加强关键信息基础设施安全保护的法治基石
中国网络空间安全协会 李欲晓
新世纪以来,以互联网为代表的信息技术革命在全球迅速普及和应用,推动经济社会的数字化转型并带来了生产力新的解放和飞跃。关键信息基础设施的安全保护已经成为各国推进数字经济发展、参与国际竞争的重要保障。当今世界正经历百年未有之大变局,国际环境日趋复杂,不稳定性不确定性明显增强。关键信息基础设施安全事关国家网络安全和数据安全,日益成为国家网络空间安全能力建设的核心和关键。
近日,国务院正式公布了《关键信息基础设施安全保护条例》(以下简称《条例》)。该《条例》是我国针对关键信息基础设施安全保护的专门性行政法规,也是指导国家网络安全保障工作的基础性行政法规。认真学习领会《条例》内容,对于推动关键信息基础设施安全保障能力建设,维护国家网络空间安全利益具有深刻意义。
一、制定《关键信息基础设施安全保护条例》立法背景认识
关键信息基础设施在国家经济和社会服务中承担着重要角色并发挥着关键作用。随着我国国民经济和社会信息化的全面推进,传统的社会活动不断向网络空间延伸扩展,经济与国家安全高度依赖于关键信息基础设施。完善关键信息基础设施保护法律体系,全面提升关键信息基础设施安全保护意识、保障能力和水平,已经成为网络安全博弈的制胜关键。
党的十八大以来,党中央高度重视关键信息基础设施安全保护工作,就加强关键信息基础设施安全保护工作作出了一系列重大决策和部署。在中央网络安全和信息化领导小组第一次会议上,总书记指出,要完善关键信息基础设施保护等法律法规。在2016年的网络安全和信息化工作座谈会上,总书记明确要求“加快构建关键信息基础设施安全保障体系”。2021年我国发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确强调要“建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力”。作为“十四五”开局之年发布的一项重要法规,《条例》是推动我国网络安全法治化工作的又一项重要举措和成果,对建立健全我国关键信息基础设施安全保护体系具有里程碑式的意义。《条例》从突出重点保护、坚持问题导向、与已有相关法律法规有效衔接三方面出发,科学总结网络安全工作实践经验,并上升为法规制度,为关键信息基础设施安全保护工作提供法治保障。
二、《条例》重点内容理解
从内容上看,《条例》坚持总体国家安全观和网络强国的重要思想,坚持安全发展、改革创新、问题导向的指导方针,坚持综合协调、分工负责、依法保护,充分发挥行政法规的引领和推动作用,加快推进关键信息基础设施安全保障体系建设。具体来说,《条例》主要内容有以下几个亮点:
一是明晰了关键信息基础设施的定义,并按照抓重点、保关键的思路,围绕关键、信息、基础这三个要素科学界定了关键信息基础设施的范围。《条例》站在总体国家安全观的视角,对关键信息基础设施范围的明确界定,有利于更好地推动国家网络空间安全核心能力建设,筑牢国家网络空间安全的屏障。
二是明确了保护工作部门职责,在充分考虑重点行业、领域业务及网络安全需求的特殊性、专业性的前提下,将行业领域主管监管部门明确为关键信息基础设施安全保护部门,组织领导和监督管理本行业、本领域关键信息基础设施安全保护工作。
三是强化了运营者安全管理,特别强调建立“一把手负责制”,明确了运营者主要负责人负总责,切实保障人财物投入,为安全保护工作的物质基础提供了法律保障。
四是规定了国家保障和促进措施。《条例》明确了建立网络安全信息共享机制、完善监测预警和应急体系、组织开展检查检测、能源和通信服务优先保障、加强安全保卫和防范打击违法犯罪、出台相应标准指导规范等6个方面的保障措施。为体现国家重点支持,《条例》从人才培养、财政金融、技术创新、产业发展、军民融合、表彰奖励、宣传教育等7个方面提出了促进措施。
五是确立了监督管理体制。《条例》规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
三、关键信息基础设施安全保护工作重点任务的思考
在网络安全威胁和风险日益突出,关键信息基础设施面临的安全形势日趋严峻的大背景下,《条例》的出台正当其时,也时不我待。《条例》正式实施后,我国关键信息基础设施安全保护工作将进入新的发展阶段,关于未来相关工作重点任务主要有以下几方面的思考:
(一)关键信息基础设施是国家网络安全保障工作的核心和基石,需要国家总体部署、统筹协调。
关键信息基础设施承载或支撑着重要行业和领域关键业务,并成为各行各业运行体系所依赖的关键节点,一旦遭到破坏,通过关联行业、领域逐渐传递,会给国民经济和国家安全造成连锁连片影响的严重后果。作为经济社会运行的神经中枢,关键信息基础设施日益发挥着基础性、全局性、支撑性作用,“牵一发而动全身”。因此,提升我国网络安全保障能力,筑牢国家网络安全屏障,维护国家网络空间安全,就要切实抓住关键信息基础设施安全这个“牛鼻子”。
作为国家网络安全保障的核心及全局性工作,关键信息基础设施安全保护必须要坚持总体部署。从这个意义上来说,在中央网络安全和信息化委员会领导下,国家网信部门应发挥好统筹协调职能,不断强化关键信息基础设施安全保护工作的顶层设计、总体布局、统筹协调、整体推进。国务院公安部门加强对关键信息基础设施安全保护工作的指导监督。国务院电信主管部门和其他有关部门应根据《条例》规定的职责实施安全保护和监督管理。
(二)持续性的能力评估是完善关键信息基础设施安全保护工作的引导和方向。
通过总结我国关键信息基础设施保护实践经验以及相关法律政策的保护要求,在“十四五”时期,提出适合于我国的关键信息基础设施安全保护能力水平评估体系具有重要的现实意义。安全能力评估是关键信息基础设施安全保护的重要环节,其结果可以直接反映关键信息基础设施的安全保护状况,发现存在的薄弱点,并为关键信息基础设施安全整改和后期安全规划制定提供依据。从长远上看,持续性能力评估是为关键信息基础设施的建设运维管理保障提供了方向,能够起到以评促建、以评促管、以评促改的效果。
(三)做好关键信息基础设施安全保护工作要切实发挥我国制度优势,集聚社会各界力量。
一是要充分发挥我国集中力量办大事的体制优势,进一步加强政企合作、军地协同,发挥政策优势,要由自我保护向国家、行业、运营者共同保护转变,形成工作合力,共同推动关键信息基础设施安全保护工作,应对风险挑战。二是要继续做大做强我国网络安全产业,培育一批自主核心技术突出、经济效益优势明显、生态引领能力显著的领航型品牌企业,以及保障具有技术特色、成长性好的中小企业健康成长,依托其技术、产品、人力和服务优势,整合共享资源,推进安全保护的集约化、专业化、常态化,更好地为关键信息基础设施安全保障提供支撑。三是要发挥行业组织的桥梁纽带作用,积极对接关键信息基础设施运营者与网络安全技术、服务提供者供需双方的实际需求,有力支撑关键信息基础设施安全保护技术创新和产业发展。四是要持续做好关键信息基础设施安全保护相关政策宣贯工作,建议将关键信息基础设施安全保护的相关法律法规学习纳入领导干部和相关企业负责同志的网络安全意识培训之中,将贯彻落实情况逐步纳入各级关键信息基础设施安全保护责任部门和机构的考核之中,并通过“国家网络安全宣传周”等常态化网络安全宣传教育活动,动员全社会共同参与,切实提升全社会关键信息基础设施安全保护意识,形成国家网络安全的强大凝聚力和向心力。
《条例》为我国营造开放、安全、健康的数字生态,巩固国家网络安全保障基础,强化数字资源安全保护能力提供了坚强的法治后盾,也为关键信息基础设施安全保护工作提供了科学化、系统化、精细化的工作指引。展望“十四五”时期,随着《条例》的实施,我国网络安全工作必将乘势而上,向着实现网络强国战略目标不断奋勇前进。