专家解读|落实依法治网 助力网络强国 《关键信息基础设施安全保护条例》正式施行
近年来,网络和信息技术迅猛发展,网络空间深度融入到经济社会发展、人民生活和社会治理各个方面,极大地影响和改变了社会生产活动方式,在促进经济发展、技术创新、文化繁荣和社会进步的同时,网络安全问题,尤其是关键信息基础设施网络安全问题日益严峻。关键信息基础设施的认定、保护越来越成为业界各方关注焦点、研究重点。经过多方共同研究、探讨和实践,《关键信息基础设施安全保护条例》(以下简称《条例》)终于正式发布,已于9月1日正式施行。
一、正确认识《条例》出台的重要意义
(一)《条例》出台是落实党中央决策的重要举措
习近平总书记在2016年“4·19”讲话中就提出了“加快构建关键信息基础设施安全保障体系”要求;《网络安全法》用一个章节专门提出“关键信息基础设施的运行安全”,初步明确关键信息基础设施范围,提出安全保障技术和管理要求;“十四五”规划纲要也明确了“建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力”。《条例》的出台和实施,是落实党中央决策部署和总体国家安全观,切实推进关键信息基础设施保护体系建设的重要举措。
(二)《条例》出台是维护关键信息基础设施安全的急迫需要
我国关键信息基础设施发展迅速,同时也是全球遭受网络安全威胁最严重的国家之一,迫切需要更加具体清晰的法规,明确关键信息基础设施安全保护的各方责任和制度要求,明确运营者的主体责任和保障促进要求,指导开展关键信息基础设施保护相关工作的落地实施,提升相关单位的责任意识和保护能力,构建保障体系,保障网络强国建设。
(三)《条例》出台是维护广大人民群众切身利益的法规保障
郑州“洪灾”后的断电断网事件、近年来重要政务信息泄露等事件说明,关键信息基础设施的安全稳定运行关系到广大人民群众切身利益,关系到国家安全。广大人民群众十分关注关键信息基础设施安全,《条例》出台就是要积极回应人民群众要求,保障好广大人民群众在网络空间的根本权益,保障好经济发展和国家安全。
二、明确关键信息基础设施范围,推进依法治网向深向实
《网络安全法》作为网络安全领域的基础法,内容多为基础性、原则性规定,数据跨境、网络安全审查等相关工作的推动落实,都高度依赖关键信息基础设施框架。如《网络安全法》明确要求关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储;《网络安全审查办法(修订草案征求意见稿)》覆盖范围为:“关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”。《条例》将加速推进关键信息基础设施认定,为相关工作实践落地明确工作基础,是《网络安全法》系列法规的延伸和完善。第二章明确了保护工作部门作为关键信息基础设施的认定组织部门,考虑关键信息基础设施对于业务的重要性、遭破坏后的危害程度和对其他行业领域的关联性等认定规则,认定行业领域关键信息基础设施,并明确了结果通报的流程要求,为关键信息基础设施的认定工作指明了方向。
三、构建分工协调综合管理体系,明确各层面保护责任义务
《条例》从运营者、保护工作部门、各主管监管部门、国家等四个层面,明确了各个角色关键信息基础设施保护的责任义务。一是明确了运营者的主体责任。第三章明确了运营者安全保护“三同步”要求,人、财、物、机构、制度等的保障要求,安全检测评估要求,网络安全审查要求、重大威胁和实践报告要求等内容;二是突出行业和国家层面的保障促进。关键信息基础设施关系到国家安全、国计民生和公共利益,所以必须从行业层面、国家层面予以重点保障。《条例》中涉及保护工作部门、主管监管部门保护要求的条款共计22条,明确了网络安全信息共享、监测预警制度、应急处置、定期检查与整改、能源电信优先保障等要求,条款数目是运营者保护要求的2倍,突出了对关键信息基础设施安全保护措施的“关键”要求;三是明确建立了“上下联动,左右协调”的管理体系。《条例》第四条强调安全保护坚持“综合协调、分工负责、依法保护”的工作原则,涉及“指导、配合、支持、协助、通报”等需要各层面配合开展的工作条款多达18条,覆盖了认定规则和结果确定、人员安全背景审查、网络安全信息共享、检查检测等方面工作,部门职责更为明确,工作流程更为清晰,保护措施更具可操作性,重申了网信部门统筹协调、各单位协作配合的保护工作机制。
四、确立具体清晰的安全保护工作闭环,落实网络安全观
《条例》充分体现了习近平总书记关于网络安全观的重要理念,从认定规则和结果确定、关键信息基础设施安全保护、检测和风险评估、信息共享、监测预警、应急与事件通报等多个角度,确立了认定、保护、监测、检查、整改、应急响应一系列工作的闭环。一是网络安全是整体的、不是割裂的,《条例》将关键信息基础设施安全保护作为业务依赖的一个整体来看待,从国家、主管监管部门、行业、运营者等4个层面统筹开展保护,第四条明确提出了“共同保护”要求,强调工作的统一性和整体性。二是网络安全是动态的、不是静态的。《条例》强调根据关键信息基础设施关键要素变化进行动态管理,以达到安全管理的“最优状态”,如第十一条强调关键信息基础设施发生重大变化需要报告,第二十一条强调运营者发生变化需要报告,第二十六条强调定期组织开展检查检测和整改,都体现了对关键信息基础设施进行实时状态监控,根据状态变化开展动态管理。三是网络安全是共同的、不是孤立的。《条例》第三十一条到第三十八条,明确了有关打击网络犯罪、加强人才教育、技术创新、产业发展、安全标准建设和加强军民融合等的要求,充分体现了网络安全靠人民,充分发动政府、企业、广大人民,共同参与关键信息基础设施安全保护。
五、关于几项重点工作的思考
一是充分发挥检查检测和风险评估效能。《条例》中针对运营者、保护工作部门、国家网信部门,以及公安、安全、保密、密码等有关部门开展的关键信息基础设施检查检测工作均提出了要求。作为动态管理过程中的重要环节,应做好检查检测机构管理,统筹检查检测的协调配合、信息沟通和监督,充分融合安全领域各类检查评估工作,减少运营者被检负担,推动检查检测机构技术服务能力提升,做好检查结果的信息汇总和共享管理,确保检查检测工作发挥实效。
二是推动关键信息基础设施安全标准体系完善和落地。目前已有多项关键信息基础设施的相关安全标准在研,下一步应对关键信息基础设施标准体系进行梳理,为安全标准体系建设规划蓝图;加快推动相关标准的发布和试点示范,鼓励行业主管部门和研究机构,结合行业实际情况制定行业级认定规则、应急相关标准,进一步细化落实制度要求,为关键信息基础设施保护实践提供技术支撑和方法指引。
三是充分发挥保护工作部门作用。根据《条例》第四章“保障和促进”有关要求,推动关键信息基础设施保护工作落地过程中,保护工作部门一方面需要向上对接了解掌握国家层面要求,对接信息共享、事件通报渠道,另一方面需要结合行业要求、行业规范,指导运营者落地实施,发挥着“承上启下”的重要作用。应建立定期的保护工作部门协调交流机制,保证保护工作部门及时推进制度建设、平台建设和能力建设。
在日益严峻复杂的安全形势下,《条例》的出台实施是指导完善我国关键信息基础设施体系建设的重大举措,具有重大现实意义。《条例》必将成为我国关键信息基础设施保护工作的里程碑,作为我国网络安全保护的重要法规,成为网络安全保护体系的重要环节和依法治网的重要基石。(作者:郝志强,国家工业信息安全发展研究中心)
