曹 興

對外經(jīng)濟貿(mào)易大學法學院，北京 100029

一、《網(wǎng)絡(luò)安全法》的重大意義

《網(wǎng)絡(luò)安全法》歷經(jīng)多年，與信息安全等級保護制度相融合，網(wǎng)絡(luò)空間安全與國家主權(quán)安全具有同等重要的地位，但這部法律是宏觀層面的，如何指導管道企業(yè)遵從我國網(wǎng)絡(luò)空間法律行為，保護國家秘密，守住網(wǎng)絡(luò)安全的最后防線，需要對基本法進一步細化，制定相關(guān)細則，而一系列法規(guī)制度也正在加緊制定，它們共同形成相配套的我國國家網(wǎng)絡(luò)安全法律體系，為管道企業(yè)如何貫徹落實《網(wǎng)絡(luò)安全法》指明了方向，解決了一系列問題：一是等級保護制度的法律地位的提升；二是明確對天然氣管道信息基礎(chǔ)設(shè)施的保護范圍；三是加強對管道業(yè)務(wù)數(shù)據(jù)的加密保護；四是為網(wǎng)絡(luò)安全管理提供了法律依據(jù)；五是突出網(wǎng)絡(luò)安全合規(guī)性及應(yīng)承擔的法律責任。其重大意義在于：

(一)《網(wǎng)絡(luò)安全法》為預(yù)防和降低網(wǎng)絡(luò)安全風險提供了法律依據(jù)

現(xiàn)如今各個重要領(lǐng)域的基礎(chǔ)設(shè)施都已經(jīng)向著網(wǎng)絡(luò)化、信息化、數(shù)據(jù)化的方向發(fā)展，各項基礎(chǔ)設(shè)施的核心部件也都離不開網(wǎng)絡(luò)信息系統(tǒng)的技術(shù)支撐。一個國家要想強大，不僅國家主權(quán)要獨立，還應(yīng)具有強大的網(wǎng)絡(luò)安全防御能力，不受別國干涉，《網(wǎng)絡(luò)安全法》為全面推動網(wǎng)絡(luò)安全防御體系的建立提供了牢固的法律依據(jù)。在國際上，已經(jīng)發(fā)生了諸多國家的重點領(lǐng)域遭受攻擊事件，主要是因為網(wǎng)絡(luò)安全防護措施落實不到位。2015年，惡意軟件攻擊烏克蘭電力設(shè)施，導致七十萬家庭數(shù)小時的斷電事故，造成嚴重社會恐慌。2017年，“永恒之藍”蠕蟲病毒在全球蔓延，以鎖定重要數(shù)據(jù)相要挾，使用戶數(shù)據(jù)遭受重大損失。慘痛的事實證明沒有網(wǎng)絡(luò)安全，就沒有國家安全，在預(yù)防網(wǎng)絡(luò)風險方面，《網(wǎng)絡(luò)安全法》提供了堅實的法律保障。

(二)《網(wǎng)絡(luò)安全法》為維護國際網(wǎng)絡(luò)安全提供了聯(lián)系紐帶

網(wǎng)絡(luò)空間已不再是虛擬的法外之地，它已經(jīng)與現(xiàn)實世界接軌，成為我國國家主權(quán)的一部分，《網(wǎng)絡(luò)安全法》在履行國家主權(quán)等方面，涉及互聯(lián)網(wǎng)及相關(guān)領(lǐng)域的公共政策，界定了我國網(wǎng)絡(luò)安全的邊界?！毒W(wǎng)絡(luò)安全法》是國家網(wǎng)絡(luò)空間主權(quán)原則下強有力的法律武器，主權(quán)原則也體現(xiàn)了國際義務(wù)，既要采取措施減少網(wǎng)絡(luò)安全威脅、提升國家網(wǎng)絡(luò)防御能力，也要實現(xiàn)國際共同合作，預(yù)防和打擊國際網(wǎng)絡(luò)空間穩(wěn)定的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)安全無國界，需要國際社會共同參與、共同治理，共同努力防范和打擊跨國網(wǎng)絡(luò)犯罪。

(三)《網(wǎng)絡(luò)安全法》彰顯了國家法制現(xiàn)代化的治國理念

網(wǎng)絡(luò)空間管理涉及公共安全問題以及公眾個人切身利益。網(wǎng)絡(luò)安全立法秉承“以人為本”、公眾參與的原則，立法程序公開、透明，為了遵從網(wǎng)絡(luò)時代的客觀規(guī)律，既體現(xiàn)互聯(lián)網(wǎng)發(fā)展的特點，又汲取他國成功經(jīng)驗，確保法律的科學和專業(yè)。例如對“關(guān)鍵信息基礎(chǔ)設(shè)施”的界定，體現(xiàn)了概括加列舉的定義方法，采用了內(nèi)涵加外延的法律范圍界定，將那些中斷服務(wù)、失效或被破壞會危及國家安全、公共健康與安全、危及社會福祉等的設(shè)施均列為關(guān)鍵基礎(chǔ)設(shè)施而予以重點保護。

二、《網(wǎng)絡(luò)安全法》主要內(nèi)容的解讀

《網(wǎng)絡(luò)安全法》作為具有強制性的基本法，具有以下特點：①堅持網(wǎng)絡(luò)安全和信息化發(fā)展并重原則；②提出網(wǎng)絡(luò)空間主權(quán)；③強調(diào)開展國際合作；④建立統(tǒng)籌協(xié)調(diào)、分工負責的管理體制；⑤重點保護關(guān)鍵信息基礎(chǔ)設(shè)施；⑥網(wǎng)絡(luò)突發(fā)事件采取“網(wǎng)絡(luò)通信管制”；⑦充分發(fā)揮行業(yè)組織自律作用；⑧加大網(wǎng)絡(luò)安全資金投入?！毒W(wǎng)絡(luò)安全法》的內(nèi)容與管道企業(yè)發(fā)展和社會民生又存在著緊密聯(lián)系，重點從以下三個方面進行分析：

一是提升了等級保護制度的法律地位[1]。將等級保護工作根據(jù)重要程度，從低到高分為一至五級。定級一般采取自愿原則，關(guān)鍵信息基礎(chǔ)設(shè)施的等級保護是強制性義務(wù)。等級保護工作內(nèi)容包括：①系統(tǒng)定級、②安全域劃分、③等級安全指標設(shè)計、④等級安全體系規(guī)劃、⑤安全等級評測等[2]。信息系統(tǒng)等級保護標準沿用至今，具有一定的科學性和可操作性，為網(wǎng)絡(luò)安全等級保護制度奠定了基礎(chǔ)，從而提升了網(wǎng)絡(luò)安全等級保護制度的法律地位[3]，兩者順利銜接，相互融合，但《網(wǎng)絡(luò)安全法》規(guī)定了等級保護制度的總原則，可操作性和執(zhí)行性不強，需進一步出臺相關(guān)配套細則加以明確，指導等級保護測評工作的開展，明確了重要信息系統(tǒng)及網(wǎng)絡(luò)安全風險的檢查和應(yīng)急處置工作，強化企業(yè)網(wǎng)絡(luò)安全防御體系建設(shè)，提升網(wǎng)絡(luò)安全管理水平[4]。

二是對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護?？v觀國際社會發(fā)生的重大網(wǎng)絡(luò)安全事件，能源信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的目標，關(guān)鍵基礎(chǔ)設(shè)施仍然是信息安全保障的最核心內(nèi)容[5]。例如“永恒之藍”病毒針對加油站的攻擊，我國將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護上升至法律層面，立法很迫切、出臺很及時，說明國家對重要行業(yè)和領(lǐng)域網(wǎng)絡(luò)安全的高度重視，尤其是能源行業(yè)的管道企業(yè)，對油氣設(shè)施及坐標數(shù)據(jù)進行重點安全保護，不僅需要提高油氣信息基礎(chǔ)設(shè)施自身安全，更應(yīng)當進行一系列制度規(guī)范體系建設(shè)，建立完善的規(guī)章制度[6]，搭建可落地的制度框架。

三是網(wǎng)絡(luò)安全的核心是信息，數(shù)據(jù)保護是重點。信息可理解為業(yè)務(wù)數(shù)據(jù)，業(yè)務(wù)數(shù)據(jù)來自業(yè)務(wù)的開展過程，因此在業(yè)務(wù)開展過程中去發(fā)現(xiàn)信息的安全保護問題，進而使用信息化手段解決此問題，助力業(yè)務(wù)發(fā)展。數(shù)據(jù)的安全保護，又分為兩方面內(nèi)容：一是要求各企業(yè)切實承擔起數(shù)據(jù)安全的職責，即數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可控性及數(shù)據(jù)的不可否認性[7]。二是保障個人對其個人信息的安全可控。但對于國家層面的數(shù)據(jù)保護，可以說《網(wǎng)絡(luò)安全法》僅僅規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施上的重要數(shù)據(jù)應(yīng)當留存本地。如果將數(shù)據(jù)真正當成“基礎(chǔ)性戰(zhàn)略資源”，則國家層面的數(shù)據(jù)保護至少包含了三項主要內(nèi)容：數(shù)據(jù)安全、數(shù)據(jù)支配權(quán)、防止敏感數(shù)據(jù)遭惡意使用對國家安全的威脅。在這三個方面，《網(wǎng)絡(luò)安全法》都欠缺清晰的思路，需要后續(xù)制定相應(yīng)的配套細則加以明確。

三、管道企業(yè)在網(wǎng)絡(luò)安全管理上面臨的主要問題

首先，在基礎(chǔ)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)上的投入是基礎(chǔ)，而在網(wǎng)絡(luò)安全管理上的投入也固然重要，安全的投入不僅是軟硬件采購部署，平時的執(zhí)行管理更加關(guān)鍵，安全投入和安全等級以及數(shù)據(jù)價值不相匹配。有些企業(yè)也無視國家法律法規(guī)，不嚴格執(zhí)行網(wǎng)絡(luò)安全管理制度，未履行安全保護義務(wù)，面臨重大網(wǎng)絡(luò)安全法律風險。

其次，安全的重點不全在于技術(shù)，而是在于管理執(zhí)行，管理措施重要性在于信息安全管理水平，對于明知故犯者應(yīng)給予嚴懲。有些企業(yè)安全管理水平低下，如管理制度建設(shè)不健全，缺乏有效的應(yīng)急處置機制，員工不自覺或受外部利益誘惑而主動泄密。

第三，管理漏洞造成網(wǎng)絡(luò)安全威脅。普遍存在①內(nèi)外網(wǎng)混用、②未啟用防火墻、③未安裝防病毒軟件、④未及時更新病毒庫、⑤隨意開放網(wǎng)絡(luò)端口等管理漏洞，風險防范意識不強，引起黑客的入侵，嚴重的會造成內(nèi)部數(shù)據(jù)的泄密和丟失等損失。

第四，缺乏有效的網(wǎng)絡(luò)安全人才培養(yǎng)機制。信息技術(shù)日新月異，尤其是網(wǎng)絡(luò)安全技術(shù)更新較快，未制定長遠的網(wǎng)絡(luò)安全人才培養(yǎng)規(guī)劃，業(yè)務(wù)培訓水平參差不齊，且防范知識更新較慢，新的網(wǎng)絡(luò)安全管理知識領(lǐng)會不深，不僅無法盡快培養(yǎng)一批水平較高的網(wǎng)絡(luò)安全人員，甚至還會造成網(wǎng)絡(luò)安全人才嚴重流失。

最后，除了基本的網(wǎng)絡(luò)、設(shè)備和存儲備份等基礎(chǔ)管理以外，數(shù)據(jù)訪問與存放分離，敏感數(shù)據(jù)加密，訪問授權(quán)盡量細分和限時等雖然加強了安全防范，但是難免忽視某些環(huán)節(jié)，使黑客及網(wǎng)絡(luò)攻擊者有機可乘，安全的信息要可視化，能夠掌握安全風險來自何處，有針對性的防范，安全防范的措施要有彈性，不能一點被攻破，就全盤崩潰，防守永遠無法建立堅固的網(wǎng)絡(luò)安全防護體系。

四、《網(wǎng)絡(luò)安全法》對管道企業(yè)影響和具體要求

過去，只有信息系統(tǒng)等級保護標準及相關(guān)法規(guī)，而沒有法律的強制性規(guī)定來要求企業(yè)履行網(wǎng)絡(luò)安全保護這方面的工作，大多數(shù)企業(yè)的網(wǎng)絡(luò)安全建設(shè)還是比較薄弱的，在網(wǎng)絡(luò)安全方面不能很好的履行企業(yè)的社會責任。一旦爆發(fā)網(wǎng)絡(luò)安全事件，監(jiān)控預(yù)警等網(wǎng)絡(luò)安全建設(shè)比較完善的企業(yè)會立即啟動應(yīng)急處置預(yù)案，避免遭受病毒入侵感染，能夠快速做好應(yīng)對工作。

《網(wǎng)絡(luò)安全法》的實施，給企業(yè)的安全建設(shè)也提供了一定的指導作用，企業(yè)做好網(wǎng)絡(luò)安全防護工作，遵從網(wǎng)絡(luò)安全保護義務(wù)，才能使企業(yè)本身的業(yè)務(wù)防護能力得到提升，國家的網(wǎng)絡(luò)安全環(huán)境治理能力增強，也許下一個“永恒之藍”就不會大面積爆發(fā)傳播擴散了。

《網(wǎng)絡(luò)安全法》作為基礎(chǔ)性的網(wǎng)絡(luò)安全保障法律，企業(yè)需要履行應(yīng)盡的社會責任，遵從《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，盡到安全保護義務(wù)，否則還會觸犯民事責任和刑事責任，《刑法修正案(九)》專門規(guī)定了網(wǎng)絡(luò)服務(wù)提供者應(yīng)履行的相關(guān)責任，嚴重違法還有可能觸犯刑法，甚至還會被記錄到企業(yè)信用檔案。

《網(wǎng)絡(luò)安全法》對企業(yè)的信息安全保障工作主要提出了以下幾點具體要求：

(一)重要系統(tǒng)開展等級保護測評工作，涉密系統(tǒng)依照相關(guān)法律要求重點保護；

(二)定期開展信息安全風險評估工作，及時處置系統(tǒng)漏洞、防范網(wǎng)絡(luò)及病毒攻擊、黑客侵入等安全風險；

(三)提高網(wǎng)絡(luò)安全崗位人員職業(yè)素質(zhì)及法律合規(guī)教育；

(四)提高對病毒攻擊、黑客入侵、網(wǎng)絡(luò)詐騙及網(wǎng)絡(luò)失竊密的防范能力；

(五)重視信息安全應(yīng)急處置，提高信息安全應(yīng)急響應(yīng)能力；

(六)建立辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)分離的網(wǎng)絡(luò)架構(gòu)；

(七)通過網(wǎng)絡(luò)監(jiān)控設(shè)備有效監(jiān)控網(wǎng)絡(luò)的運行情況，并做好應(yīng)急預(yù)案工作；

(八)運用加密設(shè)備及加密技術(shù)，進行數(shù)據(jù)加密，重視相關(guān)信息的保護。

[1]馬欣，王勝開.對建立網(wǎng)絡(luò)安全審查制度的分析[J].互聯(lián)網(wǎng)天地，2014(06).

[2]嚴承華，陳璐，趙俊閣等.信息安全工程[M].北京：清華大學出版社，2017.

[3]趙林.信息安全等級保護工作取得新進展[J].信息網(wǎng)絡(luò)安全，2007(06).

[4]王偉，戴國強.黨政機關(guān)網(wǎng)站安全管理規(guī)范化建設(shè)探究[J].信息化建設(shè)，2011(08).

[5]劉洪梅，張舒.2016年國內(nèi)外信息安全態(tài)勢[J].中國信息安全，2017(01).

[6]尹麗波.網(wǎng)絡(luò)安全法將促進國家關(guān)鍵信息基礎(chǔ)設(shè)施保護新局面[J].中國信息安全，2015(08).

[7]信息安全保障[Z].北京：中國信息安全測評中心，2013.