当前位置:
刘金瑞:明确保护关键信息基础设施 切实维护国家网络安全
时间:2016-11-15   来源:   责任编辑:

  《网络安全法》第三章“网络运行安全”的第二节为“关键信息基础设施的运行安全”,在我国立法中首次明确规定了关键信息基础设施的定义和具体保护措施。这些规定贯彻了习近平总书记的重要讲话精神和《国家安全法》的相关重要规定,对于切实维护我国网络空间主权与网络空间安全具有重大而深远的意义。

  习近平总书记明确指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。这些基础设施一旦被攻击就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。从世界范围来看,各个国家网络安全立法的核心就是保护关键基础设施。

  《国家安全法》第25条明确规定:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”,明确要求保护关键基础设施和重要领域信息系统。《网络安全法》明确规定关键信息基础设施保护,既是我国网络安全严峻形势的迫切需要,也是切实贯彻《国家安全法》的必然要求。从《网络安全法》的具体条文看,主要包括以下内容:

  一是明确界定了关键信息基础设施的内涵。所谓的“关键信息基础设施”是指“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的”信息基础设施。这一定义明确了关键信息基础设施的“关键”就是指事关国家安全、国计民生和公共利益,将关键信息基础设施保护提升到维护国家安全和公共安全的高度,与习近平总书记所强调的关键信息基础设施是“经济社会运行神经中枢”论断相符合,也符合世界各国从国家安全高度保护关键基础设施的通行做法。这既突出了保护重点,避免将过多信息系统纳入监管而增加某些主体负担,也有利于统筹安排关键信息基础设施保护的立法体系。

  二是规定了关键信息基础设施分行业、分领域主管部门职责。明确规定负责关键信息基础设施安全保护工作的部门,要按照国务院规定的职责分工,分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。这既明确了相关主管部门要在职权范围内切实履行保护关键信息基础设施的职责,也规定分行业、分领域制定专门保护规划的基本工作方法。

  《网络安全法》还明确规定,无论是哪个行业和领域的关键信息基础设施,都应当确保其具有支持业务稳定、持续运行的性能,并坚持安全技术措施“三同步”的原则,即应该保证安全技术措施实现“同步规划、同步建设、同步使用”。

  三是规定了关键信息基础设施运营者日常的安全维护义务。在日常安全维护方面,关键信息基础设施运营者既要遵循网络安全等级保护制度对一般信息系统的安全要求,也要履行更加严格的安全保护义务。前者包括制定内部安全管理制度和操作规程,采取预防性技术措施,监测网络运行状态并留存网络日志以及重要数据备份和加密等。后者包括对“人”的安全义务和对“系统”的安全义务两个方面:对“人”的安全义务包括设置专门的管理机构和负责人、对负责人和关键岗位人员进行安全背景审查、定期对从业人员进行教育培训和技能考核;对“系统”的安全义务包括对重要系统和数据库进行容灾备份、制定网络安全事件应急预案并定期组织演练等。

  此外,对于关键信息基础设施整体安全性和可能存在的风险,还规定了定期检测评估制度。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

  四是规定了关键信息基础设施运营者特殊的安全保障义务。鉴于关键信息基础设施的重要性,对于其供应链安全和数据留存传输作出了特殊规定。规定关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,这些网络产品和服务应当通过国家安全审查。这一审查属于《国家安全法》第59条规定建立的国家安全审查制度的一部分,属于对影响或者可能影响国家安全的“网络信息技术产品和服务”的审查。这一审查由国家网信部门会同国务院有关部门组织实施。此外还规定,采购这些网络产品和服务时,关键信息基础设施运营者应当与提供者签订安全保密协议,明确安全和保密义务与责任。

  对于关键信息基础设施运营中收集和产生的公民个人信息和重要业务数据,规定运营者应当将其存储在我国境内。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,通过安全评估的数据才可以向境外提供。当然,如果法律、行政法规另有规定的,应该依照这些特别规定。

  五是规定了国家网信部门保护关键信息基础设施的职责范围。明确规定国家网信部门负责统筹协调各有关部门确保关键信息基础设施的安全,具体可以采取下列措施:(1)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;(2)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;(3)促进有关部门、关键信息基础设施运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;(4)对网络安全事件的应急处置与恢复等,提供技术支持与协助。

  此外,还明确规定了国家机关所获取的相关信息用途特定原则。国家网信部门和有关部门在关键信息基础设施保护中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。国家有关部门获取的信息,可能涉及企业的商业秘密和个人的隐私信息,这一规定明确禁止国家有关部门将获得的信息用于非国家安全之目的,有利于避免国家有关部门因泄露相关信息而侵害当事人合法权益,也有利于鼓励当事人打消顾虑而与有关部门在维护网络安全方面充分展开合作。

  总之,《网络安全法》作为我国网络安全领域的基本立法,明确规定了关键信息基础设施的定义、行业主管部门负责制、运营者的安全保护义务、国家网信部门的职责范围,为我国关键信息基础设施保护立法提供了基本的制度框架。而且规定关键信息基础设施的具体保护办法由国务院制定,为国务院制订相关行政法规提供了立法授权。2016年3月,《关键信息基础设施安全保护条例》已经纳入国务院2016年立法工作计划的研究项目。相信《网络安全法》的通过,相关法律制度的贯彻落实,必将极大地推动我国关键信息基础设施保护立法的进展,必将进一步促进我国关键信息基础设施保护水平的提升,有利于切实提高维护我国网络空间安全的能力,把网络强国建设不断推向前进。(中国法学会法律信息部助理研究员刘金瑞)