在《网络安全法》第三章“网络运行安全”中,以“关键信息基础设施的运行安全”共计9条(第三十一至三十九条)的对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法应由国务院制定。正是以此为规范依据,2017年7月11日,国家互联网信息办公室公布备受瞩目的《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《条例》),揭开了中国关键信息基础设施安全保护立法进程的新篇章。
《条例》详细阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求,对政府机关,国家行业主管或监管部门,能源、电信、交通等行业,公安机关以及个人进行要求,明确关键信息基础设施范围,规定运营者安全保护的权利和义务及其负责人的职责,要求建立关键信息基础设施网络安全监测预警体系和信息通报制度,违反本条例将会受到行政处罚、判处罚金甚至要承担刑事责任。
《条例》以八章共计五十五条的篇幅,对于关键信息基础设施保护相关的一系列制度要素作了更具体的规定,涵盖:总则(第一至七条),支持与保障(第八至十七条),关键信息基础设施范围(第十八至二十条),运营者安全保护(第二十一至二十九条),产品和服务安全(第三十至三十五条),监测预警、应急处置和检测评估(第三十六至四十四条),法律责任(第四十五至五十二条)和附则(第五十三至五十五条)。
一、安全保护意识的三种思维方式
中国互联网协会研究中心将关键信息基础设施保护宏观制度框架,从安全保护意识上分为三种思维方式:动态、全链条式保护思维,核心工作重点保护思维和主体的全面责任思维。
1、动态、全链条式保护思维
《条例》突出了动态的全链条式保护思维,一方面明确规定其制度效力既覆盖关键信息基础设施在我国境内的规划、建设、运营、维护和使用,也覆盖相关的安全保护和监督管理活动;另一方面强调应当坚持顶层设计、整体防护、统筹协调、分工负责,在国家相关部门的指导和监督下,充分发挥运营主体作用,各方积极参与,共同保障关键信息基础设施安全。
2、核心工作重点保护思维
《条例》突出了核心工作环节的重点保护思维,首先明确了国家、各级人民政府以及各国家机关在关键信息基础设施安全支持与保障环节的各项作为义务,同时明确了关键信息基础设施运营单位在产品和服务环节的一系列义务要求,还明确了国家网信部门和其他有关部门在监测预警、应急处置和检测评估环节的工作要求。
3、主体的全面责任思维
《条例》突出了各类有关主体的全面责任思维,既强调关键信息基础设施运营单位及其工作人员违反保护义务应当承担的法律责任,也强调服务机构、其他有关部门及其工作人员可能的违法责任,还强调其他境内外机构、组织和个人侵害关键信息基础设施安全时所承担的责任形式。
二、关键信息基础设施保护范围
《条例》在相关规定的基础上,更聚焦于关键信息基础设施范围认定中的功能-后果,在明文列举具体的关键信息基础设施类型之前,突出表明评判设施性质的核心标准在于其是否“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害、国计民生、公共利益”,凸显了对关键信息基础设施安全保护工作根本价值的深刻认识。关键信息基础设施保护范围界定如下:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供、和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
对比三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害、国计民生、公共利益的关键信息基础设施”,可以发现,关键信息基础设施保护范围在突出核心标准上的范围更大,将行业领域科研生产单位、新闻传播单位等纳入到保护中。
三、运营者履行的安全保护
《条例》要求运营者履行的安全保护义务主要围绕给出了具体的要求,增加了对运营者管理负责人的具体要求,明确了培训的具体时长要求。具体要求如下:
第二十一条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十二条运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。
第二十三条运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;
(二)采取技术措施,防范和、网络侵入等危害行为;
(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密认证等措施。
第二十四条除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:
(一)设置专门管理机构和管理负责人,并对该负责人和关键岗位人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和进行容灾备份,及时对系统等安全风险采取补救措施;
(四)制定网络安全事件应急预案并定期进行演练;
(五)法律、行政法规规定的其他义务。
第二十五条运营者网络安全管理负责人履行下列职责:
(一)组织制定网络安全规章制度、操作规程并监督执行;
(二)组织对关键岗位人员的技能考核;
(三)组织制定并实施本单位网络安全教育和培训计划;
(四)组织开展检查和应急演练,应对处置事件;
(五)按规定向国家有关部门报告网络安全重要事项、事件。
第二十六条运营者网络安全关键岗位专业技术人员实行执证上岗制度。
执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
第二十七条运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
第二十八条运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。
运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报国家行业主管或监管部门。
第二十九条运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
四、核心部门的责任
《条例》第二章对国家、政府、监管部门、行业主管部门、能源、电信、交通、公安部门给出了责任约束。
1、国家方面
主要包括采取措施,监测、防御、处置来源于中华人民共和国境内外的风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔人才,提高关键信息基础设施的安全水平。国家建立和完善标准体系,利用标准指导、规范关键信息基础设施安全保护工作。国家鼓励政府部门、运营者、科研机构、服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。国家立足开放环境维护,积极开展关键信息基础设施安全领域的国际交流与合作。
2、地方政府
地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。
3、国家行业主管或监管部门
国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。
4、能源、电信、交通等行业
应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。
5、公安机关等部门
依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:
(一)攻击、侵入、干扰、破坏关键信息基础设施;
(二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;
(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;
(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;
(五)其他危害关键信息基础设施的活动和行为。