《网络安全法》有效促进国家关键信息基础设施保护

谢 俊 王元昇

中共六盘水市委党校，贵州 六盘水 553000

2016年11月7日，我国网络安全领域的基础性法律《中华人民共和国网络安全法》由全国人大常委会审议通过发布。该法明确界定了关键信息基础设施的范围，并针对关键信息基础设施保护工作的开展要求从六个具体的方面制定了相关法条，形成了极具协调性、整体性及可行性的网络安全保护法律体系，对于应对我国网络信息领域存在的安全问题、维护我国关键信息基础设施安全进而保障公民合法权益及国家利益不受侵害具有重要意义，是我国法律体系建设在新时代潮流下做出的又一重要举措。

一、《网络安全法》中关键信息基础设施安全有关制度简析

（一）网络空间主权安全保护制度

“网络空间主权”这一概念首次提出于我国《国家安全法》第二十五条，但其在法条中的表述较为笼统。2016年，《网络安全法》对这一定义进行了进一步的明确，并从法律制度方面细化了网络空间主权保护的要求原则及法律适用范围。《网络安全法》第一条明确指出，维护网络空间主权是该法制定的基本目标之一，并在该法第五条细化指出“国家应采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。”由此可见网络空间主权保护制度是《网络安全法》的重要组成内容之一，其对于保护关键信息基础设施免受损害具有重要意义。

（二）关键信息基础设施安全保护制度

在《网络安全法》的第三章第二节中利用了较大篇幅对国家关键信息基础设施的概念、保护范围及安全保护方法进行了规范。并在该法第三十一条中明确规定，应当对能源、通信、交通等一旦遭到破坏就可能对国家安全、人民生计及社会发展造成严重危害的领域的关键信息基础设施实施重点保护，即在网络安全等级保护制度这一现有制度的基础上以更详细的规则予以保护，且这些规则应当由国务院予以统一制定。这是我国首次在法律体系中明确界定国家关键信息基础设施的概念及范围。此外，《网络安全法》还从国家、行业及运营者三个层面对关键信息基础设施的保护责任及义务进行了分别规范，对于我国关键信息基础设施安全保护工作的精准高效开展及相关法规的逐级落实可以起到突出的促进作用。

（三）关键信息基础设施数据本地化储存制度

《网络安全法》第三十七条规定：“关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”这一法律条文的发布意味着我国正式对我国关键领域的跨境信息传输进行强制控制，是我国为维护网络空间主权安全做出的重要举措之一。但与其他国家妄议的我国实施跨境信息保护是为了建立贸易壁垒相反，我国制定相关法律对跨境数据安全予以保护是为了进一步保障我国跨境业务的安全稳定开展，而不是限制跨境业务的进行。

（四）新型网络安全人才培养制度

通过分析《网络安全法》第二十条的相关内容可知，《国家安全法》倡导国家应当大力支持高等学校、企业等单位开展网络安全知识教育培训，通过多种教学方式培养新型网络安全人才，为我国网络安全工作的开展提供人力资源保障。该法条虽然没有明确指出新型网络安全人才的培养是为国家关键信息基础设施的安全运行服务的，但实际上，积极鼓励新型网络安全人才的培养能够为国家关键信息基础设施安全保护工作的开展提供人才及技术支持，从而促使相关行业及领域利用更先进的技术保障关键信息基础设施免受侵害，减少由关键信息基础设施破坏造成的人力财力损失。

（五）惩治新型网络违法犯罪制度

随着信息化技术水平的不断提高及信息化教育的广泛普及，网络违法犯罪的手段也呈现出越来越多样化、新颖化的趋势。为了减少新型网络违法犯罪行为的发生，《网络安全法》中对新型网络违法犯罪行为的界定及惩治方式、公民个人及企业等主体网络信息安全遭到损害时的责任追究途径等进行了明文规定。这一法律制度内容的确立不仅能够促使我国公民的个人信息安全利益得到可靠保障，而且能够在很大程度上减少侵害关键信息基础设施的违法犯罪行为的发生，由此也就能够进一步维护我国关键信息基础设施运行过程的稳定性及安全性，对于保障国家安全及社会稳定运行也具有不可忽视的积极作用。

二、网络安全法对促进关键信息基础设施安全保护新局面的意义

（一）明确界定了关键信息基础设施保护范围

《网络安全法》第三十一条明确对国家关键信息基础设施的概念及具体范围作出了定义，根据本文笔者的进一步理解及细化分析，认为国家关键信息基础设施应当包含以下几个部分：其一是电信网、互联网等基础信息网络设施；其二是金融、能源、交通等重要行业及公共服务领域的信息基础设施；其三是具有军事通信及指挥功能的军事网络设施；其四是各级地方政府及中央政府建构的政府网络设施；其五是腾讯、百度等个体用户数量较多的网络服务设施。《网络安全法》对这一范围的界定为我国关键信息基础设施安全保护工作的开展指明了方向，是相关工作高效展开的指南针。

（二）明确了关键信息基础设施保护的具体要求

《网络安全法》对关键信息系统建设及运行过程中的物资采购、安全性评估、安全问题预警及安全事件应急响应等多个环节都提出了具体的保护要求。在物资采购方面，要求关键信息基础设施建设过程中所采购的网络产品及服务均需与供货商签订保密协议；在安全性评估方面，规定对于不得不向境外传输的数据及信息资料首先应当通过国家组织的安全审查及评估，当风险处于可控范围时方可进行境外输出；在安全问题预警及应急响应方面要求关键信息基础设施的运营者制定相应的应急举措，以保障当安全事故发生时能够具备一定程度的紧急处理能力，尽可能将损失控制到最小。这些具体要求的提出能有效帮助我国关键信息基础设施的运营者更好地维护系统运营安全，减少安全漏洞的出现。

（三）划定了关键信息基础设施相关方的责任义务

根据上文所述内容可知，《国家安全法》从国家网信部门、行业主管部门及关键信息基础设施运营者三个层面对关键信息基础设施安全保护相关方的责任义务予以了明确。具体来说，该法规定国家网信部门应当统筹相关部门组织抽查监测、安全评估、应急处理及数据恢复工作的开展；规定行业主管部门应当指导和监督本行业关键信息基础设施的运行，建立安全预警及信息通报制度并定期就既定应急预案组织演练；规定关键信息基础设施运营者应当由专人担任、应当定期接受培训考核、应当对重要数据进行备份处理且应当制定运营安全应急预案。在此基础上，《网络安全法》还针对违反相关责任条理的违法行为制定了法律追责制度，为我国关键信息基础设施保护工作的开展提供了强制性保障。

三、结束语

《网络安全法》的出台是我国网络安全及关键信息基础设施安全保护方面的里程碑式事件，对于进一步保障我国关键信息基础设施的稳定运行具有重要意义。然而对比国外发达国家的网络安全保障技术及立法体系仍然存在较大差距，因此，必须在认识到《网络安全法》促进我国关键信息基础设施安全保护工作形成新局面的同时不断推进相关法律条文的细化和全面化，为不断推进我国网络安全相关法律制度的完善做出进一步的努力。