【資政場】
隨著以數(shù)字化、網(wǎng)絡(luò)化、智能化為代表的新一代信息技術(shù)在經(jīng)濟社會各領(lǐng)域的廣泛應(yīng)用,公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施,已經(jīng)成為經(jīng)濟社會運行的神經(jīng)中樞,其安全保護成為網(wǎng)絡(luò)安全防護的重中之重。在全球網(wǎng)絡(luò)攻擊范圍不斷擴大、影響越發(fā)嚴重的背景下,許多國家和地區(qū)先后通過立法對現(xiàn)有的關(guān)鍵信息基礎(chǔ)設(shè)施保護策略進行調(diào)整和完善,強化關(guān)鍵信息基礎(chǔ)設(shè)施保護責(zé)任,推進供應(yīng)鏈安全保障。立足新形勢、把握新趨勢,有必要進一步推進關(guān)鍵信息基礎(chǔ)設(shè)施保護立法和監(jiān)管,增強塑造網(wǎng)絡(luò)安全態(tài)勢的能力和水平。
關(guān)鍵信息基礎(chǔ)設(shè)施保護面臨新形勢
關(guān)鍵信息基礎(chǔ)設(shè)施保護當(dāng)前所面臨的挑戰(zhàn)是多方位、多角度的:既有來自網(wǎng)絡(luò)空間內(nèi)的“線上”安全威脅,也有來自現(xiàn)實中的“線下”安全威脅;既要考慮到自然災(zāi)害等意外事故,也要考慮國際關(guān)系變化、供應(yīng)鏈切斷等突發(fā)事件。關(guān)鍵信息基礎(chǔ)設(shè)施安全事件引發(fā)的危害,不再局限于網(wǎng)絡(luò)通信受損、數(shù)據(jù)泄露,而是會進一步擴散蔓延,導(dǎo)致能源電力、公共服務(wù)、醫(yī)療衛(wèi)生、交通運輸?shù)葌鹘y(tǒng)行業(yè)的連鎖反應(yīng),影響國家安全。
第一,關(guān)鍵信息基礎(chǔ)設(shè)施運營者在安全保護體系內(nèi)的角色越發(fā)突出。關(guān)鍵信息基礎(chǔ)設(shè)施運營者不僅需要不斷強化安全保護措施、制定安全預(yù)案和完善安全保護制度,還需要與公安、網(wǎng)信部門等進行更加緊密的溝通配合,以應(yīng)對不斷變化的安全風(fēng)險。據(jù)了解,一些國家已經(jīng)或正在對其國內(nèi)類似主體施加更多義務(wù)要求,例如要求關(guān)鍵基礎(chǔ)設(shè)施運營者在規(guī)定期限內(nèi)向指定部門報告網(wǎng)絡(luò)事件和勒索軟件攻擊;拓展責(zé)任主體的范圍、提出更加具體的安全措施要求,并允許進行更嚴格的監(jiān)管和執(zhí)法;要求關(guān)鍵網(wǎng)絡(luò)系統(tǒng)運營者在規(guī)定期限內(nèi)制定安全保護方案并報送監(jiān)管部門。
第二,網(wǎng)絡(luò)彈性成為關(guān)鍵信息基礎(chǔ)設(shè)施防護的重點。網(wǎng)絡(luò)彈性建設(shè)的重點不是事前的風(fēng)險防控,而是事中事后的應(yīng)對和恢復(fù),要求運營者具備將網(wǎng)絡(luò)安全事件的影響降到最低,并在事件發(fā)生后以最小代價和最短時間恢復(fù)核心業(yè)務(wù)正常運行的能力。我國數(shù)字經(jīng)濟發(fā)展勢頭強勁、網(wǎng)民規(guī)模和網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)水平均居世界前列,一旦關(guān)鍵信息基礎(chǔ)設(shè)施受到網(wǎng)絡(luò)安全事件影響而不能及時恢復(fù),造成的損失不可估量。網(wǎng)絡(luò)彈性建設(shè)已成為國際社會關(guān)鍵信息基礎(chǔ)設(shè)施防護的重要實踐方向。例如歐盟2022年起草的《網(wǎng)絡(luò)彈性法案》以及近期通過的《數(shù)字運營韌性法》和《關(guān)于恢復(fù)關(guān)鍵基礎(chǔ)設(shè)施復(fù)原力指令》,均包含提高關(guān)鍵實體或其網(wǎng)絡(luò)軟硬件的網(wǎng)絡(luò)彈性的內(nèi)容,要求確保關(guān)鍵實體能夠預(yù)防、抵抗破壞性事件并及時恢復(fù)。部分國家還主動規(guī)劃和實施網(wǎng)絡(luò)彈性建設(shè)計劃,包括發(fā)布指南、協(xié)助運營者進行風(fēng)險評估和模擬安全演練等,其目的是提高跟蹤、快速響應(yīng)和防御網(wǎng)絡(luò)攻擊的能力,幫助本國關(guān)鍵信息基礎(chǔ)設(shè)施運營者評估和提升網(wǎng)絡(luò)彈性水平。
第三,應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈的外部風(fēng)險予以足夠關(guān)注。如果核心技術(shù)、產(chǎn)品、服務(wù)的供應(yīng)不能自主可控,相關(guān)產(chǎn)業(yè)就會地基不牢,就有在緊要關(guān)頭被斷供、“卡脖子”的風(fēng)險。參考域外供應(yīng)鏈安全保護實踐最新動向,有以下做法可供借鑒:一是要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)增強識別和降低供應(yīng)鏈或其使用的第三方產(chǎn)品、服務(wù)的風(fēng)險的能力;二是要求運營者應(yīng)當(dāng)注重為關(guān)鍵信息基礎(chǔ)設(shè)施及其他日?;顒右蕾嚦潭雀叩脑O(shè)備提高全生命周期安全保障;三是要求就關(guān)鍵信息基礎(chǔ)設(shè)施重要客體所用的軟硬件及服務(wù)實現(xiàn)國產(chǎn)化替代,保障供應(yīng)鏈自主可控。
提升我國關(guān)鍵信息基礎(chǔ)設(shè)施保護能力和水平
我國高度重視關(guān)鍵信息基礎(chǔ)設(shè)施保護。2022年9月公開的《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定(征求意見稿)》,也擬提高關(guān)鍵信息基礎(chǔ)設(shè)施運營者的違法責(zé)任。《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》國家標(biāo)準(zhǔn)于今年5月1日正式實施。面對技術(shù)創(chuàng)新和國際競爭新態(tài)勢,應(yīng)以總體國家安全觀為指導(dǎo),進一步加強立法和監(jiān)管,提升我國關(guān)鍵信息基礎(chǔ)設(shè)施保護能力和水平。
第一,細化法律規(guī)則,更好適應(yīng)各類場景下的安全保護工作需求。對不同行業(yè)、不同領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施有針對性地規(guī)定具體保護要求,提高合規(guī)的預(yù)期性和執(zhí)法的可操作性。例如在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十八條規(guī)定的基礎(chǔ)上,進一步明確強制性網(wǎng)絡(luò)安全事件報告的時限、程序、平臺。
第二,提高監(jiān)管水平,增強安全監(jiān)管實效。綜合運用規(guī)劃預(yù)警、攻防演練、檢查處罰、警示通報等多種監(jiān)管措施,壓實已經(jīng)認定為關(guān)鍵信息基礎(chǔ)設(shè)施的運營者主體責(zé)任,引導(dǎo)、指導(dǎo)和賦能其針對每一個不同的關(guān)鍵信息基礎(chǔ)設(shè)施采取對應(yīng)的安全策略。發(fā)展應(yīng)用監(jiān)管科技,提升以技術(shù)管技術(shù)的能力。
第三,聚焦供應(yīng)鏈安全和網(wǎng)絡(luò)彈性,增強關(guān)鍵信息基礎(chǔ)設(shè)施保護能力。以應(yīng)用帶創(chuàng)新,以創(chuàng)新保安全,增強關(guān)鍵技術(shù)設(shè)備、產(chǎn)品的自主可控,提高軟硬件國產(chǎn)化替代能力,保障關(guān)鍵信息基礎(chǔ)設(shè)施重要設(shè)備、產(chǎn)品的全產(chǎn)業(yè)鏈、全生命周期安全。提高關(guān)鍵信息基礎(chǔ)設(shè)施運營者安全管控能力,有效應(yīng)對安全事件不利影響,確保能夠快速恢復(fù)穩(wěn)定運行。
第四,堅持普遍安全,積極穩(wěn)妥應(yīng)對國際變局,做好對境外關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)立法、政策動向的跟蹤評估,對一些以安全為借口實施的不合理措施,健全阻斷機制、依法有效應(yīng)對。在反對搞“小圈子”的同時,通過雙邊、多邊框架增進關(guān)鍵信息基礎(chǔ)設(shè)施保護的國際合作。鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施運營者和相關(guān)產(chǎn)品設(shè)備的生產(chǎn)者基于中國實踐經(jīng)驗,積極參與國際技術(shù)標(biāo)準(zhǔn)制定。向國際社會提供相關(guān)領(lǐng)域互惠互利、安全高效的中國標(biāo)準(zhǔn)、中國方案,為維護關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全貢獻中國力量,共建網(wǎng)絡(luò)空間命運共同體。
(作者:周輝,系中國社會科學(xué)院習(xí)近平新時代中國特色社會主義思想研究中心特約研究員、法學(xué)研究所網(wǎng)絡(luò)與信息法研究室副主任)