2017年6月1日施行的《網(wǎng)絡(luò)安全法》首次正式明確了關(guān)鍵信息基礎(chǔ)設(shè)施的概念并提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的原則要求�����。2017年7月10日�����,國(guó)家互聯(lián)網(wǎng)信息辦公室向社會(huì)公開(kāi)發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》�。經(jīng)廣泛征求意見(jiàn)���,國(guó)家互聯(lián)網(wǎng)信息辦公室對(duì)該征求意見(jiàn)稿進(jìn)行了系統(tǒng)修訂和完善���,國(guó)務(wù)院于2021年8月17日正式發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(下稱《條例》)。我們對(duì)《條例》的基本定位����、重要意義與基本架構(gòu)��,《條例》體現(xiàn)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的基本原則等進(jìn)行了解讀��,并給出了關(guān)于《條例》貫徹實(shí)施的四點(diǎn)建議����。
一�、《條例》的基本定位、重要意義與基本架構(gòu)
《條例》是在《網(wǎng)絡(luò)安全法》框架下全面規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的基礎(chǔ)性法規(guī)���,是加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域立法�����、完善網(wǎng)絡(luò)安全保護(hù)法律法規(guī)體系的重要舉措�����,是依法治理關(guān)鍵信息基礎(chǔ)設(shè)施的綱領(lǐng)性文件之一����,是化解關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)的法律法規(guī)重器和重要里程碑?�!稐l例》的出臺(tái)為我國(guó)科學(xué)��、有效開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作提供了重要的基礎(chǔ)規(guī)范與法律法規(guī)支撐���。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī)�,《條例》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的適用范圍��、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定�、運(yùn)營(yíng)者責(zé)任義務(wù)�����、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)保障與促進(jìn)以及攸關(guān)各方法律責(zé)任等提出了更為具體����、更具操作性的基本要求。
《條例》以六章共計(jì)五十一條的篇幅����,對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)一系列相關(guān)要素作出具體規(guī)定,涵蓋:總則(第一至七條)�����、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定(第八至十一條)、運(yùn)營(yíng)者責(zé)任義務(wù)(第十二至二十一條)�、保障和促進(jìn)(第二十二至三十八條)、法律責(zé)任(第三十九至四十九條)和附則(第五十至五十一條)����。《條例》詳細(xì)闡明了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍及認(rèn)定�、運(yùn)營(yíng)者責(zé)任義務(wù),對(duì)政府機(jī)構(gòu)�����、行業(yè)主管及監(jiān)管部門�,以及公共通信和信息服務(wù)、能源�、交通、水利����、金融、公共服務(wù)�����、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的責(zé)權(quán)利進(jìn)行了規(guī)定�����,并對(duì)建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系��、信息通報(bào)制度以及網(wǎng)絡(luò)安全人才培養(yǎng)等提出了要求����,還就違反該條例可能會(huì)受到的行政處罰、判處罰金甚至是承擔(dān)刑事法律責(zé)任作出了明確規(guī)定���。
二���、《條例》體現(xiàn)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)基本原則
第一�����,遵循了以《網(wǎng)絡(luò)安全法》為上位法的基本原則����,體現(xiàn)了該法的自然延伸和具體細(xì)化?�!毒W(wǎng)絡(luò)安全法》明確了我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理要求,該法第三章第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的基本要求��、部門分工以及主體責(zé)任等問(wèn)題作了基本法層面的總體制度安排和原則性規(guī)范�����?��!稐l例》是該法在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)領(lǐng)域的自然延伸和表現(xiàn)��,同時(shí)將我國(guó)近年在該領(lǐng)域一些成熟的好做法制度化��,并對(duì)未來(lái)可能的制度創(chuàng)新作了原則性規(guī)定�,為后續(xù)發(fā)展預(yù)留了必要的��、足夠的制度空間����。
第二,給出了關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)范定義��,體現(xiàn)了其“大”安全保護(hù)原則��?�!稐l例》在總則部分給出了關(guān)鍵信息基礎(chǔ)設(shè)施的定義,該定義聚焦關(guān)鍵信息基礎(chǔ)設(shè)施范圍認(rèn)定中的“非窮盡列舉重要行業(yè)和領(lǐng)域+功能保障+危害后果”因素�����,明確了設(shè)施的范圍及其性質(zhì)評(píng)判的核心標(biāo)準(zhǔn)�����,針對(duì)重要網(wǎng)絡(luò)設(shè)施�����、信息系統(tǒng)面臨的威脅和風(fēng)險(xiǎn)使用的“一旦遭到攻擊����、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全����、國(guó)計(jì)民生�����、公共利益”這種描述�����,表明關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要從物理安全、功能安全以及信息安全等方面綜合考慮���,彰顯了我國(guó)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)核心價(jià)值的深刻認(rèn)知���。
第三,堅(jiān)持了統(tǒng)籌協(xié)調(diào)�����、共同治理的原則���。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)需要綜合協(xié)調(diào)����、分工負(fù)責(zé)����、依法保護(hù)。為此�����,《條例》規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作由國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)��,由國(guó)務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督���,國(guó)務(wù)院電信主管部門和其他有關(guān)部門�、省級(jí)人民政府有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)和監(jiān)督管理��,公安�����、國(guó)家安全����、保密行政管理、密碼管理等有關(guān)部門依法實(shí)施相關(guān)的網(wǎng)絡(luò)安全檢查工作等��。這種“1+X”的安全監(jiān)管體制設(shè)計(jì)�,可形成攸關(guān)各方責(zé)權(quán)清晰、齊抓共管�����、共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全的良好局面����,高度契合我國(guó)當(dāng)前關(guān)鍵信息基礎(chǔ)設(shè)施與現(xiàn)實(shí)社會(huì)深度融合的特點(diǎn)和保護(hù)、監(jiān)管的實(shí)際需要���。
第四����,明確了運(yùn)營(yíng)者主體責(zé)任的原則�����?�!稐l例》單獨(dú)以整章篇幅�����,明確要求強(qiáng)化落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者主體責(zé)任���,主要包括:建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制�����,保障人力��、財(cái)力和物力投入��;運(yùn)營(yíng)者主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)�����;運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)立專門安全管理機(jī)構(gòu)并負(fù)責(zé)實(shí)施相關(guān)人員安全背景審查�����;專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作����;運(yùn)營(yíng)者負(fù)責(zé)自行或委托機(jī)構(gòu)實(shí)施每年不低于一次的網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估,及時(shí)整改問(wèn)題并向保護(hù)工作部門報(bào)送情況�;運(yùn)營(yíng)者應(yīng)就重大網(wǎng)絡(luò)安全事件或潛在重大安全威脅向保護(hù)工作部門或公安機(jī)關(guān)報(bào)告;運(yùn)營(yíng)者應(yīng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)�����、簽訂安全保密協(xié)議等�。
第五,強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施安全與信息化發(fā)展并重的原則�����。習(xí)近平總書(shū)記指出:“安全是發(fā)展的前提,發(fā)展是安全的保障�����,安全和發(fā)展要同步推進(jìn)�?����!本唧w到關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域�����,其安全和信息化是一體之兩翼��、驅(qū)動(dòng)之雙輪���,必須統(tǒng)一謀劃����、統(tǒng)一部署��、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施��。為此�����,《條例》明確提出���,安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃���、同步建設(shè)、同步使用��。因此�,既要大力推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè),又要建立健全其安全保護(hù)體系����、提升其安全保護(hù)能力和水平,力求做到“雙輪驅(qū)動(dòng)���、兩翼齊飛”�����。
第六�����,突出了關(guān)鍵信息基礎(chǔ)設(shè)施重點(diǎn)保護(hù)的原則�。《網(wǎng)絡(luò)安全法》重點(diǎn)強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全保護(hù)�,《條例》繼承并發(fā)展了該法的原則精神和相關(guān)規(guī)定�����,進(jìn)一步強(qiáng)調(diào)并細(xì)化了在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上��,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)��,明確關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者的安全保護(hù)主體責(zé)任義務(wù)���,并配以國(guó)家安全審查��、檢查檢測(cè)等法律行政措施���,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。其中�,特別強(qiáng)調(diào)了能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行的優(yōu)先保障權(quán)利,并要求能源�、電信行業(yè)應(yīng)采取措施為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行提供重點(diǎn)保障。
三���、關(guān)于《條例》貫徹實(shí)施的四點(diǎn)建議
第一���,要對(duì)標(biāo)《條例》,做好關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定工作����。《網(wǎng)絡(luò)安全法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的網(wǎng)絡(luò)安全保護(hù)義務(wù)設(shè)定了明確的法律要求����,但并未就關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定給出明確的認(rèn)定機(jī)構(gòu)和認(rèn)定標(biāo)準(zhǔn)?�!稐l例》明確關(guān)鍵信息基礎(chǔ)設(shè)施需由所涉重要行業(yè)和領(lǐng)域的主管部門���、監(jiān)督管理部門來(lái)負(fù)責(zé)其安全保護(hù)工作及認(rèn)定規(guī)則制定�����。認(rèn)定規(guī)則需要考慮的主要因素是網(wǎng)絡(luò)設(shè)施�����、信息系統(tǒng)等對(duì)于本行業(yè)��、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度�、一旦遭到破壞后可能帶來(lái)的危害程度及對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。因此����,關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定權(quán)限在于該行業(yè)和領(lǐng)域的保護(hù)工作部門,保護(hù)工作部門將認(rèn)定結(jié)果通知運(yùn)營(yíng)者�����,并向國(guó)務(wù)院公安部門通報(bào)���。
在《條例》貫徹實(shí)施中,可結(jié)合關(guān)鍵信息基礎(chǔ)設(shè)施確定及其網(wǎng)絡(luò)安全檢查實(shí)踐�,重點(diǎn)考慮“關(guān)鍵業(yè)務(wù)”“支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)”“根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失”等因素��。比如“電信與互聯(lián)網(wǎng)”領(lǐng)域�����,關(guān)鍵業(yè)務(wù)可包括DNS、DC/云服務(wù)���、語(yǔ)音/數(shù)據(jù)/互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)及樞紐等業(yè)務(wù)���。對(duì)于認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的量化標(biāo)準(zhǔn),可根據(jù)網(wǎng)站�、平臺(tái)和生產(chǎn)業(yè)務(wù)等不同具體類型確定相應(yīng)的量化標(biāo)準(zhǔn)。
第二�,要堅(jiān)持從法律法規(guī)、政策���、標(biāo)準(zhǔn)��、技術(shù)�、實(shí)踐等多維度開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作����。《條例》從法律法規(guī)層面對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作進(jìn)行了原則規(guī)定���,在實(shí)踐過(guò)程中�����,要充分考慮我國(guó)國(guó)情�,做好與已頒布或正在制定法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等的有效配套和無(wú)縫銜接工作�����。具體涉及的主要法律包括《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》等��,涉及的規(guī)章制度包括《網(wǎng)絡(luò)安全審查辦法》等����,涉及的標(biāo)準(zhǔn)規(guī)范包括全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制定的《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》等。同時(shí)��,要進(jìn)一步重視關(guān)鍵信息基礎(chǔ)設(shè)施安全威脅信息共享����、監(jiān)測(cè)預(yù)警�����、應(yīng)急處置等協(xié)同機(jī)制作用的發(fā)揮�,在國(guó)家網(wǎng)絡(luò)安全法律、標(biāo)準(zhǔn)的統(tǒng)一框架下持續(xù)完善����。
第三��,要運(yùn)用系統(tǒng)思維�����,科學(xué)����、全面����、準(zhǔn)確地把握關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的重點(diǎn)?����!稐l例》給出的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度框架是一個(gè)統(tǒng)一的整體��,在貫徹實(shí)施過(guò)程中�,要把握各類主體全面責(zé)任、全流程動(dòng)態(tài)保護(hù)和監(jiān)管�����、核心重點(diǎn)保護(hù)的辯證統(tǒng)一。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)本身涉及規(guī)劃����、建設(shè)、使用��、運(yùn)維乃至廢棄等全生命周期�����,國(guó)家�����、政府�����、監(jiān)管�����、行業(yè)主管�����、運(yùn)營(yíng)者等各類主體在其安全保護(hù)方面責(zé)權(quán)不同�,但共同維護(hù)安全的目標(biāo)一致,因此需要堅(jiān)持統(tǒng)籌協(xié)調(diào)���、頂層設(shè)計(jì)��、系統(tǒng)防護(hù)的整體思維�����,切實(shí)保障關(guān)鍵信息基礎(chǔ)設(shè)施安全�。
第四�,要高度重視和大力加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的人才培養(yǎng)工作。習(xí)近平總書(shū)記明確指出��,“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)���,歸根結(jié)底是人才競(jìng)爭(zhēng)”��。當(dāng)前�����,國(guó)際信息技術(shù)發(fā)展日新月異���,我國(guó)也處于數(shù)字化轉(zhuǎn)型升級(jí)關(guān)鍵期�,各種新場(chǎng)景�、新問(wèn)題、新技術(shù)����、新方法層出不窮,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)所面臨的任務(wù)越來(lái)越繁重�、挑戰(zhàn)越來(lái)越艱巨。為此《條例》專門要求��,國(guó)家將采取措施���,鼓勵(lì)網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作���,并將運(yùn)營(yíng)者的安全管理人員、安全技術(shù)人員培訓(xùn)納入國(guó)家繼續(xù)教育體系�,專門安全管理機(jī)構(gòu)要履行組織網(wǎng)絡(luò)安全教育、培訓(xùn)職責(zé)����。在實(shí)踐中,需要協(xié)調(diào)動(dòng)員全社會(huì)相關(guān)企業(yè)�����、行業(yè)組織����、高校和科研院所等協(xié)作配合,從在職培訓(xùn)和學(xué)歷教育等多個(gè)層次���,共同建立適應(yīng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)人才需求特點(diǎn)的隊(duì)伍建設(shè)工作體系����。
目前適逢我國(guó)新型基礎(chǔ)設(shè)施建設(shè)���、數(shù)字經(jīng)濟(jì)轉(zhuǎn)型進(jìn)入發(fā)展勢(shì)頭如火如荼�、保障體系亟需完善的重要戰(zhàn)略機(jī)遇期�,《條例》的公布實(shí)施,及時(shí)開(kāi)啟了我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)進(jìn)程的新篇章��,必將在我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)以及國(guó)家安全��、國(guó)計(jì)民生�、公共利益等保障方面發(fā)揮不可或缺、不可替代的積極影響和重要作用。(作者:閆懷志�,北京理工大學(xué)網(wǎng)絡(luò)攻防研究所所長(zhǎng))
