朱广劼
(中国铁道科学研究院集团有限公司 电子计算技术研究所,北京 100081)
近年来,网络攻击事件频发,这给网络安全行业敲响了警钟。网络空间已成为继陆、海、空、天之后的第五大主权领域空间,成为各国争夺的重要战略空间。要维护网络安全,就需要充分发挥法律的方向性指引和强制性规范作用。
2017年6月1日,《中华人民共和国网络安全法》(简称:《网络安全法》)正式施行,自此我国网络安全工作有了基础性的法律框架。2021年,《中华人民共和国数据安全法》(简称:《数据安全法》)《中华人民共和国个人信息保护法》(简称:《个人信息保护法》),以及《关键信息基础设施安全保护条例》等法律法规陆续颁布施行,这标志着我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为核心的网络法律体系,为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度和保障。
《关键信息基础设施安全保护条例》进一步细化和落实《网络安全法》的有关要求,推进了我国关键信息基础设施安全保护法律法规体系的构建完善,为安全保护工作的开展提供了更为系统的标准指引和工作措施。
《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》(简称:“两法一规”)作为网络参与者普遍遵守的法律准则和依据,在网络安全相关制度建设、网络数据安全保护、个人信息保护、关键信息基础设施保护、网络产品和服务安全等方面作出了明确规定和要求,为依法管控网络安全提供了明确的法律依据和行动指南[1]。这些法律法规出台后,国内的网络安全和数据安全法律法规框架体系已基本完成,其他法律、法规、企业规章等都将在这些法律组成的体系之下细化完善具体内容,逐步覆盖网络系统、个人信息和数据活动的方方面面。我国网络和数据安全法律法规体系构成如图1所示。
图1 我国网络和数据安全法律体系
《数据安全法》作为数据领域首部综合性、基础性法律,共有7章55条。这7个章节分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。
按照总体国家安全观的要求,《数据安全法》明确了数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供有力支撑与全面指导,并且同时加大了对违法行为的处罚力度。
《个人信息保护法》作为我国首部个人信息保护方面的专门法律,共有8章74条,为企业合规处理个人信息提供了规范指导和操作指引。这8个章节分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任、附则。
《个人信息保护法》中明确了个人信息、敏感个人信息、个人信息扩处理、个人信息处理者、自动化决策、代标识化、匿名化7个关键定义,定义了个人信息处理规则的前提条件、敏感个人信息的处理规则,以及国家机关处理个人信息的特别规定,对个人信息共同处理、委托处理、个人信息转移、其他个人信息处理者共享、自动化决策、公共采集6个场景下个人信息处理活动提出明确要求,规范个人信息处理者行为。
《关键信息基础设施安全保护条例》作为我国针对关键信息基础设施安全保护的专门性行政法规,共有6章51条,标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。这6个章节分别为总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任、附则。
《关键信息基础设施安全保护条例》中详细阐明了关键信息基础设施的范围、运营者应履行的职责及对产品和服务的要求,对政府机关,国家行业主管或监管部门,能源、电信、交通等行业,公安机关及个人进行要求,明确关键信息基础设施范围,规定运营者安全保护的权利和义务及其负责人的职责,要求建立关键信息基础设施网络安全监测预警体系和信息通报制度。
本文聚焦“两法一规”,分别针对数据安全、个人信息保护和关键信息基础设施安全保护工作中涉及的范围界定、主体责任、保护义务、保障措施等作出了更为明确和更高的规定要求。作为法律法规定义的重要数据的处理者、个人信息处理者和关键信息基础设施运营者,铁路行业要深入理解和掌握法律法规的主要规定、制度标准和行为准则,明确需履行的责任义务,充分发挥法律法规对铁路网络安全发展的促进作用。
铁路行业数据量庞大,重要信息系统数量较多,且铁路运输关系到全国人民的出行和财产安全,数据安全问题不容忽视。此次《数据安全法》的出台,对铁路行业数据安全管理、风险评估与应急处置、重要数据出境管理等方面具有重要的指导意义。
2.1.1 强调网络安全等级保护制度与数据安全保护制度的衔接
结合铁路行业重要系统等级保护和安全测评等工作,此次《数据安全法》为铁路行业制订相关数据安全管理制度、开展数据安全教育培训、落实数据安全保护责任等提供了明确的方向和法律依据。《数据安全法》第四章第二十七条提出“建立健全全流程数据安全管理制度”“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”等规定。这一条款要求数据处理者在网络安全等级保护制度的基础上开展数据安全保护工作,既强化了网络安全等级保护制度在数据安全保护要求中的基础作用,也体现了数据安全保护制度与《网络安全法》的衔接。
2.1.2 明确风险评估与应急处置
《数据安全法》中明确风险评估、监测预警、应急处置等管理要求,强化数据安全风险全流程防范应对,其中,第四章第二十九条和第三十条分别明确提出“开展数据处理活动应当加强风险监测”“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”等义务要求。根据《数据安全法》的规定,铁路行业需要进一步完善数据安全态势监测和通报预警机制,提高风险信息分析、研判和处置能力的建设,做到既能够满足国家安全要求,也能够促进行业自身数据安全发展。
2.1.3 明确重要数据出境安全管理
《数据安全法》中补充和完善数据出境管理要求,强化境内数据出境风险控制,第四章第三十一条对重要数据出境监管作出规定,明确关键信息基础设施的运营者在境内运营中收集和产生的重要数据,继续适用《网络安全法》中有关数据出境安全管理要求,因此在规范数据应用方面,做到合规、合法将成为铁路行业运营数据业务的新门槛。以数据流动、数据保护、数据监管等为基础的数据规则或将构建并逐步完善,不断促进铁路数字经济发展。
铁路行业始终坚持以人民为中心的发展思想,积极推进信息化、智能化技术手段应用,全面落实铁路客票“无纸化”[2],持续提升旅客出行服务体验。但与此同时,随着国家的高度重视、法律法规体系的优化完善,公民信息安全意识的逐渐增强,对公民个人信息安全的保护提出了更高要求[3]。公民个人信息得不到保护,不仅财产会受到损害,严重者生命可能受到威胁。合法合规处理和保护个人信息,将成为铁路行业必须尽快落实和完成的一项重要任务。
2.2.1 明确个人信息处理规则和原则
《个人信息保护法》第二章明确对个人信息处理的规则和原则做出全面规定,确立了“告知—同意”的核心规则,明确了敏感个人信息和个人信息跨境提供的具体规则,规范了自动化决策方式的基本原则,提出了“影响最小”“范围最小”“期限最短”的处理边界原则。以事实为根据、以法律为准绳,严格遵守这些规则和原则,是铁路合规处理个人信息和保护个人信息安全的必要前提。
2.2.2 规范大型互联网平台的责任和义务
《个人信息保护法》第五章对个人信息处理者的合规管理和个人信息安全保障义务等做出了具体规定,规定了个人信息处理者应制订内部管理制度和操作规程,要求强化安全技术防护和事件应急处置等措施,做好个人信息处理活动的监督和合规审计等工作,并明确所需履行的事前影响评估和个人信息泄露、篡改、丢失的补救义务等。铁路12306互联网售票系统(简称:12306)作为唯一的互联网售票平台,要充分履行铁路大型互联网平台个人信息保护处理第一责任人的职责,研究制订符合铁路实际的个人信息保护制度和个人信息分类分级标准等,补强相应级别的保护措施,切实保障铁路运输生产过程中涉及的个人信息安全。
铁路行业作为我国安全生产核心行业之一,重要系统一旦受到网络攻击,将造成安全事故,对公众、社会,甚至国家安全造成重大影响[4]。铁路关键信息基础设施是铁路运输生产、经营开发安全稳定运行的“生命线”,规模庞大、影响广泛的关键信息基础设施和重要信息系统已逐渐成为网络战争的主战场。外部威胁日益增长,安全风险压力巨大[5],依法依规对铁路关键信息基础设施采取针对性的重点防护至关重要。
2.3.1 完善关键信息基础设施认定机制
《关键信息基础设施安全保护条例》第二条明确给出了关键信息基础设施定义,并在第九条和第十条规定“保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则”“保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者”。明确关键信息基础设施的具体范畴,建立铁路关键信息基础设施清单,是铁路对关键信息基础设施进行针对性重点保护的必要前提。
2.3.2 明确规定铁路关键信息基础设施保护责任
《关键信息基础设施安全保护条例》第十三条和第十四条分别明确运营者的主要负责人对关键信息基础设施安全保护负总责,要求设置专门安全管理机构并保障运行经费和相应人员的配备,第十五条则具体规定了专门安全管理机构所需履行的八项职责,主要覆盖关键信息基础设施安全保护计划的拟定,网络安全防护能力的推进建设,网络安全应急演练、事件处置和报告,关键信息基础设施运维等服务的安全管理,教育培训和考核奖惩等内容。
压实党委(党组)网络安全工作责任制要求[6],做好铁路关键信息基础设施保护顶层设计,在制度规章、标准办法和检查考评上实现全面覆盖、深入细化,是铁路构建关键信息基础设施安全保护体系的基础保障。
2.3.3 细化要求铁路关键信息基础设施保护措施
《关键信息基础设施安全保护条例》第十二条规定了落实安全保护措施要与关键信息基础设施同步规划、同步建设、同步使用的“三同步”原则。以此为基础,第十七条特别强调运营者应对关键信息基础设施每年至少进行一次网络安全检测和风险评估,并对发现的安全问题及时整改,检测评估工作可自行或委托网络安全服务机构进行。同时,针对供应链安全问题,《关键信息基础设施安全保护条例》第十九条和第二十条对网络产品和服务的优先采购原则、进行安全审查和签订安全保密协议等作出了规定和要求。以强化安全防护能力为核心要务,以常态化开展安全检测评估为监控措施,以安全可信的网络产品和服务支撑为源头保障,是铁路关键信息基础设施在应对大规模、有组织的网络攻击方面仍需全面补强的主要短板。
为更好地承接“两法一规”在铁路行业的贯彻落实,铁路网络安全建设既要强化组织领导,统筹研究、前后衔接、融合贯通、整体部署、夯实工作基础,又要严格对照重要条款规定,找差距、找短板,完善规章制度体系、优化配套标准规范,不断强化网络安全人防、物防、技防措施。
铁路行业要在已有数据安全防护制度与安全防护技术手段的基础上,加快制订铁路行业数据安全管理政策,重点从数据保护整体框架、数据安全分级分类、数据安全保护制度、数据安全审查及数据安全管理认证等方面对铁路数据加强保护,构建数据安全领域的标准体系,做好铁路系统数据汇聚安全管控和技术保障,有效提升数据安全防护能力。
铁路行业要全面结合业务模式、服务运营模式等,分析梳理业务流程和系统设备,充分考虑行业要求、业务规模、数据复杂程度等的实际情况。同时,针对不同应用系统,铁路行业要进一步确定数据分类分级保护范围,并完善相关制度标准,按数据安全级别对数据进行分类分级防护。
铁路行业要按照数据资源、资产、流通这3个阶段开展数据治理和流动安全管控工作,加强重要数据和个人信息的使用管理和保护措施,强化铁路行业公民个人信息采集、使用、存储、交换等过程中的安全合规保护工作。
铁路行业要紧跟法律、技术和商业的发展进程,深入研究、准确把握国家网络安全关于个人信息和隐私保护要求的数据安全要求,及时更新、修订和发布12 306隐私权政策,建立12 306个人信息和数据安全存储等相关标准,进一步健全完善个人信息保护机制。
铁路行业要从个人信息处理生命的周期角度出发,在信息收集、存储、使用等各个环节建立安全防护措施,部署访问控制和审批机制,参照国内外信息安全标准及最佳实践,构建完善的、与业务发展相适应的铁路个人信息安全保障体系,严格履行保护义务。
铁路行业要充分结合本行业、本领域业务特性和重要性,立足实际,按照铁路关键信息基础设施认定规则和程序,规范开展关键业务梳理、候选对象识别、专家评审等认定相关工作,并在量化指标参数的基础上实现清单范围的准确界定,进行动态调整更新。
铁路行业要进一步落实网络安全工作的党组集中统一领导,严格压实各层级领导班子主要负责人做为网络安全第一责任人在关基保护工作中的重大责任,充分发挥网信安全总监和专门的网络安全管理处室在关键保护工作中的职责作用,履行好决策参谋、统筹协调、政策指导、推动落实、督导检查等职能。同时,铁路行业要做好机构设置和人员配置工作,确保事有人干、责有人负。
铁路行业要持续深入通过开展铁路关键信息基础设施等级保护测评和安全检查,及时发现问题和风险隐患,并组织整改补强,不断提升关键信息基础设施综合防御能力;采取定期组织对关键信息基础设施进行风险评估的方式,以资产评估为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,系统的分析其存在的脆弱性,并及时整改。同时,在供应链安全管理办法、网络产品入网检测验证、网络产品和服务采购管理规定、供应链安全检测评估等方面,铁路行业要加快制订相应的管理制度规定,降低入网铁路的产品和服务的网络安全风险。
依法依规筑牢铁路网络安全屏障,铁路行业要充分认识颁布实施网络安全相关法律法规的重要意义,提高政治站位,把深入贯彻落实相关法律法规作为当前和今后一个时期的重要政治任务,作为增强“四个意识”、坚定“四个自信”、做到“两个维护”的实际行动。铁路行业要认真履行法定职责和义务,精准对标对表,严格落细落实,切实提高新时代铁路网络安全的整体保护、数据安全治理、关键信息基础设施安全保护、个人信息保护等方面的能力和水平。