近日,國務院正式頒佈《關鍵資訊基礎設施安全保護條例》(以下簡稱《條例》)。《條例》的頒佈,不僅提升了我國關鍵資訊基礎設施安全保護依據的效力層級,更對一系列重要制度、機制加以完善和固化,必將推動開啟我國關鍵資訊基礎設施安全保護的新格局。
一、總體特點概述:兩個統籌
《條例》共六章51條,第一章總則(第一至七條)、第二章關鍵資訊基礎設施認定(第八至十一條)、第三章運營者責任義務(第十二至二十一條)、第四章保障和促進(第二十二至三十八條)、第五章法律責任(第三十九至四十九條)、第六章附則(第五十至五十一條)。除法律責任和附則外,《條例》重點透過前四個章節對關鍵資訊基礎設施保護攸關的管理體系、適用物件、主體責任和管理職責進行了規定。
整體來看,《條例》內容集中體現了“兩個統籌”的特點。一是注重立法內容的統籌。與此前的徵求意見版本相比,《條例》大幅減少了有關授權立制(規定、標準)的內容,對相關保護工作要求儘可能在條文中明確、不再過多以開放的方式留待未來制度或標準解決。從而能夠大大減少因立制週期長帶來的效率延誤。二是注重權責劃分的統籌。《條例》立足關鍵資訊基礎設施保護工作不同主體的核心職能優勢,進一步明確了各主體擔負的權責、明確了各主體間的工作協同機制。這無疑有利於減少因工作邊界不清等帶來的效率延誤,也可充分調動各方面在保護工作中的主體意識和主動性。關鍵資訊基礎設施安全是網路安全的重要一環,《條例》透過“兩個統籌”舉措的提升,為我國關鍵資訊基礎設施的網路安全保護工作奠定良好的效率基礎。
二、主要內容分析:四個基本問題
從內容來看,關鍵資訊基礎設施的範圍界定、管理體系、檢查檢測機制和責任機制是《條例》所要重點明確的加強關鍵資訊基礎設施安全保護的四個基本問題。
(一)關鍵資訊基礎設施的範圍界定
關鍵資訊基礎設施的範圍如何界定,是開展保護要明確的首要和基礎性問題,也是《網路安全法》頒佈實施以來各界最為關切的問題之一。《條例》採用了“範圍列舉+授權認定”的方法,對關鍵資訊基礎設施的內涵和外延做出規定。
在範圍列舉方面。《條例》第二條將關鍵資訊基礎設施定位於“重要網路設施和資訊系統”,並以列舉方式明確了其行業屬性和影響屬性兩大界定標準:一是“公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等”8個重要行業和領域;二是“一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益”。
在授權認定方面。《條例》除了在總則第二條進行總體界定外,還以專章(第二章 關鍵資訊基礎設施認定)對授權認定做出了規定,這是在關鍵資訊基礎設施範圍界定方面的一大創新。《條例》對授權認定主要明確了兩個要點:一是認定主體,即“關鍵資訊基礎設施安全保護工作的部門”(以下稱保護工作部門),主要包括了《條例》第二條所述8個重要行業和領域的主管或監管部門;二是認定依據,即“關鍵資訊基礎設施認定規則”,《條例》第九條還明確了制定“認定規則”時應依據的“重要程度”“危害程度”和“關聯影響”三個主要考量因素。此外,《條例》還對關鍵資訊基礎設施的認定流程、報備主體、變更認定做出了規定。
(二)關鍵資訊基礎設施安全監管體系
《條例》在《網路安全法》所確定的管理框架內,對關鍵資訊基礎設施保護的管理體系進行了細化,進一步強化了保護工作的組織管理基礎。《條例》對保護管理體系的規定,主要有以下三方面:
一是確立了管理分類模式。《條例》將管理部門分為三類,即:統籌協調部門(國家網信部門)、指導監督部門(國務院公安部門)、保護工作部門(重要行業和領域的主管、監管部門)。各類管理部門分工不同、又協同配合,共同構成我國關鍵資訊基礎設施保護的監管體系,缺一不可。
二是確立了管理分層模式。《條例》主要規定了屬地、行業兩種管理分層。從屬地分層模式來看,《條例》第三條明確了“省級人民政府有關部門”是監管和保護工作在地方的實施主體,相比之前徵求意見稿中的“縣級以上”提升了層級,突出了關鍵資訊基礎設施保護實施的統籌性要求。從行業分層模式來看,《條例》第三十二條強調“優先保障能源、電信等關鍵資訊基礎設施安全執行”,並明確能源、電信行業“為其他行業和領域的關鍵資訊基礎設施安全執行提供重點保障”,可見行業屬性的特點決定了該兩類行業在關鍵資訊基礎設施保護中,應發揮更加基礎的保障作用。
三是明確了重點管理內容。在確立監管分級分類模式的基礎上,《條例》對主要部門的管理內容也做了相應規定。如:國家網信部門統籌協調相關部門建立網路安全資訊共享機制、及網路安全檢查檢測等;國務院公安部門負責開展關鍵資訊基礎設施認定相關備案、打擊相關違法犯罪活動等;各保護部門負責制定本行業、本領域關鍵資訊基礎設施安全規劃等。透過對重點管理內容的明確,有助於增進關鍵資訊基礎設施運營單位、以及相關產學研用等社會各界對關鍵資訊基礎設施保護工作的知悉度,推動形成共識與合力,保障保護工作的推進實施。
(三)關鍵資訊基礎設施安全檢查檢測機制
在明確監管和執行要求的同時,《條例》注重對相關要求落地實施情況的監督手段建設,設定了專門的檢查檢測機制。
《條例》規定的關鍵資訊基礎設施安全檢查檢測機制由三部分構成。一是運營檢測。該類檢測的執行主體是關鍵資訊基礎設施運營者,具體開展形式可以自行開展也可以委託網路安全服務機構開展。運營檢測應定期開展“每年至少進行一次網路安全檢測和風險評估”,並需要按要求將檢測結果報保護工作部門。二是保護部門檢查檢測。該類檢查檢測由保護工作部門組織開展,目的是透過檢查檢測對運營者予以指導監督,及時整改安全隱患、完善安全措施。三是監督檢查檢測。該類檢查檢測由國家網信部門統籌協調,國務院公安部門、保護工作部門開展,透過檢查提出改進措施意見。
這三類檢測檢查工作由不同主體負責,分別立足於運營、保護、監督的不同要求,共同構建起對關鍵資訊基礎設施安全合規的監測防線。尤其值得一提的是,《條例》明確規定了監督檢查工作的統籌機制,這不僅有利於提升檢查工作效率,更在切實減輕監管物件合規負擔方面邁出了堅實的一步。
(四)關鍵資訊基礎設施安全責任機制
《條例》對關鍵資訊基礎設施安全保護重要環節提出了合規要求,並規定了相應的法律責任,以法律威懾手段強化對各項保護職責的落實保障。《條例》對於責任機制的規定主要有三個要點。
一是突出主體責任。《條例》首先對“主體責任”做出界定,即第四條明確的“強化和落實關鍵資訊基礎設施運營者主體責任”,這充分反映了運營者在整個保護工作中,因其肩負重要職責而具有的不可替代作用。根據《條例》第三章“運營者責任義務”,我們可以將運營者肩負的重要職責歸納為:建設管理、安全審查、事件報告、檢查配合等4類13項。對於這些職責和義務,《條例》在第五章“法律責任”中,也做出了逐條對應的責任規定。
二是健全責任範圍。《條例》在強化主體責任(運營責任)的基礎上,還明確了監管責任、保護責任,使責任機制覆蓋了保護工作的全部主體和全部主要職責。對於監管部門的監督管理行為、保護部門的保護指導行為,以及其他個人或組織實施的惡意破壞行為等,都明確規定了相應的法律責任,從而形成對關鍵資訊基礎設施保護工作的全方位責任保障。
三是明確責任方式。《條例》規定的責任方式,涵蓋了行政責任、民事責任和刑事責任三大類別。其中,對於大部分運營者責任適用行政責任的追究方式,包括責令改正、警告和罰款等;對於監管人員的違法行為,主要適用行政或刑事責任;對於從事破壞行為的其他個人,除了適用相應的拘留、罰款等行政責任外,還對該人員的網路安全從業資格做出限制,與《條例》規定的相關崗位人員背景調查相銜接。
三、展望
《條例》的頒佈實施,無疑是我國關鍵資訊基礎設施安全保護工作的一個重要里程碑。而《條例》自身內容的完善也將是一個循序漸進的過程。例如,省級相關部門在具體實施工作中與行業保護工作部門如何銜接?關鍵資訊基礎設施的日常檢測與其系統上線前測試如何銜接?監督檢查和保護檢查檢測工作的頻次、實施流程如何規範?等等。這些問題,都既需要保護工作實踐的驗證推進,也需要相關制度規範的延續擴充。
“雄關漫道真如鐵,而今邁步從頭越”。《條例》已經開啟了我國關鍵資訊基礎設施安全保護工作的新階段序章,如何開創和鞏固關鍵資訊基礎設施安全保護工作的新格局,更呼喚主管部門、行業企業和社會各界的同心戮力。