近日,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。
《条例》是《网络安全法》的一部重要配套法规,用了较大的篇幅强化了关键信息基础设施运营者的主体责任,在总则部分第四条、第六条对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
《条例》第三章专章细化了关键信息基础设施运营者的六大主体责任和义务。
一、明确建设关键信息基础设施的“三同步”原则
《网络安全法》第三十三条:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”《条例》第十二条延续了《网络安全法》确定的“三同步”原则,进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。”
运营者在具体落实三同步原则时,可以从以下方面理解安全保护措施应当与关键信息基础设施的三同步:首先,“同步规划”,是指在网络设施与信息系统的规划阶段同步引入安全保护措施;其次,“同步建设”,要求在项目建设阶段,通过落实系统集成商、网络服务提供商,保证相关安全技术措施的顺利准时建设,保证项目上线时,安全保护措施的验收和工程验收同步,确保只有符合安全要求的系统才能上线;再次,“同步使用”,网络设施和信息系统安全验收后的日常运行和维护中,应当保持网络设施与信息系统处于持续安全防护的水平,并符合国家的相关安全技术标准。
二、建立健全网络安全保护制度和责任制
《条例》第十三条规定:“运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。”
首先,为了确保我国关键信息基础设施的安全运行,运营者应当建立健全网络安全保护制度和责任制,并从制度层面保障人力、财力、物力投入。2021年7月12日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,其中提出,到2023年,电信等重点行业网络安全投入占信息化投入比例达10%。同时,推进网络安全与信息化同步规划、同步建设和同步使用,健全网络安全管理和技术保障体系。
其次,明确运营者的“一把手”对本单位的关键信息基础设施安全保护负总责,并重点夯实三大职责:一是领导关键信息基础设施的安全保护;二是领导组织对重大网络安全事件的处置工作;三是组织研究解决重大网络安全问题。
三、应当设置专门的安全管理机构
《条例》第十四条规定:“运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。”
运营者应当设置专门安全管理机构,全面履行网络设施与信息系统的安全保护职责,并参与本单位与网络安全和信息化建设的相关决策,参与重大网络安全事件的处置,研究本单位重大网络与数据安全战略、技术、管理、法律等问题。
鉴于关键信息基础设的安全对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产的安全关系重大,运营者对机构负责人和关键岗位人员应当进行严格的安全背景审查。笔者建议,应当从以下三个方面进行安全背景审查:一是政治上可靠,必须把政治标准放在第一位,如果政治不合格、不过硬、靠不住,能力再大也不能用;二是作风上优良,一定要做到实事求是、言行一致、与时俱进、开拓进取;三是能力上过硬,应当强调关键岗位人员的综合能力素质,包括运用技术、管理、法律等综合的能力,网络安全是“三分技术、七分管理”,网络安全的全生命周期管理是网络安全的重中之重。
《条例》第十五条要求“专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作”,并具体履行八项职责:一是建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;二是组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;三是按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;四是认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;五是组织网络安全教育、培训;六是履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;七是对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;八是按照规定报告网络安全事件和重要事项。
四、进行网络安全检测和风险评估
《网络安全法》第三十八条要求:“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”
《条例》第十七条基本沿用了《网络安全法》第三十八条的规定,强调“运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。”
网络安全检测和风险评估,包含网络设备安全、网络数据安全、网络软件安全,重点评估网络系统的硬件、软件以及其系统中的数据安全是否受到全面的保护,尤其评估网络设施和信息系统在遭受到破坏、更改或数据泄露,网络系统是否能够连续可靠正常地运行,网络服务不中断等。2015年10月,美国防部发布了《网络安全检测与评估指南》,主要针对美国国防部内部及其他关键信息系统的网络信息环境开展安全性检测与评估工作,并提供了一系列的关键技术理论和指导方法,尤其是对整个生命周期实施网络空间安全测试和评估提出了六个阶段的安全检测和评估,一是理解网络空间安全需求;二是监测网络攻击特征化;三是网络漏洞识别协作;四是对抗性网络空间安全测试与评估;五是漏洞协作和渗透评估;六是对抗性评估。
五、履行重大网络安全事件报告制度
《条例》第十八条规定:“关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。“
关键信息基础设的网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络设施和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
根据中央网信办发布的《国家网络安全事件应急预案》的规定,符合下列情形之一的,为特别重大网络安全事件:一是重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力;二是国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁;三是其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
根据上述《应急预案》的规定,符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:一是重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响;二是国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁;三是其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
首先,《条例》第十八条第一款要求在两种情况下,运营者应当按照有关规定向保护工作部门、公安机关报告,一是关键信息基础设施发生重大网络安全事件;二是关键信息基础设施发现重大网络安全威胁。前者是已经出现了重大网络安全事件,后者是察觉到面临重大网络安全的威胁。
其次,《条例》第十八条第二款要求发生或发现以下六种特别重大的网络安全事件,保护工作部门应当在收到运营者的报告后,及时向国家网信部门、国务院公安部门报告:一是发生关键信息基础设施整体中断运行或者主要功能故障;二是国家基础信息以及其他重要数据泄露;三是较大规模个人信息泄露;四是造成较大经济损失;五是违法信息较大范围传播;六是发现特别重大网络安全威胁。
六、确保采购安全可信的网络产品和服务
为了防止关键信息基础设施因使用的产品和服务存在安全缺陷或其他隐患而受到攻击、破坏,从而危害国家安全,我国《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。《条例》第十九条在沿用《网络安全法》第三十五的基础上特别增加了“运营者应当优先采购安全可信的网络产品和服务”的规定,即“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”
为了确保运营者采购安全可信的网络产品和服务,《条例》第二十条提出了运营者在签订采购网络产品和服务合同时,应在合同中明确以下核心内容,一是应当按照国家有关规定与网络产品和服务提供者签订安全保密协议;二是应当明确提供者的技术支持和安全保密义务与责任,并对其义务与责任履行情况进行监督。
《网络安全法》和《条例》明确要求,采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查制度,这项制度是国家安全法首先确立的一项重要法律制度,审查的内容包括但不限于核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务等。
2020年6月1日起实施的《网络安全审查办法》(下称:《审查办法》)确立了对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,实施国家层面的安全审查制度。这是维护我国关键信息基础设施供应链安全的一项重大法治事件,对于保障和提升国家关键信息基础设施供应链安全,维护国家安全具有重大的推动作用。
我国网络安全审查的重点是研判和评估网络运营者采购网络产品和服务可能带来的国家安全风险,根据《审查办法》第九条的规定,主要考虑以下五大因素:一是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;二是产品和服务供应中断对关键信息基础设施业务连续性的危害;三是产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;四是产品和服务提供者遵守中国法律、行政法规、部门规章情况;五是其他可能危害关键信息基础设施安全和国家安全的因素。
本文作者:王春晖,浙江大学教授、博导,网络空间治理与数字经济法治(长三角)研究基地主任兼首席专家,南京邮电大学数字经济战略与法治研究中心主任,工信部信息通信经济专家委员会委员、中国通信学会网络空间安全战略与法律委员会副主任委员、中国互联网协会应用创新工作委员会副主任委员、中国法学会网络与信息法学研究会常务理事、上海市法学会互联网司法研究会副会长。