2017年6月1日施行的《網(wǎng)絡安全法》首次正式明確了關鍵信息基礎設施的概念并提出了關鍵信息基礎設施安全保護的原則要求��。2017年7月10日,國家互聯(lián)網(wǎng)信息辦公室向社會公開發(fā)布《關鍵信息基礎設施安全保護條例(征求意見稿)》���。經(jīng)廣泛征求意見�����,國家互聯(lián)網(wǎng)信息辦公室對該征求意見稿進行了系統(tǒng)修訂和完善����,國務院于2021年8月17日正式發(fā)布《關鍵信息基礎設施安全保護條例》(下稱《條例》)����。我們對《條例》的基本定位、重要意義與基本架構���,《條例》體現(xiàn)的關鍵信息基礎設施安全保護的基本原則等進行了解讀�,并給出了關于《條例》貫徹實施的四點建議��。
一、《條例》的基本定位�����、重要意義與基本架構
《條例》是在《網(wǎng)絡安全法》框架下全面規(guī)范關鍵信息基礎設施安全保護的基礎性法規(guī)���,是加強網(wǎng)絡安全領域立法�、完善網(wǎng)絡安全保護法律法規(guī)體系的重要舉措��,是依法治理關鍵信息基礎設施的綱領性文件之一�,是化解關鍵信息基礎設施安全風險的法律法規(guī)重器和重要里程碑?�!稐l例》的出臺為我國科學�����、有效開展關鍵信息基礎設施安全保護工作提供了重要的基礎規(guī)范與法律法規(guī)支撐�。作為《網(wǎng)絡安全法》的重要配套法規(guī),《條例》對關鍵信息基礎設施安全保護的適用范圍�、關鍵信息基礎設施認定、運營者責任義務�、關鍵信息基礎設施安全保護保障與促進以及攸關各方法律責任等提出了更為具體、更具操作性的基本要求���。
《條例》以六章共計五十一條的篇幅�,對于關鍵信息基礎設施保護一系列相關要素作出具體規(guī)定,涵蓋:總則(第一至七條)���、關鍵信息基礎設施認定(第八至十一條)����、運營者責任義務(第十二至二十一條)�、保障和促進(第二十二至三十八條)�����、法律責任(第三十九至四十九條)和附則(第五十至五十一條)���?!稐l例》詳細闡明了關鍵信息基礎設施的范圍及認定���、運營者責任義務�����,對政府機構���、行業(yè)主管及監(jiān)管部門���,以及公共通信和信息服務、能源�、交通、水利��、金融��、公共服務��、電子政務��、國防科技工業(yè)等重要行業(yè)和領域的關鍵信息基礎設施運營者的責權利進行了規(guī)定���,并對建立關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警體系��、信息通報制度以及網(wǎng)絡安全人才培養(yǎng)等提出了要求�,還就違反該條例可能會受到的行政處罰�����、判處罰金甚至是承擔刑事法律責任作出了明確規(guī)定�����。
二、《條例》體現(xiàn)的關鍵信息基礎設施安全保護基本原則
第一��,遵循了以《網(wǎng)絡安全法》為上位法的基本原則���,體現(xiàn)了該法的自然延伸和具體細化���。《網(wǎng)絡安全法》明確了我國關鍵信息基礎設施安全保護和監(jiān)督管理要求����,該法第三章第二節(jié)“關鍵信息基礎設施的運行安全”中對關鍵信息基礎設施安全保護的基本要求��、部門分工以及主體責任等問題作了基本法層面的總體制度安排和原則性規(guī)范�。《條例》是該法在關鍵信息基礎設施安全保護領域的自然延伸和表現(xiàn)���,同時將我國近年在該領域一些成熟的好做法制度化���,并對未來可能的制度創(chuàng)新作了原則性規(guī)定,為后續(xù)發(fā)展預留了必要的��、足夠的制度空間。
第二�,給出了關鍵信息基礎設施的規(guī)范定義,體現(xiàn)了其“大”安全保護原則��?��!稐l例》在總則部分給出了關鍵信息基礎設施的定義�����,該定義聚焦關鍵信息基礎設施范圍認定中的“非窮盡列舉重要行業(yè)和領域+功能保障+危害后果”因素��,明確了設施的范圍及其性質評判的核心標準��,針對重要網(wǎng)絡設施����、信息系統(tǒng)面臨的威脅和風險使用的“一旦遭到攻擊���、喪失功能或者數(shù)據(jù)泄露����,可能嚴重危害國家安全�����、國計民生、公共利益”這種描述�����,表明關鍵信息基礎設施的安全保護要從物理安全���、功能安全以及信息安全等方面綜合考慮�����,彰顯了我國對關鍵信息基礎設施安全保護核心價值的深刻認知���。
第三,堅持了統(tǒng)籌協(xié)調����、共同治理的原則�。關鍵信息基礎設施安全保護需要綜合協(xié)調、分工負責�、依法保護。為此����,《條例》規(guī)定��,關鍵信息基礎設施安全保護工作由國家網(wǎng)信部門統(tǒng)籌協(xié)調�,由國務院公安部門負責指導監(jiān)督��,國務院電信主管部門和其他有關部門�、省級人民政府有關部門在各自職責范圍內(nèi)負責關鍵信息基礎設施的安全保護和監(jiān)督管理,公安���、國家安全�、保密行政管理���、密碼管理等有關部門依法實施相關的網(wǎng)絡安全檢查工作等����。這種“1+X”的安全監(jiān)管體制設計�����,可形成攸關各方責權清晰����、齊抓共管�、共同保護關鍵信息基礎設施安全的良好局面����,高度契合我國當前關鍵信息基礎設施與現(xiàn)實社會深度融合的特點和保護、監(jiān)管的實際需要�。
第四,明確了運營者主體責任的原則��?�!稐l例》單獨以整章篇幅�,明確要求強化落實關鍵信息基礎設施運營者主體責任,主要包括:建立健全網(wǎng)絡安全保護制度和責任制��,保障人力��、財力和物力投入�����;運營者主要負責人對關鍵信息基礎設施安全保護負總責�����;運營者應當設立專門安全管理機構并負責實施相關人員安全背景審查���;專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作�;運營者負責自行或委托機構實施每年不低于一次的網(wǎng)絡安全檢測和風險評估����,及時整改問題并向保護工作部門報送情況;運營者應就重大網(wǎng)絡安全事件或潛在重大安全威脅向保護工作部門或公安機關報告�;運營者應優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務、簽訂安全保密協(xié)議等����。
第五,強調了關鍵信息基礎設施安全與信息化發(fā)展并重的原則��。習近平總書記指出:“安全是發(fā)展的前提���,發(fā)展是安全的保障�,安全和發(fā)展要同步推進��?�!本唧w到關鍵信息基礎設施領域���,其安全和信息化是一體之兩翼����、驅動之雙輪,必須統(tǒng)一謀劃��、統(tǒng)一部署����、統(tǒng)一推進、統(tǒng)一實施�。為此,《條例》明確提出���,安全保護措施應當與關鍵信息基礎設施同步規(guī)劃�、同步建設�、同步使用。因此�����,既要大力推進關鍵信息基礎設施建設���,又要建立健全其安全保護體系��、提升其安全保護能力和水平�����,力求做到“雙輪驅動��、兩翼齊飛”�����。
第六�����,突出了關鍵信息基礎設施重點保護的原則�?���!毒W(wǎng)絡安全法》重點強調了關鍵信息基礎設施的運行安全保護,《條例》繼承并發(fā)展了該法的原則精神和相關規(guī)定����,進一步強調并細化了在網(wǎng)絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護��,明確關鍵信息基礎設施的運營者的安全保護主體責任義務,并配以國家安全審查�����、檢查檢測等法律行政措施��,確保關鍵信息基礎設施的運行安全�����。其中��,特別強調了能源����、電信等關鍵信息基礎設施安全運行的優(yōu)先保障權利,并要求能源��、電信行業(yè)應采取措施為其他行業(yè)和領域的關鍵信息基礎設施安全運行提供重點保障�。
三、關于《條例》貫徹實施的四點建議
第一��,要對標《條例》��,做好關鍵信息基礎設施的認定工作����?!毒W(wǎng)絡安全法》對關鍵信息基礎設施運營者的網(wǎng)絡安全保護義務設定了明確的法律要求�,但并未就關鍵信息基礎設施認定給出明確的認定機構和認定標準?�!稐l例》明確關鍵信息基礎設施需由所涉重要行業(yè)和領域的主管部門��、監(jiān)督管理部門來負責其安全保護工作及認定規(guī)則制定�。認定規(guī)則需要考慮的主要因素是網(wǎng)絡設施���、信息系統(tǒng)等對于本行業(yè)�、本領域關鍵核心業(yè)務的重要程度�、一旦遭到破壞后可能帶來的危害程度及對其他行業(yè)和領域的關聯(lián)性影響。因此�����,關鍵信息基礎設施的認定權限在于該行業(yè)和領域的保護工作部門���,保護工作部門將認定結果通知運營者����,并向國務院公安部門通報。
在《條例》貫徹實施中���,可結合關鍵信息基礎設施確定及其網(wǎng)絡安全檢查實踐���,重點考慮“關鍵業(yè)務”“支撐關鍵業(yè)務的信息系統(tǒng)或工業(yè)控制系統(tǒng)”“根據(jù)關鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡安全事件后可能造成的損失”等因素�����。比如“電信與互聯(lián)網(wǎng)”領域�,關鍵業(yè)務可包括DNS、DC/云服務�����、語音/數(shù)據(jù)/互聯(lián)網(wǎng)基礎網(wǎng)絡及樞紐等業(yè)務��。對于認定關鍵信息基礎設施的量化標準���,可根據(jù)網(wǎng)站���、平臺和生產(chǎn)業(yè)務等不同具體類型確定相應的量化標準。
第二��,要堅持從法律法規(guī)、政策�����、標準�����、技術���、實踐等多維度開展關鍵信息基礎設施安全保護工作?�!稐l例》從法律法規(guī)層面對關鍵信息基礎設施安全保護工作進行了原則規(guī)定�,在實踐過程中,要充分考慮我國國情���,做好與已頒布或正在制定法律法規(guī)�����、標準規(guī)范等的有效配套和無縫銜接工作��。具體涉及的主要法律包括《網(wǎng)絡安全法》《密碼法》《數(shù)據(jù)安全法》等����,涉及的規(guī)章制度包括《網(wǎng)絡安全審查辦法》等,涉及的標準規(guī)范包括全國信息安全標準化技術委員會組織制定的《關鍵信息基礎設施網(wǎng)絡安全保護基本要求》等���。同時���,要進一步重視關鍵信息基礎設施安全威脅信息共享、監(jiān)測預警�、應急處置等協(xié)同機制作用的發(fā)揮,在國家網(wǎng)絡安全法律����、標準的統(tǒng)一框架下持續(xù)完善。
第三�����,要運用系統(tǒng)思維�����,科學���、全面�、準確地把握關鍵信息基礎設施安全保護工作的重點?!稐l例》給出的關鍵信息基礎設施保護制度框架是一個統(tǒng)一的整體,在貫徹實施過程中���,要把握各類主體全面責任�����、全流程動態(tài)保護和監(jiān)管�、核心重點保護的辯證統(tǒng)一�����。關鍵信息基礎設施安全保護本身涉及規(guī)劃����、建設����、使用、運維乃至廢棄等全生命周期���,國家���、政府�����、監(jiān)管�����、行業(yè)主管��、運營者等各類主體在其安全保護方面責權不同�,但共同維護安全的目標一致�,因此需要堅持統(tǒng)籌協(xié)調、頂層設計��、系統(tǒng)防護的整體思維���,切實保障關鍵信息基礎設施安全�。
第四����,要高度重視和大力加強關鍵信息基礎設施安全保護的人才培養(yǎng)工作�����。習近平總書記明確指出�����,“網(wǎng)絡空間的競爭���,歸根結底是人才競爭”。當前���,國際信息技術發(fā)展日新月異���,我國也處于數(shù)字化轉型升級關鍵期,各種新場景����、新問題、新技術���、新方法層出不窮,關鍵信息基礎設施安全保護所面臨的任務越來越繁重�、挑戰(zhàn)越來越艱巨。為此《條例》專門要求,國家將采取措施��,鼓勵網(wǎng)絡安全專門人才從事關鍵信息基礎設施安全保護工作��,并將運營者的安全管理人員����、安全技術人員培訓納入國家繼續(xù)教育體系,專門安全管理機構要履行組織網(wǎng)絡安全教育����、培訓職責。在實踐中��,需要協(xié)調動員全社會相關企業(yè)���、行業(yè)組織�、高校和科研院所等協(xié)作配合�����,從在職培訓和學歷教育等多個層次�,共同建立適應關鍵信息基礎設施安全保護人才需求特點的隊伍建設工作體系。
目前適逢我國新型基礎設施建設���、數(shù)字經(jīng)濟轉型進入發(fā)展勢頭如火如荼�、保障體系亟需完善的重要戰(zhàn)略機遇期,《條例》的公布實施�����,及時開啟了我國關鍵信息基礎設施安全保護進程的新篇章�,必將在我國關鍵信息基礎設施安全保護以及國家安全、國計民生�、公共利益等保障方面發(fā)揮不可或缺、不可替代的積極影響和重要作用��。(作者:閆懷志��,北京理工大學網(wǎng)絡攻防研究所所長)
