網(wǎng)絡安全法學第三講 網(wǎng)絡運行安全法律制度（二）

2010年，“震網(wǎng)”病毒攻擊伊朗核設施，致使伊朗核電站延遲運行；2014年，烏俄沖突導致烏克蘭通信基礎設施多次遭受攻擊，相關地區(qū)電話、手機、互聯(lián)網(wǎng)服務被切斷，變成“孤島”；2015年，波蘭航空公司地面操作系統(tǒng)遭遇黑客攻擊，致使出現(xiàn)長達5小時的系統(tǒng)癱瘓，至少10個班次航班被迫取消。這一系列事件均表明，能源、金融、通信、交通、電力等重要行業(yè)關鍵信息基礎設施成為了網(wǎng)絡攻擊的“重災區(qū)”。2019年3月7日下午5點（當?shù)貢r間），委內(nèi)瑞拉全國23個州中的18個州發(fā)生了停電，原因是向全國提供80%電力的古里水電站遭到蓄意破壞。9日上午，全國70%的地方恢復了供電，但沒過多久電子系統(tǒng)再次遭到”高科技手段”實施的電磁攻擊，導致再次大范圍的停電。這次電力系統(tǒng)遭受攻擊的目的，就是要癱瘓委內(nèi)瑞拉民生基礎，徹底瓦解民心，從而“手不血刃”，達到目的，支持反對派上臺。2021年5月9日，因在美國最大的輸油管道公司遭受網(wǎng)絡攻擊后，美國政府發(fā)布緊急聲明宣布進入國家緊急狀態(tài)。一、什么是“關鍵信息基礎設施”？美國——關鍵基礎設施：對于美國來說極其重要的物理的或虛擬的系統(tǒng)和資產(chǎn)，一旦它們能力喪失或遭到破壞，就會削弱國家安全、國家經(jīng)濟安全或者國家公眾健康與安全。歐盟——基本服務運營者：提供維續(xù)關鍵社會活動及/或經(jīng)濟活動基本服務的主體，該服務的提供依賴于網(wǎng)絡和信息系統(tǒng)，網(wǎng)絡安全事件會對該服務的提供造成重大的破壞性影響，涉及能源(電力、石油及天然氣)、運輸(航空、鐵路、水運及陸運)、銀行、金融市場基礎設施、醫(yī)療衛(wèi)生、飲用水供應分配以及數(shù)字基礎設施(互聯(lián)網(wǎng)交換點、域名系統(tǒng)服務提供者及頂級域名注冊)領域。德國——關鍵基礎設施：對于德國共同體的運作具有重大意義的設施、設備或者其組成，一旦停止運作或者遭受損害將造成嚴重的供應緊張或者對公共安全產(chǎn)生嚴重威脅，涉及能源、電信、信息技術、交通運輸、衛(wèi)生、食品以及金融保險領域;具體范圍由聯(lián)邦政府以法規(guī)命令予以規(guī)定，但明確排除了這些領域中的小企業(yè)。

關鍵性：1、關系到國家安全與公共安全2、在整個基礎設施系統(tǒng)中的地位非常重要，一、什么是“關鍵信息基礎設施”？《網(wǎng)絡安全法》第三十一條第一款：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護?！蛾P鍵信息基礎設施安全保護條例》第二條本條例所稱關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。關鍵信息基礎設施的特征：1.

關鍵信息基礎設施為國家正常運轉(zhuǎn)提供必需的產(chǎn)品和服務。2.

關鍵信息基礎設施是結構體系中被強依賴的關鍵節(jié)點。3.

關鍵信息基礎設施可能是高危設施，被攻擊可導致直接的破壞后果。4.

存儲或傳輸?shù)男畔?shù)據(jù)大量集中或極其敏感。5.

關鍵信息基礎設施可以具備象征意義，被攻擊和破壞可影響社會穩(wěn)定。關鍵信息基礎設施的認定：（一）網(wǎng)絡設施、信息系統(tǒng)等對于本行業(yè)、本領域關鍵核心業(yè)務的重要程度；（二）網(wǎng)絡設施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；（三）對其他行業(yè)和領域的關聯(lián)性影響。關鍵信息基礎設施主要包括：國家事務處理信息系統(tǒng)（黨政機關辦公系統(tǒng)）；財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業(yè)等關系到國計民生的信息系統(tǒng)；教育、國家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A信息網(wǎng)絡中的信息系統(tǒng)；網(wǎng)絡管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領域的重要信息系統(tǒng)。二、誰來保護關鍵信息基礎設施？（一）主管部門根據(jù)《網(wǎng)絡安全法》第三十二條，按照國務院規(guī)定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。《網(wǎng)絡安全法》第三十三條規(guī)定，建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施同步規(guī)劃、同步建設、同步使用。因此，無論是哪個行業(yè)和領域的關鍵信息基礎設施，都應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并堅持安全技術措施“三同步”的原則，即應該保證安全技術措施實現(xiàn)“同步規(guī)劃、同步建設、同步使用”?！稐l例》第三條第一款在國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下，國務院公安部門負責指導監(jiān)督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責關鍵信息基礎設施安全保護和監(jiān)督管理工作。

省級人民政府有關部門依據(jù)各自職責對關鍵信息基礎設施實施安全保護和監(jiān)督管理。（二）關鍵信息基礎設施的運營者關鍵信息基礎設施的運營者是關鍵信息基礎設施保護的義務主體。關鍵信息基礎設施的運營者承擔著主要的安全維護和保障義務。三、如何保護關鍵信息基礎設施？總體原則：在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。（《網(wǎng)絡安全法》第31條）（一）運營者的義務1.安全保護措施“三同時”義務2.應當建立健全網(wǎng)絡安全保護制度和責任制3.應當設置專門安全管理機構，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。4.檢測與評估：應當自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，并按照保護工作部門要求報送情況。5.報告義務：鍵信息基礎設施發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時，運營者應當按照有關規(guī)定向保護工作部門、公安機關報告。6.采購義務：應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務；采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照國家有關規(guī)定與網(wǎng)絡產(chǎn)品和服務提供者簽訂安全保密協(xié)議，明確提供者的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監(jiān)督。7.運營者發(fā)生合并、分立、解散等情況，應當及時報告保護工作部門，并按照保護工作部門的要求對關鍵信息基礎設施進行處置，確保安全。境內(nèi)維護、個人信息及重要數(shù)據(jù)境內(nèi)存儲關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。關鍵信息基礎設施的運行維護應當在境內(nèi)實施。因業(yè)務需要，確需進行境外遠程維護的，應事先報國家行業(yè)主管或監(jiān)管部門和國務院公安部門（批準）。（二）監(jiān)管部門的職責國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門對關鍵信息基礎設施的安全保護采取下列措施：（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網(wǎng)絡安全服務機構對網(wǎng)絡存在的安全風險進行檢測評估；（二）定期組織關鍵信息基礎設施的運營者進行網(wǎng)絡安全應急演練，提高應對網(wǎng)絡安全事件的水平和協(xié)同配合能力；（三）促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網(wǎng)絡安全服務機構等之間的網(wǎng)絡安全信息共享；（四）對網(wǎng)絡安全事件的應急處置與網(wǎng)絡功能的恢復等，提供技術支持和協(xié)助。三、違反CII保護義務的法律責任關鍵信息基礎設施運營者的法律責任國家行業(yè)主管部門的法律責任境外機構、組織、個人的法律責任關鍵信息基礎設施運營者的法律責任

第一，關鍵信息基礎設施的運營者不履行《網(wǎng)絡安全法》第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。第二，關鍵信息基礎設施的運營者違反《網(wǎng)絡安全法》第三十五條規(guī)定，使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡產(chǎn)品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。第三，關鍵信息基礎設施的運營者違反《網(wǎng)絡安全法》第三十七條規(guī)定，在境外存儲網(wǎng)絡數(shù)據(jù)，或者向境外提供網(wǎng)絡數(shù)據(jù)的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

國家行業(yè)主管部門的法律責任

根據(jù)《網(wǎng)絡安全法》第七十三條第二款的規(guī)定，網(wǎng)信部門和有關部門的工作人員玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予處分。因此，作為國家行業(yè)主管部門的網(wǎng)信部門和有關部門在保障關鍵信息基礎設施安全問題上存在玩忽職守