《网络安全法》促进国家关键信息基础设施安全保护新发展

2019-09-20 16:00:06 中国网信网 547

  十八届四中全会以来,中国网络空间法制化进程加快,为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,出台《网络安全法》势在必行。当前,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,是网络战首当其冲的攻击目标。2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上明确要求“树立正确的网络安全观,加快构建关键信息基础设施安全保障体系”,“全天候全方位感知网络安全生态,增强网络安全防御能力和威慑能力”。日前通过的《网络安全法》用大量篇幅规定了关键信息基础设施保护相关内容,进一步界定了关键信息基础设施范围,同时对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施等,国家关键信息基础设施网络安全迎来了新发展。

  一、《网络安全法》将关键信息基础设施安全保护制度确立为国家网络空间基本制度

  《网络安全法》中提出,关键信息基础设施安全保护办法由国务院制定,这表明关键信息基础设施安全保护制度将明确成为国家网络空间的基本制度之一。此外,《网络安全法》第三章专门对关键信息基础设施的运行安全提出了具体要求。这体现了我国对关键信息基础设施安全的高度重视,表明我国对关键信息基础设施安全保护上升至前所未有的高度。

  二、《网络安全法》进一步明确国家关键信息基础设施范畴

  我国在2003年时提出“重点保障基础信息网络和重要信息系统安全”,并通过实践明确了基础信息网络是广电网、电信网、互联网,重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统,即俗称的“8+2”。但整体而言,我国关键信息基础设施范围还有待进一步明晰。《网络安全法》中首次明确了关键信息基础设施的原则性范围,规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”这是我国首次在法律层面提出关键信息基础设施的概念,明确关键信息基础设施涉及的主要行业和领域,为我国明确关键信息基础设施的定义范畴提供了法律依据,是开展关键信息基础设施安全保护的基础。

  三、《网络安全法》为关键信息基础设施安全保护规定了责任划分和追责方式

  明确不同主体的安全责任以及相互关系是关键信息基础设施保护有效开展的前提,《网络安全法》明确了关键信息基础设施安全保护中各方实体的责任义务,推动了责权清晰的管理体系建设。从国家、行业、运营者三个层面,分别规定了国家职能部门、行业主管部门及运营企业等各相关方在关键信息基础设施安全保护方面的责任与义务。

  此外,《网络安全法》还规定:境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追求法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。该规定强化了我国对关键信息基础设施的网络安全管辖权,确立了我国对关键信息基础设施不可侵犯的网络主权,也为相关部门打击境外对我关键信息基础设施的网络攻击等行为提供了法律支撑。

  四、《网络安全法》为关键信息基础设施安全保护搭建了制度框架

  关键信息基础设施保护涉及不同行业、领域,对关键信息基础设施进行安全保护,不仅需要提高关键信息基础设施自身安全,更应当进行一系列制度规范体系建设,构建多边的协调机制,建立完善的规章制度,为关键信息基础设施安全保护搭建可落地的制度框架。

  《网络安全法》提出建立关键信息基础设施运营者采购网络产品、服务的安全审查制度,规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

  同时,《网络安全法》也提出需要加强国家的网络安全监测预警和应急制度建设,提高网络安全保障能力,具体规定如下:一是要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作;二是要求国家建立网络安全应急工作机制,制定应急预案。

  五、《网络安全法》的出台将促进配套法规办法的制定与完善

  关键信息基础设施的安全保护已上升至国家战略高度,与其配套的法规办法等需进一步制定与完善。一方面,《网络安全法》明确提出了制定关键信息基础设施安全保护办法的立法需求;另一方面,由于各行业自身的局限性,无法从行业角度制定规章制度解决关键信息基础设施跨行业保护方面的问题。因此,应尽快出台《国家关键信息基础设施安全保护条例》作为承上启下的基本行政法规,对上承接网络安全法并将法案中对关键信息基础设施提出的安全保护要求落地,对下统领金融、能源、电力、通信、交通等重要行业的安全保护工作,将更多的操作性制度进行规范和明确。

  《网络安全法》通过是我国关键信息基础设施保护方面的里程碑事件,具有重要意义。目前,当务之急是要切实做好《网络安全法》的贯彻实施,有效运用这一强有力的法律依据,为我国关键信息基础设施网络安全保护工作的顺利实施保驾护航。(中国信息通信研究院 杜霖、丰诗朵)