近年来,网络安全事件频发,呈现不确定性、全局性和连锁性特点,加强监测预警已经成为国际社会的普遍共识,重视应急
原题:确立监测预警与应急处置制度正当时
——从网络安全法草案征求意见谈起
网络安全,事关国家安全、社会稳定和人民安全,网络空间安全治理已经成为国家网络强国的战略抉择。
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》并面向社会公开征求意见。草案内容涵盖网络安全战略、网络运行安全、网络信息安全、监测预警与应急处置等重要制度。
笔者认为,草案中规定的监测预警与应急处置制度,对我国的网络安全保护具有十分重要的意义。
近年来,网络安全事件频发,呈现不确定性、全局性和连锁性特点,加强监测预警已经成为国际社会的普遍共识,重视应急响应更是网络安全活动的基本措施。
以国家关键基础设施的网络信息安全保护为例:在经历了2009年“震网”病毒袭击伊朗核设施工控系统、2013年韩国三家主流电视台和六家金融机构的计算机网络因黑客攻击而全面瘫痪等严重事件后,国家关键基础设施作为保障社会正常持续运转的重要支撑,其网络信息安全监测预警问题在世界范围内受到了空前关注。这些信息化系统不仅将国家关键基础设施内部的各个组成部分联结在一起,而且增强了不同国家关键基础设施部门之间的依赖性。如果网络信息安全事件一旦发生,会严重影响到国家关键基础设施的持续正常运行,并对国家安全和社会稳定造成前所未有的威胁。
从世界范围来看,美国、德国、澳大利亚、奥地利、巴西、加拿大、爱沙尼亚、芬兰、法国、印度等国家均制定了与本国国情相适应的针对国家关键基础设施网络信息安全事件的监测预警与应急处置制度,具体而言,呈现出以下立法趋势:通过建立相应的预警发布中心,以保障国家关键基础设施网络信息安全事件监测通报与预警的有效实施;强调政府机构与私营部门之间对网络信息安全事件预警信息的共享,并普遍建立了信息共享和分析中心;确立了系统的国家关键基础设施网络信息安全事件信息监测与报送机制;在国家关键基础设施网络信息安全事件预警级别确认、预警启动和预警解除等方面,各国也都作出了具体而细致的规定。此外,各国也纷纷通过相关立法,加强和国家关键基础设施有关的网络信息安全事件应急响应与控制恢复能力。
联系实际看,我国具有从国家层面增强对关键基础设施信息安全保护的迫切需要。尽管我国信息化建设尚处在初级阶段,但面临的网络信息安全问题却是全方位的、与世界同步的,而且我国还面临错综复杂的国际环境下与我国国情相关的特殊网络信息安全问题。而关键基础设施是一个有机的综合系统,内部各分类设施系统之间联系非常紧密,并且这个系统在其内部以及同外界环境之间均需协调一致,才能正常良好地运转。
因此,笔者认为,在国家关键基础设施信息安全保护方面,我国更是迫切需要在立法中确立系统完善的网络信息安全事件预警监测与应急处置制度,特别是针对国家关键基础设施的相关制度,以法的强制性来控制和消除网络信息安全事件带来的负面影响,这对于有效保障国家关键基础设施网络信息安全的实现、支撑整个社会持续稳定的正常运转,是非常有必要的。
自1994年以来,我国网络信息安全监测预警和应急立法有关问题开展了政策和法律研究。2007年颁布的《突发事件应对法》标志着我国突发事件应对工作全面纳入法制化轨道,其中的突发事件监测预警和应急处置制度的规范内容框架基本可以适用于网络信息安全保护。该法根据社会危害程度和影响范围的不同将突发事件分为特别重大、重大、较大和一般四级,确立了突发事件的预防与应急准备制度,监测与预警制度,应急处置制度以及事后恢复与重建制度。
此外,在应急处置制度方面,我国现行的法律和行政规章中还有一些应急的零散规定,如国务院147号令规定,公安部在紧急情况下,可以就涉及计算机信息安全的特定事项发布专项通令;国务院291号令规定,在发生重大自然灾害等紧急情况下,经国务院批准,国务院信息产业主管部门可以调用各种电信设施,确保重要通信畅通;国务院27号文中也规定,国家和社会各方面都要充分重视信息安全应急处理工作,进一步完善国家信息安全应急处理协调机制,建立健全指挥调度机制和信息安全通报制度,加强信息安全事件的紧急处置工作。此外,在一些行业内部已经有关于应急响应的规定,如人民银行于2002年出台的《商业银行内部控制指引》和《关于加强银行数据集中安全工作的指导意见》,对金融行业的应急管理作出了具体的规定。2003年,我国成立了“国家计算机网络应急技术处理协调中心”(CNCERT)。
分析现阶段网络信息安全应急相关法律规范,我们可以发现,我国网络信息安全预警监测和应急法制建设缺乏统一规划的问题十分突出,现行法律法规中的“被动保护观念”无法适应当前网络信息安全危机四伏的国际势态,也不符合国务院27号文所提出的“积极防御”思想。虽然已经对网络信息安全应急法制建设有了足够的重视,在网络信息安全应急管理机构的设置、人员的培训方面取得了一定的成效,但是对应急过程中出现的各种问题,还没有提出有效的解决方案。
网络信息安全紧急事件的频繁发生,特别是在国家关键基础设施领域网络信息安全事件频发的背景下,要求我们必须建立一套完整、科学、有力的网络信息安全事件监测通报与预警机制,而这一机制必须是全方位的、打破条块分割的、健全综合的预警机制。同时,鉴于网络信息安全的专业性,必须建立专门的常设监测预警机构,及时准确地收集掌握各种情报信息,及时把握网络信息安全事件发生的规律和动态,才能有效保证对网络信息安全事件的性质、范围和严重程度作出准确的判断。
草案将监测预警与应急处置制度作为专章来进行规定,要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作;建立网络安全应急工作机制,制定应急预案;规定预警信息的发布及网络安全事件应急处置措施。草案考虑到了网络安全风险事件发生的不可逆性,将监测预警和应急处置制度提升到了十分显著的位置,这是我国网络安全立法的重大突破,也表明我国在网络安全保护领域的思路有了重大加深、拓宽,对网络安全法律体系的构建必将产生重要的推动作用。
同时,笔者认为,面对技术的不确定性挑战,网络安全法草案应当进一步明确以下内容:一是明确应急执法中责任的承担。在网络安全应急的执法过程中,必然存在着许多不按照法律规定办事的行为,如不按照规定制定应急计划,拒绝承担应急准备义务,玩忽职守,拒不执行应急计划,不服从命令等,对这些违法行为应该如何处罚,草案中并无规定,这无法保证应急处置措施的真正落实到位;
二是加强对应急技术储备的法律保障。只规定应急的非技术要件是不够的,要在实际中建立快速的反应机制,对突发事件作出快速的反应,大量需要的是应急技术的支持,关键的应急技术储备是我们掌握网络安全应急主动权的关键。因此,应急的技术开发就显得特别重要。
从我国目前的情况来看,我们的大部分应急技术还是依赖国外,无法摆脱应急技术受制于人的局面,国家必须花大力气扭转被动局面。特别是针对应急技术开发中涉及的资金来源、人员培训以及基础网络建设等方面,亟需在立法中予以明确;三是建立国家关键基础设施网络信息安全事件应急处置总结和报告制度,国家主管部门应当及时查明网络信息安全事件的发生经过和原因,总结事件应急处置和恢复重建工作的经验教训,制定改进措施。
(作者系乐竞中国信息安全法律研究中心秘书长)
(《法治周末》2015年7月23日 “思想库”栏目)文章链接:http://www.legalweekly.cn/index.php/Index/article/id/8125