2021年4月27日,国务院正式通过了《关键信息基础设施安全保护条例》(以下简称《条例》),并于9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规,同时也是《中华人民共和国网络安全法》的重要配套法规。《条例》对关键信息基础设施的范围、各监管部门的职责、运营者的安全保护义务以及安全检测评估制度提出了更加具体、操作性也更强的要求,为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。《条例》出台的背景及必要性是什么?对于运营者来说如何才能做到合规?
《条例》的出台必要且迫切
关键信息基础设施涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。当前迫切需要加强关键信息基础设施安全保护力度。
一是关键信息基础设施关乎国家安全和社会稳定。随着信息化的快速普及和发展,关键信息基础设施作为事关国家安全和社会稳定的重要战略资源的地位日益凸显。首先,互联网的飞速发展,使得网络入侵和网络攻击事件频发,严重威胁着关键信息基础设施的正常运转,给国家安全带来极大隐患。其次,关键信息基础设施是恐怖主义和网络攻击的重点对象,各国均将其视为网络安全的重点并上升到国家安全的高度。通常认为,关键基础设施或关键信息基础设施是支撑国家安全和公共利益的重要基础设施。同时,国家间的网络战争威胁日益加剧。信息技术的快速发展极大地开拓了互联网络平台,网络攻击不再仅仅依附于传统的常规战争而存在,已经拓展和波及所有与网络相关的事件和人员,通过技术手段破坏关键信息基础设施从而导致通信瘫痪、基础设施停摆等,已然成为网络战争的重要手段。基于此,为了更好地应对各种形式的网络攻击,维护国家安全和社会稳定,应加强对关键信息基础设施的保护。
二是加强关键信息基础设施保护是社会持续运转的重要保障。关键信息基础设施为国家机构、各行业正常运转提供必需的支撑和服务。关键信息基础设施承载或支撑着各行业的关键核心业务,是政府部门、各重要行业正常运转不可或缺的基础设施。关键信息基础设施是行业运转体系中被强依赖的关键节点,它所承载的业务对其他部门或行业核心业务有较大关联性影响。对这类关键信息基础设施的攻击所产生的破坏,通过关联的行业、领域逐渐传递,会造成连锁连片的严重后果。因此,社会的持续运转需要大力加强对关键信息基础设施的保护。
三是对关键信息基础设施进行法律保护是顺应国际形势的必要举措。目前各个国家均已建立关键基础设施保护的相关制度,美、德、英、日等国家通过出台和发布政策、法律、标准等多种措施,构建了国家关键信息基础设施保护体系。各国通过发布或升级监管框架、出台指南、完善机构设置等方式进一步推动关键信息基础设施的安全防护工作落地和具体化,提升工业信息安全防护水平。而针对新一代信息技术的应用可能面临的信息安全风险,也有一些国家已做出了相关的尝试,如英国政府致力于保护关键基础设施免受针对计算机或通信系统的电子攻击威胁,并建立了由国务大臣负责的国家基础设施保护中心为核心,各基础设施部门具体实施相关职责的关键基础设施保护管理体系。因此,为了提升我国关键信息基础设施防护水平,加强监管,防止安全事件发生,我国须加快对关键信息基础设施相关法律法规细则进行研究制定工作。
四是加强关键信息基础设施保护对于公民福祉的保障意义重大。加强关键信息基础设施保护的根本是对公民福祉、公民利益的保护。关键信息基础设施运行过程中存储或传输的信息数据大量集中或极其敏感,其中供水、供电、医疗卫生、社会保障等公共服务领域的信息系统、政务网络及网络服务提供者所有和管理的网络及系统中有大量的公民身份信息、金融信息等,这些信息一旦被恶意收集或利用,必将损害公民的利益。基于其他行业对于关键信息基础设施的依赖性,加强关键信息基础设施的保护,可以使得公民的工作、生活等更加便利。国家安全、社会稳定及社会的持续运转等是公民福祉得以保障的前提,故加强关键信息基础设施建设也关乎公民福祉。
详细规定了运营者的责任和义务
《条例》在总则部分对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。《条例》明确规定了运营者责任义务,主要包括:
一是建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。
二是设置专门安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查。
三是对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。
四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。与网络安全法相比,《条例》进一步明确了运营者责任义务,更具有可操作性。
便于运营者贯彻落实
总体来说,《条例》对运营者的要求更为明确和具体,便于运营者贯彻落实;同时运营者的安全责任也更加清晰,并确定到具体担责人,督促运营者主要负责人真正推动《条例》执行。根据《条例》要求,运营者需要重点做好以下三个方面工作:
一是落实主体责任,保障相关资金落实,建立网络安全保障体系。第一,建立安全保护制度,并保障资金投入。《条例》第十三条指出运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。第二,设置专门管理机构,壮大网络安全队伍,完善关键信息基础设施防护网络安全组织体系。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。第十四条规定运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。第三,加强网络安全意识教育。树立科学正确的网络安全观,常态化开展全员网络安全意识教育培训。
二是高度重视安全保护工作,合规做好系统建设相关工作。第一,保障相关资金落实,加强网络安全建设资金的集约化管理与使用,平衡分配网络安全建设投资。《条例》第十二条明确提出,安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。第二,采购的产品和服务应当符合规定,并签订保密协议。第十九条规定运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。第二十条规定运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
三是定期开展网络安全检测和风险评估,发生重大安全事件应及时报告。第一,应当定期开展网络安全风险评估。第十七条规定运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。第二,发生重大安全事件应当向有关部门报告。第十八条规定关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。