第五章 关键信息基础设施运行安全制度 ——《网络安全法合规讲义》连载6
【编者按】本讲义由上海国瓴律师事务所名誉主任、上海交通大学信息内容分析技术国家工程研究中心网络空间治理研究中心主任、中国科学技术大学知识产权研究院人工智能与网络空间治理研究中心主任寿步教授撰写,是在寿步主编《网络安全法实用教程》(上海交通大学出版社2019年12月版)的基础上,全面收集整理2016年11月网络安全法发布至2024年6月期间的网络安全相关规范性文件,按照网络安全法制度设计的内在结构进行章节划分而编撰的。本讲义分为十章,同时收录2020年以来涉及网络运行安全和网络信息安全的52个案例。本讲义的内容取材于规范性文件或官方媒体,权威性高,实用性强,可供关心网络安全法律问题的读者阅读。连载共13篇。
连载目录
连载目录
5第四章 网络运行安全制度一般规定(下)
6第五章 关键信息基础设施运行安全制度
7第六章 个人信息保护制度(上)
8第六章 个人信息保护制度(中)
9第六章 个人信息保护制度(下)
10第七章 违法信息监管制度
11第八章 数据出境安全管理制度
12第九章 网络安全监测预警与应急处置制度
13第十章 网络安全法律责任制度
第五章 关键信息基础设施运行安全制度
网络安全法第三章网络运行安全第二节关键信息基础设施的运行安全,包含第三十一条至第三十九条,是网络运行安全制度中针对关键信息基础设施的专门规定。
其中第三十七条涉及个人信息和重要数据的出境管理,是一项特殊制度,本讲义另设数据出境安全管理制度专章进行讨论。本章讨论网络安全法第三章第二节除了第三十七条之外的其它八条所规定的关键信息基础设施运行安全制度。
《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,2021年7月30日第745号国务院令发布,自2021年9月1日起施行。
第一节 建立关键信息基础设施保护制度
这里介绍两个术语:
(1)关键基础设施保护
(Critical Infrastructure Protection,CIP);
(2)关键信息基础设施保护
(Critical Information Infrastructure Protection,CIIP)。
这两个术语在各国文件中基于聚焦目标和侧重点的不同往往会交叉出现。在各国加大对关键信息基础设施保护的实现过程中,显示出如下趋势:
(1)从CIP向CIIP聚焦。一方面,随着CI的普遍网络化和信息化,CI和CII的边界模糊、逐渐趋同,同时大多数CI基于信息通信技术进行运维管理,因此CIIP成为保护的新焦点;另一方面,随着CII的出现,从任何地方发起匿名攻击和黑客攻击都很方便。因此,许多国家把CIP政策的焦点放到信息方面,即为CIIP。
(2)将CIIP纳入国家战略。在新形势下各国信息安全战略中,CII保护是作为国家战略的重要任务。美欧英俄日等近年陆续发布《网络空间国际战略》、《欧洲关键基础设施保护计划》、《英国网络安全战略》、《俄联邦关键网络基础设施安全》、《日本保护国民信息安全战略》等,将CIIP纳入各项战略规划之中。我国也于2016年后首次发布CIIP相关战略,并明确CIIP发展目标和具体要求,旨在加强CII的保护力度。
(3)CIIP相关标准逐渐细化,从概念到定义、法律到政策、从行动计划到工作指南、演习演练等等涵盖众多细化领域。美国分别从法律、机构、计划、框架等方面,加强CIIP的能力建设;欧盟出台一系列战略规划,切实加强CIIP的顶层设计、强化国家合作;俄罗斯强调对CIIP法律层面的保护力度,陆续出台相关政策加强优先保障;日本强化对CIIP的网络攻击演习,注重CIIP的保护效果;中国也首次发布国家战略、信息化规划、网络标准等,对CIIP进行了明确目标和细化要求。
近年来,针对他国关键信息基础设施的安全攻击日趋激烈,给相关国家的关键信息基础设施安全甚至国家安全造成重大威胁。保护本国关键信息基础设施安全已经成为国际社会关注的焦点,也成为各国维护网络安全的首要任务。我国关键信息基础设施面临的网络安全形势严峻复杂,因此,我国在网络安全等级保护制度基础上对关键信息基础设施实行重点保护,专门建立关键信息基础设施运行安全制度。
网络安全法第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。”
一、相关规范性文件
《关键信息基础设施安全保护条例(征求意见稿)》由国家网信办2017年7月10日发布。
《关键信息基础设施安全保护条例》由2021年7月30日第745号国务院令发布,自2021年9月1日起施行。
为贯彻落实网络安全法的要求,全国信息安全标准化委员会正在制定一系列标准,包括但不限于:
1.《信息安全技术 关键信息基础设施网络安全框架》作为基础标准,阐明构成框架的基本要素及其关系,统一通用术语和定义;
2.《信息安全技术 关键信息基础设施网络安全保护要求》作为基线类标准,对关键信息基础设施运营者开展网络安全保护工作提出最低要求;
3.《信息安全技术 关键信息基础设施安全控制措施》作为实施类标准,根据基本要求提出相应的控制措施;
4.《信息安全技术 关键信息基础设施安全检查评估指南》作为测评类标准,依据基本要求明确关键信息基础设施检查评估的目的、流程、内容和结果;
5.《信息安全技术 关键信息基础设施安全保障评价指标体系》作为测评类标准,依据检查评估结果、日常安全检测等情况对关键信息基础设施安全保障状况进行定量评价。
上述五个标准中后四个标准的征求意见稿已经在2017年8月和2018年6月分别发布。
二、关键信息基础设施的范围
关于关键信息基础设施的范围,在不同的规范性文件中有不同的描述。
关键信息基础设施是指一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施,包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的信息基础设施。(根据网络安全法第三十一条第一款改写)
“国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。”(引自《国家网络空间安全战略》)
“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”(《关键信息基础设施安全保护条例》第二条)
“下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。”(引自《关键信息基础设施安全保护条例(征求意见稿)》第十八条)
《关键信息基础设施安全保护条例》第二章“关键信息基础设施认定”第八条至第十一条规定:
▲第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(简称“保护工作部门”)。
▲保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则应当主要考虑下列因素:(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响。
▲保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
▲关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
三、关键信息基础设施安全保护负责部门的职责
网络安全法第三十二条规定:“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。”
《关键信息基础设施安全保护条例》第三条规定:
“在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。”
四、统筹协作的安全保护机制
关键信息基础设施涉及的范围很广,面临的安全风险和威胁来自诸多方面,有必要在关键信息基础设施的运营者和有关主管部门监管部门承担安全保护工作基础上,建立统筹协作机制,发挥各方作用,共同应对风险和威胁。
网络安全法第三十九条规定:“国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。”
第二节 关键信息基础设施运营者的义务
一、确保建设安全要求
网络安全法第三十三条规定:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”
(一)性能保证
关键信息基础设施关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益。因此,对关键信息基础设施的支持业务稳定、持续运行的性能要求很高。
以基础电信、银行、证券行业为例,一旦这些行业的服务中断,就将产生重大影响,造成巨大损失。在无现金交易日益成为主要交易手段的情况下,移动支付系统的服务如果中断,也会造成巨大影响。
(二)“三同步”要求
我国在网络建设中一向有关于安全技术措施同步规划、同步建设、同步使用的“三同步”要求。
《关键信息基础设施安全保护条例》第十二条规定:“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。”
《网络安全等级保护条例(征求意见稿)》第四条规定:网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。涉密网络应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。
《信息安全技术 关键信息基础设施安全控制措施(征求意见稿)》的6.2小节“网络安全与信息化同步”在“三同步”方面有更加具体的规定——
1.同步规划
关键信息基础设施运营者应:
a)同步分析安全需求,即在关键信息基础设施建设或改建之初,从本组织的职能或业务的角度分析对关键信息基础设施实施网络安全的需求,形成安全需求说明书。
b)同步定义安全要求,即基于网络安全需求说明书,定义关键信息基础设施的网络安全要求,形成网络安全功能和性能说明书。
c)确保安全需求说明书得到网络安全责任部门签字认可。
2.同步建设
关键信息基础设施运营者应:
a)同步设计安全体系结构,即基于已经定义的关键信息基础设施的网络安全要求,设计网络安全体系结构,明确系统内的各类信息安全组件,说明各组件提供的信息安全服务及可能的实现机制。
b)同步开展详细的安全设计,即根据安全保护等级选择基本安全措施,细化安全机制在关键信息基础设施中的具体实现。
c)在建设或改建过程中,按照GB/T 22239(《信息安全技术 网络安全等级保护基本要求》)工程实施相应等级的要求,同步建设符合其等级要求的网络安全设施,包括自行软件开发。
d)建设完成后,组织对关键信息基础设施进行验收并将网络安全作为验收的重要内容。
3.同步使用
关键信息基础设施运营者应:
a)同步运行安全设施,确保安全设施保持启用状态。
b)按照GB/T 22239(《信息安全技术 网络安全等级保护基本要求》)安全运维管理相应等级的要求进行安全运维。
c)关键信息基础设施及其运行环境发生明显变化时,评估其风险,及时升级安全设施并实施变更管理。
d)对安全设施同步实施配置管理,包括制定配置管理计划,制定、记录、维护基线配置,保留基线配置的历史版本,便于必要时恢复历史配置。
e)在废弃安全设施时,采取以下措施,保护被废弃的安全设施中存储信息的安全:
1)妥善保存或采用安全方式处置介质。
2)对含有特别重要的敏感信息或涉密信息的重要介质,选择有资质的机构进行安全销毁。
3)对敏感组件或信息的处置保留详细记录。
f)如需要建设新的安全设施承接原有功能,应确保业务平稳、安全迁移,在新安全设施建设完成、通过验收并正式上线前,不得关闭原有安全设施。”
二、履行安全保护义务
(一)相关规定
网络安全法第三十四条规定:“除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。”
显然,对关键信息基础设施运营者,第三十四条从技术和管理两方面规定了比一般网络运营者更加严格的安全保护义务。
《关键信息基础设施安全保护条例》第三章“运营者责任义务”第十二条至第二十一条对关键信息基础设施运营者应当履行的安全保护义务有进一步的细化规定。
2018年6月11日发布《信息安全技术 关键信息基础设施网络安全保护要求(征求意见稿)》。该标准适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段,在等级保护基础上,规定了对关键信息基础设施运营者在识别认定、安全防护、检测评估、监测预警、应急处置等环节的基本要求。
安标委2018年6月11日发布《信息安全技术 关键信息基础设施安全控制措施(征求意见稿)》。该标准旨在为关键信息基础设施保护工作的部门指导和监督关键信息基础设施运行安全保护工作提供技术参考,也可供关键信息基础设施运行安全保护工作的其他参与方参考,对提高我国关键信息基础设施安全保障水平具有十分重要的意义。
(二)实务操作
根据网络安全法第三十四条的规定,关键信息基础设施的运营者的安全保护义务已经明确,违反相关义务将要承担比一般网络运营者更加严格的责任。因此,建议关键信息基础设施的运营者根据网络安全法和《关键信息基础设施安全保护条例》的要求,结合相关标准征求意见稿的规定,切实履行义务。
三、履行采购的安全审查和安全保密义务
(一)国家安全审查
网络安全法第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。” 这条规定是与国家安全法第五十九条规定衔接的。
《国家安全法》第五十九条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”
网络安全法第三十五条确定的关键信息基础设施的运营者采购网络产品和服务的国家安全审查制度,只在“可能影响国家安全的”特殊情况下启动,不同于网络安全法第二十三条确定的网络关键设备和安全专用产品的安全认证和安全检测制度;在对网络产品和服务的安全性进行审查的同时,还需要对影响国家安全的其他因素进行审查。
由国家网信办发布、自2017年6月1日起实施的《网络产品和服务安全审查办法(试行)》是关于关键信息基础设施采购的国家安全审查制度的具体规定。2020年4月13日,国家网信办、国家发展和改革委员会(简称“国家发展改革委”)等12个部门联合发布《网络安全审查办法》,自2020年6月1日起实施,取代《网络产品和服务安全审查办法(试行)》。2021年11月16日,由国家网信办、国家发展改革委等13个部门联合发布新版《网络安全审查办法》,自2022年2月15日起实施。
新版《网络安全审查办法》既适用于关键信息基础设施运营者采购网络产品和服务、影响或者可能影响国家安全的情况,也适用于网络平台运营者开展数据处理活动、影响或者可能影响国家安全的情况。在这两种情况下,都应当按照新版《网络安全审查办法》进行网络安全审查。后一种情况是这次修改后新增的。
考虑到这两种情况具有关联性,为叙述方便,在此一并介绍新版《网络安全审查办法》关于这两种情况的规定。要点如下:
1. 网络安全审查工作的原则
坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
2. 建立国家网络安全审查工作机制
在中央网络安全和信息化委员会领导下,国家网信办会同国家发展改革委、工信部、公安部、国家安全部、财政部、商务部、中国人民银行、市场监管总局、国家广播电视总局(简称“广电总局”)、证监会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家网信办,负责制定网络安全审查相关制度规范,组织网络安全审查。
3. 关键信息基础设施运营者采购网络产品和服务的国家安全审查义务
(1)关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
(2)对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
4. 网络平台运营者开展数据处理活动的国家安全审查义务
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
自2021年9月1日起施行的我国数据安全法明确规定国家建立数据安全审查制度。新版《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。这种情况下申报网络安全审查的结果,可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
根据数据安全法,数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。新版《网络安全审查办法》重点聚焦的是网络平台运营者开展上述数据处理活动,影响或者可能影响国家安全的情形。
5. 网络安全审查重点评估的因素
网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
6.当事人在审查期间应当采取的措施
新版《网络安全审查办法》涉及的关键信息基础设施运营者和网络平台运营者统称为当事人。
网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
7.进行网络安全审查的网络产品和服务的范围
新版《网络安全审查办法》所称的网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
(二)安全保密协议
网络安全法第三十六条规定:“关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。”
关键信息基础设施运营者采购网络产品和服务用于建设和维护关键信息基础设施,若这些产品和服务供应链中存在安全风险,必然也会对关键信息基础设施构成安全威胁。因此,网络安全法第三十六条要求关键信息基础设施的运营者在采购时应当与网络产品和服务提供者签订安全保密协议,明确双方的安全义务、保密义务和相应的法律责任。这是在网络安全法第二十二条规定的网络产品和服务提供者的安全义务基础上,对其供应产品、提供服务行为的进一步约束。
四、履行定期安全检测评估义务
网络安全法第三十八条规定:“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。” 这条规定是与国家安全法第五十六条规定衔接的。
《国家安全法》第五十六条规定:“国家建立国家安全风险评估机制,定期开展各领域国家安全风险调查评估。有关部门应当定期向中央国家安全领导机构提交国家安全风险评估报告。”
《关键信息基础设施安全保护条例》对此有进一步的细化规定。开展安全检测评估活动,还应当关注相关标准的要求。
