我国关键信息基础设施网络安全应急响应的法律保障
2020年,面对严重威胁生命安全的疫情冲击,我国26个省、市、自治区启动重大突发公共卫生事件一级响应,国家应急管理基础能力和治理能力接受检验。世界卫生组织专家在2020年2月24日世卫组织-中国冠状病毒病联合专家考察组新闻发布会上坦诚,“我们需要审视现有体系,坦率的说,没有任何一个体系能做到及时响应”。根据《网络安全法》第57条的规定,网络安全事件在符合“突发事件”的构成要件后,将转化或“升级”为突发事件,从而同时适用《突发事件应对法》等法律的处置。因此,网络安全事件与公共安全事件在突发事件应对上有普遍性的一面,本次重大突发公共卫生事件的响应和处置为关键信息基础设施网络安全事件应急响应触动思考。
一、关键信息基础设施网络安全应急响应法律规制的必要性
全球数字化转型浪潮之下,人工智能、区块链、5G等新一代信息技术不断催生新业态新产业新模式,传统关键信息基础设施的“边界性”逐渐模糊,新型网络安全风险与威胁不断衍生与演化。近年来,网络攻击方式、手段的多样性和严重性不断刷新各国对网络安全态势的认知,网络空间安全的不稳定性和不确定性愈加凸显,以往以关键信息基础设施静态识别为核心的保护观念在面对全新威胁态势时挑战严峻。如何健全完善关键信息基础设施网络安全监测预警响应机制,提升国家层面的网络安全态势感知、事件分析、追踪溯源以及遭受攻击后的快速恢复能力,实践中有效应对国家级、有组织的高智能攻击,针对网络攻击实施精准打击,同时允许有条件的攻击反制,为公共卫生安全等其他突发事件提供重点保障和支持,是各国关键信息基础设施保护的重中之重。我国《国家突发事件应急体系建设“十三五”规划》即明确提出,提高关键信息基础设施的风险防控能力,保障金融、电力、通信、交通等基础性行业业务系统安全平稳运行,同时强调要充分利用互联网、大数据、智能辅助决策等新技术,在应急管理相关信息化系统中推进应急预案数字化应用。2020年中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》也直接提出借助大数据等各类网络信息技术为疫情防控应急响应提供必要的技术支撑。
事实上,关键信息基础设施立法保护已成为全球“显学”,鉴于地缘政治、经济发展、立法模式等方面的天然差异,各国关键信息基础设施的立法思路及侧重有所不同,但无一不聚焦网络安全应急响应。整体上,各国普遍承认100%安全目标不可实现,重在以“风险(管控)”、“预判(感知)”和“攻击(假想)”为基础,重点构建特定关键信息基础设施范畴的网络监测预警、网络安全威胁情报信息共享、网络安全评估检测、供应链安全审查、网络安全事件应急处置、公私合作和国际合作等要素的网络安全应急响应保障体系。此外,随着贸易全球化趋势不断强化,共同制定关键信息基础设施网络安全应急响应的国际规范,保障全球关键信息基础设施的整体安全性和可靠性,也是国际关键信息基础设施保护的关注重点。
二、我国关键信息基础设施网络安全应急响应的法制化
在我国,以《网络安全法》为核心的关键信息基础设施网络安全应急响应法律保障体系建设正在加速推进。2007年《突发事件应对法》、2016年《网络安全法》、2006年国务院《国家突发公共事件总体应急预案》、2013年国务院《突发事件应急预案管理办法》、2017年中央网信办《国家网络安全事件应急预案》等现行有效的法律法规共同构筑了关键信息基础设施网络安全应急响应法律保障基本体系。《国家网络空间安全战略》明确要求完善网络安全监测预警和网络安全重大事件应急处置机制。《网络安全法》将监测预警与应急处置措施制度化、法制化,设第五章专章规定了网络安全监测预警、信息通报和应急处置制度,重点强化关键信息基础设施领域的应急响应制度,同时第57条有效衔接《突发事件应对法》、《安全生产法》等法律、行政法规的处置规定。2017年1月,作为国家层面针对网络安全事件适用的综合应急预案,中央网信办正式发布《国家网络安全事件应急预案》。以《突发事件应对法》、《网络安全法》等为依据,行业领域的相关部门、地方政府等也制定了相应监管范围的网络安全应急预案,如《银行业重要信息系统突发事件应急管理规范(试行)》《证券期货业网络与信息安全事件应急预案》《公共互联网网络安全突发事件应急预案》《工业控制系统信息安全事件应急管理工作指南》《上海市网络安全事件应急预案》等。
从实践来看,《网络安全法》实施以来,面向勒索病毒攻击、DDoS攻击、Web站点攻击等当前主要的网络攻击方式,我国深入推进网络安全等级保护,强化关键信息基础设施摸底排查、安全防护和执法检查,从实战出发落实国家重大网络安全保卫任务,覆盖国家、行业领域、地方政府、网络运营者的多级监测预警应急响应机制基本建立。从本次疫情响应来借鉴思考,关键信息基础设施的国家应急意愿与具体行业、领域和地方的应急能力是否一致需要进行重新验视,国家层面的综合应急能力如何穿透、赋能到具体的关键信息基础设施运营者,也应从利益共同体和整体价值上重新整合考虑。
此外,2017年以来,《关键信息基础设施保护条例(征求意见稿)》《网络安全等级保护条例(征求意见稿)》《网络安全漏洞管理规定(征求意见稿)》《网络安全威胁信息发布管理办法(征求意见稿)》等相继向社会公开征求意见,进一步细化了《网络安全法》关键信息基础设施网络安全应急响应、网络安全等级保护、网络安全漏洞发现与披露、威胁信息发布等方面的规定。这些尚处于综合研判、统筹调整阶段的《网络安全法》下位法是关键信息基础设施网络安全应急响应不可缺失的组成部分和制度支撑,如其中涉及的关键信息基础设施识别与认定、网络安全漏洞发现与公布、境内外网络安全威胁态势感知、关键信息基础设施供应链安全保障、网络安全信息共享、安全漏洞信息出口管制机制等问题,重要性自不待言。
三、我国关键信息基础设施网络安全应急响应法律制度的完善
为有效应对网络空间安全威胁和风险,关键信息基础设施网络安全应急响应法律体系必须以发现、消除网络安全威胁和风险,提升恢复能力为轴心,“发现、消除、恢复”金三角作为对包括公共卫生事件、网络安全事件等混合与叠加的动态“全风险环境”的提升完善。
具体来说,“发现”包括网络安全漏洞的掌控、攻防演练、网络安全威胁和风险的实时全面共享、侦查、监测预警和供应链安全等。“发现”能力的提升意味着需从法律上对溯源的触发条件、电子证据固定与提取等内容进行发展与规范。以跨境威胁行为发现来说,《网络安全法》第5条和第75条规定为跨境数据取证确立了国家立法基础,执法机关仍需面临跨境数据取证实际取证技术能力的现实考验。“消除”包括及时动态研判处置网络攻击,实施精准化解、消除和阻断的同时允许有条件的攻击反制,消除能力的实现需要从法律上对反制的必要性和充分性进行正当化论证,以主动防御来说,这个概念的边界在网络安全管理和法律层面的争议已经持续多年,立法上启动后将引发不可预测性的内外部后果,其使用条件应周延论证。“恢复”侧重网络安全态势感知和网络攻击之后的应对恢复,确保核心功能正常运转。事实上,“恢复”并不仅单指关键信息基础设施功能的修复与重启,而应更加关注关键信息基础设施核心功能的持续运行。通过构筑、有效实施面向“全风险”的“全能力”,保护有关各方的合法权益,提升各方对社会稳定和国家安全的信心。
作者简介
黄道丽 公安部第三研究所
原 浩 江苏竹辉律师事务所
山西网警巡查执法
