【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
第九章 网络安全监测预警与应急处置制度
网络安全法第五章监测预警与应急处置包含第五十一条至第五十八条,主要涉及网络安全监测预警与信息通报制度、关键信息基础设施的网络安全监测预警与信息通报制度、网络安全风险预警措施、网络安全应急处置制度、网络安全监督管理约谈制度、突发事件和生产安全事故的处置、网络通信的临时限制措施等。本章对此进行讨论。
第一节 网络安全检测预警与信息通报制度的一般规定
一、相关规定
网络安全法第五十一条规定:“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”
网络安全法第五十一条的规定是第八条关于网络安全监督管理工作机制的原则规定在网络安全监测预警和信息通报工作方面的具体体现。网络安全监管工作涉及许多部门,网络安全信息来源分散、数据量大,只有统筹协调、分工合作、形成合力,才能有效地应对网络安全风险。
《国家网络安全事件应急预案》3.2 小节“预警监测”规定:“各单位按照‘谁主管谁负责、谁运行谁负责’的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省(区、市)网信部门结合本地区实际,统筹组织开展对本地区网络和信息系统的安全监测工作。各省(区、市)、各部门将重要监测信息报应急办,应急办组织开展跨省(区、市)、跨部门的网络安全信息共享。”
二、网络安全检测预警的内容
网络安全监测预警,是指采取技术手段对网络系统进行实时监控,从而掌握网络的全面运行情况,发现网络安全风险,并在风险发生蔓延造成实际危害之前,通过对网络安全监测所获得的信息进行全面分析和风险评估,及时向有关部门和社会发出警示的活动。网络安全监测预警是有效管控网络安全事件的重要举措。
《信息安全技术 网络安全监测基本要求与实施指南》规定:“按照监测目标的不同,网络安全监测分为以下四类:
(a)信息安全事件监测:对可能或正在损害监测对象正常运行或产生信息安全损害的事情,按照信息安全事件分类、分级要求,进行分析和识别。
(b)运行状态监测:对监测对象的运行状态进行实时监测,包括网络流量、各类设备和系统的可用性状态信息等,从运行状态方面判断监测对象信息安全事态。
(c)威胁监测:对监测对象的安全威胁进行评估分析,发现资产所面临的信息安全风险。
(d)策略与配置监测:按照监测对象既定的安全策略与相关设备或系统的配置信息进行核查分析,并评估其安全性。”
三、网络安全信息通报的机制和内容
网络安全法第五十一条、第五十二条、第五十四条、第二十五条要求,建立国家、关键信息基础设施所在行业和领域、省级以上政府有关部门、网络运营者之间的全国性的、立体的网络安全信息通报机制。
目前,我国已经建立由中央网信办、公安部牵头,工业和信息化部、国家发展和改革委员会、国家保密局等按照职责分工负责的网络安全信息通报机制:
(1)国家网信部门负责统筹协调有关部门的网络安全信息通报工作。
(2)负责关键信息基础设施安全保护工作的部门,建立健全本行业、本领域的网络安全信息通报制度,按照规定报送网络安全监测预警信息。
(3)省级以上人民政府有关部门按照规定的权限和程序,根据网络安全风险的特点和可能造成的危害,要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;向社会发布网络安全风险预警,发布避免、减轻危害的措施。
(4)网络运营者在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
工业和信息化部发布的《互联网网络安全信息通报实施办法》对网络安全信息通报的要求作出了具体规定。
第二节 关键信息基础设施的监测预警与信息通报制度
一、相关规定
关于关键信息基础设施的监测预警与信息通报制度,网络安全法第五十二条规定:“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”
2021年9月1日施行的《关键信息基础设施安全保护条例》有具体规定:
第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
二、制度联系
网络安全法第三十一条建立了关键信息基础设施的运行安全保护制度。第三十二条规定了关键信息基础设施安全保护工作的负责部门的职责。
关键信息基础设施关系国家安全、国计民生、公共利益,因而受到重点保护。关键信息基础设施涉及的行业、领域非常广泛,不同行业、不同领域的关键信息基础设施承载的功能和业务存在较大差异,所面临的网络安全风险、需要考虑的防护重点各不相同。
为了充分发挥不同行业、不同领域的关键信息基础设施主管部门的作用,落实其“编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作”的职能,与国家网络安全监测预警与信息通报制度相衔接,网络安全法作出了负责关键信息基础设施安全保护工作的部门应当建立本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息的安排。
第三节 网络安全风险预警措施
一、相关规定
关于网络安全风险预警措施,网络安全法第五十四条规定:“网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;
(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。”
《国家网络安全事件应急预案》第3章监测与预警中有相关的具体规定。
二、信息发布
网络安全法第五十一条规定:国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。第五十四条规定:网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,向社会发布网络安全风险预警,发布避免、减轻危害的措施。
国家网信部门负责网络安全风险监测通报工作,制定网络安全事件监测通报规划和方案,是常设的监测预警机构。省级以上政府有关部门在网络安全事件发生的风险增大时,按照网络安全法、《国家网络安全事件应急预案》的要求发布预警信息,告知可能受事件影响的社会公众应采取的避免、减轻危害的措施。
第四节 网络安全应急处置制度
一、网络安全法的相关规定
网络安全法第五十三条规定:“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。”
第五十五条规定:“发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安网络安全事件应急预案全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。”
《国家网络安全事件应急预案》对于网络安全事件的定义、分级、分类、应急处置有具体规定。
二、网络安全事件应急预案
(一)网络安全事件应急预案的制定主体根据网络安全法第五十三条,国家网信部门协调有关部门制定网络安全事件应急预案;负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案。
2017年1月10日,中央网信办印发《国家网络安全事件应急预案》。该文件分为总则、组织机构与职责、监测与预警、应急处置、调查与评估、预防工作、保障措施、附则八个部分,全面系统地规定了应对网络安全事件的基本要求与具体措施,为各方应急处置工作的落实提供了制度保障。
2017年1月12日国务院办公厅印发《国家突发事件应急体系建设“十三五”规划》,其中第3部分“主要任务”提出:“完善国家网络安全保障体系,提高关键信息基础设施的风险防控能力,保障金融、电力、通信、交通等基础性行业业务系统安全平稳运行。”
除了国家层面的网络安全应急预案之外,一些部门也制定了本行业、本领域的网络安全应急预案。例如:《银行业重要信息系统突发事件应急管理规范(试行)》《证券期货业网络与信息安全事件应急预案》《公共互联网网络安全突发事件应急预案》《工业控制系统信息安全事件应急管理工作指南》等。
(二)网络安全事件应急预案的制定要求由于网络安全事件的性质不同,发生后造成的危害程度、影响范围各不相同,针对不同网络安全事件需要采取的应急措施也不相同。为了保证网络安全事件应急预案和应急措施的针对性、有效性,并防止应急处置措施超过必要的限度,造成不必要的损失,网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
三、网络安全事件应急演练
(一)开展应急演练的主体
网络安全法规定的演练主体涉及两类:一是有关部门组织的演练,有国家网信部门协调有关部门组织演练,有负责关键信息基础设施安全保护工作的部门组织演练,也有各行业主管部门组织应急演练;二是网络运营者自行组织的演练。
(二)开展应急演练的周期
网络安全法第五十二条要求,应当“定期组织”应急演练。《国家网络安全事件应急预案》在6.2小节“演练”中作出安排:中央网信办协调有关部门定期组织演练,检验和完善预案,提高实战能力。各省(区、市)、各部门每年至少组织一次预案演练,并将演练情况报中央网信办。
(三)应急演练效果的评估
应急演练工作结束后,需要对演练效果评估,查找问题,完善应急预案。网络安全法和《国家网络安全事件应急预案》未对应急演练效果的评估作出规定。
《突发事件应急预案管理办法》第二十三条规定:“应急演练组织单位应当组织演练评估。评估的主要内容包括:演练的执行情况,预案的合理性与可操作性,指挥协调和应急联动情况,应急人员的处置情况,演练所用设备装备的适用性,对完善预案、应急准备、应急机制、应急措施等方面的意见和建议等。鼓励委托第三方进行演练评估。”
网络安全事件作为社会突发事件的一种,可参照该规定执行。
四、网络安全事件应急处置措施
网络安全事件应急预案的制定、应急演练的开展,都是为预防网络安全事件的发生做好前期保障;一旦发生网络安全事件,应当立即采取应急处置措施。
(一)启动网络安全事件应急预案
应急预案是应对网络安全事件的主要依据和行动规范。发生网络安全事件时,负责网络安全事件应急处置工作的有关部门应立即启动应急预案,严格履行职责。
(二)调查和评估网络安全事件
启动网络安全事件应急预案的同时,相关部门应当组织人员调查和评估网络安全事件发生的原因、结果、影响范围,对事件的危害级别、造成的社会影响、经济损失等进行评估。
(三)要求网络运营者采取必要措施
网络安全事件发生后,网络运营者有义务自行采取应急措施。同时,有关部门也有权要求网络运营者采取必要的措施,消除安全隐患,防止危害扩大。
(四)及时向社会发布警示信息
网络安全事件发生后,负责事件处置的部门经调查评估,认为该事件对社会公众产生较大影响的,应及时、准确、客观地向社会发布与公众有关的警示信息。
第五节 网络安全监督管理约谈制度
一、相关规定
网络安全法第五十六条规定:“省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。”
二、约谈的概念和功能
网络安全监督管理约谈制度是网络安全行政管理主体对行政管理相对人进行的约谈,是一种行政指导行为。制度的功能有:(1)警示告诫作用。(2)督促被约谈者履行网络安全管理责任。(3)有助于落实网络安全监测预警与应急处置的相关制度。(4)教育指导被约谈者采取更有针对性的符合监管要求的措施。
三、约谈的主体和对象
网络安全监督管理约谈的主体是负有网络安全监督管理职责的省级以上人民政府有关部门。约谈的对象是网络的运营者的法定代表人或者主要负责人。 四、约谈的情形和程序
网络安全法规定约谈措施应在两种法定情形下采取:省级以上人民政府有关部门在履行网络安全监督管理职责中,(1)发现网络存在较大安全风险;(2)发生安全事件。约谈应遵循“规定的权限和程序”,可参考国家网信办发布的《互联网新闻信息服务单位约谈工作规定》执行。
五、约谈的性质和效力
网络安全监督管理中的约谈属于网络安全管理主体对行政管理相对人进行的约谈,是一种行政指导行为。网络运营者被约谈后,应当按照监管部门的要求采取措施,进行整改,消除隐患。网络运营者无正当理由拒绝约谈,不接受整改意见,或者不落实整改承诺的,构成网络安全法第六十九条第二款规定的“拒绝、阻碍有关部门依法实施的监督管理的”,可按照相关法律责任的规定予以追责。
第六节 突发事件和生产安全事故的处置
一、网络安全法的相关规定
关于网络安全突发事件和生产安全事故的处置,网络安全法第五十七条规定:“因网络安全事件,发生突发事件或者生产安全事故的,应当依照我国突发事件应对法、我国安全生产法等有关法律、行政法规的规定处置。”
二、因网络安全事件发生突发事件的处置
突发事件,是指突然发生、造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。网络安全事件发生突发事件的,履行统一领导职责或者组织处置突发事件的各级政府应当针对其性质、特点和危害程度,立即组织有关部门,调动应急救援队伍和社会力量,依照突发事件应对法等有关法律法规的规定采取应急处置措施。
三、因网络安全事件发生生产安全事故的处置
生产安全事故,是指生产经营活动中发生的造成人身伤亡或者直接经济损失的事故。生产经营单位因网络安全事件发生生产安全事故的,事故现场有关人员应当立即报告本单位负责人。单位负责人接到事故报告后,应迅速采取有效措施,组织抢救,防止事故扩大,减少人员伤亡和财产损失,并按照国家有关规定立即如实报告当地负有安全生产监督管理职责的部门。负有安全生产监督管理职责的部门接到事故报告后,应立即按照国家有关规定上报事故情况。有关地方政府和负有安全生产监督管理职责的部门的负责人接到生产安全事故报告后,应当按照生产安全事故应急救援预案的要求立即赶到事故现场,组织事故抢救。
第七节 网络通信的临时限制措施
一、相关规定
关于网络通信的临时限制措施,网络安全法第五十八条规定:“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。”
二、网络通信的临时限制措施的适用条件
网络通信限制措施一旦实施,必然会对社会的生产生活产生较大的影响,因此,网络安全法对该措施规定了严格的适用条件。首先,必须是基于维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要。这涉及与《国家安全法》、《突发事件应对法》的衔接,根据法律的规定判断是否满足事件的性质要求。其次,需经国务院决定或批准,即国务院享有采取网络通信限制措施的决定权或批准权。最后,是在特定区域内采取该措施。
作者简介 PROFILE
寿步 国瓴名誉主任
寿步教授现为上海交通大学法学院教授、博士生导师,上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国法学会网络与信息法学研究会副会长,中国科学技术法学会副会长、网络空间法专业委员会主任,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中华全国律师协会信息网络与高新技术法律专业委员会顾问,上海知识产权法院特邀知识产权专家。
寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作,尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。
寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。
发表评论 取消回复