《關鍵信息基礎設施安全保護條例》的內容精要、基本原則與實施建議
2017年6月1日施行的《網絡安全法》首次正式明確了關鍵信息基礎設施的概念并提出了關鍵信息基礎設施安全保護的原則要求。2017年7月10日,國家互聯網信息辦公室向社會公開發布《關鍵信息基礎設施安全保護條例(征求意見稿)》。經廣泛征求意見,國家互聯網信息辦公室對該征求意見稿進行了系統修訂和完善,國務院于2021年8月17日正式發布《關鍵信息基礎設施安全保護條例》(下稱《條例》)。我們對《條例》的基本定位、重要意義與基本架構,《條例》體現的關鍵信息基礎設施安全保護的基本原則等進行了解讀,并給出了關于《條例》貫徹實施的四點建議。
一、《條例》的基本定位、重要意義與基本架構
《條例》是在《網絡安全法》框架下全面規范關鍵信息基礎設施安全保護的基礎性法規,是加強網絡安全領域立法、完善網絡安全保護法律法規體系的重要舉措,是依法治理關鍵信息基礎設施的綱領性文件之一,是化解關鍵信息基礎設施安全風險的法律法規重器和重要里程碑。《條例》的出臺為我國科學、有效開展關鍵信息基礎設施安全保護工作提供了重要的基礎規范與法律法規支撐。作為《網絡安全法》的重要配套法規,《條例》對關鍵信息基礎設施安全保護的適用范圍、關鍵信息基礎設施認定、運營者責任義務、關鍵信息基礎設施安全保護保障與促進以及攸關各方法律責任等提出了更為具體、更具操作性的基本要求。
《條例》以六章共計五十一條的篇幅,對于關鍵信息基礎設施保護一系列相關要素作出具體規定,涵蓋:總則(第一至七條)、關鍵信息基礎設施認定(第八至十一條)、運營者責任義務(第十二至二十一條)、保障和促進(第二十二至三十八條)、法律責任(第三十九至四十九條)和附則(第五十至五十一條)。《條例》詳細闡明了關鍵信息基礎設施的范圍及認定、運營者責任義務,對政府機構、行業主管及監管部門,以及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的關鍵信息基礎設施運營者的責權利進行了規定,并對建立關鍵信息基礎設施網絡安全監測預警體系、信息通報制度以及網絡安全人才培養等提出了要求,還就違反該條例可能會受到的行政處罰、判處罰金甚至是承擔刑事法律責任作出了明確規定。
二、《條例》體現的關鍵信息基礎設施安全保護基本原則
第一,遵循了以《網絡安全法》為上位法的基本原則,體現了該法的自然延伸和具體細化。《網絡安全法》明確了我國關鍵信息基礎設施安全保護和監督管理要求,該法第三章第二節“關鍵信息基礎設施的運行安全”中對關鍵信息基礎設施安全保護的基本要求、部門分工以及主體責任等問題作了基本法層面的總體制度安排和原則性規范。《條例》是該法在關鍵信息基礎設施安全保護領域的自然延伸和表現,同時將我國近年在該領域一些成熟的好做法制度化,并對未來可能的制度創新作了原則性規定,為后續發展預留了必要的、足夠的制度空間。
第二,給出了關鍵信息基礎設施的規范定義,體現了其“大”安全保護原則。《條例》在總則部分給出了關鍵信息基礎設施的定義,該定義聚焦關鍵信息基礎設施范圍認定中的“非窮盡列舉重要行業和領域+功能保障+危害后果”因素,明確了設施的范圍及其性質評判的核心標準,針對重要網絡設施、信息系統面臨的威脅和風險使用的“一旦遭到攻擊、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益”這種描述,表明關鍵信息基礎設施的安全保護要從物理安全、功能安全以及信息安全等方面綜合考慮,彰顯了我國對關鍵信息基礎設施安全保護核心價值的深刻認知。
第三,堅持了統籌協調、共同治理的原則。關鍵信息基礎設施安全保護需要綜合協調、分工負責、依法保護。為此,《條例》規定,關鍵信息基礎設施安全保護工作由國家網信部門統籌協調,由國務院公安部門負責指導監督,國務院電信主管部門和其他有關部門、省級人民政府有關部門在各自職責范圍內負責關鍵信息基礎設施的安全保護和監督管理,公安、國家安全、保密行政管理、密碼管理等有關部門依法實施相關的網絡安全檢查工作等。這種“1+X”的安全監管體制設計,可形成攸關各方責權清晰、齊抓共管、共同保護關鍵信息基礎設施安全的良好局面,高度契合我國當前關鍵信息基礎設施與現實社會深度融合的特點和保護、監管的實際需要。
第四,明確了運營者主體責任的原則。《條例》單獨以整章篇幅,明確要求強化落實關鍵信息基礎設施運營者主體責任,主要包括:建立健全網絡安全保護制度和責任制,保障人力、財力和物力投入;運營者主要負責人對關鍵信息基礎設施安全保護負總責;運營者應當設立專門安全管理機構并負責實施相關人員安全背景審查;專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作;運營者負責自行或委托機構實施每年不低于一次的網絡安全檢測和風險評估,及時整改問題并向保護工作部門報送情況;運營者應就重大網絡安全事件或潛在重大安全威脅向保護工作部門或公安機關報告;運營者應優先采購安全可信的網絡產品和服務、簽訂安全保密協議等。
第五,強調了關鍵信息基礎設施安全與信息化發展并重的原則。習近平總書記指出:“安全是發展的前提,發展是安全的保障,安全和發展要同步推進。”具體到關鍵信息基礎設施領域,其安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施。為此,《條例》明確提出,安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。因此,既要大力推進關鍵信息基礎設施建設,又要建立健全其安全保護體系、提升其安全保護能力和水平,力求做到“雙輪驅動、兩翼齊飛”。
第六,突出了關鍵信息基礎設施重點保護的原則。《網絡安全法》重點強調了關鍵信息基礎設施的運行安全保護,《條例》繼承并發展了該法的原則精神和相關規定,進一步強調并細化了在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者的安全保護主體責任義務,并配以國家安全審查、檢查檢測等法律行政措施,確保關鍵信息基礎設施的運行安全。其中,特別強調了能源、電信等關鍵信息基礎設施安全運行的優先保障權利,并要求能源、電信行業應采取措施為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。
三、關于《條例》貫徹實施的四點建議
第一,要對標《條例》,做好關鍵信息基礎設施的認定工作。《網絡安全法》對關鍵信息基礎設施運營者的網絡安全保護義務設定了明確的法律要求,但并未就關鍵信息基礎設施認定給出明確的認定機構和認定標準。《條例》明確關鍵信息基礎設施需由所涉重要行業和領域的主管部門、監督管理部門來負責其安全保護工作及認定規則制定。認定規則需要考慮的主要因素是網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度、一旦遭到破壞后可能帶來的危害程度及對其他行業和領域的關聯性影響。因此,關鍵信息基礎設施的認定權限在于該行業和領域的保護工作部門,保護工作部門將認定結果通知運營者,并向國務院公安部門通報。
在《條例》貫徹實施中,可結合關鍵信息基礎設施確定及其網絡安全檢查實踐,重點考慮“關鍵業務”“支撐關鍵業務的信息系統或工業控制系統”“根據關鍵業務對信息系統或工業控制系統的依賴程度,以及信息系統發生網絡安全事件后可能造成的損失”等因素。比如“電信與互聯網”領域,關鍵業務可包括DNS、DC/云服務、語音/數據/互聯網基礎網絡及樞紐等業務。對于認定關鍵信息基礎設施的量化標準,可根據網站、平臺和生產業務等不同具體類型確定相應的量化標準。
第二,要堅持從法律法規、政策、標準、技術、實踐等多維度開展關鍵信息基礎設施安全保護工作。《條例》從法律法規層面對關鍵信息基礎設施安全保護工作進行了原則規定,在實踐過程中,要充分考慮我國國情,做好與已頒布或正在制定法律法規、標準規范等的有效配套和無縫銜接工作。具體涉及的主要法律包括《網絡安全法》《密碼法》《數據安全法》等,涉及的規章制度包括《網絡安全審查辦法》等,涉及的標準規范包括全國信息安全標準化技術委員會組織制定的《關鍵信息基礎設施網絡安全保護基本要求》等。同時,要進一步重視關鍵信息基礎設施安全威脅信息共享、監測預警、應急處置等協同機制作用的發揮,在國家網絡安全法律、標準的統一框架下持續完善。
第三,要運用系統思維,科學、全面、準確地把握關鍵信息基礎設施安全保護工作的重點。《條例》給出的關鍵信息基礎設施保護制度框架是一個統一的整體,在貫徹實施過程中,要把握各類主體全面責任、全流程動態保護和監管、核心重點保護的辯證統一。關鍵信息基礎設施安全保護本身涉及規劃、建設、使用、運維乃至廢棄等全生命周期,國家、政府、監管、行業主管、運營者等各類主體在其安全保護方面責權不同,但共同維護安全的目標一致,因此需要堅持統籌協調、頂層設計、系統防護的整體思維,切實保障關鍵信息基礎設施安全。
第四,要高度重視和大力加強關鍵信息基礎設施安全保護的人才培養工作。習近平總書記明確指出,“網絡空間的競爭,歸根結底是人才競爭”。當前,國際信息技術發展日新月異,我國也處于數字化轉型升級關鍵期,各種新場景、新問題、新技術、新方法層出不窮,關鍵信息基礎設施安全保護所面臨的任務越來越繁重、挑戰越來越艱巨。為此《條例》專門要求,國家將采取措施,鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作,并將運營者的安全管理人員、安全技術人員培訓納入國家繼續教育體系,專門安全管理機構要履行組織網絡安全教育、培訓職責。在實踐中,需要協調動員全社會相關企業、行業組織、高校和科研院所等協作配合,從在職培訓和學歷教育等多個層次,共同建立適應關鍵信息基礎設施安全保護人才需求特點的隊伍建設工作體系。
目前適逢我國新型基礎設施建設、數字經濟轉型進入發展勢頭如火如荼、保障體系亟需完善的重要戰略機遇期,《條例》的公布實施,及時開啟了我國關鍵信息基礎設施安全保護進程的新篇章,必將在我國關鍵信息基礎設施安全保護以及國家安全、國計民生、公共利益等保障方面發揮不可或缺、不可替代的積極影響和重要作用。
