随着网络和信息技术的迅猛发展,网络安全问题日益突出,严重威胁国家安全、社会稳定,以及公民、法人和其他组织的合法权益。2015年,我国将“互联网+”行动计划作为一项国家战略,而网络本身的脆弱性及由此可能带来的网络安全问题则成为了制约“互联网+”计划大力推行的瓶颈。因此,从国家层面增强网络安全保护具有迫切需要。然而,长期以来我国网络安全保障法律体系存在立法碎片化、缺乏统一立法理念和顶层设计等问题。2016年11月7日出台的《网络安全法》是我国第一部基本法意义上的网络安全立法,标志着我国网络安全法治建设进入了崭新的阶段。
《网络安全法》内容涵盖网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等重要制度,其中规定的关键信息基础设施保护制度,对我国的网络安全保护具有十分重要的意义。
一、关键信息基础设施法律保护的重要意义
面对目前复杂多变的国内外信息安全形势,加强关键信息基础设施的法律保护对我国意义重大:
1.关键信息基础设施关乎国家安全和社会稳定
随着信息化的快速普及和发展,关键信息基础设施作为事关国家安全和社会稳定的重要战略资源的地位日益凸显。首先,互联网的飞速发展,使得网络入侵和网络攻击事件频发,严重威胁着关键信息基础设施的正常运转,给国家安全带来极大隐患。其次,不同于以往的网络攻击,信息时代的网络攻击中出现了国家政府的影子,国家可能成为网络攻击的支持者和发动者,这种政府参与的网络攻击的力度和范围是普通网络攻击所不能敌的。最后,国家之间的网络战争威胁日益加剧。基于此,为了更好地应对各种形式的网络攻击,维护国家安全和社会稳定,应加强对关键信息基础设施的保护。
2.加强关键信息基础设施保护是社会持续运转的题中之义
首先,关键信息基础设施为国家正常运转提供必需的产品和服务。关键信息基础设施承载或支撑部门行业关键核心业务,即支撑部门行使职能,行业正常运转,对于部门或行业稳定运行具有战略性作用。其次,关键信息基础设施是结构体系中被强依赖的关键节点,它所承载业务对其他部门或行业核心业务有较大关联性影响。对这类关键信息基础设施的攻击所产生的破坏,通过关联的行业、领域逐渐传递,会造成连锁连片的严重后果。且随着国家信息化战略的实施和“宽带中国”工程的建设,关键信息基础设施建设不断提速,信息技术的研发和应用正在催生新的经济增长点,这对于调整经济结构、转变发展方式具有十分重要的作用。因此,社会的持续运转需要大力加强对关键信息基础设施的保护。
3.加强关键信息基础设施保护对于公民福祉的保障意义重大
加强关键信息基础设施保护的根本是对公民福祉、公民利益的保护。关键信息基础设施运行过程中存储或传输的信息数据大量集中或极其敏感,其中供水、供电、医疗卫生、社会保障等公共服务领域的信息系统、政务网络及网络服务提供者所有和管理的网络和系统中有大量的公民身份信息、金融信息等,这些信息一旦被恶意收集或利用,必将损害公民的利益。其次,国家安全、社会稳定及社会的持续运转等是公民福祉得以保障的前提,故加强关键信息基础设施建设也关乎公民福祉。再次,基于其他行业对于关键信息基础设施的依赖性,加强关键信息基础设施的保护,可以使得公民的工作、生活等更加便利。
4.对关键信息基础设施进行法律保护是顺应国际形势的必要举措
世界主要国家均已建立关键基础设施保护的相关制度,而针对新一代信息技术的应用可能面临的信息安全风险,也已有一些国家做出了相关的尝试,如英国政府致力于保护关键基础设施免受针对计算机或通信系统的电子攻击威胁,并建立了由国务大臣负责的国家基础设施保护中心为核心,各基础设施部门具体实施相关职责的关键基础设施保护管理体系。
二、网安法中关键信息基础设施保护的主要制度
- 划定关键信息基础设施保护的范围
《网络安全法》首次明确了关键信息基础设施的主要涉及行业领域和判定标准,将那些公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础信息网络和重要信息系统界定为关键信息基础设施。这一判定标准把关键信息基础设施运营者的范围扩展到国家机关之外的机构,符合国际社会对于关键信息基础设施的普遍认识。
- 提升关键信息基础设施保护的要求
《网络安全法》规定,对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。对于关键信息基础设施保护来说,网络安全等级保护制度的要求有必要但并不足够,特别是针对各种不同领域关键信息基础设施的不同系统的动态防护需求。此外,保护关键信息基础设施关系国计民生,且涉及系统自身的保护要求、加强系统安全建设之外的各种内容,应当对此建立专门制度。此外,《网络安全法》规定由国务院制定专门的关键信息基础设施安全保护办法,且对于网络安全审查、风险评估、信息共享、数据本地化等重点要求则在具体条款中进行了明确和强调。
- 强化关键信息基础设施运营者的相关义务
《网络安全法》规定了关键信息基础设施运营者的特殊安全保护义务,包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期组织演练等。从法律义务层面,解决了关键信息基础设施运营者安全保护责任模糊不明的问题。
此外,《网络安全法》还要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。这一规定对于我国国家安全以及公民的个人信息保护具有积极影响。
- 确定关键信息基础设施保护的统筹协调机构
考虑到关键信息基础设施保护涉及多个行业,且存在多个职能部门需要有监管责任的协调问题,《网络安全法》明确了行业主管部门的监督指导职责,并授权国家网信部门统筹协调有关部门,建立协作机制。
- 明确破坏关键信息基础设施的法律责任
《网络安全法》对于关键信息基础设施的运营者不履行网络安全保护义务的,规定由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。此外,对于境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,规定了法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。这两项法律责任的规定有助于增强关键信息基础设施保护规定的威慑力。(西安交通大学信息安全法律研究中心 王玥)
本文转自d1net(转载)