作者:中国互联网协会研究中心秘书长,北京师范大学副教授、硕导 吴沈括
2017年7月11日,国家互联网信息办公室公布备受瞩目的《关键信息基础设施安全保护条例(征求意见稿)》,揭开了中国关键信息基础设施安全保护立法进程的新篇章。
在当代社会,关键信息基础设施一旦遭到破坏或者丧失功能、数据泄露,将对社会产生严重危害。在当下的经济-技术图景下,关键信息基础设施事涉国家安全、国计民生以及公共利益,对于国家网络安全和信息化建设意义重大。
因此,确保关键信息基础设施的稳定、可靠,及相关网络数据的完整性、保密性和可用性,便成为了《中华人民共和国网络安全法》的重点关注问题。《网络安全法》第三章“网络运行安全”,以“关键信息基础设施的运行安全”专节共计9条(第31-39条),对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法应由国务院制定。
细加审视,就目前公开文本呈现的制度框架而言,特别值得注意的是:
其一,《征求意见稿》突出了动态、全链条式保护思维。一方面明确规定了《中华人民共和国网络安全法》的制度效力,既覆盖关键信息基础设施在我国境内的规划、建设、运营、维护和使用,也覆盖相关的安全保护和监督管理活动;另一方面强调《中华人民共和国网络安全法》应当坚持顶层设计、整体防护、统筹协调、分工负责,在国家相关部门的指导和监督下,充分发挥运营主体作用,各方积极参与,共同保障关键信息基础设施安全。
其二,《征求意见稿》突出了核心工作环节的重点保护思维。首先,《征求意见稿》明确了国家、各级人民政府以及各机关单位在关键信息基础设施安全支持与保障环节的各项作为义务,同时明确了关键信息基础设施运营单位在产品和服务环节的一系列权利和义务要求,此外还对国家网信部门和其他有关部门在监测预警、应急处置和检测评估环节的工作作出了具体要求。
其三,《征求意见稿》突出了各类有关主体的全面责任思维。《征求意见稿》对各类主题责任都做了要求,既包括关键信息基础设施运营单位及其工作人员违反网络安全保护义务应当承担的法律责任,也包括网络安全服务机构、其他有关部门及其工作人员可能的违法责任,同时还包括其他境内外机构、组织和个人侵害关键信息基础设施安全时所承担的责任形式。
综观文本,《征求意见稿》在为我们勾勒了关键信息基础设施安全保护制度图谱的同时,也凸显了国家有关部门在这一领域进行制度创新的勇气和智慧。其文本亮点尤其表现在以下几个方面:
首先,《征求意见稿》引入了关键信息基础设施安全保护制度适用范围的创新性规定。它在网络安全法相关规定的基础上,更聚焦于关键信息基础设施范围认定中的功能-后果定位。在明文列举具体的关键信息基础设施类型之前,《征求意见稿》突出表明评判设施性质的核心标准在于其是否“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,凸显了对关键信息基础设施安全保护工作根本价值的深刻认识。
此外,《征求意见稿》明确了关键信息基础设施安全保护领域各国家机关的权限分工。《征求意见稿》既指明了国家网信部门负责统筹协调关键信息基础设施安全保护工作,也指明国家行业主管或监管部门按照国务院规定的负责指导和监督本行业、本领域关键信息基础设施安全保护工作责任,同时还指明了国务院公安、安全、保密、密码等部门以及各级人民政府,依照各自职责或者国家有关规定负责或者开展关键信息基础设施安全保护。这反映了《征求意见稿》对关键信息基础设施安全保护领域权力运用的全面把握。
另外,《征求意见稿》突出了合作与共享机制对于关键信息基础设施安全保护的重要价值。一方面,《征求意见稿》鼓励促进多主体合作开展关键信息基础设施安全保护;另一方面,《征求意见稿》也强调国家网信部门统筹关键信息基础设施的运营者、保护工作部门、有关研究机构、网络安全服务机构等建立关键信息基础设施安全信息共享机制,促进网络安全信息共享。总体而言,《征求意见稿》体现了对关键信息基础设施安全保护最佳实践和国际经验的高度体认。
毋庸置疑,《征求意见稿》的出台为我国进一步探讨扩大围绕关键信息基础设施安全保护工作提供了有力抓手,为我国进一步深化有关关键信息基础设施安全保护工作的制度认识夯实了价值基础,也为我们进一步提升关于关键信息基础设施安全保护工作的能力建设明确了努力方向。
