作者|陳川 陳嘉煜
責編|薛應軍
近期,國家互聯(lián)網信息辦公室發(fā)布《網絡安全事件報告管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。《征求意見稿》進一步貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規(guī),規(guī)范網絡安全事件報告制度,減少網絡安全事件造成的損失、危害,以維護國家網絡安全。
網絡安全關涉國家與公民信息安全
安全是發(fā)展的前提和保障,網絡安全是國家安全的重要組成部分。加快推進數字中國建設,必須切實維護網絡安全。2023年印發(fā)的《數字中國建設整體布局規(guī)劃》明確提出,筑牢可信可控的數字安全屏障。切實維護網絡安全,完善網絡安全法律法規(guī)和政策體系。增強數據安全保障能力,建立數據分類分級保護基礎制度,健全網絡數據監(jiān)測預警和應急處置工作體系。一個強大而高性能的網絡,是保障數字中國發(fā)展的重要基礎。網絡安全除涉及個人隱私與財產安全外,還涉及國家特殊領域機密、關鍵基礎設施保護,因此,保障網絡安全對于國家與公民之安全至關重要。網絡原本是為人們便捷與高效進行信息交流和資源共享而發(fā)展出來的一種技術或工具,但正是因為網絡信息共享的覆蓋面大,掌握公民個人信息的數量不斷增加,若其中某一系統(tǒng)出現(xiàn)漏洞則會導致“牽一發(fā)而動全身”之嚴重后果。因此,為保障國家與公民信息安全,網絡安全有關部門需要在事件發(fā)生后以最快速度掌握網絡安全事件的基本情況。
此次《征求意見稿》將網絡安全事件定義為由于人為原因、軟硬件缺陷或者故障、自然災害等,對網絡和信息系統(tǒng)或其中的數據造成危害,對社會造成負面影響的事件。該定義清晰地界定了網絡安全事件發(fā)生的原因與范圍,為規(guī)制網絡安全事件報告提供了明確指引。
厘清網絡安全主管部門職責 明確事件報告時間
《征求意見稿》第三條、第四條規(guī)定,有關國家網絡安全事件的報告與監(jiān)管工作由國家網信部門負責,有關本行政區(qū)域內網絡安全事件的報告與監(jiān)管工作由地方網信部門負責。該規(guī)定根據地域范圍將不同領域的網絡安全事件劃分給確定的部門負責,厘清了各部門的管理責任,避免因權責不清導致管理真空或出現(xiàn)管理混亂的情況。
此外,《征求意見稿》明確了網絡安全事件的報告時間。《網絡安全事件分級指南》將網絡安全事件劃分為較大、重大、特別重大三個等級,《征求意見稿》規(guī)定凡屬上述三類案件,均應在1小時內進行報告。其中:網絡和系統(tǒng)歸屬于中央和國家機關各部門及其管理的企事業(yè)單位的重大、特別重大網絡安全事件,各部門網信工作機構應當于1小時內向國家網信部門報告;網絡和系統(tǒng)為關鍵信息基礎設施的重大、特別重大網絡安全事件,保護工作部門在收到報告后應當于1小時內向國家網信部門、國務院公安部門報告;其他網絡和系統(tǒng)的重大、特別重大事件,屬地網信部門在收到報告后應當于1小時內逐級向上級網信部門報告。有行業(yè)主管監(jiān)管部門的,運營者還應當按照行業(yè)主管監(jiān)管部門要求報告。發(fā)現(xiàn)涉嫌犯罪的,運營者應當同時向公安機關報告。
明確規(guī)定網絡運營者責任
《征求意見稿》明確規(guī)定網絡運營者的責任,以期通過約束運營者的行為達到預防與補救有效結合消除隱患防止危害擴大的目的。
事前制定網絡安全事件應急預案?!墩髑笠庖姼濉返谒臈l要求運營者在發(fā)生網絡安全事件時需及時啟動應急預案進行處置。應急預案應當涵蓋處置系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險的技術補救措施和其他必要措施,并按照規(guī)定向有關主管部門及時報告。
事中明確報告的基本內容,及時準確地掌握情況?!墩髑笠庖姼濉返谖鍡l要求運營者按照《網絡安全事件信息報告表》報告事件,至少包括事發(fā)單位名稱、事件發(fā)現(xiàn)或發(fā)生時間、地點、事件類型、已造成的影響、事態(tài)發(fā)展趨勢及初步分析的事件原因等七項具體內容。方便后續(xù)對該事件的解決進行指導,對相關單位的改進措施提出針對性建議。此外,《征求意見稿》規(guī)定因考慮到網絡空間涉及內容的復雜性、保密性,在發(fā)生網絡安全問題時,運營者可能無法在短時間內找出原因,故為防止造成的危害結果進一步擴大,可先對事件的基本情況進行報告,上級主管部門在知悉相關情況后可協(xié)助解決相關問題。
事后全面分析事件,加強運營服務安全?!墩髑笠庖姼濉返谄邨l規(guī)定了事后復盤的系列措施。如處置結束后運營者應當于5個工作日內對事件原因、應急處置措施、危害、責任處理、整改情況、教訓等進行全面分析總結,形成報告按照原渠道上報。通過對已經制定的網絡安全管理制度重新審查而予以調整,將之前概括的規(guī)定細致化,之前空缺的規(guī)定進行補充。這讓運營者更了解其自身不足的同時,也可以讓網信部門對該類安全問題予以重視,從而及時予以防范,以保障網絡安全,減少類似網絡安全事件發(fā)生。
建議進一步細化瀆職與違法責任
《征求意見稿》第四條明確規(guī)定屬于重大、特別重大網絡安全事件的,都應逐級向國家網信部門報告;第十條第三款規(guī)定,有關部門未按照本辦法規(guī)定報告網絡安全事件的,由上級機關責令改正,對直接負責的主管人員和其他直接責任人員依法予以處分,涉嫌犯罪的,依法追究刑事責任。由此可見,在重大、特別重大網絡安全事件中涉及下級部門向上級部門逐級報告的情況,若其中某一部門未按照規(guī)定報告,則會造成上級部門信息閉塞無法及時對運營者作出指示,最終造成損失擴大。但該規(guī)定僅指出需要對負責人員予以處分,并未明確具體責任,可考慮進一步細化處分的內容,即主管人員、直接負責人失職至何種情況會給予警告、記過等處分。
建議進一步明確運營者的違法責任?!墩髑笠庖姼濉返谑畻l第一、第二款規(guī)定,運營者未按照本辦法規(guī)定報告網絡安全事件的,網信部門按照有關法律、行政法規(guī)的規(guī)定進行處罰。因運營者遲報、漏報、謊報或者瞞報網絡安全事件,造成重大危害后果的,對運營者及有關責任人員依法從重處罰。相較于2021年國務院出臺的《關鍵信息基礎設施安全保護條例》第四十條的規(guī)定可以看出,上述規(guī)定在運營者違法責任方面較為簡略?!蛾P鍵信息基礎設施安全保護條例》第四十條針對在關鍵信息基礎設施發(fā)生重大網絡安全事件或者發(fā)現(xiàn)網絡安全威脅時,運營者未按照規(guī)定向保護工作部門、公安機關報告情形下劃定了詳細的違法責任。《征求意見稿》亦可在違法責任部分針對運營者不同程度的違法情形劃分責任類型,為執(zhí)法者、運營者提供明確的行為指引。同樣,《征求意見稿》第十一條規(guī)定,發(fā)生網絡安全事件時運營者已采取合理必要的防護措施,按照本辦法規(guī)定主動報告,同時按照預案有關程序進行處置,盡最大努力降低事件影響,可視情況免除或從輕追究運營者及有關責任人的責任。該條款規(guī)定了排除或從輕追究運營者的違法責任,但未對具體情形進行規(guī)定,即降低事件影響應當以達到何種標準為依據。建議根據事件采取合理必要措施后安全等級是否下降至重大、較大或者一般來確定事件造成的影響,一旦符合較低或者更低等級的條件,即認為運營者努力降低事件影響,視具體情形免除或者免予追究責任。
(作者單位:山西大學法學院)