三、关键信息基础设施安全保护法律体系的核心要素
(一)保护客体(对象)
科学确定关键信息基础设的保护客体是对其进行保护的前提。将关涉国家安全、国计民生和公共利益的网络设施、信息系统纳入保护客体,目前已取得广泛共识,但数字资产能否纳入关键信息基础设施的范畴,尚存争议。仅将关键信息基础设施定义为信息系统、网络设施或应用软件,已不能适应越来越严峻复杂的网络安全风险和威胁。美国2001年《爱国者法案》以及2009年《国家基础设施保护计划》,加拿大和澳大利亚等国的相关立法,经济合作与发展组织2008年《关于关键信息基础设施保护建议》等,均将数字资产纳入关键信息基础设施的保护范围。关键信息基础设施往往存储着大量敏感数据,这些数据一旦泄露将危害国家安全。技术变革以及威胁变化势必带来安全观念的变革,关键信息基础设施的范畴也将处于动态变化之中。鉴于数据资产在一国经济建设、国防建设和社会发展中的作用,应将数字资产纳入关键信息基础设施的保护客体(对象)。
(二)落实和强化主体责任
主体责任要求关键信息基础设施运营者按照“谁主管谁负责、谁运行谁负责”的总体要求,落实“三同步”要求,设置专门安全管理机构和安全管理负责人,对安全机构负责人和关键岗位的人员进行安全背景审查,对重要系统和数据库进行容灾备份,严格执行网络安全审查、个人信息和重要数据境内存储及其出境安全评估的规定,按照规定对其网络的安全性和可能存在的风险进行检测评估,制定应急预案并组织演练等,确保关键信息基础设施的运行安全。
与法律责任的事后惩罚性不同,关键信息基础设施主体责任的特殊性着眼于运营者自身的积极性和主动性。人财物投入是提升网络安全保障能力的基础,严格履行上述法定义务是能力提升的保障,同时考虑到机构企业的决策管理机制现状,应当建立关键信息基础设施运营者的主要负责人负总责的“一把手负责制”,在保障人财物投入的同时,将上述法定义务内化于各项工作中,增强自身的强壮性以有效抵御网络安全风险。
(三)监管体制
关键信息基础设施关涉国家安全和社会公共利益,在强化主体责任的同时,应建立健全关键信息基础设施安全监督管理体制。在确定关键信息基础设施领导机构的基础上,应依照《网络安全法》的规定明确国家网信部门负责指导协调关键信息基础设施安全保护工作,相关行业主管监管部门负责关键信息基础设施的具体保护工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
整体安全观和共同安全观需要有完善高效的顶层协调机制,应充分发挥国家网信部门的指导和统筹协调职能。统筹协调有利于构建国家、部门、关键信息基础设施运营者以及社会各方面共同参与支持的安全保障体系。关键信息基础设施保护涉及不同行业、领域,需要通过统筹协调充分发挥不同行业主管部门的积极性。通过统筹协调,合理分配网络安全保护资源,集中国家力量和有限的资源,既做到全方位实施保护,又体现突出重点和保护重点。网络安全风险处置需要整体协作、提升效率,通过统筹协调,建立网络安全信息共享机制、完善监测预警和应急体系,有利于从整体上防控关键信息基础设施的网络安全风险,也有利于关键信息基础设施遭受大规模攻击后的集中应急处置。统筹协调有利于厘清政府与市场的关系,既发挥政府的主导作用,又充分发挥市场的能动作用,通过网络安全服务市场充分竞争、有效竞争,解决技术产业支撑能力不足的突出问题。频繁的“关键信息基础设施安全检查”可能会干扰企业的正常经营活动,统筹协调有利于避免各行业部门采取不同的尺度、重复性的管理活动,避免重复检测、检查问题。
(四)提升网络安全意识
运营单位的网络安全意识欠缺是关键信息基础设施面临的最大风险。虽然网络安全已上升到国家安全高度,但对关键信息基础设施安全的认识和行动仍存在不平衡、不充分的现象,重事后补救而轻视事前预防,过多依赖技术手段而轻视管理手段,经费投入与专业技术人员严重不足,教育培训流于形式,口号多于行动等等。众多安全事件表明,人的网络安全意识和能力的短板是不可忽视的安全风险。通过开展网络安全专项教育和网络安全知识培训,使运营单位深刻认识到关键信息基础设施的关键地位和基础性、全局性、支撑性作用,认识到保证关键信息基础设施安全对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和保障公民人身和财产安全的重大意义,树立并自觉践行相对、动态、整体、共同和开放的网络安全观,全面摸清“家底”和安全保护状况,排查网络安全风险,堵塞网络安全漏洞,落实网络安全责任,切实提高网络安全防护意识,全面提高网络安全保障能力和防护水平,坚决杜绝重大网络安全事件的发生。
中国特色社会主义事业进入新时代,党和国家事业正在发生历史性变化,网络与政治、经济、文化、社会、军事、外交等各个领域全面深度融合,以关键信息基础设施安全为核心内容的网络空间安全逐渐成为国家安全的核心要素。完善关键信息基础设施安全保护法律体系,是贯彻习近平新时代中国特色社会主义法治思想、总体国家安全观,推动实施网络强国战略,推进国家治理体系和治理能力现代化的重要举措。在关键信息基础设施安全保护顶层设计日臻完善的背景下,应尽快出台《关键信息基础设施安全保护条例》,并在《网络安全法》和条例的框架内,推动制定完善关键信息基础设施认定、关键岗位和关键人员的安全背景审查、安全检测和评估、网络安全信息共享、网络安全服务机构管理等制度规范和标准,与已经出台的《网络产品和服务安全审查办法(试行)》《国家网络安全事件应急预案》《一流网络安全学院建设示范项目管理办法》等制度规范协同配合,共同保障关键信息基础设施安全。(作者崔聪聪:中国网络空间安全协会法律与公共政策专业委员会秘书长)