导读:为了完善铁路网络信息安全法治化路径,梳理了涉及铁路网络信息安全的法律法规,剖析了制约铁路网络信息安全法治化的困境,对铁路网络信息安全保护法治化完善路径给出建议。如出台《铁路网络信息安全保护办法》,明确铁路网络信息安全保护的责任主体、监管主体、相应主体的权利义务以及权责边界等内容;制定铁路网络信息安全保护的行业标准,铁路监管机关应与相关部门共同构建铁路网络与信息监管协同、联动机制等。
DOI: 10.19358/j.issn.2096-5133.2019.03.006
铁路网络信息安全保护法治化路径研究
关键词:铁路网络;信息安全;法律体系;法治化路径;协同监管
中图分类号:TP309
文献标识码:A
引用格式:刘卫红.铁路网络信息安全保护法治化路径研究[J].信息技术与网络安全,2019,38(3):20-23.
0 引言
铁路信息系统属于《网络安全法》和《国家网络空间安全战略》规定需要重点保护的关键信息基础设施之一,加强保护其控制系统安全和数据安全成为题中之义。《网络安全法》实施后,我国铁路运输企业作为网络与信息安全的责任主体,建立了铁路网络安全信息保护制度,但因企业的制度不具有法律效力,保护亟需建立完备的铁路网络与信息安全法律和制度体系,为铁路网络信息安全保护提供法律保障。同时,需要建立科学有效的网络信息与安全监管体系,打通监管主体与相关部门的协同协作机制。
1 我国铁路网络信息安全立法概述
我国的铁路计算机网络分为中国铁路总公司、铁路局集团、基层站段三级网络体系。我国铁路计算机网络面临计算机病毒威胁、恶意网络攻击、突发事件威胁等安全问题,不仅需要不断更新铁路信息技术,还需要完善铁路网络信息安全法律体系。
1.1 相关法律
涉及铁路网络信息安全内容的法律主要包括《网络安全法》、《国家安全法》、《反恐怖主义法》、《中华人民共和国突发事件应对法》、《刑法》、《民法总则》、《保密法》、《治安管理处罚法》等。其中《网络安全法》确立了网络安全保护和网络空间治理的基本框架,确定了网络安全运维、安全监测与应急处置以及个人信息保护等重要制度,为铁路网络信息安全法律体系完善提供了基本依据。《国家安全法》、《反恐怖主义法》、《中华人民共和国突发事件应对法》、《保密法》均强调关键信息基础设施的保障体系系统建设;《刑法》、《民法总则》、《治安管理处罚法》规定个人信息的获取、收集、使用和加工均应依法进行,违规入侵计算系统要受法律追究。如表1所示(点击图片可放大)。
1.2 相关行政法规、管理办法
我国历史上制定颁布了关于铁路信息安全的条例和管理办法(如表2所示,点击图片可放大),为铁路信息安全保护奠定了基础。面对网络信息安全形势快速发展的新局面,当前国家正在抓紧制定与《网络安全法》配套的法律法规,比如网络安全等级保护制度、关键信息基础设施的认定和保护办法、数据跨境传输的安全评估办法、网络产品和服务的国家安全审查制度等,相关立法草案正在按照立法程序征询各相关方的意见。
2 我国铁路网络信息安全法治化困境
(1)法律法规体系建设有待完善。目前涉及铁路网络信息安全的规定主要有国务院颁发的《铁路安全管理条例》,规定铁路运输企业应当建立网络与信息安全应急保障体系;国家铁路局颁发的《高速铁路安全防护管理办法(征求意见稿)》,规定铁路运输企业应当建立高速铁路网络安全保障体系,落实网络安全等级保护制度等。
(2)制度体系和标准体系有待完善。只有建立和完善铁路行业信息安全等级保护标准体系,才能有利于监管主体有针对性地履行监管,确保铁路管理信息化朝着一个安全、健康的方向发展。
(3)铁路网络信息安全监管系统不够完备。目前我国铁路网络与信息安全的责任主体的问责制度、监管主体以及监管主体之间的监管职责边界以及相关之间的协同协作机制有待进一步明确,以利于有效监管。
(4)社会公众个人信息保护缺乏法律支撑,铁路乘客个人信息因为覆盖面广,更容易成为信息窃取的目标。目前,涉及旅客个人信息保护的文件主要有《铁路安全管理条例》、《铁路旅客车票实名制管理办法》等,规定铁路运输企业及其工作人员在铁路火车票实名制制度实施过程中对旅客身份信息不得窃取或泄露。
2018年欧盟开始实施的《通用数据保护条例》对个人数据保护进行了较为严格的规定,实现了欧盟数字市场的统一立法和统一监管;美国各行业、领域都有各自适用的单行法,并通过和利益攸关方签订双边协定,保护个人信息数据安全。我国铁路网络信息安全的法律法规应充分参考借鉴国外成熟经验,制定进程有待加快。
3 铁路网络与信息安全法律体系完善建议
随着铁路运输信息化依赖程度逐渐提高,铁路运输面临的网络空间安全威胁不断加剧,为更好地保障铁路运输关键信息基础设施网络运行安全、重要数据安全和个人隐私安全,需要完善铁路网络与信息安全法律体系和完善技术标准体系,依法落实责任体系。
(1)完善相关立法
我国铁路网络信息安全法制体系应保证国家经济社会稳定运行的同时,保证社会公众的合法权益,根据《网络安全法》的规定对铁路领域关键信息基础设施划定具体范围和设立实施安全保护办法;根据国务院关于关键性基础设施的保护办法制定交通网络与信息安全办法,国家铁路局制定《铁路网络与信息安全管理规定》等规范性文件。铁路网络信息安全法制体系应明晰铁路网络与信息安全责任主体的权利义务以及对企业的问责制度;明确铁路网络信息安全保护的监管主体、各监管主体之间的职责和权责边界。
(2)完善铁路网络信息安全制度和技术标准
①完善铁路网络信息安全制度体系
结合铁路行业重要信息系统等级保护和安全测评工作,铁路运输企业应制定相关运维管理制度、内部运维人员管理、外部攻击入侵防护、安全产品使用和运维管理责任划分等。确立关键信息基础设施目录,对关键信息基础设施进行安全运维;制定铁路行业的安全监测预警机制和信息通报制度。
②完善铁路网络信息安全技术标准
我国铁路行业的网络信息安全标准体系尚不完善,建立系统科学并且适合于我国铁路行业的标准体系,保障铁路运输平稳运行,则显得尤为紧迫。
根据《标准化法》的规定,铁路网络信息安全技术标准属于保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求,应当制定强制性国家标准,行业标准,完善企业标准。
(3)建立铁路网络信息安全监管系统
①在铁路运营网络信息领域建立铁路信息安全监管系统,以监管主体为中心,由监管主体来确定整个系统的管理体系。铁路网络信息安全监管主体在各自的职能范围内依法履行对铁路网络信息安全的监管职责。
②铁路运输企业与相关部门建立联动协作机制
铁路网络信息安全除了依靠铁路部门依法履行责任主体的义务之外,还需要反恐部门、公安机关等相关部门的配合,因此铁路运输企业应建立与相关部门的协作机制,定期召开联席会议制度。
(4)完善对个人信息保护具体措施
铁路信息化建设进程中不断采用新技术,提高了铁路运输的效率和客户体验,也带来了一系列安全挑战。铁路信息系统中存储的运输安全相关数据资源以及大量敏感信息和公民个人信息一旦泄露,将会影响整个铁路运输行业的稳定运行,危及国家安全、人民群众的生命财产安全和国家数据安全。根据《网络安全法》第七十四条的规定违反本法规定,给他人造成损害的,依法承担民事责任。《民法总则》颁布前,对自然人的个人信息的保护主要由行政法和刑法予以规制,救济手段多为惩罚性或者管理性手段,《民法总则》虽然规定任何组织和个人需要获取他人个人信息的应当依法取得并确保信息安全,但未规定个人信息保护案件的举证责任机制。因此应明确侵犯个人信息案件中铁路运输企业负有举证责任,才能倒逼铁路运输企业构建个人信息保护制度,强化系统权限管理机制,操作应留下痕迹,下载有提示功能,避免因为举证不当而承担责任。
4 结论
铁路网络信息安全需要铁路网络信息安全法律、法规保驾护航。铁路网络信息安全法治化路径为加快制定关键信息基础设施网络与信息安全保护的行政法规,出台《铁路网络信息安全保护办法》,确定铁路网络信息安全保护的责任主体、监管主体等主体的权利义务以及权责边界等内容,国家铁路局会同相关机关制定铁路网络信息安全保护的行业标准,铁路监管机关应与相关部门共同构建铁路网络与信息监管协同、联动机制。
(收稿日期:2018-12-10)
(原文有部分删减)
作者简介:
刘卫红( 1971-),女,硕士研究生, 副教授 ,主要研究方向:铁路法、经济法。
声明:本文来自信息技术与网络安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
