網(wǎng)絡(luò)安全法學(xué)第三講 網(wǎng)絡(luò)運(yùn)行安全法律制度（二）

2010年，“震網(wǎng)”病毒攻擊伊朗核設(shè)施，致使伊朗核電站延遲運(yùn)行；2014年，烏俄沖突導(dǎo)致烏克蘭通信基礎(chǔ)設(shè)施多次遭受攻擊，相關(guān)地區(qū)電話、手機(jī)、互聯(lián)網(wǎng)服務(wù)被切斷，變成“孤島”；2015年，波蘭航空公司地面操作系統(tǒng)遭遇黑客攻擊，致使出現(xiàn)長(zhǎng)達(dá)5小時(shí)的系統(tǒng)癱瘓，至少10個(gè)班次航班被迫取消。這一系列事件均表明，能源、金融、通信、交通、電力等重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施成為了網(wǎng)絡(luò)攻擊的“重災(zāi)區(qū)”。2019年3月7日下午5點(diǎn)（當(dāng)?shù)貢r(shí)間），委內(nèi)瑞拉全國(guó)23個(gè)州中的18個(gè)州發(fā)生了停電，原因是向全國(guó)提供80%電力的古里水電站遭到蓄意破壞。9日上午，全國(guó)70%的地方恢復(fù)了供電，但沒(méi)過(guò)多久電子系統(tǒng)再次遭到”高科技手段”實(shí)施的電磁攻擊，導(dǎo)致再次大范圍的停電。這次電力系統(tǒng)遭受攻擊的目的，就是要癱瘓委內(nèi)瑞拉民生基礎(chǔ)，徹底瓦解民心，從而“手不血刃”，達(dá)到目的，支持反對(duì)派上臺(tái)。2021年5月9日，因在美國(guó)最大的輸油管道公司遭受網(wǎng)絡(luò)攻擊后，美國(guó)政府發(fā)布緊急聲明宣布進(jìn)入國(guó)家緊急狀態(tài)。一、什么是“關(guān)鍵信息基礎(chǔ)設(shè)施”？美國(guó)——關(guān)鍵基礎(chǔ)設(shè)施：對(duì)于美國(guó)來(lái)說(shuō)極其重要的物理的或虛擬的系統(tǒng)和資產(chǎn)，一旦它們能力喪失或遭到破壞，就會(huì)削弱國(guó)家安全、國(guó)家經(jīng)濟(jì)安全或者國(guó)家公眾健康與安全。歐盟——基本服務(wù)運(yùn)營(yíng)者：提供維續(xù)關(guān)鍵社會(huì)活動(dòng)及/或經(jīng)濟(jì)活動(dòng)基本服務(wù)的主體，該服務(wù)的提供依賴于網(wǎng)絡(luò)和信息系統(tǒng)，網(wǎng)絡(luò)安全事件會(huì)對(duì)該服務(wù)的提供造成重大的破壞性影響，涉及能源(電力、石油及天然氣)、運(yùn)輸(航空、鐵路、水運(yùn)及陸運(yùn))、銀行、金融市場(chǎng)基礎(chǔ)設(shè)施、醫(yī)療衛(wèi)生、飲用水供應(yīng)分配以及數(shù)字基礎(chǔ)設(shè)施(互聯(lián)網(wǎng)交換點(diǎn)、域名系統(tǒng)服務(wù)提供者及頂級(jí)域名注冊(cè))領(lǐng)域。德國(guó)——關(guān)鍵基礎(chǔ)設(shè)施：對(duì)于德國(guó)共同體的運(yùn)作具有重大意義的設(shè)施、設(shè)備或者其組成，一旦停止運(yùn)作或者遭受損害將造成嚴(yán)重的供應(yīng)緊張或者對(duì)公共安全產(chǎn)生嚴(yán)重威脅，涉及能源、電信、信息技術(shù)、交通運(yùn)輸、衛(wèi)生、食品以及金融保險(xiǎn)領(lǐng)域;具體范圍由聯(lián)邦政府以法規(guī)命令予以規(guī)定，但明確排除了這些領(lǐng)域中的小企業(yè)。

關(guān)鍵性：1、關(guān)系到國(guó)家安全與公共安全2、在整個(gè)基礎(chǔ)設(shè)施系統(tǒng)中的地位非常重要，一、什么是“關(guān)鍵信息基礎(chǔ)設(shè)施”？《網(wǎng)絡(luò)安全法》第三十一條第一款：國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第二條本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。關(guān)鍵信息基礎(chǔ)設(shè)施的特征：1.

關(guān)鍵信息基礎(chǔ)設(shè)施為國(guó)家正常運(yùn)轉(zhuǎn)提供必需的產(chǎn)品和服務(wù)。2.

關(guān)鍵信息基礎(chǔ)設(shè)施是結(jié)構(gòu)體系中被強(qiáng)依賴的關(guān)鍵節(jié)點(diǎn)。3.

關(guān)鍵信息基礎(chǔ)設(shè)施可能是高危設(shè)施，被攻擊可導(dǎo)致直接的破壞后果。4.

存儲(chǔ)或傳輸?shù)男畔?shù)據(jù)大量集中或極其敏感。5.

關(guān)鍵信息基礎(chǔ)設(shè)施可以具備象征意義，被攻擊和破壞可影響社會(huì)穩(wěn)定。關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定：（一）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；（二）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來(lái)的危害程度；（三）對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。關(guān)鍵信息基礎(chǔ)設(shè)施主要包括：國(guó)家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；財(cái)政、金融、稅務(wù)、海關(guān)、審計(jì)、工商、社會(huì)保障、能源、交通運(yùn)輸、國(guó)防工業(yè)等關(guān)系到國(guó)計(jì)民生的信息系統(tǒng)；教育、國(guó)家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。二、誰(shuí)來(lái)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施？（一）主管部門根據(jù)《網(wǎng)絡(luò)安全法》第三十二條，按照國(guó)務(wù)院規(guī)定的職責(zé)分工，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作?！毒W(wǎng)絡(luò)安全法》第三十三條規(guī)定，建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。因此，無(wú)論是哪個(gè)行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，都應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并堅(jiān)持安全技術(shù)措施“三同步”的原則，即應(yīng)該保證安全技術(shù)措施實(shí)現(xiàn)“同步規(guī)劃、同步建設(shè)、同步使用”?！稐l例》第三條第一款在國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下，國(guó)務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。國(guó)務(wù)院電信主管部門和其他有關(guān)部門依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作。

省級(jí)人民政府有關(guān)部門依據(jù)各自職責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。（二）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的義務(wù)主體。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者承擔(dān)著主要的安全維護(hù)和保障義務(wù)。三、如何保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施？總體原則：在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。（《網(wǎng)絡(luò)安全法》第31條）（一）運(yùn)營(yíng)者的義務(wù)1.安全保護(hù)措施“三同時(shí)”義務(wù)2.應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制3.應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)，并對(duì)專門安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。4.檢測(cè)與評(píng)估：應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，并按照保護(hù)工作部門要求報(bào)送情況。5.報(bào)告義務(wù)：鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)，運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告。6.采購(gòu)義務(wù)：應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查。運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確提供者的技術(shù)支持和安全保密義務(wù)與責(zé)任，并對(duì)義務(wù)與責(zé)任履行情況進(jìn)行監(jiān)督。7.運(yùn)營(yíng)者發(fā)生合并、分立、解散等情況，應(yīng)當(dāng)及時(shí)報(bào)告保護(hù)工作部門，并按照保護(hù)工作部門的要求對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行處置，確保安全。境內(nèi)維護(hù)、個(gè)人信息及重要數(shù)據(jù)境內(nèi)存儲(chǔ)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)應(yīng)當(dāng)在境內(nèi)實(shí)施。因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程維護(hù)的，應(yīng)事先報(bào)國(guó)家行業(yè)主管或監(jiān)管部門和國(guó)務(wù)院公安部門（批準(zhǔn)）。（二）監(jiān)管部門的職責(zé)國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施：（一）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估；（二）定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力；（三）促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享；（四）對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等，提供技術(shù)支持和協(xié)助。三、違反CII保護(hù)義務(wù)的法律責(zé)任關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的法律責(zé)任國(guó)家行業(yè)主管部門的法律責(zé)任境外機(jī)構(gòu)、組織、個(gè)人的法律責(zé)任關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的法律責(zé)任

第一，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行《網(wǎng)絡(luò)安全法》第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。第二，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反《網(wǎng)絡(luò)安全法》第三十五條規(guī)定，使用未經(jīng)安全審查或者安全審查未通過(guò)的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，由有關(guān)主管部門責(zé)令停止使用，處采購(gòu)金額一倍以上十倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。第三，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，在境外存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，沒(méi)收違法所得，處五萬(wàn)元以上五十萬(wàn)元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

國(guó)家行業(yè)主管部門的法律責(zé)任

根據(jù)《網(wǎng)絡(luò)安全法》第七十三條第二款的規(guī)定，網(wǎng)信部門和有關(guān)部門的工作人員玩忽職守、濫用職權(quán)、徇私舞弊，尚不構(gòu)成犯罪的，依法給予處分。因此，作為國(guó)家行業(yè)主管部門的網(wǎng)信部門和有關(guān)部門在保障關(guān)鍵信息基礎(chǔ)設(shè)施安全問(wèn)題上存在玩忽職守