網(wǎng)站首頁 | 網(wǎng)站地圖

大國新村
首頁 > 中國品牌 > 品牌智庫 > 正文

加強關鍵信息基礎設施保護立法和監(jiān)管

【資政場】

隨著以數(shù)字化、網(wǎng)絡化、智能化為代表的新一代信息技術在經(jīng)濟社會各領域的廣泛應用,公共通信和信息服務、能源、交通、水利、金融、公共服務等重要行業(yè)和領域的關鍵信息基礎設施,已經(jīng)成為經(jīng)濟社會運行的神經(jīng)中樞,其安全保護成為網(wǎng)絡安全防護的重中之重。在全球網(wǎng)絡攻擊范圍不斷擴大、影響越發(fā)嚴重的背景下,許多國家和地區(qū)先后通過立法對現(xiàn)有的關鍵信息基礎設施保護策略進行調整和完善,強化關鍵信息基礎設施保護責任,推進供應鏈安全保障。立足新形勢、把握新趨勢,有必要進一步推進關鍵信息基礎設施保護立法和監(jiān)管,增強塑造網(wǎng)絡安全態(tài)勢的能力和水平。

關鍵信息基礎設施保護面臨新形勢

關鍵信息基礎設施保護當前所面臨的挑戰(zhàn)是多方位、多角度的:既有來自網(wǎng)絡空間內的“線上”安全威脅,也有來自現(xiàn)實中的“線下”安全威脅;既要考慮到自然災害等意外事故,也要考慮國際關系變化、供應鏈切斷等突發(fā)事件。關鍵信息基礎設施安全事件引發(fā)的危害,不再局限于網(wǎng)絡通信受損、數(shù)據(jù)泄露,而是會進一步擴散蔓延,導致能源電力、公共服務、醫(yī)療衛(wèi)生、交通運輸?shù)葌鹘y(tǒng)行業(yè)的連鎖反應,影響國家安全。

第一,關鍵信息基礎設施運營者在安全保護體系內的角色越發(fā)突出。關鍵信息基礎設施運營者不僅需要不斷強化安全保護措施、制定安全預案和完善安全保護制度,還需要與公安、網(wǎng)信部門等進行更加緊密的溝通配合,以應對不斷變化的安全風險。據(jù)了解,一些國家已經(jīng)或正在對其國內類似主體施加更多義務要求,例如要求關鍵基礎設施運營者在規(guī)定期限內向指定部門報告網(wǎng)絡事件和勒索軟件攻擊;拓展責任主體的范圍、提出更加具體的安全措施要求,并允許進行更嚴格的監(jiān)管和執(zhí)法;要求關鍵網(wǎng)絡系統(tǒng)運營者在規(guī)定期限內制定安全保護方案并報送監(jiān)管部門。

第二,網(wǎng)絡彈性成為關鍵信息基礎設施防護的重點。網(wǎng)絡彈性建設的重點不是事前的風險防控,而是事中事后的應對和恢復,要求運營者具備將網(wǎng)絡安全事件的影響降到最低,并在事件發(fā)生后以最小代價和最短時間恢復核心業(yè)務正常運行的能力。我國數(shù)字經(jīng)濟發(fā)展勢頭強勁、網(wǎng)民規(guī)模和網(wǎng)絡基礎設施建設水平均居世界前列,一旦關鍵信息基礎設施受到網(wǎng)絡安全事件影響而不能及時恢復,造成的損失不可估量。網(wǎng)絡彈性建設已成為國際社會關鍵信息基礎設施防護的重要實踐方向。例如歐盟2022年起草的《網(wǎng)絡彈性法案》以及近期通過的《數(shù)字運營韌性法》和《關于恢復關鍵基礎設施復原力指令》,均包含提高關鍵實體或其網(wǎng)絡軟硬件的網(wǎng)絡彈性的內容,要求確保關鍵實體能夠預防、抵抗破壞性事件并及時恢復。部分國家還主動規(guī)劃和實施網(wǎng)絡彈性建設計劃,包括發(fā)布指南、協(xié)助運營者進行風險評估和模擬安全演練等,其目的是提高跟蹤、快速響應和防御網(wǎng)絡攻擊的能力,幫助本國關鍵信息基礎設施運營者評估和提升網(wǎng)絡彈性水平。

第三,應對關鍵信息基礎設施供應鏈的外部風險予以足夠關注。如果核心技術、產(chǎn)品、服務的供應不能自主可控,相關產(chǎn)業(yè)就會地基不牢,就有在緊要關頭被斷供、“卡脖子”的風險。參考域外供應鏈安全保護實踐最新動向,有以下做法可供借鑒:一是要求關鍵信息基礎設施運營者應當增強識別和降低供應鏈或其使用的第三方產(chǎn)品、服務的風險的能力;二是要求運營者應當注重為關鍵信息基礎設施及其他日?;顒右蕾嚦潭雀叩脑O備提高全生命周期安全保障;三是要求就關鍵信息基礎設施重要客體所用的軟硬件及服務實現(xiàn)國產(chǎn)化替代,保障供應鏈自主可控。

提升我國關鍵信息基礎設施保護能力和水平

我國高度重視關鍵信息基礎設施保護。2022年9月公開的《關于修改〈中華人民共和國網(wǎng)絡安全法〉的決定(征求意見稿)》,也擬提高關鍵信息基礎設施運營者的違法責任?!缎畔踩夹g關鍵信息基礎設施安全保護要求》國家標準于今年5月1日正式實施。面對技術創(chuàng)新和國際競爭新態(tài)勢,應以總體國家安全觀為指導,進一步加強立法和監(jiān)管,提升我國關鍵信息基礎設施保護能力和水平。

第一,細化法律規(guī)則,更好適應各類場景下的安全保護工作需求。對不同行業(yè)、不同領域的關鍵信息基礎設施有針對性地規(guī)定具體保護要求,提高合規(guī)的預期性和執(zhí)法的可操作性。例如在《關鍵信息基礎設施安全保護條例》第十八條規(guī)定的基礎上,進一步明確強制性網(wǎng)絡安全事件報告的時限、程序、平臺。

第二,提高監(jiān)管水平,增強安全監(jiān)管實效。綜合運用規(guī)劃預警、攻防演練、檢查處罰、警示通報等多種監(jiān)管措施,壓實已經(jīng)認定為關鍵信息基礎設施的運營者主體責任,引導、指導和賦能其針對每一個不同的關鍵信息基礎設施采取對應的安全策略。發(fā)展應用監(jiān)管科技,提升以技術管技術的能力。

第三,聚焦供應鏈安全和網(wǎng)絡彈性,增強關鍵信息基礎設施保護能力。以應用帶創(chuàng)新,以創(chuàng)新保安全,增強關鍵技術設備、產(chǎn)品的自主可控,提高軟硬件國產(chǎn)化替代能力,保障關鍵信息基礎設施重要設備、產(chǎn)品的全產(chǎn)業(yè)鏈、全生命周期安全。提高關鍵信息基礎設施運營者安全管控能力,有效應對安全事件不利影響,確保能夠快速恢復穩(wěn)定運行。

第四,堅持普遍安全,積極穩(wěn)妥應對國際變局,做好對境外關鍵信息基礎設施相關立法、政策動向的跟蹤評估,對一些以安全為借口實施的不合理措施,健全阻斷機制、依法有效應對。在反對搞“小圈子”的同時,通過雙邊、多邊框架增進關鍵信息基礎設施保護的國際合作。鼓勵關鍵信息基礎設施運營者和相關產(chǎn)品設備的生產(chǎn)者基于中國實踐經(jīng)驗,積極參與國際技術標準制定。向國際社會提供相關領域互惠互利、安全高效的中國標準、中國方案,為維護關鍵信息基礎設施供應鏈安全貢獻中國力量,共建網(wǎng)絡空間命運共同體。

(作者:周輝,系中國社會科學院習近平新時代中國特色社會主義思想研究中心特約研究員、法學研究所網(wǎng)絡與信息法研究室副主任)

[責任編輯:潘旺旺]