作者|陳川 陳嘉煜
責(zé)編|薛應(yīng)軍
近期,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全事件報告管理辦法(征求意見稿)》(以下簡稱《征求意見稿》)��,向社會公開征求意見�����?����!墩髑笠庖姼濉愤M(jìn)一步貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)���,規(guī)范網(wǎng)絡(luò)安全事件報告制度,減少網(wǎng)絡(luò)安全事件造成的損失���、危害���,以維護(hù)國家網(wǎng)絡(luò)安全��。
網(wǎng)絡(luò)安全關(guān)涉國家與公民信息安全
安全是發(fā)展的前提和保障�,網(wǎng)絡(luò)安全是國家安全的重要組成部分�����。加快推進(jìn)數(shù)字中國建設(shè)����,必須切實維護(hù)網(wǎng)絡(luò)安全。2023年印發(fā)的《數(shù)字中國建設(shè)整體布局規(guī)劃》明確提出�,筑牢可信可控的數(shù)字安全屏障。切實維護(hù)網(wǎng)絡(luò)安全�,完善網(wǎng)絡(luò)安全法律法規(guī)和政策體系。增強(qiáng)數(shù)據(jù)安全保障能力����,建立數(shù)據(jù)分類分級保護(hù)基礎(chǔ)制度,健全網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測預(yù)警和應(yīng)急處置工作體系���。一個強(qiáng)大而高性能的網(wǎng)絡(luò)��,是保障數(shù)字中國發(fā)展的重要基礎(chǔ)��。網(wǎng)絡(luò)安全除涉及個人隱私與財產(chǎn)安全外����,還涉及國家特殊領(lǐng)域機(jī)密、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)�,因此,保障網(wǎng)絡(luò)安全對于國家與公民之安全至關(guān)重要���。網(wǎng)絡(luò)原本是為人們便捷與高效進(jìn)行信息交流和資源共享而發(fā)展出來的一種技術(shù)或工具���,但正是因為網(wǎng)絡(luò)信息共享的覆蓋面大,掌握公民個人信息的數(shù)量不斷增加�����,若其中某一系統(tǒng)出現(xiàn)漏洞則會導(dǎo)致“牽一發(fā)而動全身”之嚴(yán)重后果�。因此,為保障國家與公民信息安全���,網(wǎng)絡(luò)安全有關(guān)部門需要在事件發(fā)生后以最快速度掌握網(wǎng)絡(luò)安全事件的基本情況。
此次《征求意見稿》將網(wǎng)絡(luò)安全事件定義為由于人為原因�����、軟硬件缺陷或者故障、自然災(zāi)害等�����,對網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)造成危害�����,對社會造成負(fù)面影響的事件�。該定義清晰地界定了網(wǎng)絡(luò)安全事件發(fā)生的原因與范圍,為規(guī)制網(wǎng)絡(luò)安全事件報告提供了明確指引�。
厘清網(wǎng)絡(luò)安全主管部門職責(zé) 明確事件報告時間
《征求意見稿》第三條、第四條規(guī)定����,有關(guān)國家網(wǎng)絡(luò)安全事件的報告與監(jiān)管工作由國家網(wǎng)信部門負(fù)責(zé),有關(guān)本行政區(qū)域內(nèi)網(wǎng)絡(luò)安全事件的報告與監(jiān)管工作由地方網(wǎng)信部門負(fù)責(zé)���。該規(guī)定根據(jù)地域范圍將不同領(lǐng)域的網(wǎng)絡(luò)安全事件劃分給確定的部門負(fù)責(zé)���,厘清了各部門的管理責(zé)任,避免因權(quán)責(zé)不清導(dǎo)致管理真空或出現(xiàn)管理混亂的情況�。
此外,《征求意見稿》明確了網(wǎng)絡(luò)安全事件的報告時間�?����!毒W(wǎng)絡(luò)安全事件分級指南》將網(wǎng)絡(luò)安全事件劃分為較大�����、重大���、特別重大三個等級,《征求意見稿》規(guī)定凡屬上述三類案件����,均應(yīng)在1小時內(nèi)進(jìn)行報告。其中:網(wǎng)絡(luò)和系統(tǒng)歸屬于中央和國家機(jī)關(guān)各部門及其管理的企事業(yè)單位的重大�、特別重大網(wǎng)絡(luò)安全事件,各部門網(wǎng)信工作機(jī)構(gòu)應(yīng)當(dāng)于1小時內(nèi)向國家網(wǎng)信部門報告�����;網(wǎng)絡(luò)和系統(tǒng)為關(guān)鍵信息基礎(chǔ)設(shè)施的重大����、特別重大網(wǎng)絡(luò)安全事件�����,保護(hù)工作部門在收到報告后應(yīng)當(dāng)于1小時內(nèi)向國家網(wǎng)信部門、國務(wù)院公安部門報告��;其他網(wǎng)絡(luò)和系統(tǒng)的重大��、特別重大事件��,屬地網(wǎng)信部門在收到報告后應(yīng)當(dāng)于1小時內(nèi)逐級向上級網(wǎng)信部門報告���。有行業(yè)主管監(jiān)管部門的����,運營者還應(yīng)當(dāng)按照行業(yè)主管監(jiān)管部門要求報告�。發(fā)現(xiàn)涉嫌犯罪的,運營者應(yīng)當(dāng)同時向公安機(jī)關(guān)報告���。
明確規(guī)定網(wǎng)絡(luò)運營者責(zé)任
《征求意見稿》明確規(guī)定網(wǎng)絡(luò)運營者的責(zé)任�����,以期通過約束運營者的行為達(dá)到預(yù)防與補(bǔ)救有效結(jié)合消除隱患防止危害擴(kuò)大的目的�。
事前制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案����?�!墩髑笠庖姼濉返谒臈l要求運營者在發(fā)生網(wǎng)絡(luò)安全事件時需及時啟動應(yīng)急預(yù)案進(jìn)行處置��。應(yīng)急預(yù)案應(yīng)當(dāng)涵蓋處置系統(tǒng)漏洞��、計算機(jī)病毒�����、網(wǎng)絡(luò)攻擊�����、網(wǎng)絡(luò)侵入等安全風(fēng)險的技術(shù)補(bǔ)救措施和其他必要措施����,并按照規(guī)定向有關(guān)主管部門及時報告�����。
事中明確報告的基本內(nèi)容�����,及時準(zhǔn)確地掌握情況?!墩髑笠庖姼濉返谖鍡l要求運營者按照《網(wǎng)絡(luò)安全事件信息報告表》報告事件�,至少包括事發(fā)單位名稱、事件發(fā)現(xiàn)或發(fā)生時間�、地點、事件類型��、已造成的影響����、事態(tài)發(fā)展趨勢及初步分析的事件原因等七項具體內(nèi)容。方便后續(xù)對該事件的解決進(jìn)行指導(dǎo)��,對相關(guān)單位的改進(jìn)措施提出針對性建議�。此外,《征求意見稿》規(guī)定因考慮到網(wǎng)絡(luò)空間涉及內(nèi)容的復(fù)雜性���、保密性��,在發(fā)生網(wǎng)絡(luò)安全問題時���,運營者可能無法在短時間內(nèi)找出原因,故為防止造成的危害結(jié)果進(jìn)一步擴(kuò)大,可先對事件的基本情況進(jìn)行報告�,上級主管部門在知悉相關(guān)情況后可協(xié)助解決相關(guān)問題。
事后全面分析事件���,加強(qiáng)運營服務(wù)安全�?���!墩髑笠庖姼濉返谄邨l規(guī)定了事后復(fù)盤的系列措施。如處置結(jié)束后運營者應(yīng)當(dāng)于5個工作日內(nèi)對事件原因����、應(yīng)急處置措施、危害��、責(zé)任處理���、整改情況���、教訓(xùn)等進(jìn)行全面分析總結(jié),形成報告按照原渠道上報�。通過對已經(jīng)制定的網(wǎng)絡(luò)安全管理制度重新審查而予以調(diào)整,將之前概括的規(guī)定細(xì)致化����,之前空缺的規(guī)定進(jìn)行補(bǔ)充��。這讓運營者更了解其自身不足的同時����,也可以讓網(wǎng)信部門對該類安全問題予以重視�,從而及時予以防范�,以保障網(wǎng)絡(luò)安全,減少類似網(wǎng)絡(luò)安全事件發(fā)生��。
建議進(jìn)一步細(xì)化瀆職與違法責(zé)任
《征求意見稿》第四條明確規(guī)定屬于重大�、特別重大網(wǎng)絡(luò)安全事件的,都應(yīng)逐級向國家網(wǎng)信部門報告��;第十條第三款規(guī)定�����,有關(guān)部門未按照本辦法規(guī)定報告網(wǎng)絡(luò)安全事件的��,由上級機(jī)關(guān)責(zé)令改正��,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法予以處分�,涉嫌犯罪的,依法追究刑事責(zé)任。由此可見����,在重大、特別重大網(wǎng)絡(luò)安全事件中涉及下級部門向上級部門逐級報告的情況����,若其中某一部門未按照規(guī)定報告,則會造成上級部門信息閉塞無法及時對運營者作出指示���,最終造成損失擴(kuò)大���。但該規(guī)定僅指出需要對負(fù)責(zé)人員予以處分,并未明確具體責(zé)任����,可考慮進(jìn)一步細(xì)化處分的內(nèi)容,即主管人員���、直接負(fù)責(zé)人失職至何種情況會給予警告����、記過等處分��。
建議進(jìn)一步明確運營者的違法責(zé)任?����!墩髑笠庖姼濉返谑畻l第一��、第二款規(guī)定���,運營者未按照本辦法規(guī)定報告網(wǎng)絡(luò)安全事件的�,網(wǎng)信部門按照有關(guān)法律��、行政法規(guī)的規(guī)定進(jìn)行處罰�。因運營者遲報���、漏報���、謊報或者瞞報網(wǎng)絡(luò)安全事件,造成重大危害后果的�,對運營者及有關(guān)責(zé)任人員依法從重處罰。相較于2021年國務(wù)院出臺的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第四十條的規(guī)定可以看出�����,上述規(guī)定在運營者違法責(zé)任方面較為簡略?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第四十條針對在關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅時,運營者未按照規(guī)定向保護(hù)工作部門���、公安機(jī)關(guān)報告情形下劃定了詳細(xì)的違法責(zé)任����?�!墩髑笠庖姼濉芬嗫稍谶`法責(zé)任部分針對運營者不同程度的違法情形劃分責(zé)任類型����,為執(zhí)法者、運營者提供明確的行為指引�����。同樣�,《征求意見稿》第十一條規(guī)定,發(fā)生網(wǎng)絡(luò)安全事件時運營者已采取合理必要的防護(hù)措施�����,按照本辦法規(guī)定主動報告�,同時按照預(yù)案有關(guān)程序進(jìn)行處置��,盡最大努力降低事件影響�����,可視情況免除或從輕追究運營者及有關(guān)責(zé)任人的責(zé)任����。該條款規(guī)定了排除或從輕追究運營者的違法責(zé)任���,但未對具體情形進(jìn)行規(guī)定�����,即降低事件影響應(yīng)當(dāng)以達(dá)到何種標(biāo)準(zhǔn)為依據(jù)�。建議根據(jù)事件采取合理必要措施后安全等級是否下降至重大��、較大或者一般來確定事件造成的影響����,一旦符合較低或者更低等級的條件����,即認(rèn)為運營者努力降低事件影響��,視具體情形免除或者免予追究責(zé)任����。
(作者單位:山西大學(xué)法學(xué)院)
設(shè)為首頁︱添加收藏︱管理專區(qū)
關(guān)于醫(yī)院 就診指南
院務(wù)公開更多>>
您當(dāng)前的位置:首頁>2023年酒泉市網(wǎng)絡(luò)安全宣傳周
返回首頁
