一、前言
近日,國(guó)務(wù)院總理李克強(qiáng)簽署國(guó)務(wù)院令,公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》),自2021年9月1日起施行。
《條例》的正式出臺(tái)是我國(guó)網(wǎng)絡(luò)安全頂層設(shè)計(jì)的又一里程碑事件,標(biāo)志著從十年前開(kāi)始醞釀的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)法規(guī)制定工作,經(jīng)過(guò)漫長(zhǎng)的探索、討論、嘗試、試點(diǎn),終于迎來(lái)了有規(guī)可依、有章可循的新時(shí)代。理解好、落實(shí)好、執(zhí)行好《條例》,對(duì)維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障關(guān)鍵信息基礎(chǔ)設(shè)施平穩(wěn)運(yùn)行具有重要意義。
二、關(guān)鍵信息基礎(chǔ)設(shè)施安全綜合保護(hù)體系
《條例》最突出的特點(diǎn),就是建立了以國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(以下簡(jiǎn)稱“保護(hù)工作部門”)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱“運(yùn)營(yíng)者”)為主體的三層架構(gòu)的關(guān)鍵信息基礎(chǔ)設(shè)施安全綜合保護(hù)責(zé)任體系。另外,省級(jí)人民政府有關(guān)部門依據(jù)各自職責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。
(一)綜合保護(hù)體系的第一層是國(guó)家網(wǎng)信部門和國(guó)務(wù)院公安部門等國(guó)家有關(guān)職能部門
國(guó)家網(wǎng)信部門負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的統(tǒng)籌協(xié)調(diào)。“黨政軍民學(xué),東南西北中,黨是領(lǐng)導(dǎo)一切的”。國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,既是落實(shí)“黨管互聯(lián)網(wǎng)”原則的應(yīng)有之義,也是確保黨中央將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要部署和重大舉措落實(shí)到位的有力保障。國(guó)家網(wǎng)信部門位于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)責(zé)任體系的頂層,在具有全局性、方向性、基礎(chǔ)性的問(wèn)題上發(fā)揮關(guān)鍵作用,統(tǒng)籌協(xié)調(diào)國(guó)務(wù)院公安部門、保護(hù)工作部門開(kāi)展工作。
公安部門負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作?!稐l例》賦予了公安部門除了打擊網(wǎng)絡(luò)違法犯罪之外更多的工作職能,具體體現(xiàn)在:關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則備案、協(xié)助運(yùn)營(yíng)者開(kāi)展安全背景審查、為保護(hù)工作部門提供技術(shù)支持和協(xié)助等方面。
除此之外,國(guó)家安全、保密行政管理、密碼管理等部門依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作。
(二)綜合保護(hù)體系的第二層是保護(hù)工作部門
國(guó)務(wù)院電信主管部門和其他有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)管管理工作。在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系中,保護(hù)工作部門是與運(yùn)營(yíng)者聯(lián)系最密切、打交道最直接、具體職責(zé)最豐富的國(guó)家主管、監(jiān)管部門。
首先,關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定規(guī)則,由保護(hù)工作部門負(fù)責(zé)制定。開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),第一步是弄清關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的具體對(duì)象。《條例》規(guī)定,認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施,應(yīng)結(jié)合本行業(yè)、本領(lǐng)域的實(shí)際情況和不同特點(diǎn),綜合考慮重要程度、破壞后的危害程度、與其他行業(yè)的關(guān)聯(lián)性等因素。由此可見(jiàn),關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定工作與行業(yè)關(guān)鍵業(yè)務(wù)高度相關(guān),由保護(hù)工作部門制定認(rèn)定規(guī)則最為合理。
其次,保護(hù)工作部門是運(yùn)營(yíng)者的主要報(bào)告對(duì)象。運(yùn)營(yíng)者的報(bào)告義務(wù)主要有四種,分別在《條例》第十一條、十七條、十八條、二十一條中規(guī)定,主要有:影響關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定結(jié)果的重大變化、年度網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估情況、發(fā)生重大網(wǎng)絡(luò)安全事件和發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅、運(yùn)營(yíng)者發(fā)生合并分立解散等情況。以上四種情況的報(bào)告對(duì)象都為保護(hù)工作部門。
第三,《條例》規(guī)定了保護(hù)工作部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保障促進(jìn)職能。具體包括:在本行業(yè)、本領(lǐng)域制定關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃、建立監(jiān)測(cè)預(yù)警制度、建立健全應(yīng)急預(yù)案、定期組織應(yīng)急演練、組織開(kāi)展檢查檢測(cè)等。
特別值得一提的是,前不久剛剛公開(kāi)的《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》規(guī)定了行業(yè)主管監(jiān)管部門對(duì)本行業(yè)本領(lǐng)域的網(wǎng)絡(luò)安全工作所承擔(dān)的一系列職責(zé),與《條例》中對(duì)保護(hù)工作部門職責(zé)的規(guī)定相一致?!稐l例》的相關(guān)規(guī)定,既是貫徹落實(shí)黨的方針路線政策的具體實(shí)踐,也是把黨的主張通過(guò)法定程序轉(zhuǎn)化為國(guó)家法律法規(guī)的具體體現(xiàn)。
(三)綜合保護(hù)體系的第三層是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者
《條例》第四條規(guī)定,“強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者主體責(zé)任”。關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,應(yīng)發(fā)揮政府及社會(huì)各方面的作用,共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。盡管需要全社會(huì)共同保護(hù),但仍然改變不了運(yùn)營(yíng)者在綜合保護(hù)體系中的主體責(zé)任地位?!稐l例》第三章集中規(guī)定了運(yùn)營(yíng)者的主體責(zé)任義務(wù),具體表現(xiàn)有:一是落實(shí)“三同步”安全要求。二是建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制,保障人力、財(cái)力、物力投入。三是設(shè)置專門安全管理機(jī)構(gòu)。四是按照《條例》第十五條的規(guī)定,落實(shí)專門安全管理機(jī)構(gòu)的各項(xiàng)職責(zé)。五是每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。六是及時(shí)報(bào)告重大網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全威脅。七是優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。八是明確其網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的技術(shù)支持和安全保密義務(wù)與責(zé)任,并對(duì)履行情況進(jìn)行監(jiān)督。九是在發(fā)生合并、分立、解散等情況時(shí),及時(shí)報(bào)告保護(hù)工作部門,并按保護(hù)工作部門的要求進(jìn)行處置。
另外,《條例》不僅規(guī)定了運(yùn)營(yíng)者的責(zé)任義務(wù),還充分發(fā)揮政府及社會(huì)各方面的支撐保障和協(xié)助支持作用,以增加運(yùn)營(yíng)者在開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作方面的“獲得感”。具體表現(xiàn)有:一是在開(kāi)展機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員的安全背景審查方面,《條例》第十四條規(guī)定公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)應(yīng)當(dāng)予以協(xié)助。二是《條例》第七條規(guī)定,對(duì)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中取得顯著成績(jī)或者作出突出貢獻(xiàn)的單位和個(gè)人,按照國(guó)家有關(guān)規(guī)定給予表彰。三是《條例》第十六條規(guī)定開(kāi)展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當(dāng)有專門安全管理機(jī)構(gòu)人員參與,改變了以往安全部門“有職無(wú)權(quán)”的困境。四是《條例》第二十五條規(guī)定在開(kāi)展網(wǎng)絡(luò)安全事件處置時(shí),可由保護(hù)工作部門提供技術(shù)支持與協(xié)助。五是《條例》第三十五條規(guī)定,國(guó)家采取措施,鼓勵(lì)網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作;將運(yùn)營(yíng)者安全管理人員、安全技術(shù)人員培訓(xùn)納入國(guó)家繼續(xù)教育體系。六是《條例》第三十二條規(guī)定,能源、電信行業(yè)應(yīng)當(dāng)采取措施,為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行提供重點(diǎn)保障。
(四)省級(jí)人民政府有關(guān)部門
《條例》第三條規(guī)定,省級(jí)人民政府有關(guān)部門依據(jù)各自職責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。省級(jí)人民政府有關(guān)部門在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作體系中的職能主要體現(xiàn)在:一是根據(jù)條塊管理的職責(zé)劃分,在國(guó)家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)下,與國(guó)務(wù)院公安部門、保護(hù)工作部門協(xié)調(diào)開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作。二是根據(jù)《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》的規(guī)定,對(duì)本地區(qū)沒(méi)有主管監(jiān)管部門的運(yùn)營(yíng)者負(fù)指導(dǎo)監(jiān)管責(zé)任。
三、結(jié)語(yǔ)
《條例》建立的關(guān)鍵信息基礎(chǔ)設(shè)施安全綜合保護(hù)體系是以運(yùn)營(yíng)者為主體的綜合治理體系,在壓實(shí)運(yùn)營(yíng)者主體責(zé)任的基礎(chǔ)上,充分發(fā)揮政府和社會(huì)力量,賦予運(yùn)營(yíng)者必要的支持協(xié)助。從層次結(jié)構(gòu)上看,形成了“網(wǎng)信公安-保護(hù)工作部門-運(yùn)營(yíng)者”的三層體系結(jié)構(gòu);從參與部門看,既有本行業(yè)的主管部門,也涵蓋了電信、能源、國(guó)家安全、保密、密碼等對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施至關(guān)重要的主管監(jiān)管部門;從職能協(xié)調(diào)看,明確了部門與部門、部門與地方、部門與運(yùn)營(yíng)者的各方職責(zé)??傮w上看,《條例》充分調(diào)動(dòng)了全社會(huì)的積極力量,建立起一套完整、科學(xué)、嚴(yán)密的制度框架。我們有理由相信,隨著《條例》的正式施行,我國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作將翻開(kāi)新的篇章。
(作者:林星辰,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)