我國關鍵信息基礎設施網絡安全應急響應的法律保障
2020年,面對嚴重威脅生命安全的疫情衝擊,我國26個省、市、自治區啟動重大突發公共衛生事件一級響應,國家應急管理基礎能力和治理能力接受檢驗。世界衛生組織專家在2020年2月24日世衛組織-中國冠狀病毒病聯合專家考察組新聞發佈會上坦誠,“我們需要審視現有體系,坦率的說,沒有任何一個體系能做到及時響應”。根據《網絡安全法》第57條的規定,網絡安全事件在符合“突發事件”的構成要件後,將轉化或“升級”為突發事件,從而同時適用《突發事件應對法》等法律的處置。因此,網絡安全事件與公共安全事件在突發事件應對上有普遍性的一面,本次重大突發公共衛生事件的響應和處置為關鍵信息基礎設施網絡安全事件應急響應觸動思考。
一、關鍵信息基礎設施網絡安全應急響應法律規制的必要性
全球數字化轉型浪潮之下,人工智能、區塊鏈、5G等新一代信息技術不斷催生新業態新產業新模式,傳統關鍵信息基礎設施的“邊界性”逐漸模糊,新型網絡安全風險與威脅不斷衍生與演化。近年來,網絡攻擊方式、手段的多樣性和嚴重性不斷刷新各國對網絡安全態勢的認知,網絡空間安全的不穩定性和不確定性愈加凸顯,以往以關鍵信息基礎設施靜態識別為核心的保護觀念在面對全新威脅態勢時挑戰嚴峻。如何健全完善關鍵信息基礎設施網絡安全監測預警響應機制,提升國家層面的網絡安全態勢感知、事件分析、追蹤溯源以及遭受攻擊後的快速恢復能力,實踐中有效應對國家級、有組織的高智能攻擊,針對網絡攻擊實施精準打擊,同時允許有條件的攻擊反制,為公共衛生安全等其他突發事件提供重點保障和支持,是各國關鍵信息基礎設施保護的重中之重。我國《國家突發事件應急體系建設“十三五”規劃》即明確提出,提高關鍵信息基礎設施的風險防控能力,保障金融、電力、通信、交通等基礎性行業業務系統安全平穩運行,同時強調要充分利用互聯網、大數據、智能輔助決策等新技術,在應急管理相關信息化系統中推進應急預案數字化應用。2020年中央網信辦《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》也直接提出藉助大數據等各類網絡信息技術為疫情防控應急響應提供必要的技術支撐。
事實上,關鍵信息基礎設施立法保護已成為全球“顯學”,鑑於地緣政治、經濟發展、立法模式等方面的天然差異,各國關鍵信息基礎設施的立法思路及側重有所不同,但無一不聚焦網絡安全應急響應。整體上,各國普遍承認100%安全目標不可實現,重在以“風險(管控)”、“預判(感知)”和“攻擊(假想)”為基礎,重點構建特定關鍵信息基礎設施範疇的網絡監測預警、網絡安全威脅情報信息共享、網絡安全評估檢測、供應鏈安全審查、網絡安全事件應急處置、公私合作和國際合作等要素的網絡安全應急響應保障體系。此外,隨著貿易全球化趨勢不斷強化,共同制定關鍵信息基礎設施網絡安全應急響應的國際規範,保障全球關鍵信息基礎設施的整體安全性和可靠性,也是國際關鍵信息基礎設施保護的關注重點。
二、我國關鍵信息基礎設施網絡安全應急響應的法制化
在我國,以《網絡安全法》為核心的關鍵信息基礎設施網絡安全應急響應法律保障體系建設正在加速推進。2007年《突發事件應對法》、2016年《網絡安全法》、2006年國務院《國家突發公共事件總體應急預案》、2013年國務院《突發事件應急預案管理辦法》、2017年中央網信辦《國家網絡安全事件應急預案》等現行有效的法律法規共同構築了關鍵信息基礎設施網絡安全應急響應法律保障基本體系。《國家網絡空間安全戰略》明確要求完善網絡安全監測預警和網絡安全重大事件應急處置機制。《網絡安全法》將監測預警與應急處置措施制度化、法制化,設第五章專章規定了網絡安全監測預警、信息通報和應急處置制度,重點強化關鍵信息基礎設施領域的應急響應制度,同時第57條有效銜接《突發事件應對法》、《安全生產法》等法律、行政法規的處置規定。2017年1月,作為國家層面針對網絡安全事件適用的綜合應急預案,中央網信辦正式發佈《國家網絡安全事件應急預案》。以《突發事件應對法》、《網絡安全法》等為依據,行業領域的相關部門、地方政府等也制定了相應監管範圍的網絡安全應急預案,如《銀行業重要信息系統突發事件應急管理規範(試行)》《證券期貨業網絡與信息安全事件應急預案》《公共互聯網網絡安全突發事件應急預案》《工業控制系統信息安全事件應急管理工作指南》《上海市網絡安全事件應急預案》等。
從實踐來看,《網絡安全法》實施以來,面向勒索病毒攻擊、DDoS攻擊、Web站點攻擊等當前主要的網絡攻擊方式,我國深入推進網絡安全等級保護,強化關鍵信息基礎設施摸底排查、安全防護和執法檢查,從實戰出發落實國家重大網絡安全保衛任務,覆蓋國家、行業領域、地方政府、網絡運營者的多級監測預警應急響應機制基本建立。從本次疫情響應來借鑑思考,關鍵信息基礎設施的國家應急意願與具體行業、領域和地方的應急能力是否一致需要進行重新驗視,國家層面的綜合應急能力如何穿透、賦能到具體的關鍵信息基礎設施運營者,也應從利益共同體和整體價值上重新整合考慮。
此外,2017年以來,《關鍵信息基礎設施保護條例(徵求意見稿)》《網絡安全等級保護條例(徵求意見稿)》《網絡安全漏洞管理規定(徵求意見稿)》《網絡安全威脅信息發佈管理辦法(徵求意見稿)》等相繼向社會公開徵求意見,進一步細化了《網絡安全法》關鍵信息基礎設施網絡安全應急響應、網絡安全等級保護、網絡安全漏洞發現與披露、威脅信息發佈等方面的規定。這些尚處於綜合研判、統籌調整階段的《網絡安全法》下位法是關鍵信息基礎設施網絡安全應急響應不可缺失的組成部分和制度支撐,如其中涉及的關鍵信息基礎設施識別與認定、網絡安全漏洞發現與公佈、境內外網絡安全威脅態勢感知、關鍵信息基礎設施供應鏈安全保障、網絡安全信息共享、安全漏洞信息出口管制機制等問題,重要性自不待言。
三、我國關鍵信息基礎設施網絡安全應急響應法律制度的完善
為有效應對網絡空間安全威脅和風險,關鍵信息基礎設施網絡安全應急響應法律體系必須以發現、消除網絡安全威脅和風險,提升恢復能力為軸心,“發現、消除、恢復”金三角作為對包括公共衛生事件、網絡安全事件等混合與疊加的動態“全風險環境”的提升完善。
具體來說,“發現”包括網絡安全漏洞的掌控、攻防演練、網絡安全威脅和風險的實時全面共享、偵查、監測預警和供應鏈安全等。“發現”能力的提升意味著需從法律上對溯源的觸發條件、電子證據固定與提取等內容進行發展與規範。以跨境威脅行為發現來說,《網絡安全法》第5條和第75條規定為跨境數據取證確立了國家立法基礎,執法機關仍需面臨跨境數據取證實際取證技術能力的現實考驗。“消除”包括及時動態研判處置網絡攻擊,實施精準化解、消除和阻斷的同時允許有條件的攻擊反制,消除能力的實現需要從法律上對反制的必要性和充分性進行正當化論證,以主動防禦來說,這個概念的邊界在網絡安全管理和法律層面的爭議已經持續多年,立法上啟動後將引發不可預測性的內外部後果,其使用條件應周延論證。“恢復”側重網絡安全態勢感知和網絡攻擊之後的應對恢復,確保核心功能正常運轉。事實上,“恢復”並不僅單指關鍵信息基礎設施功能的修復與重啟,而應更加關注關鍵信息基礎設施核心功能的持續運行。通過構築、有效實施面向“全風險”的“全能力”,保護有關各方的合法權益,提升各方對社會穩定和國家安全的信心。
作者簡介
黃道麗 公安部第三研究所
原 浩 江蘇竹輝律師事務所
山西網警巡查執法
