專家解讀| 從《關鍵資訊基礎設施安全保護條例》看我國關基安全保護體系
一、前言
近日,國務院總理李克強簽署國務院令,公佈《關鍵資訊基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行。
《條例》的正式出臺是我國網路安全頂層設計的又一里程碑事件,標誌著從十年前開始醞釀的關鍵資訊基礎設施保護法規制定工作,經過漫長的探索、討論、嘗試、試點,終於迎來了有規可依、有章可循的新時代。理解好、落實好、執行好《條例》,對維護國家網路安全、保障關鍵資訊基礎設施平穩運作具有重要意義。
二、關鍵資訊基礎設施安全綜合保護體系
《條例》最突出的特點,就是建立了以國家網信部門、國務院公安部門、關鍵資訊基礎設施保護工作部門(以下簡稱“保護工作部門”)、關鍵資訊基礎設施運營者(以下簡稱“運營者”)為主體的三層架構的關鍵資訊基礎設施安全綜合保護責任體系。另外,省級人民政府有關部門依據各自職責對關鍵資訊基礎設施實施安全保護和監督管理。
(一)綜合保護體系的第一層是國家網信部門和國務院公安部門等國家有關職能部門
國家網信部門負責關鍵資訊基礎設施安全保護工作的統籌協調。“黨政軍民學,東南西北中,黨是領導一切的”。國家網信部門負責統籌協調關鍵資訊基礎設施安全保護工作,既是落實“黨管網際網路”原則的應有之義,也是確保黨中央將關鍵資訊基礎設施安全保護的重要部署和重大舉措落實到位的有力保障。國家網信部門位於關鍵資訊基礎設施安全保護責任體系的頂層,在具有全局性、方向性、基礎性的問題上發揮關鍵作用,統籌協調國務院公安部門、保護工作部門開展工作。
公安部門負責指導監督關鍵資訊基礎設施安全保護工作。《條例》賦予了公安部門除了打擊網路違法犯罪之外更多的工作職能,具體體現在:關鍵資訊基礎設施認定規則備案、協助運營者開展安全背景審查、為保護工作部門提供技術支援和協助等方面。
除此之外,國家安全、保密行政管理、密碼管理等部門依照本條例和有關法律、行政法規的規定,在各自職責範圍內負責關鍵資訊基礎設施安全保護和監督管理工作。
(二)綜合保護體系的第二層是保護工作部門
國務院電信主管部門和其他有關部門在各自職責範圍內負責關鍵資訊基礎設施安全保護和監管管理工作。在關鍵資訊基礎設施保護體系中,保護工作部門是與運營者聯繫最密切、打交道最直接、具體職責最豐富的國家主管、監管部門。
首先,關鍵資訊基礎設施的認定規則,由保護工作部門負責制定。開展關鍵資訊基礎設施保護,第一步是弄清關鍵資訊基礎設施保護的具體對象。《條例》規定,認定關鍵資訊基礎設施,應結合本行業、本領域的實際情況和不同特點,綜合考慮重要程度、破壞後的危害程度、與其他行業的關聯性等因素。由此可見,關鍵資訊基礎設施的認定工作與行業關鍵業務高度相關,由保護工作部門制定認定規則最為合理。
其次,保護工作部門是運營者的主要報告對象。運營者的報告義務主要有四種,分別在《條例》第十一條、十七條、十八條、二十一條中規定,主要有:影響關鍵資訊基礎設施認定結果的重大變化、年度網路安全檢測和風險評估情況、發生重大網路安全事件和發現重大網路安全威脅、運營者發生合併分立解散等情況。以上四種情況的報告對象都為保護工作部門。
第三,《條例》規定了保護工作部門對關鍵資訊基礎設施的保障促進職能。具體包括:在本行業、本領域制定關鍵資訊基礎設施安全規劃、建立監測預警制度、建立健全應急預案、定期組織應急演練、組織開展檢查檢測等。
特別值得一提的是,前不久剛剛公開的《黨委(黨組)網路安全工作責任制實施辦法》規定了行業主管監管部門對本行業本領域的網路安全工作所承擔的一系列職責,與《條例》中對保護工作部門職責的規定相一致。《條例》的相關規定,既是貫徹落實黨的方針路線政策的具體實踐,也是把黨的主張通過法定程式轉化為國家法律法規的具體體現。
(三)綜合保護體系的第三層是關鍵資訊基礎設施運營者
《條例》第四條規定,“強化和落實關鍵資訊基礎設施運營者主體責任”。關鍵資訊基礎設施是經濟社會運作的神經中樞,是網路安全的重中之重,應發揮政府及社會各方面的作用,共同保護關鍵資訊基礎設施安全。儘管需要全社會共同保護,但仍然改變不了運營者在綜合保護體系中的主體責任地位。《條例》第三章集中規定了運營者的主體責任義務,具體表現有:一是落實“三同步”安全要求。二是建立健全網路安全保護制度和責任制,保障人力、財力、物力投入。三是設置專門安全管理機構。四是按照《條例》第十五條的規定,落實專門安全管理機構的各項職責。五是每年至少進行一次網路安全檢測和風險評估。六是及時報告重大網路安全事件和網路安全威脅。七是優先採購安全可信的網路産品和服務。八是明確其網路産品和服務提供者的技術支援和安全保密義務與責任,並對履行情況進行監督。九是在發生合併、分立、解散等情況時,及時報告保護工作部門,並按保護工作部門的要求進行處置。
另外,《條例》不僅規定了運營者的責任義務,還充分發揮政府及社會各方面的支撐保障和協助支援作用,以增加運營者在開展關鍵資訊基礎設施保護工作方面的“獲得感”。具體表現有:一是在開展機構負責人和關鍵崗位人員的安全背景審查方面,《條例》第十四條規定公安機關、國家安全機關應當予以協助。二是《條例》第七條規定,對在關鍵資訊基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。三是《條例》第十六條規定開展與網路安全和資訊化有關的決策應當有專門安全管理機構人員參與,改變了以往安全部門“有職無權”的困境。四是《條例》第二十五條規定在開展網路安全事件處置時,可由保護工作部門提供技術支援與協助。五是《條例》第三十五條規定,國家採取措施,鼓勵網路安全專門人才從事關鍵資訊基礎設施安全保護工作;將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系。六是《條例》第三十二條規定,能源、電信行業應當採取措施,為其他行業和領域的關鍵資訊基礎設施安全運作提供重點保障。
(四)省級人民政府有關部門
《條例》第三條規定,省級人民政府有關部門依據各自職責對關鍵資訊基礎設施實施安全保護和監督管理。省級人民政府有關部門在關鍵資訊基礎設施保護工作體系中的職能主要體現在:一是根據條塊管理的職責劃分,在國家網信部門的統籌協調下,與國務院公安部門、保護工作部門協調開展關鍵資訊基礎設施保護工作。二是根據《黨委(黨組)網路安全工作責任制實施辦法》的規定,對本地區沒有主管監管部門的運營者負指導監管責任。
三、結語
《條例》建立的關鍵資訊基礎設施安全綜合保護體系是以運營者為主體的綜合治理體系,在壓實運營者主體責任的基礎上,充分發揮政府和社會力量,賦予運營者必要的支援協助。從層次結構上看,形成了“網信公安-保護工作部門-運營者”的三層體系結構;從參與部門看,既有本行業的主管部門,也涵蓋了電信、能源、國家安全、保密、密碼等對關鍵資訊基礎設施至關重要的主管監管部門;從職能協調看,明確了部門與部門、部門與地方、部門與運營者的各方職責。總體上看,《條例》充分調動了全社會的積極力量,建立起一套完整、科學、嚴密的制度框架。我們有理由相信,隨著《條例》的正式施行,我國的關鍵資訊基礎設施保護工作將翻開新的篇章。(作者:林星辰,國家電腦網路應急技術處理協調中心)
