黄道丽 原浩 | 我国关键信息基础设施网络安全应急响应的法律保障

一、关键信息基础设施网络安全应急响应法律规制的必要性

二、我国关键信息基础设施网络安全应急响应的法制化

在我国，以《网络安全法》为核心的关键信息基础设施网络安全应急响应法律保障体系建设正在加速推进。2007年《突发事件应对法》、2016年《网络安全法》、2006年国务院《国家突发公共事件总体应急预案》、2013年国务院《突发事件应急预案管理办法》、2017年中央网信办《国家网络安全事件应急预案》等现行有效的法律法规共同构筑了关键信息基础设施网络安全应急响应法律保障基本体系。《国家网络空间安全战略》明确要求完善网络安全监测预警和网络安全重大事件应急处置机制。《网络安全法》将监测预警与应急处置措施制度化、法制化，设第五章专章规定了网络安全监测预警、信息通报和应急处置制度，重点强化关键信息基础设施领域的应急响应制度，同时第57条有效衔接《突发事件应对法》、《安全生产法》等法律、行政法规的处置规定。2017年1月，作为国家层面针对网络安全事件适用的综合应急预案，中央网信办正式发布《国家网络安全事件应急预案》。以《突发事件应对法》、《网络安全法》等为依据，行业领域的相关部门、地方政府等也制定了相应监管范围的网络安全应急预案，如《银行业重要信息系统突发事件应急管理规范（试行）》《证券期货业网络与信息安全事件应急预案》《公共互联网网络安全突发事件应急预案》《工业控制系统信息安全事件应急管理工作指南》《上海市网络安全事件应急预案》等。

从实践来看，《网络安全法》实施以来，面向勒索病毒攻击、DDoS攻击、Web站点攻击等当前主要的网络攻击方式，我国深入推进网络安全等级保护，强化关键信息基础设施摸底排查、安全防护和执法检查，从实战出发落实国家重大网络安全保卫任务,覆盖国家、行业领域、地方政府、网络运营者的多级监测预警应急响应机制基本建立。从本次疫情响应来借鉴思考，关键信息基础设施的国家应急意愿与具体行业、领域和地方的应急能力是否一致需要进行重新验视，国家层面的综合应急能力如何穿透、赋能到具体的关键信息基础设施运营者，也应从利益共同体和整体价值上重新整合考虑。

此外，2017年以来，《关键信息基础设施保护条例（征求意见稿）》《网络安全等级保护条例（征求意见稿）》《网络安全漏洞管理规定（征求意见稿）》《网络安全威胁信息发布管理办法（征求意见稿）》等相继向社会公开征求意见，进一步细化了《网络安全法》关键信息基础设施网络安全应急响应、网络安全等级保护、网络安全漏洞发现与披露、威胁信息发布等方面的规定。这些尚处于综合研判、统筹调整阶段的《网络安全法》下位法是关键信息基础设施网络安全应急响应不可缺失的组成部分和制度支撑，如其中涉及的关键信息基础设施识别与认定、网络安全漏洞发现与公布、境内外网络安全威胁态势感知、关键信息基础设施供应链安全保障、网络安全信息共享、安全漏洞信息出口管制机制等问题，重要性自不待言。

三、我国关键信息基础设施网络安全应急响应法律制度的完善

黄道丽   公安部第三研究所

原   浩   江苏竹辉律师事务所