《網絡安全法》監管下的網絡安全管理合規及法律對策研究

曹 興

對外經濟貿易大學法學院，北京 100029

一、《網絡安全法》的重大意義

《網絡安全法》歷經多年，與信息安全等級保護制度相融合，網絡空間安全與國家主權安全具有同等重要的地位，但這部法律是宏觀層面的，如何指導管道企業遵從我國網絡空間法律行為，保護國家秘密，守住網絡安全的最后防線，需要對基本法進一步細化，制定相關細則，而一系列法規制度也正在加緊制定，它們共同形成相配套的我國國家網絡安全法律體系，為管道企業如何貫徹落實《網絡安全法》指明了方向，解決了一系列問題：一是等級保護制度的法律地位的提升；二是明確對天然氣管道信息基礎設施的保護范圍；三是加強對管道業務數據的加密保護；四是為網絡安全管理提供了法律依據；五是突出網絡安全合規性及應承擔的法律責任。其重大意義在于：

(一)《網絡安全法》為預防和降低網絡安全風險提供了法律依據

現如今各個重要領域的基礎設施都已經向著網絡化、信息化、數據化的方向發展，各項基礎設施的核心部件也都離不開網絡信息系統的技術支撐。一個國家要想強大，不僅國家主權要獨立，還應具有強大的網絡安全防御能力，不受別國干涉，《網絡安全法》為全面推動網絡安全防御體系的建立提供了牢固的法律依據。在國際上，已經發生了諸多國家的重點領域遭受攻擊事件，主要是因為網絡安全防護措施落實不到位。2015年，惡意軟件攻擊烏克蘭電力設施，導致七十萬家庭數小時的斷電事故，造成嚴重社會恐慌。2017年，“永恒之藍”蠕蟲病毒在全球蔓延，以鎖定重要數據相要挾，使用戶數據遭受重大損失。慘痛的事實證明沒有網絡安全，就沒有國家安全，在預防網絡風險方面，《網絡安全法》提供了堅實的法律保障。

(二)《網絡安全法》為維護國際網絡安全提供了聯系紐帶

網絡空間已不再是虛擬的法外之地，它已經與現實世界接軌，成為我國國家主權的一部分，《網絡安全法》在履行國家主權等方面，涉及互聯網及相關領域的公共政策，界定了我國網絡安全的邊界。《網絡安全法》是國家網絡空間主權原則下強有力的法律武器，主權原則也體現了國際義務，既要采取措施減少網絡安全威脅、提升國家網絡防御能力，也要實現國際共同合作，預防和打擊國際網絡空間穩定的網絡攻擊和網絡犯罪。網絡安全無國界，需要國際社會共同參與、共同治理，共同努力防范和打擊跨國網絡犯罪。

(三)《網絡安全法》彰顯了國家法制現代化的治國理念

網絡空間管理涉及公共安全問題以及公眾個人切身利益。網絡安全立法秉承“以人為本”、公眾參與的原則，立法程序公開、透明，為了遵從網絡時代的客觀規律，既體現互聯網發展的特點，又汲取他國成功經驗，確保法律的科學和專業。例如對“關鍵信息基礎設施”的界定，體現了概括加列舉的定義方法，采用了內涵加外延的法律范圍界定，將那些中斷服務、失效或被破壞會危及國家安全、公共健康與安全、危及社會福祉等的設施均列為關鍵基礎設施而予以重點保護。

二、《網絡安全法》主要內容的解讀

《網絡安全法》作為具有強制性的基本法，具有以下特點：①堅持網絡安全和信息化發展并重原則；②提出網絡空間主權；③強調開展國際合作；④建立統籌協調、分工負責的管理體制；⑤重點保護關鍵信息基礎設施；⑥網絡突發事件采取“網絡通信管制”；⑦充分發揮行業組織自律作用；⑧加大網絡安全資金投入。《網絡安全法》的內容與管道企業發展和社會民生又存在著緊密聯系，重點從以下三個方面進行分析：

一是提升了等級保護制度的法律地位[1]。將等級保護工作根據重要程度，從低到高分為一至五級。定級一般采取自愿原則，關鍵信息基礎設施的等級保護是強制性義務。等級保護工作內容包括：①系統定級、②安全域劃分、③等級安全指標設計、④等級安全體系規劃、⑤安全等級評測等[2]。信息系統等級保護標準沿用至今，具有一定的科學性和可操作性，為網絡安全等級保護制度奠定了基礎，從而提升了網絡安全等級保護制度的法律地位[3]，兩者順利銜接，相互融合，但《網絡安全法》規定了等級保護制度的總原則，可操作性和執行性不強，需進一步出臺相關配套細則加以明確，指導等級保護測評工作的開展，明確了重要信息系統及網絡安全風險的檢查和應急處置工作，強化企業網絡安全防御體系建設，提升網絡安全管理水平[4]。

二是對關鍵信息基礎設施實行重點保護。縱觀國際社會發生的重大網絡安全事件，能源信息基礎設施已成為網絡攻擊的目標，關鍵基礎設施仍然是信息安全保障的最核心內容[5]。例如“永恒之藍”病毒針對加油站的攻擊，我國將關鍵信息基礎設施安全保護上升至法律層面，立法很迫切、出臺很及時，說明國家對重要行業和領域網絡安全的高度重視，尤其是能源行業的管道企業，對油氣設施及坐標數據進行重點安全保護，不僅需要提高油氣信息基礎設施自身安全，更應當進行一系列制度規范體系建設，建立完善的規章制度[6]，搭建可落地的制度框架。

三是網絡安全的核心是信息，數據保護是重點。信息可理解為業務數據，業務數據來自業務的開展過程，因此在業務開展過程中去發現信息的安全保護問題，進而使用信息化手段解決此問題，助力業務發展。數據的安全保護，又分為兩方面內容：一是要求各企業切實承擔起數據安全的職責，即數據的保密性、數據的完整性、數據的可控性及數據的不可否認性[7]。二是保障個人對其個人信息的安全可控。但對于國家層面的數據保護，可以說《網絡安全法》僅僅規定了關鍵信息基礎設施上的重要數據應當留存本地。如果將數據真正當成“基礎性戰略資源”，則國家層面的數據保護至少包含了三項主要內容：數據安全、數據支配權、防止敏感數據遭惡意使用對國家安全的威脅。在這三個方面，《網絡安全法》都欠缺清晰的思路，需要后續制定相應的配套細則加以明確。

三、管道企業在網絡安全管理上面臨的主要問題

首先，在基礎網絡和應用系統建設上的投入是基礎，而在網絡安全管理上的投入也固然重要，安全的投入不僅是軟硬件采購部署，平時的執行管理更加關鍵，安全投入和安全等級以及數據價值不相匹配。有些企業也無視國家法律法規，不嚴格執行網絡安全管理制度，未履行安全保護義務，面臨重大網絡安全法律風險。

其次，安全的重點不全在于技術，而是在于管理執行，管理措施重要性在于信息安全管理水平，對于明知故犯者應給予嚴懲。有些企業安全管理水平低下，如管理制度建設不健全，缺乏有效的應急處置機制，員工不自覺或受外部利益誘惑而主動泄密。

第三，管理漏洞造成網絡安全威脅。普遍存在①內外網混用、②未啟用防火墻、③未安裝防病毒軟件、④未及時更新病毒庫、⑤隨意開放網絡端口等管理漏洞，風險防范意識不強，引起黑客的入侵，嚴重的會造成內部數據的泄密和丟失等損失。

第四，缺乏有效的網絡安全人才培養機制。信息技術日新月異，尤其是網絡安全技術更新較快，未制定長遠的網絡安全人才培養規劃，業務培訓水平參差不齊，且防范知識更新較慢，新的網絡安全管理知識領會不深，不僅無法盡快培養一批水平較高的網絡安全人員，甚至還會造成網絡安全人才嚴重流失。

最后，除了基本的網絡、設備和存儲備份等基礎管理以外，數據訪問與存放分離，敏感數據加密，訪問授權盡量細分和限時等雖然加強了安全防范，但是難免忽視某些環節，使黑客及網絡攻擊者有機可乘，安全的信息要可視化，能夠掌握安全風險來自何處，有針對性的防范，安全防范的措施要有彈性，不能一點被攻破，就全盤崩潰，防守永遠無法建立堅固的網絡安全防護體系。

四、《網絡安全法》對管道企業影響和具體要求

過去，只有信息系統等級保護標準及相關法規，而沒有法律的強制性規定來要求企業履行網絡安全保護這方面的工作，大多數企業的網絡安全建設還是比較薄弱的，在網絡安全方面不能很好的履行企業的社會責任。一旦爆發網絡安全事件，監控預警等網絡安全建設比較完善的企業會立即啟動應急處置預案，避免遭受病毒入侵感染，能夠快速做好應對工作。

《網絡安全法》的實施，給企業的安全建設也提供了一定的指導作用，企業做好網絡安全防護工作，遵從網絡安全保護義務，才能使企業本身的業務防護能力得到提升，國家的網絡安全環境治理能力增強，也許下一個“永恒之藍”就不會大面積爆發傳播擴散了。

《網絡安全法》作為基礎性的網絡安全保障法律，企業需要履行應盡的社會責任，遵從《網絡安全法》相關規定，盡到安全保護義務，否則還會觸犯民事責任和刑事責任，《刑法修正案(九)》專門規定了網絡服務提供者應履行的相關責任，嚴重違法還有可能觸犯刑法，甚至還會被記錄到企業信用檔案。

《網絡安全法》對企業的信息安全保障工作主要提出了以下幾點具體要求：

(一)重要系統開展等級保護測評工作，涉密系統依照相關法律要求重點保護；

(二)定期開展信息安全風險評估工作，及時處置系統漏洞、防范網絡及病毒攻擊、黑客侵入等安全風險；

(三)提高網絡安全崗位人員職業素質及法律合規教育；

(四)提高對病毒攻擊、黑客入侵、網絡詐騙及網絡失竊密的防范能力；

(五)重視信息安全應急處置，提高信息安全應急響應能力；

(六)建立辦公內網與互聯網分離的網絡架構；

(七)通過網絡監控設備有效監控網絡的運行情況，并做好應急預案工作；

(八)運用加密設備及加密技術，進行數據加密，重視相關信息的保護。

[1]馬欣，王勝開.對建立網絡安全審查制度的分析[J].互聯網天地，2014(06).

[2]嚴承華，陳璐，趙俊閣等.信息安全工程[M].北京：清華大學出版社，2017.

[3]趙林.信息安全等級保護工作取得新進展[J].信息網絡安全，2007(06).

[4]王偉，戴國強.黨政機關網站安全管理規范化建設探究[J].信息化建設，2011(08).

[5]劉洪梅，張舒.2016年國內外信息安全態勢[J].中國信息安全，2017(01).

[6]尹麗波.網絡安全法將促進國家關鍵信息基礎設施保護新局面[J].中國信息安全，2015(08).

[7]信息安全保障[Z].北京：中國信息安全測評中心，2013.