本文轉自【光明網-《光明日報》】;
【資政場】
作者:周 輝(中國社會科學院習近平新時代中國特色社會主義思想研究中心特約研究員、法學研究所網絡與信息法研究室副主任)
隨着以數字化、網絡化、智能化為代表的新一代信息技術在經濟社會各領域的廣泛應用,公共通信和信息服務、能源、交通、水利、金融、公共服務等重要行業和領域的關鍵信息基礎設施,已經成為經濟社會運行的神經中樞,其安全保護成為網絡安全防護的重中之重。在全球網絡攻擊範圍不斷擴大、影響越發嚴重的背景下,許多國家和地區先後通過立法對現有的關鍵信息基礎設施保護策略進行調整和完善,強化關鍵信息基礎設施保護責任,推進供應鏈安全保障。立足新形勢、把握新趨勢,有必要進一步推進關鍵信息基礎設施保護立法和監管,增強塑造網絡安全態勢的能力和水平。
關鍵信息基礎設施保護面臨新形勢
關鍵信息基礎設施保護當前所面臨的挑戰是多方位、多角度的:既有來自網絡空間內的“線上”安全威脅,也有來自現實中的“線下”安全威脅;既要考慮到自然災害等意外事故,也要考慮國際關係變化、供應鏈切斷等突發事件。關鍵信息基礎設施安全事件引發的危害,不再侷限於網絡通信受損、數據泄露,而是會進一步擴散蔓延,導致能源電力、公共服務、醫療衞生、交通運輸等傳統行業的連鎖反應,影響國家安全。
第一,關鍵信息基礎設施運營者在安全保護體系內的角色越發突出。關鍵信息基礎設施運營者不僅需要不斷強化安全保護措施、制定安全預案和完善安全保護制度,還需要與公安、網信部門等進行更加緊密的溝通配合,以應對不斷變化的安全風險。據瞭解,一些國家已經或正在對其國內類似主體施加更多義務要求,例如要求關鍵基礎設施運營者在規定期限內向指定部門報告網絡事件和勒索軟件攻擊;拓展責任主體的範圍、提出更加具體的安全措施要求,並允許進行更嚴格的監管和執法;要求關鍵網絡系統運營者在規定期限內製定安全保護方案並報送監管部門。
第二,網絡彈性成為關鍵信息基礎設施防護的重點。網絡彈性建設的重點不是事前的風險防控,而是事中事後的應對和恢復,要求運營者具備將網絡安全事件的影響降到最低,並在事件發生後以最小代價和最短時間恢復核心業務正常運行的能力。中國數字經濟發展勢頭強勁、網民規模和網絡基礎設施建設水平均居世界前列,一旦關鍵信息基礎設施受到網絡安全事件影響而不能及時恢復,造成的損失不可估量。網絡彈性建設已成為國際社會關鍵信息基礎設施防護的重要實踐方向。例如歐盟2022年起草的《網絡彈性法案》以及近期通過的《數字運營韌性法》和《關於恢復關鍵基礎設施復原力指令》,均包含提高關鍵實體或其網絡軟硬件的網絡彈性的內容,要求確保關鍵實體能夠預防、抵抗破壞性事件並及時恢復。部分國家還主動規劃和實施網絡彈性建設計劃,包括髮布指南、協助運營者進行風險評估和模擬安全演練等,其目的是提高跟蹤、快速響應和防禦網絡攻擊的能力,幫助本國關鍵信息基礎設施運營者評估和提升網絡彈性水平。
第三,應對關鍵信息基礎設施供應鏈的外部風險予以足夠關注。如果核心技術、產品、服務的供應不能自主可控,相關產業就會地基不牢,就有在緊要關頭被斷供、“卡脖子”的風險。參考域外供應鏈安全保護實踐最新動向,有以下做法可供借鑑:一是要求關鍵信息基礎設施運營者應當增強識別和降低供應鏈或其使用的第三方產品、服務的風險的能力;二是要求運營者應當注重為關鍵信息基礎設施及其他日常活動依賴程度高的設備提高全生命週期安全保障;三是要求就關鍵信息基礎設施重要客體所用的軟硬件及服務實現國產化替代,保障供應鏈自主可控。
提升中國關鍵信息基礎設施保護能力和水平
中國高度重視關鍵信息基礎設施保護。2022年9月公開的《關於修改〈中華人民共和國網絡安全法〉的決定(徵求意見稿)》,也擬提高關鍵信息基礎設施運營者的違法責任。《信息安全技術關鍵信息基礎設施安全保護要求》國家標準於今年5月1日正式實施。面對技術創新和國際競爭新態勢,應以總體國家安全觀為指導,進一步加強立法和監管,提升中國關鍵信息基礎設施保護能力和水平。
第一,細化法律規則,更好適應各類場景下的安全保護工作需求。對不同行業、不同領域的關鍵信息基礎設施有針對性地規定具體保護要求,提高合規的預期性和執法的可操作性。例如在《關鍵信息基礎設施安全保護條例》第十八條規定的基礎上,進一步明確強制性網絡安全事件報告的時限、程序、平台。
第二,提高監管水平,增強安全監管實效。綜合運用規劃預警、攻防演練、檢查處罰、警示通報等多種監管措施,壓實已經認定為關鍵信息基礎設施的運營者主體責任,引導、指導和賦能其針對每一個不同的關鍵信息基礎設施採取對應的安全策略。發展應用監管科技,提升以技術管技術的能力。
第三,聚焦供應鏈安全和網絡彈性,增強關鍵信息基礎設施保護能力。以應用帶創新,以創新保安全,增強關鍵技術設備、產品的自主可控,提高軟硬件國產化替代能力,保障關鍵信息基礎設施重要設備、產品的全產業鏈、全生命週期安全。提高關鍵信息基礎設施運營者安全管控能力,有效應對安全事件不利影響,確保能夠快速恢復穩定運行。
第四,堅持普遍安全,積極穩妥應對國際變局,做好對境外關鍵信息基礎設施相關立法、政策動向的跟蹤評估,對一些以安全為藉口實施的不合理措施,健全阻斷機制、依法有效應對。在反對搞“小圈子”的同時,通過雙邊、多邊框架增進關鍵信息基礎設施保護的國際合作。鼓勵關鍵信息基礎設施運營者和相關產品設備的生產者基於中國實踐經驗,積極參與國際技術標準制定。向國際社會提供相關領域互惠互利、安全高效的中國標準、中國方案,為維護關鍵信息基礎設施供應鏈安全貢獻中國力量,共建網絡空間命運共同體。
《光明日報》( 2023年06月17日 05版)