日前,国务院正式公布《关键信息基础设施安全保护条例》(以下简称《条例》)。《条例》对一系列重要制度、机制加以完善和固化,将推动开启我国关键信息基础设施保护的新格局,也将为产业发展指明方向。
一、《条例》以“两个统筹”奠定关键信息基础设施保护基础
整体来看,《条例》内容集中体现了“两个统筹”的特点。一是注重立法内容统筹。与此前的征求意见稿相比,《条例》大幅减少了有关授权立制(规定、标准)的内容,对相关保护工作要求尽可能在条文中明确、不再过多以开放的方式留待未来解决,从而能够大大减少因立制周期长带来的效率延误。二是注重权责划分统筹。《条例》立足关键信息基础设施保护工作不同主体的核心角色,进一步明确了各主体担负的权责、明确了各主体间的工作协同机制。这无疑有利于减少因工作边界不清等带来的效率延误,也可充分调动各方面在保护工作中的主体意识和主动性。关键信息基础设施安全是网络安全的重要一环,《条例》通过“两个统筹”举措的提升,为我国关键信息基础设施安全保护工作奠定良好的效率基础。
二、《条例》以“四个基本问题”明确关键信息基础设施保护体系
从内容来看,关键信息基础设施的范围界定、管理体系、检查检测机制和责任机制是《条例》重点明确的加强关键信息基础设施安全保护的四个基本问题。
(一)关键信息基础设施的范围界定
《条例》采用了“范围列举+授权认定”的方法,对关键信息基础设施的内涵和外延作出规定。
在范围列举方面。《条例》第二条将关键信息基础设施定位于“重要网络设施和信息系统等”,并以列举方式明确了其行业属性和影响属性两大界定标准。一是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等”重要行业和领域;二是“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。
在授权认定方面。《条例》以专章(第二章 关键信息基础设施认定)明确了授权认定的要点:一是认定主体,即“关键信息基础设施安全保护工作的部门”(以下称保护工作部门),主要包括了《条例》第二条所述重要行业和领域的主管或监管部门;二是认定依据,即“关键信息基础设施认定规则”,《条例》第九条还明确了制定“认定规则”时应依据的“重要程度”“危害程度”和“关联影响”三个主要考量因素。此外,《条例》还对关键信息基础设施的认定流程、报备主体、变更认定作出了规定。
(二)关键信息基础设施安全监管体系
《条例》在《网络安全法》所确定的管理框架内,对关键信息基础设施保护的管理体系进行了细化,主要包括三个方面:
一是确立了管理分类模式。《条例》将管理部门分为三类,即:统筹协调部门(国家网信部门)、指导监督部门(国务院公安部门)、保护工作部门(重要行业和领域的主管、监管部门)。各类管理部门分工不同、又协同配合,缺一不可。
二是确立了管理分层模式。《条例》主要规定了属地、行业两种管理分层。从属地分层模式来看,《条例》第三条明确了“省级人民政府有关部门”是监管和保护工作在地方的实施主体,相比之前征求意见稿中的“县级以上”提升了层级,突出了关键信息基础设施保护实施的统筹性要求。从行业分层模式来看,《条例》第三十二条强调“优先保障能源、电信等关键信息基础设施安全运行”,并明确能源、电信行业“为其他行业和领域的关键信息基础设施安全运行提供重点保障”,可见该两类行业在关键信息基础设施保护中,应发挥更加基础的保障作用。
三是明确了重点管理内容。在确立监管分类分层模式基础上,《条例》对主要监管部门的管理内容也做了进一步明确。如:国家网信部门统筹协调相关部门建立网络安全信息共享机制、及网络安全检查检测等;国务院公安部门负责开展关键信息基础设施认定相关备案、打击相关违法犯罪活动等;各保护部门负责制定本行业、本领域关键信息基础设施安全规划等。通过对重点管理内容的明确,有助于增进关键信息基础设施运营者、以及相关产学研用等社会各界对关键信息基础设施保护工作的知悉度,推动形成共识与合力,保障保护工作的推进实施。
(三)关键信息基础设施安全检查检测机制
《条例》注重对落地实施情况的监督手段建设,设置了专门的检查检测机制。
《条例》规定的关键信息基础设施安全检查检测机制包括三类。一是运营检测。该类检测的执行主体是关键信息基础设施运营者,具体开展形式是“自行或委托网络安全服务机构”进行。运营检测应定期开展“每年至少进行一次网络安全检测和风险评估”,并需“按照保护工作部门要求报送情况”。二是保护检查检测。该类检查检测由保护工作部门组织开展,目的是通过检查检测对运营者予以指导监督,及时整改安全隐患、完善安全措施。三是监督检查检测。该类检查检测由国家网信部门统筹协调,国务院公安部门、保护工作部门开展,通过检查提出改进措施意见。
这三类检测检查工作由不同主体负责,分别立足于运行、保护、监督的不同要求,共同构筑关键信息基础设施安全保护的监测防线。
(四)关键信息基础设施安全责任机制
《条例》对于责任机制的规定主要包括三个方面。
一是突出主体责任。《条例》首先对“主体责任”做出界定,即第四条明确的“强化和落实关键信息基础设施运营者主体责任”,这充分反映了运营者在整个保护工作中,因其肩负重要职责而具有的不可替代作用。根据《条例》第三章“运营者责任义务”,我们可以将运营者肩负的重要职责归纳为:建设管理、安全审查、事件报告、检查配合等4类13项。对于这些职责和义务,《条例》在第五章“法律责任”中,也做出了逐条对应的责任规定。
二是健全责任范围。《条例》在强化运营者主体责任的基础上,还明确了监管责任、保护责任,使责任机制覆盖了保护工作的全部主体和全部主要职责。对于监管部门的监督管理行为、保护部门的保护指导行为,以及其他个人或组织实施的恶意破坏行为等,都明确规定了相应的法律责任,从而形成对关键信息基础设施保护工作的全方位责任保障。
三是明确责任方式。《条例》规定的责任方式,涵盖了行政责任、民事责任和刑事责任三大类别。其中,对于大部分运营者责任适用行政责任的追究方式,包括责令改正、警告和罚款等;对于监管人员的违法行为,主要适用行政或刑事责任;对于从事破坏行为的其他个人,除了适用相应的拘留、罚款等行政责任外,还对该人员的网络安全从业资格做出限制,与《条例》规定的相关岗位人员安全背景审查相衔接。
三、支撑构建“三位一体”的关键信息基础设施安全产业供给体系
《条例》进一步完善了我国“十四五”及今后一个时期网络安全保障体系建设的要求,也必将成为新阶段实现网络安全产业高质量发展的重要指引之一。笔者认为,将《条例》放在供给侧结构性改革这一背景下理解,就是要强化网络安全产业供给能力,集聚业界和各方的共同努力,秉持网络安全新理念,为关键信息基础设施保护打造涵盖产品、技术和服务的“三位一体”网络安全产业供给体系。
一是“可信任”的技术供给。在数字化环境中强化关键信息基础设施保护,需要紧密依靠技术手段,而关键信息基础设施对国家网络安全乃至国家安全的重要性,则直接决定了技术必须应具备可信任的属性。这种信任不仅包括能力可信任、访问可信任,也包括供应链可信任。因此,落实《条例》要求强化技术供给,需要在遵循可信任理念的基础上,大力发展相关网络安全技术,包括但不限于:关键信息基础设施安全风险感知和识别技术、关键信息基础设施系统漏洞检测技术、关键信息基础设施数据标识和管理技术、关键信息基础设施网络威胁溯源和取证技术等等。
二是“全场景”的产品供给。“工欲善其事必先利其器”,从《条例》界定的重要领域关键信息基础设施情况来看,其运行状态各异、防护需求更是千差万别。因此,对于网络安全产品供给的最基本要求就是全领域、全要素、全类型的产品覆盖。需要尽快建立健全关键信息基础设施网络安全产品体系,重要产品包括但不限于:关键信息基础设施安全评估产品、安全检测产品、安全增强防护产品、安全运行监测平台等等。
三是“实战化”的服务供给。服务比重逐步提升是网络安全产业发展的趋势和规律,而信息技术与关键信息基础设施行业应用的深度融合则决定了网络安全服务的最终衡量指标必然是实战化。即,关键信息基础设施网络安全服务应当满足以战领建、按需调度、高效攻防等基本特征。从关键信息基础设施保护所需的网络安全服务体系来看,关键服务类型包括但不限于:关键信息基础设施安全应急处置服务、关键信息基础设施安全演练服务、关键信息基础设施安全教育培训服务、关键信息基础设施安全一体化运营服务等等。
《条例》的公布及施行,是我国关键信息基础设施安全保护工作的一个重要里程碑,其不仅明确细化了关键信息基础设施保护工作体系,更将成为拉动网络安全产业迈向高质量发展的重要引擎。作为网络安全行业的一分子,我们将继续秉承“专攻术业,成就所托”的宗旨,务实创新,为加强国家网络安全保障体系和能力建设作出更大贡献。
来源: 中国网信网