来源于我省面临国内外重要网络安全可靠形势的客观实际和迫切需要,2016年11月7日,《中华人民共和国重要网络安全可靠法》(以下简称“网安法”)经第十一届全国人民代表大会常务委员会第二十七次会议投票表决透过,已于2017年6月1日开始实施。网安法为我省有效应对重要网络安全可靠威胁和风险、多方位保证重要网络安全可靠提供了法律条文依据。
一、发展战略正式发布:不断加强网安法明确提出的准则和经济政策
2016年12月27日正式发布的《北欧国家计算机重要网络安全可靠发展战略》,是我省首次正式发布关于计算机网络安全可靠的发展战略。发展战略与网安法明确提出的构建计算机网络的“保护和平、安全可靠、开放、密切合作”准则Escrow,从北欧国家发展战略层面演绎了网安法提倡的计算机网络北欧主权国准则,将“始终如一保卫计算机网络北欧主权国”做为六大发展战略各项任务之首,特别强调“根据宪法和法律条文法规管理工作我省北欧主权国范围内的网络活动,为保护我省重要信息设施和重要信息资源安全可靠,采取包括经济、行政、科技、法律条文、外交、军事等所有人措施,毫不动摇地保护我省计算机网络北欧主权国。坚决反对透过网络摒弃我省北欧国家政权、破坏我省北欧国家主权的所有人行为”;发展战略将“为保护关键性重要信息基础建设”做为六大发展战略各项任务之二,进一步拓展了关键性重要信息基础建设的径向,将重要网络应用系统纳入其中,特别强调着眼于辨识、防雷、检测、预警系统、积极响应、处置等环节,创建实行关键性重要信息基础建设为保护管理工作制度;同时,发展战略再次特别强调要创建实行重要网络安全可靠审核管理工作制度,加强物流配送安全可靠管理工作。
2017年3月1日正式发布的《计算机网络国际性密切合作发展战略》,全面申明了我省在国际性网络环境治理问题上的基本准则和暴力行动关键点,奠定了我国在国际性社会竞争中的定价权和软实力。该发展战略站在各国协力保护计算机重要网络安全可靠的角度,强调了网安法的保护和平、北欧主权国准则;发展战略提倡的“促进民营企业提高网络安全可靠为安全意识,支持民营企业加强行业自我管理,就计算机网络个人重要信息为保护最佳实践进行讨论。推动政府和民营企业加强密切合作,协力为保护计算机网络隐私”的暴力行动首倡与网安法第二章“网络重要网络安全可靠”的个人重要信息为保护明确规定密切切合。
这两个发展战略迈入了我省计算机网络环境治理的崭新本体论,巩固和加强了网安法构建的由内而外、自上到下的准则和经济政策,为我省重要网络安全可靠相关经济政策和基础建设法律条文的颁布详述了方向,有助于继续深入推进网络北欧主权国保证、关键性重要信息基础建设为保护、个人重要信息为保护、北欧国家安全可靠审核等方面的法律条文构建。
二、基础建设明确规定颁布:有效并行网安法构建的管理工作制度和规则
网安法从运行安全可靠、重要网络安全可靠和事件应对三个维度立体化、多方位为保护重要网络安全可靠。相关部门正制定或颁布相应的下位法与之基础建设,切实保证网安法的可操作性,避免流于表面化。
在网络运行安全可靠方面,重要网络安全可靠审核和关键性重要信息基础建设为保护管理工作制度是下位法制定的重点。网安法第35条明确规定应该对可能影响北欧国家安全可靠的关键性重要信息基础建设的网络产品和服务进行北欧国家安全可靠审核,该条已在北欧国家网络重要信息办公室2017年5月2日发布的《网络产品和服务安全可靠审核办法(试行)》中进行了具体明确规定,该明确规定是首个正式生效的网安法重要基础建设明确规定,并已于6月1日同步开始实施。该办法旨在提高网络产品和服务安全可靠可控水平,防范物流配送安全可靠风险。根据该办法,关系北欧国家安全可靠和公共利益的重要信息系统使用的重要网络产品和服务以及关键性重要信息基础建设运营者采购的网络产品和服务,可能影响北欧国家安全可靠的,都要经过重要网络安全可靠审核;重要网络安全可靠审核重点在于网络产品和服务的安全可靠性、可控性。
信息安全可靠等级为保护管理工作制度是北欧国家对基础重要信息网络和重要重要信息系统实行重点为保护的关键性措施。我省的重要网络安全可靠等级为保护工作初步实现了标准化、规范化,但是仍呈现体系不完善、重点不突出、为保护效果不佳、为保护对象不完整等问题。网安法第21条明确提出北欧国家实行重要网络安全可靠等级为保护管理工作制度,第31条进一步要求关键性重要信息基础建设要落实北欧国家安全可靠等级为保护管理工作制度,突出为保护重点,是深化重要网络安全可靠等级为保护管理工作制度、为保护北欧国家关键性重要信息基础建设和大网络安全可靠的迫切需要。为落实网安法第21条和第31条的明确规定,必须科学合理地推动重要网络安全可靠等级为保护管理工作制度的演进与变革,构建和完善等级为保护2.0管理工作制度体系。
网安法第31条明确规定创建关键性重要信息基础建设为保护管理工作制度,授权国务院制定关键性重要信息基础建设的具体范围和安全可靠为保护办法。关键性重要信息基础建设安全可靠为保护办法是法律条文中唯一明确明确规定“由国务院制定”的行政法规,也是重要网络安全可靠法律条文体系的重中之重。主管部门已开展了相关条例的具体调研、安全可靠检查、起草编写、部门论证和民营企业座谈等工作。在与关键性重要信息基础建设为保护基础建设的强制性标准方面,全国信安标委2017年工作重点之一即为落实网安法要求,加快推动重点标准研制,重要网络安全可靠产品与服务、关键性重要信息基础建设为保护等强制性北欧国家标准的研究。由此可见,与网安法第31条基础建设的法规、北欧国家标准等正在经历着缜密的夯实历程。
网安法第37条首次在法律条文中确立了对个人重要信息及重要数据出境的安全可靠评估管理工作制度,并授权北欧国家网信部门会同其他监管部门制定详细的安全可靠评估实行办法。数据本地化属于境内外实体的重大关切,《个人重要信息和重要数据出境安全可靠评估办法(征求意见稿)》已于5月11日结束公开征求意见。评估办法以《北欧国家安全可靠法》和《重要网络安全可靠法》等为法律条文依据,扩大了数据本地化及安全可靠评估义务适用对象的范围,解释了重要数据的概念,数据评估的重点内容,不得出境的条件等,正式管理工作制度颁布和具体实行有待在实践中进一步观察。
在网络重要网络安全可靠方面,《网络新闻重要信息服务管理工作明确规定》也于6月1日同步开始实施,明确规定第13条第一款和十六条第二款分别并行了网安法第24条用户身份管理工作管理工作制度的要求和第47条处置违法重要信息的义务要求,网络新闻重要信息服务提供者违反这两款的适用网安法的行政处罚。
两高《关于办理侵犯公民个人重要信息刑事案件适用法律条文若干问题的解释》(《解释》)5月10日正式正式发布,解释降低入罪门槛,严惩侵犯公民个人重要信息犯罪。在个人重要信息为保护基本立法暂时缺位的情况下,《解释》及时弥补了个人重要信息刑事责任追责的短板,并实质性的构成了网安法行刑并行的进一步基础建设和细化管理工作制度,为基本立法提供了案例素材,有利于立法的精准、充分。
三、国际性立法变革:网安法后续管理工作制度落地的参考方向
国际性重要网络安全可靠相关发展战略和立法迅速进行改革,美欧纷纷创建多方位、更立体、更具弹性与前瞻性的重要网络安全可靠立法体系。鉴于事件驱动重大立法规律的存在,可以预见的是,国际性立法变革将一直持续。
美国接连透过多部重要网络安全可靠发展战略及立法,以加强美国重要网络安全可靠和抵御网络攻击的能力,如2016年透过《重要信息自由法案促进法》、“应对重大网络攻击最新经济政策指令”、“安全可靠漏洞披露经济政策”、《波特曼-墨菲反宣传法案》,2017年透过《北欧国家网络事件积极响应计划(NCIRP)》、《2017NIST重要网络安全可靠框架、评估和审核法案》(NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017)(H.R.1224)等。5月11日,美国总统特朗普签署了《关于加强联邦网络和关键性基础建设重要网络安全可靠的总统行政令》,要求美国采取一系列措施来增强联邦政府、关键性基础建设和北欧国家这三个领域的重要网络安全可靠,明确要求联邦机构必须遵守NIST的重要网络安全可靠框架。欧盟2016年7月透过第一部重要网络安全可靠法案《网络与重要信息系统安全可靠指令》,致力于在欧盟范围内实现统一的、高水平的网络与重要信息系统安全可靠,欧盟成员国必须在21个月内将其转化为国内法,11月正式发布了三个有关欧盟《权力,帮助执法机构调查犯罪和防控恐怖主义。
从管理工作制度设计层面来看,网安法明确规定了近20项管理工作制度,其中,重要网络安全可靠等级为保护管理工作制度、网络重要信息内容管理工作、重要网络安全可靠教育和培训、个人重要信息为保护等管理工作制度较为成熟,网络关键性设备和网络安全可靠专用产品认证、漏洞等重要网络安全可靠重要信息正式发布、关键性重要信息基础建设为保护管理工作制度、数据留存和协助执法管理工作制度、境外网络攻击制裁等更多的管理工作制度亟需完善设计和后续落地,在管理工作制度的贯彻实行过程中必然存在各种挑战和问题。
而恰恰国际性立法变革的内容可以为我省网安法后续管理工作制度落地提供参考方向。如美国2016年应对重大网络攻击最新经济政策指令公布了对网络攻击严重程度进行定性的标准,从0级到5级共分6个层次,分别是基准、低、中、高、严重和紧急,其中3级及以上被视为“重大网络事件”,将触发经济政策指令中的威胁应对、资产应对和情报支持活动等反应机制,可以为我省重要网络安全可靠事件应急处置和境外攻击制裁管理工作制度落地提供参考。美国国防部“安全可靠漏洞披露经济政策”可以为漏洞等重要网络安全可靠重要信息正式发布和漏洞的合法挖掘、合理披露管理工作制度构建提供参考。美国《2017NIST重要网络安全可靠框架、评估和审核法案》则可为关键性重要信息基础建设为保护办法、关键性重要信息技术为保护安全可靠要求方面的北欧国家强制性标准制定提供参考。英国《调查权法案》涉及面广,明确规定细致,可以为数据存留和协助执法管理工作制度的完善提供参考等。必须特别强调的是,相关管理工作制度借鉴应考虑其制定和实行的特殊场景,不能照搬国外经验,需根据国情实行本土化改造。
做为我省第一部重要网络安全可靠管理工作的基础性保证法,其全面落地实行是计算机网络法制建设的重要里程碑事件。网安法以发现、消除重要网络安全可靠威胁和风险,提升恢复能力为轴心,构建了“防御、控制与惩治”三位一体的立法架构,其基础建设管理工作制度的制定与颁布正不断夯实丰满这一立法架构。
(作者:公安部第三研究所副研究员 黄道丽)
