【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
第九章 網絡安全監測預警與應急處置制度
網絡安全法第五章監測預警與應急處置包含第五十一條至第五十八條,主要涉及網絡安全監測預警與信息通報制度、關鍵信息基礎設施的網絡安全監測預警與信息通報制度、網絡安全風險預警措施、網絡安全應急處置制度、網絡安全監督管理約談制度、突發事件和生產安全事故的處置、網絡通信的臨時限制措施等。本章對此進行討論。
第一節 網絡安全檢測預警與信息通報制度的一般規定
一、相關規定
網絡安全法第五十一條規定:“國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息。”
網絡安全法第五十一條的規定是第八條關於網絡安全監督管理工作機制的原則規定在網絡安全監測預警和信息通報工作方面的具體體現。網絡安全監管工作涉及許多部門,網絡安全信息來源分散、數據量大,只有統籌協調、分工合作、形成合力,才能有效地應對網絡安全風險。
《國家網絡安全事件應急預案》3.2 小節“預警監測”規定:“各單位按照‘誰主管誰負責、誰運行誰負責’的要求,組織對本單位建設運行的網絡和信息系統開展網絡安全監測工作。重點行業主管或監管部門組織指導做好本行業網絡安全監測工作。各省(區、市)網信部門結合本地區實際,統籌組織開展對本地區網絡和信息系統的安全監測工作。各省(區、市)、各部門將重要監測信息報應急辦,應急辦組織開展跨省(區、市)、跨部門的網絡安全信息共享。”
二、網絡安全檢測預警的內容
網絡安全監測預警,是指采取技術手段對網絡系統進行實時監控,從而掌握網絡的全面運行情況,發現網絡安全風險,並在風險發生蔓延造成實際危害之前,通過對網絡安全監測所獲得的信息進行全面分析和風險評估,及時向有關部門和社會發出警示的活動。網絡安全監測預警是有效管控網絡安全事件的重要舉措。
《信息安全技術 網絡安全監測基本要求與實施指南》規定:“按照監測目標的不同,網絡安全監測分為以下四類:
(a)信息安全事件監測:對可能或正在損害監測對象正常運行或產生信息安全損害的事情,按照信息安全事件分類、分級要求,進行分析和識別。
(b)運行狀態監測:對監測對象的運行狀態進行實時監測,包括網絡流量、各類設備和系統的可用性狀態信息等,從運行狀態方面判斷監測對象信息安全事態。
(c)威脅監測:對監測對象的安全威脅進行評估分析,發現資產所面臨的信息安全風險。
(d)策略與配置監測:按照監測對象既定的安全策略與相關設備或系統的配置信息進行核查分析,並評估其安全性。”
三、網絡安全信息通報的機制和內容
網絡安全法第五十一條、第五十二條、第五十四條、第二十五條要求,建立國家、關鍵信息基礎設施所在行業和領域、省級以上政府有關部門、網絡運營者之間的全國性的、立體的網絡安全信息通報機制。
目前,我國已經建立由中央網信辦、公安部牽頭,工業和信息化部、國家發展和改革委員會、國家保密局等按照職責分工負責的網絡安全信息通報機制:
(1)國家網信部門負責統籌協調有關部門的網絡安全信息通報工作。
(2)負責關鍵信息基礎設施安全保護工作的部門,建立健全本行業、本領域的網絡安全信息通報制度,按照規定報送網絡安全監測預警信息。
(3)省級以上人民政府有關部門按照規定的權限和程序,根據網絡安全風險的特點和可能造成的危害,要求有關部門、機構和人員及時收集、報告有關信息,加強對網絡安全風險的監測;組織有關部門、機構和專業人員,對網絡安全風險信息進行分析評估,預測事件發生的可能性、影響範圍和危害程度;向社會發布網絡安全風險預警,發布避免、減輕危害的措施。
(4)網絡運營者在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,並按照規定向有關主管部門報告。
工業和信息化部發布的《互聯網網絡安全信息通報實施辦法》對網絡安全信息通報的要求作出了具體規定。
第二節 關鍵信息基礎設施的監測預警與信息通報制度
一、相關規定
關於關鍵信息基礎設施的監測預警與信息通報制度,網絡安全法第五十二條規定:“負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,並按照規定報送網絡安全監測預警信息。”
2021年9月1日施行的《關鍵信息基礎設施安全保護條例》有具體規定:
第二十三條 國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。
第二十四條 保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網絡安全威脅和隱患,指導做好安全防範工作。
二、制度聯系
網絡安全法第三十一條建立了關鍵信息基礎設施的運行安全保護制度。第三十二條規定了關鍵信息基礎設施安全保護工作的負責部門的職責。
關鍵信息基礎設施關系國家安全、國計民生、公共利益,因而受到重點保護。關鍵信息基礎設施涉及的行業、領域非常廣泛,不同行業、不同領域的關鍵信息基礎設施承載的功能和業務存在較大差異,所面臨的網絡安全風險、需要考慮的防護重點各不相同。
為了充分發揮不同行業、不同領域的關鍵信息基礎設施主管部門的作用,落實其“編制並組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作”的職能,與國家網絡安全監測預警與信息通報制度相銜接,網絡安全法作出了負責關鍵信息基礎設施安全保護工作的部門應當建立本行業、本領域的網絡安全監測預警和信息通報制度,並按照規定報送網絡安全監測預警信息的安排。
第三節 網絡安全風險預警措施
一、相關規定
關於網絡安全風險預警措施,網絡安全法第五十四條規定:“網絡安全事件發生的風險增大時,省級以上人民政府有關部門應當按照規定的權限和程序,並根據網絡安全風險的特點和可能造成的危害,采取下列措施:
(一)要求有關部門、機構和人員及時收集、報告有關信息,加強對網絡安全風險的監測;
(二)組織有關部門、機構和專業人員,對網絡安全風險信息進行分析評估,預測事件發生的可能性、影響範圍和危害程度;
(三)向社會發布網絡安全風險預警,發布避免、減輕危害的措施。”
《國家網絡安全事件應急預案》第3章監測與預警中有相關的具體規定。
二、信息發布
網絡安全法第五十一條規定:國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息。第五十四條規定:網絡安全事件發生的風險增大時,省級以上人民政府有關部門應當按照規定的權限和程序,並根據網絡安全風險的特點和可能造成的危害,向社會發布網絡安全風險預警,發布避免、減輕危害的措施。
國家網信部門負責網絡安全風險監測通報工作,制定網絡安全事件監測通報規劃和方案,是常設的監測預警機構。省級以上政府有關部門在網絡安全事件發生的風險增大時,按照網絡安全法、《國家網絡安全事件應急預案》的要求發布預警信息,告知可能受事件影響的社會公眾應采取的避免、減輕危害的措施。
第四節 網絡安全應急處置制度
一、網絡安全法的相關規定
網絡安全法第五十三條規定:“國家網信部門協調有關部門建立健全網絡安全風險評估和應急工作機制,制定網絡安全事件應急預案,並定期組織演練。
負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案,並定期組織演練。
網絡安全事件應急預案應當按照事件發生後的危害程度、影響範圍等因素對網絡安全事件進行分級,並規定相應的應急處置措施。”
第五十五條規定:“發生網絡安全事件,應當立即啟動網絡安全事件應急預案,對網絡安網絡安全事件應急預案全事件進行調查和評估,要求網絡運營者采取技術措施和其他必要措施,消除安全隱患,防止危害擴大,並及時向社會發布與公眾有關的警示信息。”
《國家網絡安全事件應急預案》對於網絡安全事件的定義、分級、分類、應急處置有具體規定。
二、網絡安全事件應急預案
(一)網絡安全事件應急預案的制定主體根據網絡安全法第五十三條,國家網信部門協調有關部門制定網絡安全事件應急預案;負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案。
2017年1月10日,中央網信辦印發《國家網絡安全事件應急預案》。該文件分為總則、組織機構與職責、監測與預警、應急處置、調查與評估、預防工作、保障措施、附則八個部分,全面系統地規定了應對網絡安全事件的基本要求與具體措施,為各方應急處置工作的落實提供了制度保障。
2017年1月12日國務院辦公廳印發《國家突發事件應急體系建設“十三五”規劃》,其中第3部分“主要任務”提出:“完善國家網絡安全保障體系,提高關鍵信息基礎設施的風險防控能力,保障金融、電力、通信、交通等基礎性行業業務系統安全平穩運行。”
除了國家層面的網絡安全應急預案之外,一些部門也制定了本行業、本領域的網絡安全應急預案。例如:《銀行業重要信息系統突發事件應急管理規範(試行)》《證券期貨業網絡與信息安全事件應急預案》《公共互聯網網絡安全突發事件應急預案》《工業控制系統信息安全事件應急管理工作指南》等。
(二)網絡安全事件應急預案的制定要求由於網絡安全事件的性質不同,發生後造成的危害程度、影響範圍各不相同,針對不同網絡安全事件需要采取的應急措施也不相同。為了保證網絡安全事件應急預案和應急措施的針對性、有效性,並防止應急處置措施超過必要的限度,造成不必要的損失,網絡安全事件應急預案應當按照事件發生後的危害程度、影響範圍等因素對網絡安全事件進行分級,並規定相應的應急處置措施。
三、網絡安全事件應急演練
(一)開展應急演練的主體
網絡安全法規定的演練主體涉及兩類:一是有關部門組織的演練,有國家網信部門協調有關部門組織演練,有負責關鍵信息基礎設施安全保護工作的部門組織演練,也有各行業主管部門組織應急演練;二是網絡運營者自行組織的演練。
(二)開展應急演練的周期
網絡安全法第五十二條要求,應當“定期組織”應急演練。《國家網絡安全事件應急預案》在6.2小節“演練”中作出安排:中央網信辦協調有關部門定期組織演練,檢驗和完善預案,提高實戰能力。各省(區、市)、各部門每年至少組織一次預案演練,並將演練情況報中央網信辦。
(三)應急演練效果的評估
應急演練工作結束後,需要對演練效果評估,查找問題,完善應急預案。網絡安全法和《國家網絡安全事件應急預案》未對應急演練效果的評估作出規定。
《突發事件應急預案管理辦法》第二十三條規定:“應急演練組織單位應當組織演練評估。評估的主要內容包括:演練的執行情況,預案的合理性與可操作性,指揮協調和應急聯動情況,應急人員的處置情況,演練所用設備裝備的適用性,對完善預案、應急準備、應急機制、應急措施等方面的意見和建議等。鼓勵委托第三方進行演練評估。”
網絡安全事件作為社會突發事件的一種,可參照該規定執行。
四、網絡安全事件應急處置措施
網絡安全事件應急預案的制定、應急演練的開展,都是為預防網絡安全事件的發生做好前期保障;一旦發生網絡安全事件,應當立即采取應急處置措施。
(一)啟動網絡安全事件應急預案
應急預案是應對網絡安全事件的主要依據和行動規範。發生網絡安全事件時,負責網絡安全事件應急處置工作的有關部門應立即啟動應急預案,嚴格履行職責。
(二)調查和評估網絡安全事件
啟動網絡安全事件應急預案的同時,相關部門應當組織人員調查和評估網絡安全事件發生的原因、結果、影響範圍,對事件的危害級別、造成的社會影響、經濟損失等進行評估。
(三)要求網絡運營者采取必要措施
網絡安全事件發生後,網絡運營者有義務自行采取應急措施。同時,有關部門也有權要求網絡運營者采取必要的措施,消除安全隱患,防止危害擴大。
(四)及時向社會發布警示信息
網絡安全事件發生後,負責事件處置的部門經調查評估,認為該事件對社會公眾產生較大影響的,應及時、準確、客觀地向社會發布與公眾有關的警示信息。
第五節 網絡安全監督管理約談制度
一、相關規定
網絡安全法第五十六條規定:“省級以上人民政府有關部門在履行網絡安全監督管理職責中,發現網絡存在較大安全風險或者發生安全事件的,可以按照規定的權限和程序對該網絡的運營者的法定代表人或者主要負責人進行約談。網絡運營者應當按照要求采取措施,進行整改,消除隱患。”
二、約談的概念和功能
網絡安全監督管理約談制度是網絡安全行政管理主體對行政管理相對人進行的約談,是一種行政指導行為。制度的功能有:(1)警示告誡作用。(2)督促被約談者履行網絡安全管理責任。(3)有助於落實網絡安全監測預警與應急處置的相關制度。(4)教育指導被約談者采取更有針對性的符合監管要求的措施。
三、約談的主體和對象
網絡安全監督管理約談的主體是負有網絡安全監督管理職責的省級以上人民政府有關部門。約談的對象是網絡的運營者的法定代表人或者主要負責人。 四、約談的情形和程序
網絡安全法規定約談措施應在兩種法定情形下采取:省級以上人民政府有關部門在履行網絡安全監督管理職責中,(1)發現網絡存在較大安全風險;(2)發生安全事件。約談應遵循“規定的權限和程序”,可參考國家網信辦發布的《互聯網新聞信息服務單位約談工作規定》執行。
五、約談的性質和效力
網絡安全監督管理中的約談屬於網絡安全管理主體對行政管理相對人進行的約談,是一種行政指導行為。網絡運營者被約談後,應當按照監管部門的要求采取措施,進行整改,消除隱患。網絡運營者無正當理由拒絕約談,不接受整改意見,或者不落實整改承諾的,構成網絡安全法第六十九條第二款規定的“拒絕、阻礙有關部門依法實施的監督管理的”,可按照相關法律責任的規定予以追責。
第六節 突發事件和生產安全事故的處置
一、網絡安全法的相關規定
關於網絡安全突發事件和生產安全事故的處置,網絡安全法第五十七條規定:“因網絡安全事件,發生突發事件或者生產安全事故的,應當依照我國突發事件應對法、我國安全生產法等有關法律、行政法規的規定處置。”
二、因網絡安全事件發生突發事件的處置
突發事件,是指突然發生、造成或者可能造成嚴重社會危害,需要采取應急處置措施予以應對的自然災害、事故災難、公共衛生事件和社會安全事件。網絡安全事件發生突發事件的,履行統一領導職責或者組織處置突發事件的各級政府應當針對其性質、特點和危害程度,立即組織有關部門,調動應急救援隊伍和社會力量,依照突發事件應對法等有關法律法規的規定采取應急處置措施。
三、因網絡安全事件發生生產安全事故的處置
生產安全事故,是指生產經營活動中發生的造成人身傷亡或者直接經濟損失的事故。生產經營單位因網絡安全事件發生生產安全事故的,事故現場有關人員應當立即報告本單位負責人。單位負責人接到事故報告後,應迅速采取有效措施,組織搶救,防止事故擴大,減少人員傷亡和財產損失,並按照國家有關規定立即如實報告當地負有安全生產監督管理職責的部門。負有安全生產監督管理職責的部門接到事故報告後,應立即按照國家有關規定上報事故情況。有關地方政府和負有安全生產監督管理職責的部門的負責人接到生產安全事故報告後,應當按照生產安全事故應急救援預案的要求立即趕到事故現場,組織事故搶救。
第七節 網絡通信的臨時限制措施
一、相關規定
關於網絡通信的臨時限制措施,網絡安全法第五十八條規定:“因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批準,可以在特定區域對網絡通信采取限制等臨時措施。”
二、網絡通信的臨時限制措施的適用條件
網絡通信限制措施一旦實施,必然會對社會的生產生活產生較大的影響,因此,網絡安全法對該措施規定了嚴格的適用條件。首先,必須是基於維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要。這涉及與《國家安全法》、《突發事件應對法》的銜接,根據法律的規定判斷是否滿足事件的性質要求。其次,需經國務院決定或批準,即國務院享有采取網絡通信限制措施的決定權或批準權。最後,是在特定區域內采取該措施。
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複