400-6530-200
CAICT观点 | 我国国家关键基础设施信息安全保护立法现状
以立法形式保护国家关键基础设施的信息安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。我国信息化发展已使国家关键基础设施深入社会生产生活各领域,但在取得巨大建设成就的同时,却无一部一般性法律规范其中通行的基本实践和主要制度,已经成为长期、潜在威胁我国网络空间安全的内在因素。
本文对我国立法现状进行了分析总结,描绘出较为完整的我国立法现状全景图。

从法律层面来看,《关于维护互联网安全的决定》、《刑法》相关条款涉及重要信息系统信息安全的刑事保护,但是,并无相关法律规定有国家关键基础设施信息安全的行政保护问题。

行政法规层级,我国曾经制定发布过计算机安全保护和安全联网方面的一般性行政法规,但是从未制定发布过国家关键基础设施信息安全保护方面的一般性行政法规。

1994年发布的《计算机信息系统安全保护条例》(国务院令第147号)、1996年发布的《计算机信息网络国际联网管理暂行规定》(国务院令第195号),属于适用于计算机安全保护和安全联网方面的一般性行政法规;2000年发布的《广播电视设施保护条例》(国务院令第295号),属于适用于国家关键基础设施信息安全保护方面的专门性行政法规。除这三部行政法规以外,国务院未曾制定施行过有关计算机信息系统、国家关键基础设施信息安全保护方面的其他行政法规。这说明,我国至今尚未制定发布国家关键基础设施信息安全保护方面的一般性行政法规。

部门规章层级,基础信息网络信息安全保护方面的部门规章相对健全;重要信息系统、工业控制系统除电力系统以外,尚未制定发布过信息安全保护方面的部门规章。

基础信息网络安全保护方面的部门规章以电信、广电两个行业为代表,前者2009年发布有《通信网络安全防护管理办法》(工信部令第11号),后者2002年发布有《有线广播电视传输覆盖网安全管理办法》(广电总局令第13号)、2009年发布有《广播电视安全播出管理规定》(广电总局令第62号)等 。重要信息系统、工业控制系统中,电力行业发布有《电力二次系统安全防护规定》(电监会令第5号)等部门规章,除此之外,各运行使用单位及其上级主管部门、监管部门未曾发布施行过部门规章级别的信息安全保护管理规定,说明我国重要信息系统、工业控制系统信息安全保护部门规章立法存在较为明显的空白和疏漏。

部门规章层级以下,以20个重要行业为基数,55%的国家关键基础设施未曾制定过信息安全保护方面的任何规定,40%的国家关键基础设施制定并发布过信息安全保护规定,但都是以规范性文件、标准规范或者地方或单位内部规定形式发布施行的。

由于国家关键基础设施最先从行业企业领域的建设和应用开始,因此,其信息安全保护立法也是以行业企业自我摸索为主,主要表现为各行业企业的规范性文件、标准规范以及地方或单位内部规定等形式。迄今为止,我国各重点行业在国家关键基础设施信息安全保护方面大约制定了10多部相关规范性文件 、20多部相关标准规范以及10多部地方或单位内部规定。其中,石油天然气、石化、公路、医疗卫生、教育、水利、民用核设施、钢铁、有色金属、化工、装备制造等11个行业的上级主管监管部门尚未制定并发布有全国性全行业适用的国家关键基础设施信息安全保护规定,占比55%;电力、银行、证券、保险、铁路、民航、广播电视、通信(电信网、互联网)等8个行业的上级主管监管部门制定并发布有全国性全行业适用的国家关键基础设施安全保护规定,占比40%;国防军工行业情况不详,占比5%。

此外,我国还制定有大量信息安全相关法律法规,其中也曾广泛涉及有关国家关键基础设施信息安全保护的规则内容。

除上述三种类型的已有立法性文件之外,我国还存在大量有关网络与信息安全管理、网络和信息系统安全保障的规范性文件以及法律、行政法规、部门规章、地方性法规和地方政府规章(下称“信息安全相关法律法规”),据不完全统计,截至目前,直接涉及网络和信息系统安全保障的中央文件共有20多件,法律共有6多件,行政法规共有10多件 ,部门规章共有20多件 ,地方性法规和地方政府规章共有20多件,其中零散、杂落地规定了有关国家关键基础设施信息安全保护的个别或部分规范内容。

我国国家关键基础设施信息安全保护立法存在的问题在于,从国家层面缺乏对关键基础设施信息安全的立法保护,现行相关政策和法规疏密不一、保障水平差距较大,即便电信、电力等安全保护水平较高的行业,其现行部门规章也无法完全满足安全保护的法律需求,无法有效保障关键基础设施的信息安全。

一是已有的大多数立法文件发生于上世纪90年代,早已不能准确反映普遍联网、深化应用后遍布于全网全系统的各类超级持续威胁及其安全应对需求。

当时的立法目的在于防止计算机系统被他人非授权使用,援用的安全管理理念就是基于《可信计算机评估准则(TCSEC)》、《欧洲白皮书—信息技术安全评估标准(ITSEC)》等提供的等级保护和安全评估,使得立法的总体思路带有“计算机安全(INFOSEC)”时代的浓厚特色 ,与后来发生的“网络安全(NETSEC)”以及“信息保障(IA)”存在较大的时间和制度落差,早已无法面向普遍联网、深化应用后遍布社会生产生活各领域的各种国家关键基础设施,提供适于解决全网全系统各类潜在、大规模超级持续威胁的整套法律制度,因此,合理推定其中很多条款内容已经不能完全适应国家关键基础设施安全保护的总体形势和实际需求。

二是立法并未随时代变迁而演进,致使已有的规定事项相对于现实情况而言存在明显的缺漏和遗失。

国务院行政法规层面的已有立法,尽管已经提供了计算机安全(INFOSEC)时代符合中国特色的应有法律制度选项,例如等级保护、国际联网许可备案、计算机病毒防治管理、安全专用产品销售许可等,但是却没有汲取安全技术标准、安全防护计划、安全风险评估等计算机安全(INFOSEC)时代国际社会普遍采行的应有法律制度,更没有规范资产认定、清单登记、合作共享、应急处置、供应链风险管理、监测预警等网络安全(NETSEC)时代广泛适用于各国信息保障(IA)实践的通用法律制度,因此,存在明显而重大的立法滞后和法律空白。

部门规章层面的已有立法,主要表现为电信、广电两个行业基础信息网络安全保护相关规定,而重要信息系统除电力行业外则尚未制定有任何安全保护的部门规章;基础信息网络安全保护的部门规章,由电信和广电两个行业分别制定,属于单独适用于这两个行业的专门性部门规章,尚没有制定有通用于这两个行业的一般性部门规章;就已经存在的基础信息网络安全保护专门性部门规章而言,其中的规范内容大多属于独具本行业管理特色的一些个性化做法和措施,例如《通信网络安全防护管理办法》(工信部令第11号)中规定的行业标准、安全保障设施、单元划分定级和备案、安全防护措施符合性评测、单元备份、安全检查、安全监测、应急演练等,《有线广播电视传输覆盖网安全管理办法》(广电总局令第13号)、《广播电视安全播出管理规定》(广电总局令第62号)中规定的技术规范、备份冗余、技术监测、播出管理等,无法普遍通用于各种不同行业归属性质的国家关键基础设施 。

从这个意义上讲,目前尽管存在适用于行业的专门性部门规章,但是由于行业本身的局限,依靠从行业角度制定的部门规章来解决跨行业而存在、运行的国家关键基础设施的信息安全保护问题,便会陷入“对象错误”的逻辑悖论,永远都不会使得问题获得正解。

三是在国务院行政法规、部门规章以及规范性文件、标准规范、内部管理规定等三个层面上,同时缺乏普遍通行于各行各业国家关键基础设施信息安全保护的一般性立法文件。

如前所述,国务院行政法规层面,我国已经制定实施了适用于计算机安全保护和安全联网方面的一般性行政法规,以及适用于个别国家关键基础设施信息安全保护方面的专门性行政法规,但是尚未制定实施有普遍适用于各行各业国家关键基础设施信息安全保护方面的一般性行政法规;部门规章层面,电信、广电两个行业已经制定实施有单独适用于电信网络、广播电视传输网络信息安全保护方面的专门性部门规章,但是尚未制定实施有普遍适用于电信、广电等各类基础信息网络信息安全保护的一般性部门规章,更没有制定实施有普遍适用于各行各业重要信息系统、工业控制系统信息安全保护的一般性部门规章;部门规章以下,绝大多数国家关键基础设施从未制定实施过任何信息安全管理方面的办法和规定,制定有相关办法和规定的,也属于单独适用于某类重要信息系统的专门性管理办法和规定,不属于普遍适用于各行各业重要信息系统的一般性管理办法和规定。

山西省数字证书认证中心  版权所有(晋ICP备05003993号)