保障关键信息基础设施安全是贯彻落实我国《网络安全法》的重点工作,也是《国家安全法》《密码法》《数据安全法》《个人信息保护法》的共同法律要求。作为落实基本法的专门性行政法规,《关键信息基础设施安全保护条例》(以下简称《条例》)已正式施行一周年。一年来,我国坚持依法保护,强化责任落实,坚持问题导向和实战引领,保护和震慑并举,加强关键信息基础设施及其承载的重要数据与个人信息的安全保护,强化网络安全审查、重要数据保护、商用密码应用安全性评估和供应链安全管理,严厉打击针对和利用关键信息基础设施实施的境内外违法犯罪活动,国家关键信息基础设施安全保护、保卫和保障工作成效初显。
一、关键信息基础设施安全保护制度设计及其落地实施
《条例》明确监管体制、关键信息基础设施范围和认定程序、保护工作部门职责、运营者责任义务、保障和促进措施、法律责任等内容,为关键信息基础设施保护工作提供根本法制保障。同时,《条例》补足《密码法》《数据安全法》《个人信息保护法》等法律效能,构建完善并整体夯实国家关键信息基础设施保护制度。
1、关键信息基础设施保护责任格局
《条例》明确在国家网信部门统筹协调下,国务院公安部门负责指导监督,国务院电信主管部门和其他有关部门依职负责安全保护和监督管理。其中,统筹协调体现在政策制订、总体规划、资源协调、信息共享等方面,指导是指引辅导,监督是监视督促,国务院公安部门的指导监督具有外部性,工信等行业领域主管、监管部门作为保护工作部门承担主管责任,其监督管理具有行业属性和内部约束力。
国务院公安部门负责指导监督。这一规定考虑到了公安机关是《网络安全法》《人民警察法》《计算机信息系统安全保护条例》授权的网络安全监管机构,多年来围绕国家事务、经济建设、国防建设、尖端科学技术等重要领域计算机信息系统安全开展大量探索与实践。由国务院公安部门指导监督关键信息基础设施安全保护工作,有利于切实在网络安全等级保护制度基础上加强关键信息基础设施保护,确保不同行业领域保障水平协调一致。《条例》施行一年来,公安机关组织指导保护工作部门制定关键信息基础设施认定规则并备案,指导开展关键信息基础设施认定工作;对关键信息基础设施重大网络安全事件或者重大网络安全威胁等情况进行监测处置,为保护工作部门提供技术支持和协助;依法对关键信息基础设施进行网络安全检查检测,对漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动进行管理;加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。接下来,公安机关还将在前期工作的基础上深入贯彻实施《条例》,切实履行法定职责,保障关键信息基础设施安全。
保护工作部门负责安全保护和监督管理。鉴于重点行业、领域业务及安全需求的特殊性与专业性,按照“谁主管、谁负责”原则,重点行业、领域主管监管部门承担十分关键的监督管理职能,《条例》为重点行业、领域的特别关键信息基础设施保护相关部门规章和规范性文件预留了空间。《条例》施行一年以来,交通、能源、证券期货业等行业和领域主管部门加快推动关保工作在本行业、本领域的落地实施。交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》,就公路水路的关保工作进行专项规定;国家卫生健康委等部门发布《医疗卫生机构网络安全管理办法》、中国证监会发布《证券期货业网络安全管理办法(征求意见稿)》、国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》,将关键信息基础设施运行安全作为重要内容之一。从具体内容来看,细化的制度设计主要围绕深化组织机构设置及人员管理,增设专项评审要求、强调全天候态势感知能力,重视压力测试、攻防演练、应急演练等在风险隐患发现方面的作用,加强供应链风险管理和网络安全事件管理、强调经费保障及教育培训等方面展开,突出行业特性,旨在保障关键信息基础设施的持续稳定运行。
同时,《条例》也明确了国家安全、保密行政管理、密码管理等网络安全专项管理部门的职责。国家安全机关依据职责加强关键信息基础设施安全保卫,2022年4月15日第七个全民国家安全教育日,国家安全机关就公布了一起“关键信息基础设施领域遭网络攻击窃密”的典型案件。《密码法》对关键信息基础设施使用商用密码提出明确要求,密码管理部门负责管理密码工作,也依法对关键信息基础设施使用商用密码的情况实施监督检查。
关键信息基础设施运营者承担主体责任。《条例》强化主体责任,尤其重视“单位因素”和“人的因素”,强调单位和人员对关键信息基础设施保护的决定性作用,明确运营者主要负责人对关键信息基础设施安全保护负总责,承担组织和领导责任,规定专门安全管理机构的十余项安全保护职责,不履行保护义务可依法对单位和直接负责主管人员处以警告、罚款、处分乃至追究刑事责任,2021年8月4日解密的《党委(党组)网络安全工作责任制实施办法》,明确了关键信息基础设施运营者党委(党组)的主体责任,关键信息基础设施遭受网络攻击后不及时处置的,按后果问责;同时,《条例》重点强调人员的可信和能力建设,不仅明确专门安全管理机构负责人和关键岗位人员的安全背景审查要求,也强调人员教育、培训、权限、奖励等正面赋能。
2、网络安全威胁和隐患防范
为加强关键信息基础设施领域的风险发现和防御能力,调动各方力量共同消解网络安全风险,《条例》建立了运营者、保护工作部门、公安机关和网信部门等多层风险威胁发现与合作体系。《条例》将开展网络安全监测、检测和风险评估,制定本单位应急预案,定期开展应急演练明确为运营者专门安全管理机构职责之一,要求运营者每年至少进行一次网络安全检测和风险评估。《条例》要求保护工作部门建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
3、数据安全和个人信息保护
数据是影响网络安全等级保护制度中定级、关键信息基础设施认定的重要因素。包含个人信息数据在内的数据安全保护已成为网络安全等级保护2.0制度、关键信息基础设施保护制度的重要内容。2020年公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》多处强调数据安全、重要数据和个人信息保护。《条例》强化数据安全保护责任,明确运营者个人信息和数据安全保护职责,确立重要数据泄露等特别重大网络安全事件发生后运营者、保护工作部门、国家网信部门和国务院公安部门的三层报告机制。
国家总体安全保障工作中,重要数据与关键信息基础设施密不可分,2015年《国家安全法》强调“关键基础设施和重要领域信息系统及数据的安全可控”,《网络安全法》第37条创设性规定关键信息基础设施运营者重要数据境内存储与出境评估制度,2016年《国家网络空间安全战略》将“保护关键信息基础设施”作为9大战略任务之一,明确要求“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。《数据安全法》第27条明确利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行数据安全保护义务。
4、关键信息基础设施供应链安全
《条例》明确运营者应当优先采购安全可信的网络产品和服务,并应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督;专门安全管理机构应当对关键信息基础设施设计、建设、运行、维护等服务实施安全管理。采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。《网络安全审查办法》要求运营者采购网络产品和服务时,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
5、充分的资源保障支持
《条例》体现重点保护思路,基本涵盖了关键信息基础设施保护的整体战略、技术要求、管理措施,以及如何评估和验证其有效性的各个层面,在人、财、物各个方面给予充分的资源支持。《条例》施行一年以来,随着各个省市将关键信息基础设施保障工作纳入“十四五”目标及规划,保护工作部门和运营者开始围绕“关键信息基础设施安全规划”和“关键信息基础设施安全保护计划”,逐层推进、具体落实,调配人财物等方面的资源,形成年度化、可量化、可评估的保障与核验机制。
二、我国关键信息基础设施立法保护的发展方向
1、研判国外法律政策新动向,探索关键基础设施保护现代化新思路
近年来,Solarwinds供应链攻击、Colonial Pipeline勒索攻击、托管服务提供商Kaseya引发供应链攻击等一系列事件持续检验关键信息基础设施防范能力和网络攻击防御能力。2022年俄乌冲突再次印证对关键信息基础设施的外部攻击仍是重大威胁来源。数字化转型过程中的关键信息基础设施安全保护现代化成为各国亟待解决的现实难题,引发各界对既有政策立法的反思和调整。仅在《条例》施行后的一年多来,全球范围内围绕关键(信息)基础设施的强化保护、国产替代化、对象增强和事件报告等方面的政策立法在持续演进,体现出威胁攻击与保障防御两端的新变化、新特点。
在强化关键信息基础设施保护措施方面。欧盟2022年5月发布的《欧盟安全联盟战略》第四次进展报告对当前俄乌冲突国际环境下欧盟面临的安全威胁进行梳理。报告指出,尽管目前俄乌冲突在很大程度上仍然是通过常规手段推进,溢出效应有限,但也充分说明网络和关键基础设施领域面临的风险是真实存在的,进一步凸显了落实现有立法及推动制定中立法的紧迫性。2022年5月13日,欧洲议会和欧盟成员国就《关于在欧盟范围内实施高水平网络安全措施的指令提案》(即NIS 2指令提案)达成政治协议,成为欧盟对当前国际局势背景下强化自身安全的回应。NIS 2指令提案旨在取代2016年NIS指令。2016年NIS指令是欧盟范围内关于网络安全的第一部立法,对严重依赖ICT且对经济社会至关重要的能源、运输、银行、金融市场基础设施、饮用水、医疗保健、数字基础设施这七个领域采取网络安全措施。欧盟委员会定期审查NIS指令运作情况后,认为其存在不能全面反映所有为整个经济社会提供关键服务的数字化行业,成员国落实安全要求和事件报告义务不到位,监督和执行机制不起作用,成员国之间不能有效共享信息,影响欧盟整体层面的态势感知水平等问题。针对这些不足,NIS 2指令提案不再依据基本服务运营商和数字服务提供商对实体进行分类,而是根据实体重要性,分为十类基本实体和六类重要实体,采取不同的监管制度;同时NIS 2指令提案强化法律责任,规定违反网络安全保护要求的最高行政罚款额不得低于1000万欧元或上一财政年度全球总营业额的2%,以较高的为准。
在关键信息基础设施国产替代化方面。面对俄乌冲突背景下网络安全领域不利形势,2022年俄罗斯总统普京相继签发俄罗斯联邦第166号总统令《确保俄罗斯联邦关键信息基础设施技术独立和安全的措施》和第250号总统令《保障俄罗斯联邦信息安全的补充措施》,设定国产替代化目标期限,禁止未经批准采购外国软件和相关服务用于关键信息基础设施重要客体。两个总统令内容及发布速度均充分体现其出台的特殊现实背景,也反映了特殊时期俄罗斯对强化关键信息基础设施安全管控力度、保障信息资源安全的紧迫需求。
在重点保护对象的限缩和增强方面。2022年6月28日,欧洲议会和理事会就《关于关键实体弹性指令的提案》(简称CER指令)提案达成政治协议。提案将关键实体中为三分之一以上成员国提供基本服务的实体明确为“欧洲具有特定重要性的关键实体”,在安全保护方面获得额外建议,这与澳大利亚2022年4月正式生效的《2022年安全立法修正案(关键基础设施保护)法》相类似。澳大利亚在立法中建立“具有国家意义的系统(SoNS)”制度,在现有关键基础设施保护体系中将一小部分具有国家意义的关键基础设施资产认定为SoNS,并对SoNS赋予更严苛的保护义务。此类立法举措反映出部分国家在当前安全形势下对关键基础设施保护的新探索。
在强制性的网络安全事件报告义务方面。美国《2022年关键基础设施事件报告法》、欧盟2022年《关于在欧盟范围内实施高水平网络安全措施的指令提案》、澳大利亚《2022年安全立法修正案(关键基础设施保护)法》、2022年印度《关于<2000年信息技术法>第70B条第(6)款,可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令》等均建立强制性的网络安全事件报告制度,明确关键基础设施资产负责实体在发生事件后的报告期限和报告部门。印度对于时间要求最为紧迫,要求在6小时内报告,美国要求发生网络安全事件后72小时或因勒索攻击支付赎金后24小时内,欧盟要求实体发生重大网络安全事件后24小时内向主管当局或 CSIRT提交初步报告;澳大利亚要求对关键基础设施资产产生“重大影响”的应在12小时内,产生“其他影响”的在72小时内报告。未按照要求报告事件的实体可能面临被发传票、民事诉讼、罚款乃至最后手段“控制资产”等责任追究。
在关键基础设施后量子密码安全方面。量子计算对现实的加密算法形成挑战,量子计算提供的强大计算能力将破解目前广泛使用的公钥密码算法、降低对称密码算法和散列函数的安全性,在可预见的未来,部分算法的“难解性”几乎不再产生任何时间成本和系统代价。美国网络安全和基础设施安全局(CISA)已意识到量子计算对美国国家关键功能(NCF)系统带来的潜在风险,2022年8月24日,CISA发布《为关键基础设施做好后量子密码术准备》专项文件,为关键基础设施及政府网络的所有者、运营者向后量子密码术转型提供指引,强调政府和关键基础设施实体必须共同努力,为新的后量子密码标准做好准备。
国际社会对关键(信息)基础设施保护的法律政策发展为我国下一步强化安全保障工作提出了新要求,也提供了新思路。可以预判,《条例》的施行中必然也会遇到类似新威胁、新攻击等新问题,这些经验教训、政策和法律化体现,都是值得分析和参考借鉴的比较法资源。经过本地化改造,立足中国国情的关键信息基础设施保护实践也将为世界贡献中国方案。
2、强化关键信息基础设施安全漏洞管理
利用安全漏洞进行的攻击已经成为影响我国关键信息基础设施稳定运行的主要威胁。《条例》第31条专门强化对关键信息基础设施实施漏洞探测、渗透性测试等活动的约束,国家网信部门、国务院公安部门、国务院电信主管部门正协同加大涉关键信息基础设施安全漏洞的管理。2021年工信部、网信办、公安部联合发布的《网络产品安全漏洞管理规定》构建多部门多平台共享机制,细化披露和共享规定。但总体上,《条例》对安全漏洞的规定主要体现在安全漏洞的发现环节,而《网络产品安全漏洞管理规定》“一视同仁”的安全漏洞“报告”“报送”和“修复”内容,缺少对涉关键信息基础设施的区别规定。实践中,针对用于关键信息基础设施的产品和服务的优先验证、修复,不仅已经是服务水平的协议约定,在一些国家也属于强制性行政义务。如美国NIST的《提升关键基础设施网络安全框架》通过版本迭代,专门写入对运营者的漏洞管理要求。关键信息基础设施安全漏洞管理是构建关键信息基础设施防御体系不可或缺的关键环节,需要全方位的制度设计和全盘考量。
3、加大关键信息基础设施犯罪惩治
现行的《刑法》第285条第1款“非法侵入计算机信息系统罪”规定可考虑适用于关键信息基础设施犯罪。但在司法实践中本款的适用也存在模糊和不合理之处,“国家事务、国防建设、尖端科学技术领域”是否与《条例》的关键信息基础设施保护范围完全对应,“三年以下有期徒刑或者拘役”的处罚量刑偏轻等问题,直接适用恐难以实现《条例》“惩治来自境内外的关键信息基础设施网络违法犯罪活动”的立法目的。针对和利用关键信息基础设施实施的违法犯罪活动应大力提升处罚力度。2018年1月1日,俄罗斯正式实施《关键信息基础设施安全法》,就同步修改了与《关键信息基础设施安全法》通过相关的俄罗斯联邦《刑法》和《刑事诉讼法》,加入了“非法影响俄罗斯联邦关键信息基础设施”的章节,加大处罚力度,规定“给俄罗斯联邦关键信息基础设施带来损害,处以五年以下劳役,或并处剥夺三年以内担任特定职务或者从事特定活动的权利;或者处以六年以下剥夺自由,或并处剥夺三年以内担任特定职务或者从事特定活动的权利”。2021年6月,美国参议院也曾引入《国际网络犯罪预防法案》,提出修订《计算机欺诈与滥用法》(CFAA),拟针对故意损害控制关键基础设施系统(如水坝、发电厂、医院和选举基础设施)计算机的行为创建专门罪名,将其犯罪未完成形态也纳入违法行为,同时加重处罚,并确保处罚实效。
此外,亦可研究制定《刑法》第134条和139条“重大责任事故罪”的司法解释,明确关键信息基础设施保护责任事故中“其他严重后果”的认定标准,实现与《条例》第47条设计的关键信息基础设施重大网络安全事件责任事故规定的刑法衔接。
三、展望
全球数字化转型加速的当下,5G、区块链、加密货币等已实质进入商业化和产业化发展阶段,人工智能、量子计算等新技术开始新一轮的创新催生和模式尝试,会带来何种颠覆性变化仍在试错中观察。这些复杂系统的复杂变化导致传统关键信息基础设施的边界性逐渐模糊,以关键信息基础设施静态识别为主、动态调整为辅为核心的保护观念在面对全新内外威胁态势时挑战严峻,世界范围内关键信息基础设施立法保护寻求现代化和适应性的趋势明显。
《条例》推动我国关键信息基础设施保护工作迈出实质性步伐。展望未来,《条例》应在强化责任落实、加大执法力度、做足保障支撑等的同时保持对新技术新应用及其安全性的密切关注,持续研判国外关键基础设施保护现代化新思路,深化推进强化关键信息基础设施保护措施、网络产品和服务安全生态构建、网络安全事件报告义务细化、关键信息基础设施后量子密码迁移规划与部署、关键信息基础设施安全漏洞管理、关键信息基础设施犯罪惩治完善等方面,持续提升国家关键信息基础设施安全适应性,确保我国关键信息基础设施安全、数据安全和国家安全。(黄道丽)
(本文发表于《中国信息安全》2022年第9期)
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
