关键信息基础设施事件报告制度的思考（二）

关键信息基础设施事件报告制度的思考（二）

---

---

前言

我国始终高度重视网络安全事件的报告要求。在网络安全领域，我国的第一部行政法规《计算机信息系统安全保护条例》中就明确提出了计算机信息系统中发生案件的报告要求。

---

一、我国立法对关键信息基础设施事件报告的要求

当前，我国已基本建立了以《网络安全法》《数据安全法》《个人信息保护法》为核心的网络安全法治体系。这三部法律中均规定了对发生网络、数据和个人信息安全事件的报告或通知义务，但多为原则性规定。

《条例》明确了关键信息基础设施领域安全事件的双层报告机制。根据《条例》第十八条的规定，当关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门和公安机关报告。而当发生特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门和国务院公安部门报告。从规定内容来看，《条例》首先扩大了报告范围。除发生网络安全事件外，发现网络安全威胁也应当进行报告。其次，明确了运营者应当报告的是重大或特别重大的网络安全事件和威胁，并列举了几类特别重大网络安全事件和威胁类型，其中不仅考虑到运行安全，也将重要数据泄露、较大规模个人信息泄露等涉数据安全因素一并考虑在内；再次明确应当报告的部门是保护工作部门和公安机关，涉及特别重大网络安全事件和威胁的由保护工作部门向国家网信部门和国务院公安部门报告。最后，要求运营者“按照有关规定”进行报告，也为后续制定更加细化的规则预留空间。

《信息安全技术 关键信息基础设施安全保护要求》则更加着眼运营者内部的情况，即在发生安全事件时，运营者应当向其专门的安全管理机构报告，并通报可能影响的内部部门以及供应链上的其他组织。然而对于如何向保护工作部门、公安机关等主管监管部门进行报告并未给出可操作性指引。

二、关基行业的事件报告类型

保护工作部门制定的本行业、本领域特殊性规定在关键信息基础设施安全保护工作中发挥着重要作用。
目前，公路水路、电力、金融、水利等行业领域已发布专门的关键信息基础设施安全保护管理办法或将关键信息基础设施保护作为重要内容一并写入网络安全管理办法中，但有关事件报告的规定仍较为笼统。
从重要行业领域网络安全事件，乃至突发事件应急处置相关要求的梳理发现，可适用于该行业领域关键信息基础设施运营者事件报告的规定大致分为三类：
一是专门的网络安全事件报告规定，如《证券期货业网络安全事件报告与调查处理办法》；
二是在网络安全事件应急预案中规定事件报告要求，如《水利网络安全事件应急预案》；
三是将网络安全事件作为应报告的突发事件类型之一。如《银行业保险业突发事件信息报告办法》将重要信息系统受到网络攻击造成重大社会影响等情形列入银行业保险业突发事件之一。

---