以下文章来源于路云天网络安全研究院 ,作者孔勇
2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式生效施行。《网络安全法》作为我国网络安全的基本法,提出了网络安全法治的基本制度框架,主要包括国家网络安全战略、关键信息基础设施保护制度、网络安全等级保护制度、个人信息保护制度等。其中,关键信息基础设施保护是《网络安全法》规定中的核心制度。在《网络安全法》第三章“网络运行安全”中,以“关键信息基础设施的运行安全”共计9条(第三十一至三十九条)对关键信息基础设施安全保护的基本要求、职责分工履行义务和采取措施等方面作了基本法层面的总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法由国务院制定。
以此为法律依据,2021年8月17日,国务院总理李克强签署中华人民共和国国务院令第745号,正式发布《关键信息基础设施安全保护条例》(以下简称“条例”),旨在通过配套立法进一步明确关键信息基础设施安全保护的具体要求,保障国家关键信息基础设施安全。
内容要点
条例以六章共计五十一条的篇幅,对于关键信息基础设施安全保护相关的一系列制度要素作了具体的规定,涵盖:总则(第一至七条),关键信息基础设施认定(第八至十一条),运营者责任义务(第十二至二十一条),保障和促进(第二十二至三十八条),法律责任(第三十九至四十九条)和附则(第五十至五十一条)。
条例详细阐明了关键信息基础设施的范围、安全保护工作职能分工、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等内容,要求建立健全关键信息基础设施网络安全保护制度和责任制,制定网络安全应急预案,开展网络安全监测、检测和风险评估工作,采取安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,违反本条例规定将会受到行政处罚、判处罚金甚至要承担刑事责任。
(一).明确范围对象要求组织开展认定工作
条例第二条明确给出了关键信息基础设施范围。“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
条例第二章(第八至十一条)提出关键信息基础设施认定工作流程,包括认定规则制定、组织认定、重新认定三部分。一是,保护工作部门应结合本行业、本领域实际,制定关键信息基础设施认定规则并报国务院公安部门备案。二是,保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知运营者并通报国务院公安部门。三是,关键信息基础设施发生较大变化影响认定结果的,保护工作部门应进行重新认定,将结果通知运营者,并通报国务院公安部门。其中,重新认定工作由运营者根据变化情况提出报告启动,保护工作部门自收到报告3个月内完成重新认定工作。
条例第九条指出认定规则制定应当主要考虑的三大因素。主要包括“网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度”“网络设施、信息系统等一旦遭到破坏后可能带来的危害程度”“对其他行业和领域的关联性影响”。
(二).确定职能分工强化落实运营者主体责任
条例确定了包括国家网信部门、国务院公安部门、国务院电信主管部门和其他有关部门、保护工作部门、运营者、专门安全管理机构和网络安全服务机构在内的关键信息基础设施安全保护职能分工。国家网信部门负责统筹协调。国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。保护工作部门负责关键信息基础设施安全保护工作。运营者负责设置专门安全管理机构,组织开展关键信息基础设施安全保护工作,运营者的主要负责人对本单位关键信息基础设施安全保护负总责。专门安全管理机构负责本单位的关键信息基础设施安全保护工作。此外,省级人民政府有关部门依据各自职责对关键信息基础设施安全保护和监督管理。
条例第三条指出“在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。”
条例第八条明确保护工作部门负责关键信息基础设施安全保护工作。“本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门”,简称保护工作部门。
条例第三章(第十二至二十一条)运营者责任义务部分全面强化运营者主体责任,保障关键信息基础设施安全。条例第十三条要求“运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。”条例第十四条明确要求“运营者应当设置专门安全管理机构”。
条例第十五条明确专门安全管理机构负责本单位的关键信息基础设施安全保护工作,阐述了专门安全管理机构应履行的职责。
条例第三十七条指出“国家加强网络安全服务机构建设和管理”,“不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用”。
(三).开展多措并举全面提升安全保护能力
条例第四章保障和促进部分要求多措并举,提升关键信息基础设施安全保护能力。国家网信部门统筹协调有关部门建立网络安全信息共享机制,统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测。在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,建立健全本行业、本领域的关键信息基础设施网络安全检测预警机制、网络安全事件应急处置预案,定期组织开展网络安全检查检测。公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。
条例第三十四至三十七条指出,国家将从标准制定、人才培养、技术创新、产业发展等方面加大促进关键信息基础设施安全保护举措,提升关键信息基础设施安全保护能力。条例第三十八条指出,国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。
(四).强化法律处罚突出各类有关主体全面责任
条例第五章法律责任部分明确了针对相关违反条例行为的处罚事项,突出了各类有关主体的全面责任思维。既强调关键信息基础设施运营单位及其工作人员违反保护义务应当承担的法律责任,也强调服务机构、其他有关部门及其工作人员可能的违法责任。从网信部门、公安机关、保护工作部门、运营者到网络安全服务机构及其工作人员提出了全面的违规处罚规定,重点落实了关键信息基础设施运营者的主体责任和运营者直接负责的主管人员的责任。
加强了对网络安全从业人员和关键岗位人员的要求。包括对实施非法侵入、干扰、破坏关键信息基础设施、危害其安全的活动根据情节严重程度,处以拘留并处罚款;对受到治安管理处罚人员要求5年内不得从事网络安全管理和网络运营关键岗位的工作;对受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
违反条例的惩罚力度与网络安全法的相关惩罚力度保持一致。如对“运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款”,“电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,按照《网络安全法》有关规定予以处理”等。
创新举措
(一).明确网信部门统筹协调,公安部门负责指导监督
条例明确“在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。”梳理条例可发现公安部门主要工作内容包括:关键信息基础设施认定规则备案、协助专门安全管理机构负责人和关键岗位人员的安全背景审查、关键信息基础设施网络安全检查工作并提出改进措施、根据保护工作部门需要为其提供技术支持和协助、对关键信息基础设施实施漏洞探测、渗透性测试等,针对违法犯罪活动,公安部门进行相应处罚。同时,关键信息基础设施认定结果、重大网络安全事件或者发现重大网络安全威胁应通报公安部门,公安部门将加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。
(二).首次提出“优先保障”要求能源、电信领域成为重中之重
关键信息基础设施本身就是国家重点保护对象,而能源、电信等关键信息基础设施是其他行业和领域关键信息基础设施安全保障的重要基础和支撑,具有极端重要性,是安全保护的重中之重。条例针对能源、电信等关键信息基础设施首次提出“优先保障”要求,同时强调“能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。”
(三).规定必须成立专门安全管理机构明确要求“给钱给人给权”
条例规定运营者必须成立专门安全管理机构,负责本单位关键信息基础设施安全保护工作。强调“给钱”,即“运营者应当保障专门安全管理机构的运行经费”,“给人”即“配备相应的人员”,“给权”即要求“开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与”。通过“给钱给人给权”,切实保障专门安全管理机构的关键信息基础设施安全保护工作的开展。
(四).首次将培训纳入国家继续教育体系强化安全保护人员管理
“硬实力、软实力,归根到底要靠人才实力。”关键信息基础设施安全保护同样离不开人才队伍支撑。条例第三十五条指出,“国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作”。条例明确表示加强人员培训和管理工作。在人员培训上,首次提出将运营者安全管理、技术人员培训纳入国家继续教育体系,组织网络安全教育、培训明确列为运营者专门安全管理机构的职责。在人员管理上,要求对运营者专门安全管理机构负责人和关键岗位进行安全背景审查,审查时公安机关、国家安全机关应当予以协助。
(五).增加运营者合并分立解散情况处置适应全面深化改革形势
当前,我国重点推进全面深化改革工作,国务院国有资产监督管理委员会也在加快推进中央企业的重组整合,关键信息基础设施运营者有可能发生合并、分立、解散等情况。针对该情况的发生,条例第二十一条明确指出,“运营者应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。”因此,条例很好地适应了社会政治经济发展的大形势。
(六).首次提出给予国家表彰加强“有奖有罚”的公平考核评价
关键信息基础设施安全保护工作考核评价进一步加强。条例第七条明确指出“国家对在关键信息基础设施安全保护工作中取得显著成绩或者做出突出贡献的单位和个人,按照国家有关规定给予表彰。”专门安全管理机构的职责中明确要求“组织开展网络安全工作考核,提出奖励和惩处建议”。相较于以往网络安全领域只重视惩罚的规定,“有奖有罚”的公平考核评价更加凸显国家对关键信息基础设施安全保护工作的重视。
进一步思考
“安全是发展的前提,发展是安全的保障”。条例的发布,促进了网络安全在信息化建设中话语权和地位的不断提升,未来网络安全产业发展空前提速。进一步思考,条例的发布必然带来关键信息基础设施安全保护领域后续一系列动作反应,包括保护对象认定体系化完善、配套政策和标准发布、关键信息基础设施运营者的“人财物”的投入加大、专业性技术人才的培养与培训、关键信息基础设施安全保护技术创新力度的增强等。
(一).关键信息基础设施范围已明确保护对象认定体系化必将进一步完善
关键信息基础设施是经济社会运行的神经中枢,是网络安全保障的重点保护对象。关键信息基础设施范围、认定工作流程和考虑因素已经明确。本次条例提出了能源、电信行业的优先地位,这是因为这两个行业对其他行业起到了支撑作用。但行业间的关联和依赖关系其实非常复杂,很难只用“优先保障”就概括清楚。因此,下一步必将进一步完善保护对象体系化工作。例如是否提出“关键信息基础设施分类分级”,还需要在实践中探索。目前,虽然关键信息基础设施认定工作的职责在保护工作部门,但针对保护对象认定体系化的整体工作必然是需要国家网信部门、国务院公安部门、保护工作部门、运营者之间的共同协商和协作配合。
(二).安全保护职责已确定配套制度和标准必将快速完成公布
关键信息基础设施安全保护职责已经确定,涉及多方协调,亟需配套制度和标准指导落地政策的具体执行与实施。《网络安全法》和《条例》明确要求开展多项工作,包括数据出境安全评估、网络安全监测预警和信息通报制度、网络安全信息共享、网络安全风险评估和应急工作机制、网络安全审查、个人信息和数据安全保护等。此外,关键信息基础设施安全的多个相关标准均在制定过程中,亟需快速健全完善关键信息基础设施安全保护标准体系,指导规范各方关键信息基础设施安全保护工作。
(三).专门安全管理机构设立必将推动网络安全人财物的巨大投入
专门安全管理机构成为运营者必须设立的,专门负责本单位关键信息基础设施安全保护工作的主责机构。专门安全管理机构的设立,首先带来网络安全专业技术人才的需求缺口,必然促进网络安全人才培养和安全培训产业的大力发展。其次,机构运行和开展关键信息基础设施安全保护工作,必然带来大量项目经费的投入,促进网络安全产品和服务的发展。专门安全管理机构的设立有效地提升了网络安全在信息化中的地位,明确要求运营者开展网络安全和信息化有关的决策应当由专门安全管理机构人员参与,是“同步规划、同步建设、同步使用”的三同步原则的落地细则。可见,随着关键信息基础设施安全保护工作逐步开展,必将推动网络安全人财物的巨大投入。
(四).安全需要完善的技术能力必将进一步加强技术攻关与创新
“科学技术是第一生产力,创新是引领发展的第一动力”。针对关键信息基础设施安全保护工作,国家必将通过国家课题、重大项目等多种形式支持关键信息基础设施安全防护技术创新和产业发展。国家网信部门、国务院公安部门、保护工作部门和运营者将采取相关措施,充分调动网络安全企业、科研机构、智库平台、专家学者等社会力量积极参与网络安全核心技术攻关,加强关键信息基础设施安全领域技术创新,提升关键信息基础设施安全保障能力。
展望
“网络安全是共同的而不是孤立的”,关键信息基础设施安全保护是全社会共同责任,需要国家关键信息基础设施安全保护主管部门、保护工作部门、运营者、网络安全相关产业、教育、科研机构等有组织有体系的协同工作,构建关键信息基础设施安全保护协同创新和产业发展平台,形成合力,支撑国家关键信息基础设施安全保护要求落地实施,共筑网络安全防线。