8月17日,据中国政府网消息,《关键信息基础设施安全保护条例》(下称“条例”)正式发布,自9月1日起施行。
南都·隐私护卫队发现,条例对关键信息基础设施的定义基本延续了网络安全法中的定义。专家认为,这样避免了定义“过窄或过宽”的问题,也避免了将作为国家秘密和“弱点”的关键信息基础设施清单公之于众。
还有专家指出,条例除了对关键信息基础设施运营者提出了相对于一般运营者更高的安全责任义务之外,还在多个方面建立了制度性途径,要求保护工作部门、国家网信部门、国务院公安部门,与运营者一道,直接参与到关键信息基础设施的日常保护工作之中。
条例对关键信息基础设施的定义延续网安法中的定义
随着人工智能、物联网、工业互联网等技术的深入发展,网络入侵、网络攻击等事件频发,严重威胁着相关网络设施尤其是关键信息基础设施的正常运转,给国家安全带来极大隐患。
而一直以来,关键信息基础设施的范围和定义是亟待明确的焦点问题。
其中包括政府机关和能源、金融、交通、水利、卫生医疗,电信网、广播电视网、互联网等信息网络,以及提供云计算等其他大型公共信息网络服务的单位,国防科工、食品等行业领域科研单位等运行管理的网络设施和信息系统。
与征求意见稿相比,条例将定义修订为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
南都·隐私护卫队注意到,上述定义与网络安全法中对关键信息基础设施的定义相似,仅在枚举的行业和领域中增加“国防科技工业”。
对外经贸大学数字经济与法律创新研究中心执行主任许可对南都·隐私护卫队表示,与征求意见稿相比,条例对关键信息基础设施定义和范围的界定从列举式转为了定性式,避免了“过宽或过窄”的问题。
他解释说,“过窄”可能导致应列举的部分没有列举,过宽则是指并非所有已列举的都能成为事实上的“关键信息基础设施”。比如广播电台、电视台、通讯社等新闻单位被纳入关键信息基础设施保护范围内,但若是一个县级市新闻单位显然并不符合要求,就属于“过宽”。
更重要的是,从全世界范围来看,关键信息基础设施的范围一直遵循保密清单制度,倘若公开这些“弱点”,便可能在国家安全方面“自曝其短”。“条例改成定性式定义也解决了这个问题。”许可强调。
由关基所在行业和领域的主管部门制定认定规则
值得注意的是,条例与征求意见稿相比,在关键信息基础设施认定规则的制定部门上也发生变化。
据了解,依据网络安全法有关规定,按照“谁主管谁负责”的原则,条例明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任。条例规定,关键信息基础设施涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。这些保护工作部门负责结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
条例还明确,制定认定规则应当主要考虑的因素包括网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度,网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度,对其他行业和领域的关联性影响。
“这一改变与定义和范围的认定思路是一脉相承的。”在熟悉数据保护立法的律师王新锐看来,条例是一部关系到国家安全的重要条例,它在如何认定和识别关键信息基础设施范围的问题上,需具备一定的灵活性。“关键信息基础设施的名单不能是一个完全公开的状态,目前除了确定主要因素,将其具体范围的认定交给行业主管部门是一种更灵活的方式,长期来看也更能应对不断出现的、变化比较快的非传统安全风险。”
他还强调,一旦将负责安全保护的职责交由行业主管部门,便应该“谁保护,谁认定”——行业主管部门和领域的监管部门最熟悉相关领域的相应风险,因此先由他们认定和负责,最后再由公安部门进行统筹。
但是,在许可看来,上述“灵活性”可能对未来执法的一致性带来不利影响。“把范围认定的所有权利下放到各个行业主管部门后,如何保证这些部门都按照这个考量性的标准(条例中制定关基认定规则时的考虑因素)执行,以及如何在这些部门层面上保持统一会成为大问题。在没有硬性约束的情况下,标准的一致性很难保证。”
公安部新增为指导监督关基安全保护工作部门之一
除了上述变化,南都·隐私护卫队注意到,与征求意见稿相比,条例在确定由国家网信部门统筹协调的情况下,增加公安部门负责指导监督关键信息基础设施安全保护工作。这是许可认为的条例中最重大的改变之一。
“从前公安部主张关键信息基础设施保护是等级保护基础框架之内的最高等级保护,而网信办主张关键信息基础设施保护是等保以外的另外保护。这番争议的源头是网络安全法中的相关规定并不十分清楚”,许可说,“终稿已经非常明确将由公安部来负责。”
谈及这一重要改变将带来的影响,许可坦言,对企业而言是较为有利的。目前,等保制度已经沿用多年,倘若要另起炉灶再制定一套关键信息基础设施体系,可能会存在一定的冲突和不适应。
同时,公安部在等保范畴内再去开展关键信息基础设施保护工作,可以延续之前等保的各种经验和标准。许可认为,这样从实施的角度来说成本会较低,并且公安部拥有非常多执法资源,对条例的落实很有帮助。
北京理工大学教授洪延青认为,条例除了对关键信息基础设施运营者提出了相对于一般运营者更高的安全责任义务之外,还在多个方面建立了制度性途径,要求保护工作部门、国家网信部门、国务院公安部门,与关基运营者一道,直接参与到关基的日常保护工作之中。
比如对关基安全管理机构负责人和关键岗位人员进行安全背景审查时,公安机关、国家安全机关应当予以协助。在产品和服务方面,运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
此外,洪延青还分析称,条例在网络安全信息共享的制度可以让单个运营者参与到信息共享中来,能缩短其对网络攻击的反应时间,也能够效仿别的运营者部署行之有效的安全措施,提高总体安全水平。
与此同时,政府部门参与到安全信息共享中去,达到调动、协调全社会实现实时的群防群治,提高网络安全治理的效果。而政府部门、运营者、网络安全服务提供者等各主体间更大程度的安全信息共享,意味着有更多的安全信息和数据被“生产”出来,并开始流通,安全大数据得以成为可能。
危害关基安全最高或面临100万罚款
南都·隐私护卫队注意到,条例对关键信息基础设施运营者从采购到人员设置上均做出了详细规定。
在采购方面,运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。在人员设置方面,运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
违反上述规定,运营者可能被处以采购金额1倍以上10倍以下罚款。拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款。直接负责的主管人员和其他直接责任人员也可能被处以1万元以上10万元以下罚款。
此外,条例第三十一条规定,未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
对此,司法部、网信办、工业和信息化部、公安部负责人介绍,实践中,一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全。
因此,条例明确,任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全,否则最高可能面临100万元的罚款。受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。(文章来源:隐私护卫队)