《網(wǎng)絡(luò)安全法》監(jiān)管下的網(wǎng)絡(luò)安全管理合規(guī)及法律對(duì)策研究

曹 興

對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院，北京 100029

一、《網(wǎng)絡(luò)安全法》的重大意義

《網(wǎng)絡(luò)安全法》歷經(jīng)多年，與信息安全等級(jí)保護(hù)制度相融合，網(wǎng)絡(luò)空間安全與國家主權(quán)安全具有同等重要的地位，但這部法律是宏觀層面的，如何指導(dǎo)管道企業(yè)遵從我國網(wǎng)絡(luò)空間法律行為，保護(hù)國家秘密，守住網(wǎng)絡(luò)安全的最后防線，需要對(duì)基本法進(jìn)一步細(xì)化，制定相關(guān)細(xì)則，而一系列法規(guī)制度也正在加緊制定，它們共同形成相配套的我國國家網(wǎng)絡(luò)安全法律體系，為管道企業(yè)如何貫徹落實(shí)《網(wǎng)絡(luò)安全法》指明了方向，解決了一系列問題：一是等級(jí)保護(hù)制度的法律地位的提升；二是明確對(duì)天然氣管道信息基礎(chǔ)設(shè)施的保護(hù)范圍；三是加強(qiáng)對(duì)管道業(yè)務(wù)數(shù)據(jù)的加密保護(hù)；四是為網(wǎng)絡(luò)安全管理提供了法律依據(jù)；五是突出網(wǎng)絡(luò)安全合規(guī)性及應(yīng)承擔(dān)的法律責(zé)任。其重大意義在于：

(一)《網(wǎng)絡(luò)安全法》為預(yù)防和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供了法律依據(jù)

現(xiàn)如今各個(gè)重要領(lǐng)域的基礎(chǔ)設(shè)施都已經(jīng)向著網(wǎng)絡(luò)化、信息化、數(shù)據(jù)化的方向發(fā)展，各項(xiàng)基礎(chǔ)設(shè)施的核心部件也都離不開網(wǎng)絡(luò)信息系統(tǒng)的技術(shù)支撐。一個(gè)國家要想強(qiáng)大，不僅國家主權(quán)要獨(dú)立，還應(yīng)具有強(qiáng)大的網(wǎng)絡(luò)安全防御能力，不受別國干涉，《網(wǎng)絡(luò)安全法》為全面推動(dòng)網(wǎng)絡(luò)安全防御體系的建立提供了牢固的法律依據(jù)。在國際上，已經(jīng)發(fā)生了諸多國家的重點(diǎn)領(lǐng)域遭受攻擊事件，主要是因?yàn)榫W(wǎng)絡(luò)安全防護(hù)措施落實(shí)不到位。2015年，惡意軟件攻擊烏克蘭電力設(shè)施，導(dǎo)致七十萬家庭數(shù)小時(shí)的斷電事故，造成嚴(yán)重社會(huì)恐慌。2017年，“永恒之藍(lán)”蠕蟲病毒在全球蔓延，以鎖定重要數(shù)據(jù)相要挾，使用戶數(shù)據(jù)遭受重大損失。慘痛的事實(shí)證明沒有網(wǎng)絡(luò)安全，就沒有國家安全，在預(yù)防網(wǎng)絡(luò)風(fēng)險(xiǎn)方面，《網(wǎng)絡(luò)安全法》提供了堅(jiān)實(shí)的法律保障。

(二)《網(wǎng)絡(luò)安全法》為維護(hù)國際網(wǎng)絡(luò)安全提供了聯(lián)系紐帶

網(wǎng)絡(luò)空間已不再是虛擬的法外之地，它已經(jīng)與現(xiàn)實(shí)世界接軌，成為我國國家主權(quán)的一部分，《網(wǎng)絡(luò)安全法》在履行國家主權(quán)等方面，涉及互聯(lián)網(wǎng)及相關(guān)領(lǐng)域的公共政策，界定了我國網(wǎng)絡(luò)安全的邊界?！毒W(wǎng)絡(luò)安全法》是國家網(wǎng)絡(luò)空間主權(quán)原則下強(qiáng)有力的法律武器，主權(quán)原則也體現(xiàn)了國際義務(wù)，既要采取措施減少網(wǎng)絡(luò)安全威脅、提升國家網(wǎng)絡(luò)防御能力，也要實(shí)現(xiàn)國際共同合作，預(yù)防和打擊國際網(wǎng)絡(luò)空間穩(wěn)定的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)安全無國界，需要國際社會(huì)共同參與、共同治理，共同努力防范和打擊跨國網(wǎng)絡(luò)犯罪。

(三)《網(wǎng)絡(luò)安全法》彰顯了國家法制現(xiàn)代化的治國理念

網(wǎng)絡(luò)空間管理涉及公共安全問題以及公眾個(gè)人切身利益。網(wǎng)絡(luò)安全立法秉承“以人為本”、公眾參與的原則，立法程序公開、透明，為了遵從網(wǎng)絡(luò)時(shí)代的客觀規(guī)律，既體現(xiàn)互聯(lián)網(wǎng)發(fā)展的特點(diǎn)，又汲取他國成功經(jīng)驗(yàn)，確保法律的科學(xué)和專業(yè)。例如對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的界定，體現(xiàn)了概括加列舉的定義方法，采用了內(nèi)涵加外延的法律范圍界定，將那些中斷服務(wù)、失效或被破壞會(huì)危及國家安全、公共健康與安全、危及社會(huì)福祉等的設(shè)施均列為關(guān)鍵基礎(chǔ)設(shè)施而予以重點(diǎn)保護(hù)。

二、《網(wǎng)絡(luò)安全法》主要內(nèi)容的解讀

《網(wǎng)絡(luò)安全法》作為具有強(qiáng)制性的基本法，具有以下特點(diǎn)：①堅(jiān)持網(wǎng)絡(luò)安全和信息化發(fā)展并重原則；②提出網(wǎng)絡(luò)空間主權(quán)；③強(qiáng)調(diào)開展國際合作；④建立統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的管理體制；⑤重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施；⑥網(wǎng)絡(luò)突發(fā)事件采取“網(wǎng)絡(luò)通信管制”；⑦充分發(fā)揮行業(yè)組織自律作用；⑧加大網(wǎng)絡(luò)安全資金投入?！毒W(wǎng)絡(luò)安全法》的內(nèi)容與管道企業(yè)發(fā)展和社會(huì)民生又存在著緊密聯(lián)系，重點(diǎn)從以下三個(gè)方面進(jìn)行分析：

一是提升了等級(jí)保護(hù)制度的法律地位[1]。將等級(jí)保護(hù)工作根據(jù)重要程度，從低到高分為一至五級(jí)。定級(jí)一般采取自愿原則，關(guān)鍵信息基礎(chǔ)設(shè)施的等級(jí)保護(hù)是強(qiáng)制性義務(wù)。等級(jí)保護(hù)工作內(nèi)容包括：①系統(tǒng)定級(jí)、②安全域劃分、③等級(jí)安全指標(biāo)設(shè)計(jì)、④等級(jí)安全體系規(guī)劃、⑤安全等級(jí)評(píng)測(cè)等[2]。信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)沿用至今，具有一定的科學(xué)性和可操作性，為網(wǎng)絡(luò)安全等級(jí)保護(hù)制度奠定了基礎(chǔ)，從而提升了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的法律地位[3]，兩者順利銜接，相互融合，但《網(wǎng)絡(luò)安全法》規(guī)定了等級(jí)保護(hù)制度的總原則，可操作性和執(zhí)行性不強(qiáng)，需進(jìn)一步出臺(tái)相關(guān)配套細(xì)則加以明確，指導(dǎo)等級(jí)保護(hù)測(cè)評(píng)工作的開展，明確了重要信息系統(tǒng)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的檢查和應(yīng)急處置工作，強(qiáng)化企業(yè)網(wǎng)絡(luò)安全防御體系建設(shè)，提升網(wǎng)絡(luò)安全管理水平[4]。

二是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)?？v觀國際社會(huì)發(fā)生的重大網(wǎng)絡(luò)安全事件，能源信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的目標(biāo)，關(guān)鍵基礎(chǔ)設(shè)施仍然是信息安全保障的最核心內(nèi)容[5]。例如“永恒之藍(lán)”病毒針對(duì)加油站的攻擊，我國將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)上升至法律層面，立法很迫切、出臺(tái)很及時(shí)，說明國家對(duì)重要行業(yè)和領(lǐng)域網(wǎng)絡(luò)安全的高度重視，尤其是能源行業(yè)的管道企業(yè)，對(duì)油氣設(shè)施及坐標(biāo)數(shù)據(jù)進(jìn)行重點(diǎn)安全保護(hù)，不僅需要提高油氣信息基礎(chǔ)設(shè)施自身安全，更應(yīng)當(dāng)進(jìn)行一系列制度規(guī)范體系建設(shè)，建立完善的規(guī)章制度[6]，搭建可落地的制度框架。

三是網(wǎng)絡(luò)安全的核心是信息，數(shù)據(jù)保護(hù)是重點(diǎn)。信息可理解為業(yè)務(wù)數(shù)據(jù)，業(yè)務(wù)數(shù)據(jù)來自業(yè)務(wù)的開展過程，因此在業(yè)務(wù)開展過程中去發(fā)現(xiàn)信息的安全保護(hù)問題，進(jìn)而使用信息化手段解決此問題，助力業(yè)務(wù)發(fā)展。數(shù)據(jù)的安全保護(hù)，又分為兩方面內(nèi)容：一是要求各企業(yè)切實(shí)承擔(dān)起數(shù)據(jù)安全的職責(zé)，即數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可控性及數(shù)據(jù)的不可否認(rèn)性[7]。二是保障個(gè)人對(duì)其個(gè)人信息的安全可控。但對(duì)于國家層面的數(shù)據(jù)保護(hù)，可以說《網(wǎng)絡(luò)安全法》僅僅規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施上的重要數(shù)據(jù)應(yīng)當(dāng)留存本地。如果將數(shù)據(jù)真正當(dāng)成“基礎(chǔ)性戰(zhàn)略資源”，則國家層面的數(shù)據(jù)保護(hù)至少包含了三項(xiàng)主要內(nèi)容：數(shù)據(jù)安全、數(shù)據(jù)支配權(quán)、防止敏感數(shù)據(jù)遭惡意使用對(duì)國家安全的威脅。在這三個(gè)方面，《網(wǎng)絡(luò)安全法》都欠缺清晰的思路，需要后續(xù)制定相應(yīng)的配套細(xì)則加以明確。

三、管道企業(yè)在網(wǎng)絡(luò)安全管理上面臨的主要問題

首先，在基礎(chǔ)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)上的投入是基礎(chǔ)，而在網(wǎng)絡(luò)安全管理上的投入也固然重要，安全的投入不僅是軟硬件采購部署，平時(shí)的執(zhí)行管理更加關(guān)鍵，安全投入和安全等級(jí)以及數(shù)據(jù)價(jià)值不相匹配。有些企業(yè)也無視國家法律法規(guī)，不嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全管理制度，未履行安全保護(hù)義務(wù)，面臨重大網(wǎng)絡(luò)安全法律風(fēng)險(xiǎn)。

其次，安全的重點(diǎn)不全在于技術(shù)，而是在于管理執(zhí)行，管理措施重要性在于信息安全管理水平，對(duì)于明知故犯者應(yīng)給予嚴(yán)懲。有些企業(yè)安全管理水平低下，如管理制度建設(shè)不健全，缺乏有效的應(yīng)急處置機(jī)制，員工不自覺或受外部利益誘惑而主動(dòng)泄密。

第三，管理漏洞造成網(wǎng)絡(luò)安全威脅。普遍存在①內(nèi)外網(wǎng)混用、②未啟用防火墻、③未安裝防病毒軟件、④未及時(shí)更新病毒庫、⑤隨意開放網(wǎng)絡(luò)端口等管理漏洞，風(fēng)險(xiǎn)防范意識(shí)不強(qiáng)，引起黑客的入侵，嚴(yán)重的會(huì)造成內(nèi)部數(shù)據(jù)的泄密和丟失等損失。

第四，缺乏有效的網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制。信息技術(shù)日新月異，尤其是網(wǎng)絡(luò)安全技術(shù)更新較快，未制定長遠(yuǎn)的網(wǎng)絡(luò)安全人才培養(yǎng)規(guī)劃，業(yè)務(wù)培訓(xùn)水平參差不齊，且防范知識(shí)更新較慢，新的網(wǎng)絡(luò)安全管理知識(shí)領(lǐng)會(huì)不深，不僅無法盡快培養(yǎng)一批水平較高的網(wǎng)絡(luò)安全人員，甚至還會(huì)造成網(wǎng)絡(luò)安全人才嚴(yán)重流失。

最后，除了基本的網(wǎng)絡(luò)、設(shè)備和存儲(chǔ)備份等基礎(chǔ)管理以外，數(shù)據(jù)訪問與存放分離，敏感數(shù)據(jù)加密，訪問授權(quán)盡量細(xì)分和限時(shí)等雖然加強(qiáng)了安全防范，但是難免忽視某些環(huán)節(jié)，使黑客及網(wǎng)絡(luò)攻擊者有機(jī)可乘，安全的信息要可視化，能夠掌握安全風(fēng)險(xiǎn)來自何處，有針對(duì)性的防范，安全防范的措施要有彈性，不能一點(diǎn)被攻破，就全盤崩潰，防守永遠(yuǎn)無法建立堅(jiān)固的網(wǎng)絡(luò)安全防護(hù)體系。

四、《網(wǎng)絡(luò)安全法》對(duì)管道企業(yè)影響和具體要求

過去，只有信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)及相關(guān)法規(guī)，而沒有法律的強(qiáng)制性規(guī)定來要求企業(yè)履行網(wǎng)絡(luò)安全保護(hù)這方面的工作，大多數(shù)企業(yè)的網(wǎng)絡(luò)安全建設(shè)還是比較薄弱的，在網(wǎng)絡(luò)安全方面不能很好的履行企業(yè)的社會(huì)責(zé)任。一旦爆發(fā)網(wǎng)絡(luò)安全事件，監(jiān)控預(yù)警等網(wǎng)絡(luò)安全建設(shè)比較完善的企業(yè)會(huì)立即啟動(dòng)應(yīng)急處置預(yù)案，避免遭受病毒入侵感染，能夠快速做好應(yīng)對(duì)工作。

《網(wǎng)絡(luò)安全法》的實(shí)施，給企業(yè)的安全建設(shè)也提供了一定的指導(dǎo)作用，企業(yè)做好網(wǎng)絡(luò)安全防護(hù)工作，遵從網(wǎng)絡(luò)安全保護(hù)義務(wù)，才能使企業(yè)本身的業(yè)務(wù)防護(hù)能力得到提升，國家的網(wǎng)絡(luò)安全環(huán)境治理能力增強(qiáng)，也許下一個(gè)“永恒之藍(lán)”就不會(huì)大面積爆發(fā)傳播擴(kuò)散了。

《網(wǎng)絡(luò)安全法》作為基礎(chǔ)性的網(wǎng)絡(luò)安全保障法律，企業(yè)需要履行應(yīng)盡的社會(huì)責(zé)任，遵從《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，盡到安全保護(hù)義務(wù)，否則還會(huì)觸犯民事責(zé)任和刑事責(zé)任，《刑法修正案(九)》專門規(guī)定了網(wǎng)絡(luò)服務(wù)提供者應(yīng)履行的相關(guān)責(zé)任，嚴(yán)重違法還有可能觸犯刑法，甚至還會(huì)被記錄到企業(yè)信用檔案。

《網(wǎng)絡(luò)安全法》對(duì)企業(yè)的信息安全保障工作主要提出了以下幾點(diǎn)具體要求：

(一)重要系統(tǒng)開展等級(jí)保護(hù)測(cè)評(píng)工作，涉密系統(tǒng)依照相關(guān)法律要求重點(diǎn)保護(hù)；

(二)定期開展信息安全風(fēng)險(xiǎn)評(píng)估工作，及時(shí)處置系統(tǒng)漏洞、防范網(wǎng)絡(luò)及病毒攻擊、黑客侵入等安全風(fēng)險(xiǎn)；

(三)提高網(wǎng)絡(luò)安全崗位人員職業(yè)素質(zhì)及法律合規(guī)教育；

(四)提高對(duì)病毒攻擊、黑客入侵、網(wǎng)絡(luò)詐騙及網(wǎng)絡(luò)失竊密的防范能力；

(五)重視信息安全應(yīng)急處置，提高信息安全應(yīng)急響應(yīng)能力；

(六)建立辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)分離的網(wǎng)絡(luò)架構(gòu)；

(七)通過網(wǎng)絡(luò)監(jiān)控設(shè)備有效監(jiān)控網(wǎng)絡(luò)的運(yùn)行情況，并做好應(yīng)急預(yù)案工作；

(八)運(yùn)用加密設(shè)備及加密技術(shù)，進(jìn)行數(shù)據(jù)加密，重視相關(guān)信息的保護(hù)。

[1]馬欣，王勝開.對(duì)建立網(wǎng)絡(luò)安全審查制度的分析[J].互聯(lián)網(wǎng)天地，2014(06).

[2]嚴(yán)承華，陳璐，趙俊閣等.信息安全工程[M].北京：清華大學(xué)出版社，2017.

[3]趙林.信息安全等級(jí)保護(hù)工作取得新進(jìn)展[J].信息網(wǎng)絡(luò)安全，2007(06).

[4]王偉，戴國強(qiáng).黨政機(jī)關(guān)網(wǎng)站安全管理規(guī)范化建設(shè)探究[J].信息化建設(shè)，2011(08).

[5]劉洪梅，張舒.2016年國內(nèi)外信息安全態(tài)勢(shì)[J].中國信息安全，2017(01).

[6]尹麗波.網(wǎng)絡(luò)安全法將促進(jìn)國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)新局面[J].中國信息安全，2015(08).

[7]信息安全保障[Z].北京：中國信息安全測(cè)評(píng)中心，2013.