專家解讀|加強法治建設 強化關鍵信息基礎設施安全保護
關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重。保障關鍵信息基礎設施安全,對于維護國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益具有重大意義。
在中央網絡安全和信息化領導小組第一次會議上,習近平總書記指出,“要完善關鍵信息基礎設施保護等法律法規”。《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)要求對關鍵信息基礎設施實行重點保護。在此基礎上,國務院出臺了《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),進一步明確了關鍵信息基礎設施保護的要求,規范了關鍵信息基礎設施保護的內容,將有效提升關鍵信息基礎設施的保護水平。
一、明確了認定規則
認定工作是關鍵信息基礎設施安全保護的基礎。只有清晰認定了關鍵信息基礎設施,保護工作才能有的放矢。《條例》有關規定對關鍵信息基礎設施認定范圍、標準、流程等進行了規范。
從認定范圍看,關鍵信息基礎設施的范圍涵蓋公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科工等重要行業和領域。這與《網絡安全法》中規定的關鍵信息基礎設施范圍基本保持一致,其核心原則是影響國家安全、國計民生和公共利益的重要行業和領域。
從認定標準看,《條例》主要考慮三方面因素:(1)對行業、領域關鍵核心業務的重要程度;(2)可能帶來的危險程度;(3)對其他行業和領域的關聯性影響。總結以上因素,可以認為,關鍵信息基礎設施即承載或影響重要行業領域核心業務的、一旦遭到破壞、喪失功能或數據泄露可能造成嚴重危害的重要網絡設施、信息系統等。
從認定流程看,保護工作部門是實施認定的主體,負責制定本行業、本領域認定規則,并報國務院公安部門備案;負責組織認定本行業、本領域關鍵信息基礎設施,將認定結果通知運營者,并通報國務院公安部門。需要注意的是,關鍵信息基礎設施認定按照清單式管理,并根據實際變化情況進行動態更新。
二、規定了各方職責
關鍵信息基礎設施保護需要國家、行業、運營者共同努力。《條例》在《網絡安全法》的基礎上進一步明確了關鍵信息基礎設施相關主體的職責。
《條例》規定,關鍵信息基礎設施保護工作由國家網信部門統籌協調,國務院公安部門在網信部門的統籌協調下,開展指導監督工作,國務院電信主管部門和其他有關部門則是在各自職責范圍內開展關鍵信息基礎設施安全保護和監督管理工作。上述規定強化了關鍵信息基礎設施安全保護在國家層面的頂層設計,保證了各部門的協調一致,降低了保護工作的成本,提高了保護工作的效率。例如,《條例》中強調,國家有關部門在開展關鍵信息基礎設施網絡安全檢查時,應加強協同配合、信息溝通、避免不必要的檢查和交叉重復檢查。
此外,《條例》還保證了安全資源在國家層面的統籌。例如,國家網信部門建立網絡安全信息共享機制,促進網絡安全信息共享;公安機關、國家安全機關有關部門依據各自職責依法加強關鍵信息基礎設施安全保衛,防范打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動;國家網信部門和國務院電信主管部門、公安部門等根據保護工作部門的需要,提供技術支持和協助等。這也體現出在關鍵信息基礎設施安全保護工作中,將充分發揮國家能力的作用。
保護工作部門負責本行業、本領域關鍵信息基礎設施網絡安全規劃、監測預警、應急處置、指導監督管理以及技術支持等相關工作。《條例》規定,保護工作部門應當制定行業關鍵信息基礎設施安全規劃;建立健全行業關鍵信息基礎設施網絡安全監測預警制度,預警通報網絡安全威脅和隱患;建立健全行業安全事件應急預案,開展應急演練,指導運營者做好網絡安全事件應對處置,并根據需要組織提供技術支持與協助;定期組織開展網絡安全檢查檢測、指導督促運營者及時整改安全隱患、完善安全措施。此外,作為為各行業提供基礎性支撐的能源、電信行業,《條例》特別強調其應當采取措施,為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。
運營者是關鍵信息基礎設施安全保護的責任主體。《條例》對運營者履行的安全保護義務給出了具體要求,在《網絡安全法》的基礎上,《條例》明確要求運營者主要負責人對關鍵信息基礎設施安全負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。這既是強化關鍵信息基礎設施網絡安全重中之重的具體體現,也是落實網絡安全工作責任制的具體要求。《條例》要求運營者設置專門安全管理機構,并對專門安全管理機構具體職責作了規定,包括建立健全安全管理考核制度、組織推動安全防護能力建設、加強網絡安全事件應急管理、組織網絡安全教育培訓,履行個人信息和數據安全保護責任、報告網絡安全事件等。同時,為了避免安全和發展不同步,防止有些運營者重發展、輕安全,《條例》還明確要求,運營者開展與網絡安全和信息化有關的決策應當由專門管理機構人員參與,并對違反這一規定的情形制定了相應罰則,從機制上賦予履行安全義務必要的權力。《條例》對運營者的職責要求將有效規范其開展關鍵信息基礎設施安全保護工作。
三、體現了幾個特點
《條例》的出臺進一步完善了我國關鍵信息基礎設施安全保護的頂層設計,透過《條例》的條款,可以看出關鍵信息基礎設施安全保護的幾個特點。
強調整體統籌協調。關鍵信息基礎設施安全關系國家安全、國計民生和公共利益,對于關鍵信息基礎設施的保護必須從整體出發,綜合協調各方力量,分工負責,在法律框架下共同開展保護工作。《條例》明確了關鍵信息基礎設施保護的國家管理體系框架,細化了國家網信部門、國務院公安部門、國務院電信主管部門和其他有關部門在管理體系中的分工,強化了保護工作部門、省級人民政府有關部門的屬地化職責,強調了關鍵信息基礎設施運營者的保護義務,為各方有序推進關鍵信息基礎設施安全保護工作夯實了法律基礎。《條例》規定由國家網信部門統籌網絡安全信息共享,協調有關部門建立共享機制。這將促進建設一個國家級網絡安全信息共享平臺,實現網絡安全信息在國家網信部門的統籌協調下,在有關部門、保護工作部門、運營者及網絡安全服務機構間有序共享,為關鍵信息基礎設施保護提供基礎性支撐。《條例》強調軍民融合與軍地協同,匯聚國家力量共同構建關鍵信息基礎設施一體化安全保護體系。
強調全過程、全方位保護。關鍵信息基礎設施安全保護是一項全局性工作。《條例》強調全過程安全防護,要求安全保護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用;要求運營者優先采購安全可信的產品和服務,保障供應鏈安全;要求對所采購的可能影響國家安全的網絡產品和服務進行安全審查。《條例》強調全方位安全保護,即要加強網絡設備和信息系統的安全監測與保護,也要加強對個人信息和數據安全的保護,同時要重視對人員的背景審查和教育培訓。通過全過程、全方位保護,補上以往安全防護中先建設、后安全,重信息系統防護、輕人員數據安全的短板和漏洞。
強調責任要求與促進保護并舉。《條例》制定了關鍵信息基礎設施安全保護的圭臬,明確了運營者及其工作人員違反保護義務應當承擔的法律責任,強調了有關部門及工作人員、服務機構的法律責任,確定了侵害關鍵信息基礎設施安全的單位和個人的違法責任。同時,《條例》也提供了關鍵信息基礎設施促進保護的依據,其中包括:國家為關鍵信息基礎設施安全保護提供技術支持和協助,將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系,支持關鍵信息基礎設施安全防護技術創新和產業發展等,這些措施將為關鍵信息基礎設施的安全保護提供有力的外部環境支持。而《條例》對運營者提出的由主要負責人對關鍵信息基礎設施安全保護負總責,保障人力、財力、物力投入,設置專門安全管理機構等要求則會成為促進關鍵信息基礎設施安全保護的內生動力。
保護關鍵信息基礎設施是保障國家安全的重要方面之一。《條例》的出臺為關鍵信息基礎設施依法保護提供了實操依據,將推動我國關鍵信息基礎設施安全保護工作進入新階段。
