(参见USA PATRIOT Act SEC 1016 CRITICAL INFRASTRUCTURE PROTECTION)。我国政府于2007年曾发布《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》(国办发〔2007〕58号),该通知最先在我国使用了“重大基础设施”的概念,并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别。

近十多年来,随着信息通信技术(ICT)的飞速发展,越来越多的关键基础设施(CI)接入互联网,形成了基于信息通信网络信息系统的“关键信息基础设施”(CII),且涵盖的范围在不断扩大。根据国际电信联盟的定义,国家关键信息基础设施是指支撑国家关键基础设施的信息系统。网络主权下的国家关键信息基础设施(National Critical Information Infrastructure,NCII)是保障国家的军事、电力、通信、能源、金融、水利以及国家机关等国家重要领域基础设施正常、稳定及连续运营的信息通信网络信息系统。保障关键信息基础设施的安全,对于保障国家网络安全,乃至整个国家安全都至关重要。习近平主席在中央网络安全和信息化领导小组第一次会议中指出,建设网络强国,要有良好的信息基础设施,形成势力雄厚的信息经济,要完善关键信息基础设施保护等法律法规等。我国“十三五”规划纲要也提出,要建立关键信息基础设施保护制度,完善涉及国家安全重要信息系统的设计、建设和运行监督机制。

《网络安全法》在第三章第二节中用了相当的篇幅规范了关键信息基础设施的安全与保护法律制度,范围涵盖了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。《网络安全法》第三十一条规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。同时,为了强化对关键信息基础设施安全保护的责任,《网络安全法》从国家主体和关键信息基础设施运营者两大层面,分别明确了对关键信息基础设施安全保护的法律义务与责任。在国家层面,《网络安全法》第三十二条规定,“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作”;在关键信息基础设施运营者方面,《网络安全法》第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务,一是设置专门安全管理机构和安全管理负责人;二是定期对从业人员进行网络安全教育、技术培训和技能考核;三是对重要系统和数据库进行容灾备份;四是制定网络安全事件应急预案,并定期进行演练。另外设定了一项兜底性条款,即“以及法律、行政法规规定的其他义务。

根据国家网络空间主权原则,国家不仅有权对其领土境内的关键基础设施基、重要数据、网络空间活动和信息通信网络监管理行使主权,也可依法对境外个人或组织对我国境内的网络破环活动行使司法管辖权,即具有域外的效力。《网络安全法》第七十五条特别规定:“境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追求法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。”国家关键信息基础设施的保护属于国家主权的范畴,早在2010年中国国务院新闻办公室发布的《中国互联网状况》白皮书就明确指出,中国政府认为,互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。

目前,以立法的形式将国家主权范围内的关键信息基础设施列为国家重要基础性战略资源加以保护,已经成为各主权国家网络空间安全法治建设的核心内容和基本实践。2001年,澳大利亚发布的《保护国家信息基础设施政策》明确要求对澳大利亚关键信息基础设施进行保护。2013年,美国总统奥巴马签署了第21号总统令,指出,“国家的关键基础设施多样化并具有复杂性,包括分布式网络,不同的组织结构和运行模式,涵盖在物理空间和网络空间相互依存的系统、功能和治理结构,涉及多个部门及法律规范”。2013 年美国政府又发布了《提高关键基础设施网络安全的行政令》,即在“识别关键基础设施的最大风险”时指出“不得依据本规定识别任何商业信息技术产品或消费者信息技术服务” 。同时,《提高关键基础设施网络安全的行政令》明确了网络安全信息共享机制,要求建立网络安全基础框架结构,减少针对关键基础设施网络的威胁,而该网络安全框架将尽可能的纳入自愿共识标准和行业最佳实践案例。2013 年 6 月,日本发布《网络安全战略——迈向世界领先的、弹性的、充满活力的网络空间》,其中指出,应当加强落实以下机制的具体实施,包括建立关键信息基础设施保护的信息共享机制以及建立关键信息基础设施评估认证机制。

纵观美国、澳大利亚和日本等国的相关立法和战略政策,明确关键信息基础设施的范围,构建科学的组织管理体系,建立关键信息基础设施保护的信息共享机制是关键信息基础设施保护的重要组成部分。事实上,我国早在2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中就提出:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。但是上述意见并未就基础信息网络和重要信息系统安全保护的范围做出明确界定,也未明确规定国家及关键信息基础设施运营者对关键信息基础设施安全保护的法律义务与责任。作为对中国网络空间治理具有里程碑意义的网络安全基本法律,《网络安全法》明确了关键信息基础设施涉及的主要行业和领域,为关键信息基础设施安全保护规定了责任划分和追责方式,并通过建立关键信息基础设施运营者采购网络产品、服务安全审查等一系列重要制度的要求,为关键信息基础设施安全保护搭建了制度框架。

2017年7月11日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》(“《保护条例》”)。作为《网络安全法》的重要配套法规,《保护条例》对关键信息基础设施(“CII”)的范围、各监管部门的职责、运营者的安全保护义务以及安全检测评估制度提出了更加具体、操作性也更强的要求,为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。《保护条例》第十八条沿用了《网络安全法》第三十一条的规定,通过“非穷尽列举行业和领域+危害后果”的方式,给出了应当纳入关键信息基础设施保护范围:一是政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;二是电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;三是国防科工、大型装备、化工、食品药品等行业领域科研生产单位;四是广播电台、电视台、通讯社等新闻单位;五是其他重点单位。

《保护条例》要求,国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。关于对关键信息基础设施安全检测评估,《条例》指出应本着“坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险。”有关部门依法实施的检测评估,网络运营者应当予以配合,对检测评估发现的问题应当及时进行整改。

关键词:网络安全法 王春晖