依法保障关键信息基础设施安全运行
——解读《自治区关键信息基础设施安全保护条例》
今年3月25日,自治区第十三届人大常委会第三十二次会议审议通过了《新疆维吾尔自治区关键信息基础设施安全保护条例》(以下简称《条例》),为保障自治区关键信息基础设施安全、维护网络安全提供了法治保障。《条例》自2022年6月15日起施行。
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。它的特征有:为国家、社会的正常运转提供必需的产品和服务;是社会分工体系中的关键节点, 遭受破坏的后果具有连锁性;包含高价值设施, 被攻击的后果直接且重大;存储或传输的信息数据大量集中或极其敏感;可能具备象征意义, 被攻击和破坏可影响社会稳定。
按照国家标准举例来说,县级(含)以上党政机关网站、日均访问量超过100万人次的网站;注册用户数超过1000万或者活跃用户数超过100万的平台;地市级以上政府机关面向公众服务的业务系统或者与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统都是关键信息基础设施。由此不难看出,关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。立法保护关键信息基础设施意义重大且紧迫。
党的十八大以来,以习近平同志为核心的党中央高瞻远瞩、运筹帷幄,对网络强国、网络安全和信息化工作作出的一系列重大决策部署、实施一系列重大举措,提出一系列新思想新观点新论断,为我们做好网络安全和信息化工作提供了根本遵循,必须长期坚持贯彻。从现实需要来说,针对关键信息基础设施的攻击活动频繁发生;网络摄像头、功能平台等汇集了大量个人信息和影响国家安全的重要数据,一旦遭受攻击破坏,将造成严重损害和影响;作为国家西部屏障和石油、天然气等重要资源生产基地,新疆的关键信息基础设施保护具有特殊重要地位;敌对势力一直利用互联网对我进行渗透、颠覆、破坏,必须予以防范。在实践层面,自治区党委运用法治思维和法治方式保护关键信息基础设施安全,做了很多有益的探索和实践,需要通过地方立法加以固化、推广。可以说,通过立法引领、规范和推动关键信息基础设施保护工作势在必行。
《条例》共23条,从关键信息基础设施安全保护的职责分工、工作机制、重点保护、人才培养等方面作出了规定。
一是规定了安全保护原则、组织体系和工作体系,明确了分工,强化了责任。《条例》第三条规定:“自治区关键信息基础设施安全保护和监督管理工作坚持党的领导,遵循综合协调、分工负责、依法保护、共同保护的原则。”《条例》在第四条至第八条,明确了自治区、州市地、县市区网信委三级领导体系,明确了网信部门(即网信办)作为网信委办事机构的统筹协调职责,进一步细化了统筹协调的对象(通信、公安、国家安全、工业和信息化、保密、密码管理等有关部门,关键信息基础设施涉及的重要行业和领域的主管部门、监督管理部门,关键信息基础设施运营者)及其在关键信息基础设施保护工作中的职责。为了强化责任落实,根据国务院《关键信息基础设施安全保护条例》第四条和自治区网络安全工作责任制的规定,在第九条对责任制及考核作了规定。
二是突出了保护制度,明确了保护工作重点。《条例》第十条规定:关键信息基础设施安全保护工作执行网络安全等级保护制度、重点保护制度和安全审查制度。网络安全等级保护制度要求网络运营者配备相应的硬件和软件检测、记录网络运行状态、网络安全事件,按照规定留存相关网络日志,采取防范危害网络安全行为的技术措施,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任,采取数据分类、重要数据备份和加密等措施。重点保护制度则是在等级保护制度的基础上,针对特定设施实行更为严格的重点保护措施。安全审查制度则要求网络运营者采购网络产品和服务,影响或者可能影响国家安全的,应当按照规定接受网络安全审查。通过织密安全网,实现“监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏”的目的。
三是鼓励支持网络安全专门人才培养。缺乏网络安全专门人才,是相关部门、单位和企业普遍存在的问题,《条例》在第十一条作出了规定:“支持高等院校、职业学校等教育培训机构和企业开展网络安全相关教育培训”,这也是自治区工作实践的凝练和固化。据了解,在自治区党委网络安全和信息化领导机构的协调下,自治区争取国家政策和资金支持,在委托高校培养、培训网络安全专业人才方面已经作了许多有益的探索,相关人才受到用人单位普遍欢迎。同时,《条例》规定“采取措施吸引和鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理培训、技术人员培训纳入继续教育体系”,对政府、相关主管监管部门和运营者提出了要求。
四是强化监督管理,助力保护措施落地见效。网络安全事件报告、网络安全信息共享、监测预警与通报是网信等部门统筹协调保护工作的基本手段,也是监督管理的措施。《条例》第十六条、第十七条、第十八条从网络安全事件和网络安全威胁报告范围与主体,建立信息共享、安全监测、信息通报工作制度等方面作了规定,规定要及时汇总、研判、共享、发布网络安全威胁、漏洞、事件,定期召开联席会议促进共享;规定要加强网络安全技术能力建设,及时发现、预警和通报网络安全威胁和隐患。开展网络安全检查是防患于未然的重要手段,《条例》第十九条对检查与问题的限期整改提出了明确要求。
五是重视网络安全法治宣传教育。“网络安全是共同的而不是孤立的”,关键信息基础设施安全保护与国家长治久安、经济社会发展和人民群众民生福祉息息相关。除专门机关外,如何调动社会力量共同保护?增强全社会的保护意识,增强全社会的法治意识和网络安全意识就显得尤其重要。《条例》第二十条规定:“各级人民政府及有关部门应当组织开展经常性的关键信息基础设施安全保护法治宣传教育,增强全社会的法治意识和网络安全意识”,倡导全社会共筑网络安全防线。
六是强化刚性约束,增强法规权威。网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施保护和监督管理职责,或者履行不力,会给关键信息基础设施安全带来巨大隐患。为此,《条例》第二十一条规定了法律责任:“由有关部门依法依规责令改正,依法对直接负责的主管人员和其他直接责任人员给予处分;构成犯罪的,依法追究刑事责任。”
七是妥善处理上位法内容的衔接。《条例》草案2021年5月底提交一审后,国务院于当年8月通过并颁布了《关键信息基础设施安全保护条例》。根据全国人大对地方立法工作相关要求,对原《条例》草案中“关键信息基础设施认定”“运营者的责任义务”“法律责任”等与国务院条例完全相同或者核心内容相同的条款作了删除,结合新疆实际对部分条款进行了细化规定,既严格遵循上位法精神,又突出地方特色和可操作性。《条例》由初审草案的三十八条,瘦身为二十三条,取消了章节体例,体现了地方立法“小、快、灵”有几条规定几条的具体要求。(作者:自治区人大常委会法制工作委员会 李学军)