2017年6月1日施行的《网络安全法》首次正式明确了关键信息基础设施的概念并提出了关键信息基础设施安全保护的原则要求。2017年7月10日,国家互联网信息办公室向社会公开发布《关键信息基础设施安全保护条例(征求意见稿)》。经广泛征求意见,国家互联网信息办公室对该征求意见稿进行了系统修订和完善,国务院于2021年8月17日正式发布《关键信息基础设施安全保护条例》(下称《条例》)。我们对《条例》的基本定位、重要意义与基本架构,《条例》体现的关键信息基础设施安全保护的基本原则等进行了解读,并给出了关于《条例》贯彻实施的四点建议。
一、《条例》的基本定位、重要意义与基本架构
《条例》是在《网络安全法》框架下全面规范关键信息基础设施安全保护的基础性法规,是加强网络安全领域立法、完善网络安全保护法律法规体系的重要举措,是依法治理关键信息基础设施的纲领性文件之一,是化解关键信息基础设施安全风险的法律法规重器和重要里程碑。《条例》的出台为我国科学、有效开展关键信息基础设施安全保护工作提供了重要的基础规范与法律法规支撑。作为《网络安全法》的重要配套法规,《条例》对关键信息基础设施安全保护的适用范围、关键信息基础设施认定、运营者责任义务、关键信息基础设施安全保护保障与促进以及攸关各方法律责任等提出了更为具体、更具操作性的基本要求。
《条例》以六章共计五十一条的篇幅,对于关键信息基础设施保护一系列相关要素作出具体规定,涵盖:总则(第一至七条)、关键信息基础设施认定(第八至十一条)、运营者责任义务(第十二至二十一条)、保障和促进(第二十二至三十八条)、法律责任(第三十九至四十九条)和附则(第五十至五十一条)。《条例》详细阐明了关键信息基础设施的范围及认定、运营者责任义务,对政府机构、行业主管及监管部门,以及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的关键信息基础设施运营者的责权利进行了规定,并对建立关键信息基础设施网络安全监测预警体系、信息通报制度以及网络安全人才培养等提出了要求,还就违反该条例可能会受到的行政处罚、判处罚金甚至是承担刑事法律责任作出了明确规定。
二、《条例》体现的关键信息基础设施安全保护基本原则
第一,遵循了以《网络安全法》为上位法的基本原则,体现了该法的自然延伸和具体细化。《网络安全法》明确了我国关键信息基础设施安全保护和监督管理要求,该法第三章第二节“关键信息基础设施的运行安全”中对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排和原则性规范。《条例》是该法在关键信息基础设施安全保护领域的自然延伸和表现,同时将我国近年在该领域一些成熟的好做法制度化,并对未来可能的制度创新作了原则性规定,为后续发展预留了必要的、足够的制度空间。
第二,给出了关键信息基础设施的规范定义,体现了其“大”安全保护原则。《条例》在总则部分给出了关键信息基础设施的定义,该定义聚焦关键信息基础设施范围认定中的“非穷尽列举重要行业和领域+功能保障+危害后果”因素,明确了设施的范围及其性质评判的核心标准,针对重要网络设施、信息系统面临的威胁和风险使用的“一旦遭到攻击、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”这种描述,表明关键信息基础设施的安全保护要从物理安全、功能安全以及信息安全等方面综合考虑,彰显了我国对关键信息基础设施安全保护核心价值的深刻认知。
第三,坚持了统筹协调、共同治理的原则。关键信息基础设施安全保护需要综合协调、分工负责、依法保护。为此,《条例》规定,关键信息基础设施安全保护工作由国家网信部门统筹协调,由国务院公安部门负责指导监督,国务院电信主管部门和其他有关部门、省级人民政府有关部门在各自职责范围内负责关键信息基础设施的安全保护和监督管理,公安、国家安全、保密行政管理、密码管理等有关部门依法实施相关的网络安全检查工作等。这种“1+X”的安全监管体制设计,可形成攸关各方责权清晰、齐抓共管、共同保护关键信息基础设施安全的良好局面,高度契合我国当前关键信息基础设施与现实社会深度融合的特点和保护、监管的实际需要。
第四,明确了运营者主体责任的原则。《条例》单独以整章篇幅,明确要求强化落实关键信息基础设施运营者主体责任,主要包括:建立健全网络安全保护制度和责任制,保障人力、财力和物力投入;运营者主要负责人对关键信息基础设施安全保护负总责;运营者应当设立专门安全管理机构并负责实施相关人员安全背景审查;专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作;运营者负责自行或委托机构实施每年不低于一次的网络安全检测和风险评估,及时整改问题并向保护工作部门报送情况;运营者应就重大网络安全事件或潜在重大安全威胁向保护工作部门或公安机关报告;运营者应优先采购安全可信的网络产品和服务、签订安全保密协议等。
第五,强调了关键信息基础设施安全与信息化发展并重的原则。习近平总书记指出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”具体到关键信息基础设施领域,其安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。为此,《条例》明确提出,安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。因此,既要大力推进关键信息基础设施建设,又要建立健全其安全保护体系、提升其安全保护能力和水平,力求做到“双轮驱动、两翼齐飞”。
第六,突出了关键信息基础设施重点保护的原则。《网络安全法》重点强调了关键信息基础设施的运行安全保护,《条例》继承并发展了该法的原则精神和相关规定,进一步强调并细化了在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者的安全保护主体责任义务,并配以国家安全审查、检查检测等法律行政措施,确保关键信息基础设施的运行安全。其中,特别强调了能源、电信等关键信息基础设施安全运行的优先保障权利,并要求能源、电信行业应采取措施为其他行业和领域的关键信息基础设施安全运行提供重点保障。
三、关于《条例》贯彻实施的四点建议
第一,要对标《条例》,做好关键信息基础设施的认定工作。《网络安全法》对关键信息基础设施运营者的网络安全保护义务设定了明确的法律要求,但并未就关键信息基础设施认定给出明确的认定机构和认定标准。《条例》明确关键信息基础设施需由所涉重要行业和领域的主管部门、监督管理部门来负责其安全保护工作及认定规则制定。认定规则需要考虑的主要因素是网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度、一旦遭到破坏后可能带来的危害程度及对其他行业和领域的关联性影响。因此,关键信息基础设施的认定权限在于该行业和领域的保护工作部门,保护工作部门将认定结果通知运营者,并向国务院公安部门通报。
在《条例》贯彻实施中,可结合关键信息基础设施确定及其网络安全检查实践,重点考虑“关键业务”“支撑关键业务的信息系统或工业控制系统”“根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失”等因素。比如“电信与互联网”领域,关键业务可包括DNS、DC/云服务、语音/数据/互联网基础网络及枢纽等业务。对于认定关键信息基础设施的量化标准,可根据网站、平台和生产业务等不同具体类型确定相应的量化标准。
第二,要坚持从法律法规、政策、标准、技术、实践等多维度开展关键信息基础设施安全保护工作。《条例》从法律法规层面对关键信息基础设施安全保护工作进行了原则规定,在实践过程中,要充分考虑我国国情,做好与已颁布或正在制定法律法规、标准规范等的有效配套和无缝衔接工作。具体涉及的主要法律包括《网络安全法》《密码法》《数据安全法》等,涉及的规章制度包括《网络安全审查办法》等,涉及的标准规范包括全国信息安全标准化技术委员会组织制定的《关键信息基础设施网络安全保护基本要求》等。同时,要进一步重视关键信息基础设施安全威胁信息共享、监测预警、应急处置等协同机制作用的发挥,在国家网络安全法律、标准的统一框架下持续完善。
第三,要运用系统思维,科学、全面、准确地把握关键信息基础设施安全保护工作的重点。《条例》给出的关键信息基础设施保护制度框架是一个统一的整体,在贯彻实施过程中,要把握各类主体全面责任、全流程动态保护和监管、核心重点保护的辩证统一。关键信息基础设施安全保护本身涉及规划、建设、使用、运维乃至废弃等全生命周期,国家、政府、监管、行业主管、运营者等各类主体在其安全保护方面责权不同,但共同维护安全的目标一致,因此需要坚持统筹协调、顶层设计、系统防护的整体思维,切实保障关键信息基础设施安全。
第四,要高度重视和大力加强关键信息基础设施安全保护的人才培养工作。习近平总书记明确指出,“网络空间的竞争,归根结底是人才竞争”。当前,国际信息技术发展日新月异,我国也处于数字化转型升级关键期,各种新场景、新问题、新技术、新方法层出不穷,关键信息基础设施安全保护所面临的任务越来越繁重、挑战越来越艰巨。为此《条例》专门要求,国家将采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作,并将运营者的安全管理人员、安全技术人员培训纳入国家继续教育体系,专门安全管理机构要履行组织网络安全教育、培训职责。在实践中,需要协调动员全社会相关企业、行业组织、高校和科研院所等协作配合,从在职培训和学历教育等多个层次,共同建立适应关键信息基础设施安全保护人才需求特点的队伍建设工作体系。
目前适逢我国新型基础设施建设、数字经济转型进入发展势头如火如荼、保障体系亟需完善的重要战略机遇期,《条例》的公布实施,及时开启了我国关键信息基础设施安全保护进程的新篇章,必将在我国关键信息基础设施安全保护以及国家安全、国计民生、公共利益等保障方面发挥不可或缺、不可替代的积极影响和重要作用。(作者:闫怀志,北京理工大学网络攻防研究所所长)