作者|陈川 陈嘉煜
责编|薛应军
近期,国家互联网信息办公室发布《网络安全事件报告管理办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。《征求意见稿》进一步贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,规范网络安全事件报告制度,减少网络安全事件造成的损失、危害,以维护国家网络安全。
网络安全关涉国家与公民信息安全
安全是发展的前提和保障,网络安全是国家安全的重要组成部分。加快推进数字中国建设,必须切实维护网络安全。2023年印发的《数字中国建设整体布局规划》明确提出,筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。一个强大而高性能的网络,是保障数字中国发展的重要基础。网络安全除涉及个人隐私与财产安全外,还涉及国家特殊领域机密、关键基础设施保护,因此,保障网络安全对于国家与公民之安全至关重要。网络原本是为人们便捷与高效进行信息交流和资源共享而发展出来的一种技术或工具,但正是因为网络信息共享的覆盖面大,掌握公民个人信息的数量不断增加,若其中某一系统出现漏洞则会导致“牵一发而动全身”之严重后果。因此,为保障国家与公民信息安全,网络安全有关部门需要在事件发生后以最快速度掌握网络安全事件的基本情况。
此次《征求意见稿》将网络安全事件定义为由于人为原因、软硬件缺陷或者故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。该定义清晰地界定了网络安全事件发生的原因与范围,为规制网络安全事件报告提供了明确指引。
厘清网络安全主管部门职责 明确事件报告时间
《征求意见稿》第三条、第四条规定,有关国家网络安全事件的报告与监管工作由国家网信部门负责,有关本行政区域内网络安全事件的报告与监管工作由地方网信部门负责。该规定根据地域范围将不同领域的网络安全事件划分给确定的部门负责,厘清了各部门的管理责任,避免因权责不清导致管理真空或出现管理混乱的情况。
此外,《征求意见稿》明确了网络安全事件的报告时间。《网络安全事件分级指南》将网络安全事件划分为较大、重大、特别重大三个等级,《征求意见稿》规定凡属上述三类案件,均应在1小时内进行报告。其中:网络和系统归属于中央和国家机关各部门及其管理的企事业单位的重大、特别重大网络安全事件,各部门网信工作机构应当于1小时内向国家网信部门报告;网络和系统为关键信息基础设施的重大、特别重大网络安全事件,保护工作部门在收到报告后应当于1小时内向国家网信部门、国务院公安部门报告;其他网络和系统的重大、特别重大事件,属地网信部门在收到报告后应当于1小时内逐级向上级网信部门报告。有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。发现涉嫌犯罪的,运营者应当同时向公安机关报告。
明确规定网络运营者责任
《征求意见稿》明确规定网络运营者的责任,以期通过约束运营者的行为达到预防与补救有效结合消除隐患防止危害扩大的目的。
事前制定网络安全事件应急预案。《征求意见稿》第四条要求运营者在发生网络安全事件时需及时启动应急预案进行处置。应急预案应当涵盖处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险的技术补救措施和其他必要措施,并按照规定向有关主管部门及时报告。
事中明确报告的基本内容,及时准确地掌握情况。《征求意见稿》第五条要求运营者按照《网络安全事件信息报告表》报告事件,至少包括事发单位名称、事件发现或发生时间、地点、事件类型、已造成的影响、事态发展趋势及初步分析的事件原因等七项具体内容。方便后续对该事件的解决进行指导,对相关单位的改进措施提出针对性建议。此外,《征求意见稿》规定因考虑到网络空间涉及内容的复杂性、保密性,在发生网络安全问题时,运营者可能无法在短时间内找出原因,故为防止造成的危害结果进一步扩大,可先对事件的基本情况进行报告,上级主管部门在知悉相关情况后可协助解决相关问题。
事后全面分析事件,加强运营服务安全。《征求意见稿》第七条规定了事后复盘的系列措施。如处置结束后运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。通过对已经制定的网络安全管理制度重新审查而予以调整,将之前概括的规定细致化,之前空缺的规定进行补充。这让运营者更了解其自身不足的同时,也可以让网信部门对该类安全问题予以重视,从而及时予以防范,以保障网络安全,减少类似网络安全事件发生。
建议进一步细化渎职与违法责任
《征求意见稿》第四条明确规定属于重大、特别重大网络安全事件的,都应逐级向国家网信部门报告;第十条第三款规定,有关部门未按照本办法规定报告网络安全事件的,由上级机关责令改正,对直接负责的主管人员和其他直接责任人员依法予以处分,涉嫌犯罪的,依法追究刑事责任。由此可见,在重大、特别重大网络安全事件中涉及下级部门向上级部门逐级报告的情况,若其中某一部门未按照规定报告,则会造成上级部门信息闭塞无法及时对运营者作出指示,最终造成损失扩大。但该规定仅指出需要对负责人员予以处分,并未明确具体责任,可考虑进一步细化处分的内容,即主管人员、直接负责人失职至何种情况会给予警告、记过等处分。
建议进一步明确运营者的违法责任。《征求意见稿》第十条第一、第二款规定,运营者未按照本办法规定报告网络安全事件的,网信部门按照有关法律、行政法规的规定进行处罚。因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人员依法从重处罚。相较于2021年国务院出台的《关键信息基础设施安全保护条例》第四十条的规定可以看出,上述规定在运营者违法责任方面较为简略。《关键信息基础设施安全保护条例》第四十条针对在关键信息基础设施发生重大网络安全事件或者发现网络安全威胁时,运营者未按照规定向保护工作部门、公安机关报告情形下划定了详细的违法责任。《征求意见稿》亦可在违法责任部分针对运营者不同程度的违法情形划分责任类型,为执法者、运营者提供明确的行为指引。同样,《征求意见稿》第十一条规定,发生网络安全事件时运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置,尽最大努力降低事件影响,可视情况免除或从轻追究运营者及有关责任人的责任。该条款规定了排除或从轻追究运营者的违法责任,但未对具体情形进行规定,即降低事件影响应当以达到何种标准为依据。建议根据事件采取合理必要措施后安全等级是否下降至重大、较大或者一般来确定事件造成的影响,一旦符合较低或者更低等级的条件,即认为运营者努力降低事件影响,视具体情形免除或者免予追究责任。
(作者单位:山西大学法学院)