全面解读《关键信息基础设施安全保护条例(征求意见稿)》
作者:吴卫明、李荣荣 2017-07-212017年6月1日,《网络安全法》开始施行。《网络安全法》中规定了“关键信息基础设施提供者的相关义务和规则,对其在网络运营者的义务基础上,增加了特殊的责任。但总体而言,《网络安全法》的规定较为原则,缺乏细化的措施。
时隔1个半月,国家互联网信息办公室于2017年7月12日发布了《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《安全保护条例》”),该部条例属于《网络安全法》的重要配套规定和下位法。相对于《网络安全法》而言,《安全保护条例》在重要行业领域的网络安全要求规定具体如下:
一、《安全保护条例》中的细化规定
序号 | 细化要点 | 《网络安全法》 | 《安全保护条例》 |
1 | 将国家保密、国家密码行政管理部门纳入监管机构范围 | 第八条第一款:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。 | 第四条第二款:国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。 |
2 | 地方人民政府的监管职责包括将其纳入地区经济社会发展总体规划,开展工作绩效考核评价。 | 第八条第二款:县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。 | 第十一条:地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。 |
3 | 沿用《网络安全法》“列举+兜底除”模式,除了传统的重要行业领域外,将以云计算、大数据为代表的国家新兴战略行业领域纳入关键信息基础设施范围 | 第三十一条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 | 第十八条:下列单位运行、管理的网络设施和信息系统,……应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业(公共服务行业)等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。 |
4 | 明确了运营者组织不同岗位从业人员网络安全教育培训的时间。 | 第三十四条:除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(二)定期对从业人员进行网络安全教育、技术培训和技能考核; | 第二十七条:运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。 |
二、《安全保护条例》中的创新亮点
1、建立主管部门的安全评估检测机制
《网络安全法》只规定了网络关键设备、网络安全专用产品以及关键信息基础设施须进行安全检测,但并未涉及主管部门如何开展安全检测评估。《安全保护条例》从实施主体、原则要求、具体措施、处罚机制等方面构建了完整的安全检测评估机制。
从实施主体来看,行业主管或监管部门应当定期主动对各自领域中的关键信息基础设施和运营者履行安全保护义务的情况进行抽查检测。(第四十条)
从原则要求来看,《安全保护条例》确定了安全检测评估的客观公正、高效透明原则。同时,主管部门在实施安全检测评估过程中的禁止行为包括不得收取费用,不得用于除维护网络安全需要以外的用途,避免交叉重复检测,不得要求被评估单位购买指定产品和服务。(第四十三条、第四十四条)
从具体措施来看,有关部门开展安全检测时,可以采取的措施包括要求运营者作出说明,查阅、调取、复制有关文档,查看制度制定、措施规划、运行情况,以及进行技术检测等。(第四十二条)
此外,与主管部门开展安全检测评估机制相对应,《安全保护条例》还规定了运营者如何落实该机制,即必须建立健全关键信息基础设施安全检测评估制度,产品上线前或者发生变化时应当进行安全检测评估,每半年进行一次定期安全检测评估,发现问题时应及时整改并向主管部门进行报告。(第二十八条)
2、加重主要负责人的安全保护责任
网络安全事故的危害后果不亚于一场安全生产责任事故,网络安全运行制度中也应落实主要负责人责任追究机制。虽然《网络安全法》提及运营者必须要设置安全管理的主要负责人,但并未对主要负责人的定位以及具体职责进行明确规定。
《安全保护条例》规定运营者主要负责人是本单位运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责组织落实、全面负责网络安全工作。具体职责范围包括组织制定网络安全教育和培训、规章制度、操作规程,实施开展网络安全检查和应急演练以及处置网络安全事件,向有关部门报告网络安全重要事项。(第二十二条、第二十三条)
根据《安全保护条例》第七章的规定,如主要负责人未履行网络安全保护义务,导致严重安全后果的,还面临罚款等行政处罚和刑事处罚。运营单位的主要负责人涉及的罪名主要包括《刑法》第253条规定的“侵犯公司个人信息罪”、第286条规定的“拒不履行信息网络安全管理义务罪”和第287条规定的“非法利用信息网络罪、帮助信息网络犯罪活动罪”。
3、境外远程维护的事前报告机制
腾讯安全发布的《2016年五大网络安全事件》包括德国核电站因恶意程序被迫关闭、美国网络因恶意软件攻击大面积瘫痪、准大学生徐玉玉被骗学费悲愤去世、美国大选“邮件门”和雅虎15亿用户信息被盗,其中四起网络安全事件均发生在国外,对于重要信息基础设施而言,来自境外的安全威胁日益严重。而境外远程维护将使关键信息基础设施直接面临境外机构的扫描探测,受到境外病毒渗透攻击的危险性和可能性大大加强。
为此,在《网络安全法》规定的境内储存、境外提供时的安全评估机制外,《安全保护条例》第三十四条规定,关键信息基础设施的运行维护确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
三、对《安全保护条例》的进一步思考
1、部分内容尚需相关部门出台细则。《安全保护条例》从支持与保障、运营者安全保护、产品和服务安全等方面构建了关键信息基础设施的制度体系,但是,关键信息基础设施范围的具体认定还有待关键信息基础设施识别指南出台,网络安全关键岗位专业技术人员持证上岗制度还有待人力资源社会保障部门制定细则。
2、行业协会在关键信息基础设施保护领域的职责尚缺位。关键信息基础设施领域同样具有互联网的虚拟性、广泛性、开放性,那么,运营企业的行业自律和政府的外在监管应相辅相成。比如,美国、英国实行在政府指导下的行业自律监管模式。各种互联网组织(比如中国网络空间安全协会、中国互联网协会)和技术联盟(比如自有源代码联盟)在技术能力方面具有天然优势,能够协助政府甚至直接承担一定的监管职能。
综上,关键信息基础设施安全是网络安全领域的命脉所在,相对于《网络安全法》而言,《安全保护条例》规定的条款内容更加详尽、方法更具操行性、安全保护标准更严格,而且对《网络安全法》中规定安全检测评估机制等进行了创新,保证能够最大程度实现互联网领域中关键基础设施的安全稳定运行。
