二、案例评析
本案的根本在于方正农业社会化服务平台运营者未能有效落实网络安全等级保护制度,设置安全责任人对网站进行维护,致使存在高危漏洞,并最后遭遇网络攻击。可见,网络安全等级保护制度作为我国维护网络安全的一项基本制度,需要各个网络运营者的贯彻落实。
(一)网络安全等级保护制度进化之路
网络安全等级保护制度本质在于根据计算机信息系统对国家、社会和公民个人的影响程度,赋予不同层级的安全保护要求。1994年,国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)首次明确提出计算机信息系统实行安全等级保护,开启我国等级保护之路。2003年,国家信息化领导小组发布《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),将信息安全等级保护作为国家信息安全保障工作的重中之重,明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,要综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号),对信息安全等级保护的基本制度框架进行了规划。根据信息及信息系统的重要程度和危害程度将信息和信息系统的安全保护等级划分为五级:自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。2007年,公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布《信息安全等级保护管理办法》(公通字〔2007〕43号),对信息安全等级保护制度作了较为具体的规定,提出了影响信息安全保护等级定级的两个影响因素:信息系统在国家安全、经济建设、社会生活中的重要程度;信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,并依据上述因素将信息系统的安全保护等级由低到高划分为五个等级。同年,公安部发布《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)对等级保护的工作作出了具体的规定。上述规定构建起我国早期等级保护制度基础,为网络安全维护作出贡献。
进入新时期以来,《国家信息化发展战略纲要》《国家网络空间安全战略》等对等级保护工作提出了新要求,网络安全法从基本法层面确定了国家网络安全等级保护制度。2018年6月27日,公安部公布《网络安全等级保护条例(征求意见稿)》(以下简称《条例》),从支持保障、安全保护、涉密网络、密码管理、监督管理等方面,对网络安全法的等级保护制度加以细化。上述要求标志着等级保护制度进入2.0时代,构筑起新时代下的等级保护制度体系。
(二)网络安全等级保护制度义务内容
等级保护制度主要体现在网络安全法第21条中,要求国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。
义务主体方面,等级保护制度的义务主体是“网络运营者”,包括网络的所有者、管理者和网络服务提供者,大型互联网企业、大数据中心、云计算平台、公众服务平台、基础网络、重要信息系统、工业控制系统、物联网、重要网站等都包含在内。具体而言,既包括传统的基础电信网络运营者,也包括随着信息技术发展不断更新的各种网络服务提供者;既包括经营性的网络服务运营者,也包括非经营性的网络运营者;既包括向公众提供服务的互联网的网络运营者,也包括不向公众提供服务的局域网或者工业控制系统的网络运营者。本案中隶属方正县政府农业技术推广中心的“方正农业社会化服务平台”作为面向公众提供服务的网站,其运营者也须承担相应的等级保护义务。
义务内容方面,网络安全法从管理和技术措施两个层面,在人员配置、日志留存、数据安全等方面规定了网络运营者的等级保护义务。《条例》明确网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。具体来说,网络运营者在义务履行方面应注意以下几点:
1.适时适当进行定级备案工作
如前文所述,等级保护制度的核心在于赋予不同重要程度的信息系统以不同层级的保护义务。因此,定级是等级保护工作的首要和关键环节,是开展系统备案、建设整改、等级测评和监督检查等工作的重要基础。系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作将失去基础。
定级备案即根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,合理确定信息系统的安全保护等级。定级备案的主要依据是《信息安全等级保护管理办法》《公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于开展全国重要信息系统安全等级保护定级工作的通知》等规范性文件和《信息系统安全等级保护定级指南》等国家标准。仍处在制定过程中的《条例》也进行了规定,将网络分为五个安全保护等级,以便网络运营者根据实际情况合理确定。因此,网络运营者须按照拟定网络等级、专家评审、主管部门核准、公安机关审核的流程进行,做到科学、合理、准确定级。
2.建立内部安全管理制度及操作规程,确定网络安全负责人
根据等级保护制度的要求,网络运营者须制订内部安全管理制度和操作规程。安全管理制度应通过正式、有效的方式发布,并进行版本控制,应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
制度落实的核心在于人员。本案中,“方正农业社会化服务平台”长期无人维护,网络安全防护工作落实不到位,从而为网络攻击留下隐患。因此,网络运营者应根据不同保护等级设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并明确各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并明确各个工作岗位的职责;应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
3.采取防范网络安全行为的技术措施,建立网络监测与日志留存制度
为落实等级保护制度,网络运营者须采取技术防范措施,防范计算机病毒、网络攻击、网络侵入等网络安全风险。网络运营者应当采取的技术措施包括安装防病毒软件、防范计算机病毒,安装网络身份认证系统、网络入侵检测系统、网络风险审计系统等,防范网络攻击、侵入等。《条例》对技术维护提出进一步要求,即第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确须进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。
数据留存旨在为维护国家安全、社会公共利益等目的,要求网络运营者留存网络日志一定时间,以协助执法部门打击恐怖活动、侦查犯罪等。网络安全法要求网络运营者监测、记录网络运行状态、网络安全事件,并留存相关的网络日志不少于6个月。《条例》进一步要求落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存6个月以上可追溯网络违法犯罪的相关网络日志。
4.数据安全
等级保护制度要求网络运营者对数据进行分类,重要数据采取备份和加密等措施,防止网络数据被窃取或者篡改。
我国目前对数据分类、等级保护制度下的“重要数据”没有明确界定。其中,“重要数据”的概念还出现在网络安全法第37条对数据跨境流动的规定中,研究等级保护语境下的“重要数据”内涵可作参考。第37条规定,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。在该条的配套制度《个人信息和重要数据出境安全评估办法(征求意见稿)》中,将“重要数据”定义为与国家安全、经济发展,以及社会公共利益密切相关的数据。《信息安全技术 数据出境安全评估指南(草案)》中,“重要数据”指的是我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的,一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成严重后果的数据(包括原始数据和衍生数据)。可见,数据出境安全评估制度下,将“个人信息”和“重要数据”区分保护,给予不同的出境安全评估要求和标准。其中,“重要数据”判定标准以国家安全、经济发展及公共利益为出发点。
等级保护制度下的“重要数据”与数据出境安全评估制度中的“重要数据”略有不同。数据备份、加密与数据出境对于国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益影响的作用方式有所不同,等级保护制定下的“重要数据”还需要考虑数据对企业业务、运营的影响程度,将有重大影响的数据列入保护范畴。因此,等级保护制度中“重要数据”的认定应当以保护国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益为导向,重点考量数据备份和加密对于网络运营者业务运营的重要意义以及数据不备份、不加密是否会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成不利影响。
值得注意的是,依据网络安全法第21条的规定,除了制定内部安全管理制度及操作规程、确定网络安全负责人、采取防范危害网络安全行为的技术措施、网络监测与日志留存、数据分类、重要数据备份和加密等明确规定的义务,法律、行政法规规定的其他义务也是网络运营者需要履行的安全保护义务,如依据《中华人民共和国计算机信息系统安全保护条例》第9条和《信息安全等级保护管理办法》第14条规定的“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评”的义务等。
5.法律责任
违反等级保护制度的法律责任主要体现为网络安全法第59条第1款,即网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。本案中,方正县公安局也是依据该条,对方正县政府农业技术推广中心进行的处罚。
通过条文内容可以看出,违反等级保护制度的责任主体不仅包括网络运营者,还包括直接负责的主管人员,处罚方式包括责令改正后警告和罚款。其中责令改正警告属于未造成危害后果的前置条件,拒不改正后进一步作出罚款处罚;在网络运营者不履行安全保护义务导致危害网络安全后果的情形下,可直接作出罚款处罚。本案中,方正县政府农业技术推广中心未按照等级保护制度的要求落实网络安全主体责任,导致网站存在高危安全漏洞并被黑客攻击入侵,造成严重后果。因此,方正县公安局直接作出罚款决定。
(三)网络安全等级保护制度落实现状
网络安全法施行以来,我国山西、广东、上海、四川、重庆、安徽、黑龙江、湖南等地已经出现了等级保护相关执法案例,本案只是其中较为典型的一个案例。网络安全等级保护的当前执法案例见下表:
续表
续表
当前执法案例体现出以下特点:(1)涉及领域广泛,包括教育、互联网、医疗、公共服务等领域;(2)处罚涉及处罚对象发生未定级备案、未按期进行等级测评、未按规定留存网络日志、未采取安全保护技术措施、未采取数据分类、重要数据备份和加密措施等违法行为;(3)从启动执法处罚的背景来看,除部分是因为执法机关在网络安全执法检查中发现问题,多数案件源于处罚对象发生漏洞利用攻击、重要信息泄露等网络安全事件。可见,我国等级保护制度的落实还存在一定问题,多以实际发生危害为触发执法的源头,较为被动,易为大规模网络攻击事件留下隐患。在今后的等级保护制度推行过程中,仍须切实提高网络运营者等级保护意识,将管理制度和职责要求落到实处,对相应人员进行必要的技术和法律培训。
总而言之,网络安全法将我国一直以来的网络安全等级保护制定上升到法律层面,开启了我国等级保护制度的新阶段。网络安全法正式施行之后,各地公安机关的执法行动趋于常态,在推动等级保护制度落地的同时,也对我国现有网络安全法律体系提出更高的要求。为满足现实需求和完善法律体系,我国还须尽快颁布相应配套制度,厘清数据分类、重要数据判定标准等内容,为网络运营者遵从和权力机关执法提供指引。