中国共产党新闻网>>理论

依法保护关键信息基础设施

刘金瑞

2017年07月10日07:51    来源:学习时报

编者按:没有网络安全就没有国家安全,没有信息化就没有现代化。党的十八大以来,我国加强以法律手段切实保障国家网络安全,互联网法治体系构建不断加速,网络治理法治化进程阔步前进。在《网络安全法》正式施行之际,本报约请学者就我国网络法治建设的相关问题进行探讨。

2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式生效实施,该法第三章第二节专门规定了“关键信息基础设施的运行安全”,这是在我国立法中首次明确规定关键信息基础设施的定义和具体保护措施,对于切实维护我国网络空间主权与网络空间安全具有重大意义。

习近平总书记指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”从世界范围来看,各个国家网络安全立法的核心就是保护关键基础设施。我国《国家安全法》第25条明确规定,“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”,明确要求保护关键基础设施和重要领域信息系统。《网络安全法》明确规定关键信息基础设施保护,既是我国网络安全严峻形势的迫切需要,也是切实贯彻《国家安全法》的必然要求。

明确界定了关键信息基础设施的内涵。《网络安全法》对于关键信息基础设施的定义采用了“列举+概括”的形式。所谓“关键信息基础设施”是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的”信息基础设施。该定义将关键信息基础设施保护提升到维护国家安全和公共安全的高度,既突出了保护重点,避免将过多信息系统纳入监管而增加某些主体负担,也有利于统筹安排关键信息基础设施保护的立法体系。

规定了关键信息基础设施分行业、分领域主管部门负责制。负责关键信息基础设施安全保护工作的部门要按照国务院规定的职责分工,分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。这既明确了相关主管部门要在职权范围内切实履行保护关键信息基础设施的职责,也规定了分行业、分领域制定专门保护规划的基本工作方法。此外,《网络安全法》还明确规定,无论是哪个行业和领域的关键信息基础设施,都应当确保其具有支持业务稳定、持续运行的性能,并坚持安全技术措施“三同步”的原则,即应该保证安全技术措施实现“同步规划、同步建设、同步使用”。

规定了关键信息基础设施运营者日常的安全维护义务。在日常安全维护方面,关键信息基础设施运营者既要遵循安全等级保护制度对一般信息系统的安全要求,也要履行更加严格的安全维护义务。前者包括制定内部安全管理制度和操作规程、采取预防性技术措施、监测网络运行状态、按照规定留存网络日志、重要数据备份和加密以及执法协助等。后者包括对“人”的安全义务和对“系统”的安全义务两个方面:对“人”的安全义务包括设置专门的管理机构和负责人、对负责人和关键岗位人员进行安全背景审查、定期对从业人员进行教育培训和技能考核;对“系统”的安全义务包括对重要系统和数据库进行容灾备份、制定网络安全事件应急预案并定期组织演练等。此外,对于关键信息基础设施整体安全性和可能存在的风险,《网络安全法》还规定了定期检测评估制度。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

规定了关键信息基础设施运营者特殊的安全保障义务。鉴于关键信息基础设施的重要性,法律对于其供应链安全和数据留存传输作出了特殊规定,即关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,这些网络产品和服务应当通过国家安全审查。这一审查是《国家安全法》第59条规定建立的国家安全审查制度的一部分,属于对影响或者可能影响国家安全的“网络信息技术产品和服务”的审查,由国家网信部门会同国务院有关部门组织实施。此外,采购这些网络产品和服务时,关键信息基础设施运营者应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。对于关键信息基础设施运营中收集和产生的个人信息和重要数据,规定运营者应当将其存储在我国境内。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,通过安全评估的数据才可以向境外提供。

规定了国家网信部门保护关键信息基础设施的职责范围。国家网信部门负责统筹协调各有关部门确保关键信息基础设施的安全,具体可以采取下列措施:对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;促进有关部门、关键信息基础设施运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;对网络安全事件的应急处置与恢复等,提供技术支持与协助。此外,《网络安全法》规定了国家机关履行网络安全保护职责所获取的相关信息用途特定原则,即这些信息只能用于维护网络安全的需要,不得用于其他用途。这意味着国家网信部门和有关部门在关键信息基础设施保护中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。国家有关部门获取的信息,可能涉及企业的商业秘密和个人的隐私信息,明确禁止国家有关部门将获得的信息用于非国家安全的目的,可避免国家有关部门因泄露相关信息而侵害当事人合法权益,也有利于鼓励当事人打消顾虑而与有关部门在维护网络安全方面充分展开合作。

总之,《网络安全法》作为我国网络安全领域的基本立法,明确规定了关键信息基础设施的定义、行业主管部门负责制、运营者的安全保护义务、国家网信部门的职责范围,为我国关键信息基础设施保护立法提供了基本的制度框架,也为国务院制定配套行政法规提供了立法授权。

习近平总书记强调,虽然我国网络信息技术和网络安全保障取得了不小成绩,但同世界先进水平相比还有很大差距。我们只有统一思想、提高认识,加强战略规划和统筹,才能加快推进网络强国建设的各项工作。《网络安全法》的正式实施,就是我国加强网络安全建设的突出成果。随着相关配套法律制度的完善健全,必将极大地推动我国关键信息基础设施保护立法的进展,进一步促进我国关键信息基础设施保护水平的提升,有利于切实提高维护我国网络空间安全的能力,把网络强国建设不断推向前进。

(责编:杨文全、谢磊)
微信“扫一扫”添加“学习大国”

微信“扫一扫”添加“学习大国”

微信“扫一扫”添加“人民党建云”

微信“扫一扫”添加“人民党建云”