編者按:沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全,沒有信息化就沒有現(xiàn)代化。黨的十八大以來(lái),我國(guó)加強(qiáng)以法律手段切實(shí)保障國(guó)家網(wǎng)絡(luò)安全,互聯(lián)網(wǎng)法治體系構(gòu)建不斷加速,網(wǎng)絡(luò)治理法治化進(jìn)程闊步前進(jìn)。在《網(wǎng)絡(luò)安全法》正式施行之際,本報(bào)約請(qǐng)學(xué)者就我國(guó)網(wǎng)絡(luò)法治建設(shè)的相關(guān)問題進(jìn)行探討。
2017年6月1日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)正式生效實(shí)施,該法第三章第二節(jié)專門規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”,這是在我國(guó)立法中首次明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的定義和具體保護(hù)措施,對(duì)于切實(shí)維護(hù)我國(guó)網(wǎng)絡(luò)空間主權(quán)與網(wǎng)絡(luò)空間安全具有重大意義。
習(xí)近平總書記指出:“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點(diǎn)攻擊的目標(biāo)。”從世界范圍來(lái)看,各個(gè)國(guó)家網(wǎng)絡(luò)安全立法的核心就是保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。我國(guó)《國(guó)家安全法》第25條明確規(guī)定,“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”,明確要求保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)?!毒W(wǎng)絡(luò)安全法》明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),既是我國(guó)網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)的迫切需要,也是切實(shí)貫徹《國(guó)家安全法》的必然要求。
明確界定了關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵。《網(wǎng)絡(luò)安全法》對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的定義采用了“列舉+概括”的形式。所謂“關(guān)鍵信息基礎(chǔ)設(shè)施”是指“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的”信息基礎(chǔ)設(shè)施。該定義將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提升到維護(hù)國(guó)家安全和公共安全的高度,既突出了保護(hù)重點(diǎn),避免將過多信息系統(tǒng)納入監(jiān)管而增加某些主體負(fù)擔(dān),也有利于統(tǒng)籌安排關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的立法體系。
規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施分行業(yè)、分領(lǐng)域主管部門負(fù)責(zé)制。負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門要按照國(guó)務(wù)院規(guī)定的職責(zé)分工,分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。這既明確了相關(guān)主管部門要在職權(quán)范圍內(nèi)切實(shí)履行保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的職責(zé),也規(guī)定了分行業(yè)、分領(lǐng)域制定專門保護(hù)規(guī)劃的基本工作方法。此外,《網(wǎng)絡(luò)安全法》還明確規(guī)定,無(wú)論是哪個(gè)行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施,都應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并堅(jiān)持安全技術(shù)措施“三同步”的原則,即應(yīng)該保證安全技術(shù)措施實(shí)現(xiàn)“同步規(guī)劃、同步建設(shè)、同步使用”。
規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者日常的安全維護(hù)義務(wù)。在日常安全維護(hù)方面,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者既要遵循安全等級(jí)保護(hù)制度對(duì)一般信息系統(tǒng)的安全要求,也要履行更加嚴(yán)格的安全維護(hù)義務(wù)。前者包括制定內(nèi)部安全管理制度和操作規(guī)程、采取預(yù)防性技術(shù)措施、監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)、按照規(guī)定留存網(wǎng)絡(luò)日志、重要數(shù)據(jù)備份和加密以及執(zhí)法協(xié)助等。后者包括對(duì)“人”的安全義務(wù)和對(duì)“系統(tǒng)”的安全義務(wù)兩個(gè)方面:對(duì)“人”的安全義務(wù)包括設(shè)置專門的管理機(jī)構(gòu)和負(fù)責(zé)人、對(duì)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查、定期對(duì)從業(yè)人員進(jìn)行教育培訓(xùn)和技能考核;對(duì)“系統(tǒng)”的安全義務(wù)包括對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份、制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期組織演練等。此外,對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施整體安全性和可能存在的風(fēng)險(xiǎn),《網(wǎng)絡(luò)安全法》還規(guī)定了定期檢測(cè)評(píng)估制度。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者特殊的安全保障義務(wù)。鑒于關(guān)鍵信息基礎(chǔ)設(shè)施的重要性,法律對(duì)于其供應(yīng)鏈安全和數(shù)據(jù)留存?zhèn)鬏斪鞒隽颂厥庖?guī)定,即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,這些網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)當(dāng)通過國(guó)家安全審查。這一審查是《國(guó)家安全法》第59條規(guī)定建立的國(guó)家安全審查制度的一部分,屬于對(duì)影響或者可能影響國(guó)家安全的“網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)”的審查,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織實(shí)施。此外,采購(gòu)這些網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí),關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),規(guī)定運(yùn)營(yíng)者應(yīng)當(dāng)將其存儲(chǔ)在我國(guó)境內(nèi)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估,通過安全評(píng)估的數(shù)據(jù)才可以向境外提供。
規(guī)定了國(guó)家網(wǎng)信部門保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的職責(zé)范圍。國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)各有關(guān)部門確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全,具體可以采取下列措施:對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè),提出改進(jìn)措施,必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估;定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練,提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力;促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享;對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與恢復(fù)等,提供技術(shù)支持與協(xié)助。此外,《網(wǎng)絡(luò)安全法》規(guī)定了國(guó)家機(jī)關(guān)履行網(wǎng)絡(luò)安全保護(hù)職責(zé)所獲取的相關(guān)信息用途特定原則,即這些信息只能用于維護(hù)網(wǎng)絡(luò)安全的需要,不得用于其他用途。這意味著國(guó)家網(wǎng)信部門和有關(guān)部門在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中獲取的信息,只能用于維護(hù)網(wǎng)絡(luò)安全的需要,不得用于其他用途。國(guó)家有關(guān)部門獲取的信息,可能涉及企業(yè)的商業(yè)秘密和個(gè)人的隱私信息,明確禁止國(guó)家有關(guān)部門將獲得的信息用于非國(guó)家安全的目的,可避免國(guó)家有關(guān)部門因泄露相關(guān)信息而侵害當(dāng)事人合法權(quán)益,也有利于鼓勵(lì)當(dāng)事人打消顧慮而與有關(guān)部門在維護(hù)網(wǎng)絡(luò)安全方面充分展開合作。
總之,《網(wǎng)絡(luò)安全法》作為我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本立法,明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的定義、行業(yè)主管部門負(fù)責(zé)制、運(yùn)營(yíng)者的安全保護(hù)義務(wù)、國(guó)家網(wǎng)信部門的職責(zé)范圍,為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法提供了基本的制度框架,也為國(guó)務(wù)院制定配套行政法規(guī)提供了立法授權(quán)。
習(xí)近平總書記強(qiáng)調(diào),雖然我國(guó)網(wǎng)絡(luò)信息技術(shù)和網(wǎng)絡(luò)安全保障取得了不小成績(jī),但同世界先進(jìn)水平相比還有很大差距。我們只有統(tǒng)一思想、提高認(rèn)識(shí),加強(qiáng)戰(zhàn)略規(guī)劃和統(tǒng)籌,才能加快推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的各項(xiàng)工作?!毒W(wǎng)絡(luò)安全法》的正式實(shí)施,就是我國(guó)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的突出成果。隨著相關(guān)配套法律制度的完善健全,必將極大地推動(dòng)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法的進(jìn)展,進(jìn)一步促進(jìn)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)水平的提升,有利于切實(shí)提高維護(hù)我國(guó)網(wǎng)絡(luò)空間安全的能力,把網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)不斷推向前進(jìn)。