專家解讀|落實依法治網 助力網絡強國 《關鍵信息基礎設施安全保護條例》正式施行
近年來,網絡和信息技術迅猛發展,網絡空間深度融入到經濟社會發展、人民生活和社會治理各個方面,極大地影響和改變了社會生產活動方式,在促進經濟發展、技術創新、文化繁榮和社會進步的同時,網絡安全問題,尤其是關鍵信息基礎設施網絡安全問題日益嚴峻。關鍵信息基礎設施的認定、保護越來越成為業界各方關注焦點、研究重點。經過多方共同研究、探討和實踐,《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)終于正式發布,已于9月1日正式施行。
一、正確認識《條例》出臺的重要意義
(一)《條例》出臺是落實黨中央決策的重要舉措
習近平總書記在2016年“4·19”講話中就提出了“加快構建關鍵信息基礎設施安全保障體系”要求;《網絡安全法》用一個章節專門提出“關鍵信息基礎設施的運行安全”,初步明確關鍵信息基礎設施范圍,提出安全保障技術和管理要求;“十四五”規劃綱要也明確了“建立健全關鍵信息基礎設施保護體系,提升安全防護和維護政治安全能力”。《條例》的出臺和實施,是落實黨中央決策部署和總體國家安全觀,切實推進關鍵信息基礎設施保護體系建設的重要舉措。
(二)《條例》出臺是維護關鍵信息基礎設施安全的急迫需要
我國關鍵信息基礎設施發展迅速,同時也是全球遭受網絡安全威脅最嚴重的國家之一,迫切需要更加具體清晰的法規,明確關鍵信息基礎設施安全保護的各方責任和制度要求,明確運營者的主體責任和保障促進要求,指導開展關鍵信息基礎設施保護相關工作的落地實施,提升相關單位的責任意識和保護能力,構建保障體系,保障網絡強國建設。
(三)《條例》出臺是維護廣大人民群眾切身利益的法規保障
鄭州“洪災”后的斷電斷網事件、近年來重要政務信息泄露等事件說明,關鍵信息基礎設施的安全穩定運行關系到廣大人民群眾切身利益,關系到國家安全。廣大人民群眾十分關注關鍵信息基礎設施安全,《條例》出臺就是要積極回應人民群眾要求,保障好廣大人民群眾在網絡空間的根本權益,保障好經濟發展和國家安全。
二、明確關鍵信息基礎設施范圍,推進依法治網向深向實
《網絡安全法》作為網絡安全領域的基礎法,內容多為基礎性、原則性規定,數據跨境、網絡安全審查等相關工作的推動落實,都高度依賴關鍵信息基礎設施框架。如《網絡安全法》明確要求關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲;《網絡安全審查辦法(修訂草案征求意見稿)》覆蓋范圍為:“關鍵信息基礎設施運營者采購網絡產品和服務,數據處理者開展數據處理活動,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查”。《條例》將加速推進關鍵信息基礎設施認定,為相關工作實踐落地明確工作基礎,是《網絡安全法》系列法規的延伸和完善。第二章明確了保護工作部門作為關鍵信息基礎設施的認定組織部門,考慮關鍵信息基礎設施對于業務的重要性、遭破壞后的危害程度和對其他行業領域的關聯性等認定規則,認定行業領域關鍵信息基礎設施,并明確了結果通報的流程要求,為關鍵信息基礎設施的認定工作指明了方向。
三、構建分工協調綜合管理體系,明確各層面保護責任義務
《條例》從運營者、保護工作部門、各主管監管部門、國家等四個層面,明確了各個角色關鍵信息基礎設施保護的責任義務。一是明確了運營者的主體責任。第三章明確了運營者安全保護“三同步”要求,人、財、物、機構、制度等的保障要求,安全檢測評估要求,網絡安全審查要求、重大威脅和實踐報告要求等內容;二是突出行業和國家層面的保障促進。關鍵信息基礎設施關系到國家安全、國計民生和公共利益,所以必須從行業層面、國家層面予以重點保障。《條例》中涉及保護工作部門、主管監管部門保護要求的條款共計22條,明確了網絡安全信息共享、監測預警制度、應急處置、定期檢查與整改、能源電信優先保障等要求,條款數目是運營者保護要求的2倍,突出了對關鍵信息基礎設施安全保護措施的“關鍵”要求;三是明確建立了“上下聯動,左右協調”的管理體系。《條例》第四條強調安全保護堅持“綜合協調、分工負責、依法保護”的工作原則,涉及“指導、配合、支持、協助、通報”等需要各層面配合開展的工作條款多達18條,覆蓋了認定規則和結果確定、人員安全背景審查、網絡安全信息共享、檢查檢測等方面工作,部門職責更為明確,工作流程更為清晰,保護措施更具可操作性,重申了網信部門統籌協調、各單位協作配合的保護工作機制。
四、確立具體清晰的安全保護工作閉環,落實網絡安全觀
《條例》充分體現了習近平總書記關于網絡安全觀的重要理念,從認定規則和結果確定、關鍵信息基礎設施安全保護、檢測和風險評估、信息共享、監測預警、應急與事件通報等多個角度,確立了認定、保護、監測、檢查、整改、應急響應一系列工作的閉環。一是網絡安全是整體的、不是割裂的,《條例》將關鍵信息基礎設施安全保護作為業務依賴的一個整體來看待,從國家、主管監管部門、行業、運營者等4個層面統籌開展保護,第四條明確提出了“共同保護”要求,強調工作的統一性和整體性。二是網絡安全是動態的、不是靜態的。《條例》強調根據關鍵信息基礎設施關鍵要素變化進行動態管理,以達到安全管理的“最優狀態”,如第十一條強調關鍵信息基礎設施發生重大變化需要報告,第二十一條強調運營者發生變化需要報告,第二十六條強調定期組織開展檢查檢測和整改,都體現了對關鍵信息基礎設施進行實時狀態監控,根據狀態變化開展動態管理。三是網絡安全是共同的、不是孤立的。《條例》第三十一條到第三十八條,明確了有關打擊網絡犯罪、加強人才教育、技術創新、產業發展、安全標準建設和加強軍民融合等的要求,充分體現了網絡安全靠人民,充分發動政府、企業、廣大人民,共同參與關鍵信息基礎設施安全保護。
五、關于幾項重點工作的思考
一是充分發揮檢查檢測和風險評估效能。《條例》中針對運營者、保護工作部門、國家網信部門,以及公安、安全、保密、密碼等有關部門開展的關鍵信息基礎設施檢查檢測工作均提出了要求。作為動態管理過程中的重要環節,應做好檢查檢測機構管理,統籌檢查檢測的協調配合、信息溝通和監督,充分融合安全領域各類檢查評估工作,減少運營者被檢負擔,推動檢查檢測機構技術服務能力提升,做好檢查結果的信息匯總和共享管理,確保檢查檢測工作發揮實效。
二是推動關鍵信息基礎設施安全標準體系完善和落地。目前已有多項關鍵信息基礎設施的相關安全標準在研,下一步應對關鍵信息基礎設施標準體系進行梳理,為安全標準體系建設規劃藍圖;加快推動相關標準的發布和試點示范,鼓勵行業主管部門和研究機構,結合行業實際情況制定行業級認定規則、應急相關標準,進一步細化落實制度要求,為關鍵信息基礎設施保護實踐提供技術支撐和方法指引。
三是充分發揮保護工作部門作用。根據《條例》第四章“保障和促進”有關要求,推動關鍵信息基礎設施保護工作落地過程中,保護工作部門一方面需要向上對接了解掌握國家層面要求,對接信息共享、事件通報渠道,另一方面需要結合行業要求、行業規范,指導運營者落地實施,發揮著“承上啟下”的重要作用。應建立定期的保護工作部門協調交流機制,保證保護工作部門及時推進制度建設、平臺建設和能力建設。
在日益嚴峻復雜的安全形勢下,《條例》的出臺實施是指導完善我國關鍵信息基礎設施體系建設的重大舉措,具有重大現實意義。《條例》必將成為我國關鍵信息基礎設施保護工作的里程碑,作為我國網絡安全保護的重要法規,成為網絡安全保護體系的重要環節和依法治網的重要基石。(作者:郝志強,國家工業信息安全發展研究中心)
