前沿 | 俄羅斯立法如何防范網絡入侵?
文 | 信通院互聯網法律研究中心助理研究員 吳紅強
隨著各國關鍵行業領域信息化、數字化的不斷深入,網絡安全與國家安全的關聯性愈發緊密。中俄兩國在維護本國網絡安全問題上都面臨嚴峻態勢,本文從網絡安全問題的立法視角,梳理俄羅斯在網絡安全領域,尤其是防止網絡入侵問題的立法應對,以拓寬立法視野。
全球知名網絡安全與數字隱私機構卡巴斯基實驗室數據顯示,俄羅斯是全球最易受到網絡攻擊的國家,易受攻擊指數排第二至五位依次為巴西,中國大陸、美國以及德國。俄羅斯嚴峻的網絡安全挑戰,催生了該國網絡安全立法。經濟技術的信息化、數字化轉型以及國際形勢變化所導致的網絡安全擔憂加劇,為俄羅斯在該領域立法注入新的動力。
一、早期:頒布建立國家系統的行政法令
2013年1月15日,俄羅斯聯邦總統發布了《關于建立國家系統以檢測、預防和消除計算機攻擊對俄羅斯聯邦信息資源的影響的法令》(以下簡稱“《計算機攻擊法令》”)。該法令對擬設國家系統的功能及任務、運作主體以及該主體的職責邊界作出劃分,這為俄羅斯網絡安全立法體系的形成奠定了政策基礎。
1.任命聯邦安全局建立國家系統
《計算機攻擊法令》明確,由聯邦安全局負責完成用以檢測、預防和消除計算機攻擊對俄羅斯聯邦信息資源的國家系統(以下簡稱“國家系統”)的建立。該系統所保護的信息資源既包括俄羅斯聯邦境內的信息系統和電信網絡,也包括俄羅斯聯邦駐外外交使團和使領館的相應內容。
2.明確國家系統的主要功能及任務
擬建的國家系統涵蓋四大任務及功能,分別為:
第一,預測俄羅斯聯邦信息安全保障領域的形勢;
第二,在解決與檢測、預防和消除計算機攻擊威脅相關問題的同時,需確保俄羅斯聯邦信息資源所有者、電信運營商和其他從事信息安全領域許可活動的實體之間可正常通信;
第三,監控俄羅斯聯邦關鍵信息基礎設施免受計算機攻擊的保護狀態及程度;
第四,確定與俄羅斯聯邦信息資源運行相關的計算機事故的原因。
總體上看,擬建國家系統主要涵蓋對計算機攻擊相關問題的預防功能、關鍵信息基礎設施的安全保障監控功能以及相關計算機事故的調查分析功能。同時,還存在避免干擾正常通信需求的消極任務。
3.明確網絡安全職責機構的權力邊界
《計算機攻擊法令》明確了聯邦安全局為擬建國家系統的職責部門,在計算機信息安全領域履行以下六項職責:
第一,組織并開展建立國家系統的工作,監測這些工作的執行情況,并與國家其他機構合作,確保相關要素的正常運作;
第二,開發出檢測計算機攻擊政府機構信息系統和信息通信網絡的方法;
第三,確定聯邦執行機構之間就與俄羅斯聯邦信息資源運作有關的計算機事件交換信息的程序;
第四,根據俄羅斯聯邦立法,組織并采取措施,評估俄羅斯聯邦關鍵信息基礎設施免受計算機攻擊的保護程度;
第五,為組織保護俄羅斯聯邦的關鍵信息基礎設施免受計算機攻擊制定方法建議;
第六,確定聯邦執行機構和外國(國際組織)授權機構之間就與信息資源運作有關的計算機事件交換信息的程序,并組織此類信息的交換。
二、制定規范的網絡安全立法
伴隨現代信息和通信網絡的全球化,俄羅斯的網絡安全面臨新的威脅。尤其是向數字化邁進的過程中,國家的管理流程得以簡化,甚至部分自動化,使得國家信息資源更容易受到計算機攻擊。一旦有害程序植入關鍵設備,將產生不利影響,甚至完全癱瘓國家的關鍵信息基礎設施,這將對社會、金融或環境造成災難性后果。
基于上述實際情況,俄羅斯聯邦委員會于2017年7月19日頒布了《俄羅斯聯邦關鍵信息基礎設施安全法》(以下簡稱“《關鍵設施安全法》”),該法律吸收了《計算機攻擊法令》的相關內容,并予以細化和補充完善。
1.完善保護范圍
《關鍵設施安全法》細化了《計算機攻擊法令》的所規定用以防范計算機攻擊系統的內涵及外延,將國家系統定性為單一的地域分布綜合體,涵蓋了系統本身及對應的設施。同時,該系統所保護的“俄羅斯聯邦的信息資源”擴充到位于俄羅斯聯邦境內、俄羅斯聯邦外交使團和(或)領事館的信息系統、信息和電信網絡以及自動化控制系統。
2.設立國家計算機事件協調中心
除原有授權確保國家系統運作的機構外,增加了國家計算機事件協調中心,用以確保關鍵信息基礎設施實體之間的協調,應對突發的計算機事件。
根據俄羅斯聯邦安全局于2018年7月24日頒布的N366號令“關于國家計算機事件協調中心”的要求,國家計算機事件協調中心(以下簡稱 NKTsKI)是旨在檢測、預防和消除計算機攻擊后果以及應對計算機事件的組織體的組成部分之一。NKTsKI的任務是確保協調俄羅斯聯邦關鍵信息基礎設施主體在檢測、預防和消除計算機攻擊的后果以及應對計算機事件的問題上的活動。
N366號令明確NKTsKI執行以下功能:
(1)協調活動以應對計算機事件并直接參與此類活動;
(2)參與檢測、預防和消除計算機攻擊的后果;
(3)收集、存儲和分析有關計算機事件和計算機攻擊的信息,并分析檢測、預防和消除計算機攻擊后果以及應對計算機事件的措施的有效性;
(4)確定向國家系統提交有關計算機事件信息的必要格式,以檢測、預防和消除計算機攻擊對俄羅斯聯邦信息資源的后果,并將其提交給關鍵信息基礎設施的主體。
為了發揮上述功能,NKTsKI的權限范圍有:
(1)就與檢測、預防和消除計算機攻擊后果相關的問題向關鍵信息基礎設施的主體以及其他非關鍵信息基礎設施的主體和組織(包括外國和國際機構)發送通知和查詢以及對計算機事件的響應;
(2)應無權發送此類請求的外國或國際組織的請求,以及在提供此類信息的情況下,拒絕提供與關鍵信息基礎設施運行相關的計算機事件信息對俄羅斯聯邦的安全構成威脅;
(3)讓在該領域工作的組織和專家參與應對計算機事件;
(4)分發和出版信息和參考資料,參加與檢測、預防和消除計算機攻擊后果和應對計算機事件有關的問題的科學和技術會議、座談會、會議、展覽,包括國際會議。
3.明確關鍵基礎設施的外延及規制要求
在概念層面,關鍵基礎設施涵蓋設施的客體,以及用于組織這些客體進行交互的電信網絡。其中,客體包括信息系統、信息電信網絡、關鍵信息基礎設施主體的自動化控制系統。在范圍層面,關鍵基礎設施除涵蓋政府機構相關的設施外,還涉及醫療保健、科學、交通、通信、能源、銀行和金融、國防、火箭和航天、采礦、冶金和化學工業等領域。
此外,該法案引入了關鍵信息基礎設施的登記冊和類別,建立了確保其安全的要求,以及這些系統與國家系統的交互要求,以確保檢測、預防和消除因計算機攻擊而對俄羅斯聯邦信息資源產生的不利后果。
三、《主權互聯網法》的頒布
2019年5月,出于對美國《國家網絡安全戰略》中侵略性網絡安全觀,以及網絡攻擊在軍事及政治領域的運用日趨泛化的應對,俄羅斯加速出臺了備受爭議的《主權互聯網法》。該法旨在確保俄羅斯具備獨立于國際互聯網的能力,以確保俄羅斯通信運營商在無法接入國外互聯網根服務器的情況下,其網絡系統仍可以在境內安全、穩定地運行。相關要求如下:
一是明確通信、信息技術和大眾傳媒監督管理總局對俄羅斯互聯網的安全、穩定、完整運行負有監督、管理、協調職責。如出臺相關文件明確俄羅斯互聯網和公用通信網穩定、安全和完整運行的要求;防范威脅技術手段的加裝流程、技術規范,以及運行管理、升級改造要求;公用通信網與相關網絡進行信息交互的規則和流程等。
二是強化緊急情況下的網絡管理,將《通信法》第六十五章的名稱改為“對緊急情況和緊急狀態下公用通信網絡的管理”,并增設在緊急情況和狀態下對信息通信網絡進行“集中統管”的相關條款。允許政府部門對相關通信網絡實施監控和“集中統管”,如加強對防范威脅技術手段的管理,向加裝了防御技術手段的通信網絡、技術通信網絡、路由交換節點、跨境通信線路和國家域名系統的運營管理者下達指令等。
三是強化對信息訪問及使用過程中的安全管理和保護,當訪問的信息可能對集中統管產生不良影響時,通信運營商應按照《信息、信息技術和信息保護法》有關規定,利用技術手段限制對相關信息的訪問。
四是建立俄羅斯的國家域名系統,該系統包括一系列相互關聯、用于存儲和獲取相關網址、域名信息的軟件和硬件設備。
四、網絡安全處罰體系的完善
除前述運用國家安全系統用以事前的預防及檢測以外,在制定法層面,俄羅斯對相關網絡安全的事后規制也作出相關安排。
(一)刑事責任
俄羅斯聯邦于2017年7月19日頒布的《關于修改<俄羅斯聯邦刑法>和<俄羅斯聯邦刑事訴訟法>第151條并通過“俄羅斯聯邦關鍵信息基礎設施安全”條款》的法案,在《刑法》中引入了“對俄羅斯聯邦關鍵信息基礎設施的不當影響”的新入罪條款。該條款針對危害計算機網絡安全的不同行為模式,按照社會危害程度,設立了不同程度的刑事處罰。
1.對直接損害的規制
創建、傳播和(或)使用計算機程序或其他計算機信息,故意不當地影響關鍵信息基礎設施,包括銷毀、阻止、修改、復制其中包含的信息,或消除對這些信息的保護。應處以最長五年的強迫勞動,不限制或限制自由兩年,或剝奪自由兩年至五年,并處罰金50萬至100萬盧布或相當于被定罪人一年至三年的工資及其他收入。
2.對非法訪問的規制
非法訪問關鍵信息基礎設施中包含的受保護計算機信息,包括使用計算機程序或其他計算機信息,故意對關鍵信息基礎設施或惡意對其他計算機程序施加不當影響,并造成損害的,可能處五年以下強制勞動,或二至六年的自由剝奪,并處以五十萬至一百萬盧布的罰款,或相當于被定罪人的工資或薪金或任何其他收入的罰款。
3.對非法儲存及傳輸的規制
違反存儲、處理或傳輸受保護計算機信息的設施的操作規則,并對關鍵信息基礎設施造成損害的,處五年以下強迫勞動,剝奪或不剝奪擔任某些職位或從事某些活動的權利長達三年,或剝奪自由長達三年至六年,并被剝奪擔任某些職位或從事某些活動的權利,最長期限為三年。
4.嚴厲打擊共同、利用職務之便實施的網絡安全犯罪
對于前述犯罪行為,如為多人經事先共謀或者有組織的團體實施,或利用其職務之便而實施,則面臨加重處罰,判處三至八年徒刑,剝奪擔任某些職務或從事某些活動的權利,最長三年或三年以上。
(二)行政責任
2021年5月,俄羅斯通過了《關于確定俄羅斯聯邦關鍵信息基礎設施安全領域違法行為的行政責任》(又稱《關于修訂俄羅斯聯邦行政違法法典》),新法典補充了對俄羅斯聯邦關鍵信息基礎設施安全領域違法行為的行政規制。
新法典在第13.12條明確了相關主體違反關鍵信息基礎設施安全規范時的行政責任,具體包括以下三類:
第一,違反為關鍵信息基礎設施的重要對象建立安全系統,并確保其正常運行的要求,在此類行為不作為犯罪行為處理的情況下,對相關責任人處以1萬至5萬盧布,對相關法人實體施以5萬至10萬盧布的罰款。
第二,未遵守計算機事件通報及應對程序,未采取措施消除計算機攻擊的后果的,將對相關責任人處以1萬至5萬盧布的罰款,對相關法人實體處以10萬至50萬盧布得罰款。
第三,違反關鍵信息基礎設施主體之間、俄羅斯聯邦關鍵信息基礎設施主體與外國、國際、國際授權機構之間的計算機事件信息交換程序,對相關責任人處以2萬至5萬盧布、相關法人實體處以從10萬到50萬盧布的罰款。
四、結語
俄羅斯的網絡安全立法及政策制定,既受技術革新與實踐應用的影響,也受國際形勢所推動。制定目的從最開始的監測、補救,到后來的重點把控,再到如今的全面自主可控,對網絡安全性的追求不斷提高,相關舉措也更為主動和全面。從近期俄羅斯官方提出的相應措施來看,如部分國有企業應在2024年前實現軟硬件設備70%以上的國產化、建立起俄羅斯自己的網絡安全技術標準等計劃,俄羅斯近期對網絡安全問題的應對將關注于技術應用層以及內容管理層面上。
(來源:信通院互聯網法律研究中心)
