今日頭條
官方微信
官方抖音
資訊頻道導讀:為了完善鐵路網絡信息安全法治化路徑,梳理了涉及鐵路網絡信息安全的法律法規,剖析了制約鐵路網絡信息安全法治化的困境,對鐵路網絡信息安全保護法治化完善路徑給出建議。如出臺《鐵路網絡信息安全保護辦法》,明確鐵路網絡信息安全保護的責任主體、監管主體、相應主體的權利義務以及權責邊界等內容;制定鐵路網絡信息安全保護的行業標準,鐵路監管機關應與相關部門共同構建鐵路網絡與信息監管協同、聯動機制等。
0 引言
鐵路信息系統屬于《網絡安全法》和《國家網絡空間安全戰略》規定需要重點保護的關鍵信息基礎設施之一,加強保護其控制系統安全和數據安全成為題中之義。《網絡安全法》實施后,我國鐵路運輸企業作為網絡與信息安全的責任主體,建立了鐵路網絡安全信息保護制度,但因企業的制度不具有法律效力,保護亟需建立完備的鐵路網絡與信息安全法律和制度體系,為鐵路網絡信息安全保護提供法律保障。同時,需要建立科學有效的網絡信息與安全監管體系,打通監管主體與相關部門的協同協作機制。
1 我國鐵路網絡信息安全立法概述
我國的鐵路計算機網絡分為中國鐵路總公司、鐵路局集團、基層站段三級網絡體系。我國鐵路計算機網絡面臨計算機病毒威脅、惡意網絡攻擊、突發事件威脅等安全問題,不僅需要不斷更新鐵路信息技術,還需要完善鐵路網絡信息安全法律體系。
1.1 相關法律
涉及鐵路網絡信息安全內容的法律主要包括《網絡安全法》、《國家安全法》、《反恐怖主義法》、《中華人民共和國突發事件應對法》、《刑法》、《民法總則》、《保密法》、《治安管理處罰法》等。其中《網絡安全法》確立了網絡安全保護和網絡空間治理的基本框架,確定了網絡安全運維、安全監測與應急處置以及個人信息保護等重要制度,為鐵路網絡信息安全法律體系完善提供了基本依據。《國家安全法》、《反恐怖主義法》、《中華人民共和國突發事件應對法》、《保密法》均強調關鍵信息基礎設施的保障體系系統建設;《刑法》、《民法總則》、《治安管理處罰法》規定個人信息的獲取、收集、使用和加工均應依法進行,違規入侵計算系統要受法律追究。如表1所示(點擊圖片可放大)。
1.2 相關行政法規、管理辦法
我國歷史上制定頒布了關于鐵路信息安全的條例和管理辦法(如表2所示,點擊圖片可放大),為鐵路信息安全保護奠定了基礎。面對網絡信息安全形勢快速發展的新局面,當前國家正在抓緊制定與《網絡安全法》配套的法律法規,比如網絡安全等級保護制度、關鍵信息基礎設施的認定和保護辦法、數據跨境傳輸的安全評估辦法、網絡產品和服務的國家安全審查制度等,相關立法草案正在按照立法程序征詢各相關方的意見。
2 我國鐵路網絡信息安全法治化困境
(1)法律法規體系建設有待完善。目前涉及鐵路網絡信息安全的規定主要有國務院頒發的《鐵路安全管理條例》,規定鐵路運輸企業應當建立網絡與信息安全應急保障體系;國家鐵路局頒發的《高速鐵路安全防護管理辦法(征求意見稿)》,規定鐵路運輸企業應當建立高速鐵路網絡安全保障體系,落實網絡安全等級保護制度等。
(2)制度體系和標準體系有待完善。只有建立和完善鐵路行業信息安全等級保護標準體系,才能有利于監管主體有針對性地履行監管,確保鐵路管理信息化朝著一個安全、健康的方向發展。
(3)鐵路網絡信息安全監管系統不夠完備。目前我國鐵路網絡與信息安全的責任主體的問責制度、監管主體以及監管主體之間的監管職責邊界以及相關之間的協同協作機制有待進一步明確,以利于有效監管。
(4)社會公眾個人信息保護缺乏法律支撐,鐵路乘客個人信息因為覆蓋面廣,更容易成為信息竊取的目標。目前,涉及旅客個人信息保護的文件主要有《鐵路安全管理條例》、《鐵路旅客車票實名制管理辦法》等,規定鐵路運輸企業及其工作人員在鐵路火車票實名制制度實施過程中對旅客身份信息不得竊取或泄露。
2018年歐盟開始實施的《通用數據保護條例》對個人數據保護進行了較為嚴格的規定,實現了歐盟數字市場的統一立法和統一監管;美國各行業、領域都有各自適用的單行法,并通過和利益攸關方簽訂雙邊協定,保護個人信息數據安全。我國鐵路網絡信息安全的法律法規應充分參考借鑒國外成熟經驗,制定進程有待加快。
3 鐵路網絡與信息安全法律體系完善建議
隨著鐵路運輸信息化依賴程度逐漸提高,鐵路運輸面臨的網絡空間安全威脅不斷加劇,為更好地保障鐵路運輸關鍵信息基礎設施網絡運行安全、重要數據安全和個人隱私安全,需要完善鐵路網絡與信息安全法律體系和完善技術標準體系,依法落實責任體系。
(1)完善相關立法
我國鐵路網絡信息安全法制體系應保證國家經濟社會穩定運行的同時,保證社會公眾的合法權益,根據《網絡安全法》的規定對鐵路領域關鍵信息基礎設施劃定具體范圍和設立實施安全保護辦法;根據國務院關于關鍵性基礎設施的保護辦法制定交通網絡與信息安全辦法,國家鐵路局制定《鐵路網絡與信息安全管理規定》等規范性文件。鐵路網絡信息安全法制體系應明晰鐵路網絡與信息安全責任主體的權利義務以及對企業的問責制度;明確鐵路網絡信息安全保護的監管主體、各監管主體之間的職責和權責邊界。
(2)完善鐵路網絡信息安全制度和技術標準
①完善鐵路網絡信息安全制度體系
結合鐵路行業重要信息系統等級保護和安全測評工作,鐵路運輸企業應制定相關運維管理制度、內部運維人員管理、外部攻擊入侵防護、安全產品使用和運維管理責任劃分等。確立關鍵信息基礎設施目錄,對關鍵信息基礎設施進行安全運維;制定鐵路行業的安全監測預警機制和信息通報制度。
②完善鐵路網絡信息安全技術標準
我國鐵路行業的網絡信息安全標準體系尚不完善,建立系統科學并且適合于我國鐵路行業的標準體系,保障鐵路運輸平穩運行,則顯得尤為緊迫。
根據《標準化法》的規定,鐵路網絡信息安全技術標準屬于保障人身健康和生命財產安全、國家安全、生態環境安全以及滿足經濟社會管理基本需要的技術要求,應當制定強制性國家標準,行業標準,完善企業標準。
(3)建立鐵路網絡信息安全監管系統
①在鐵路運營網絡信息領域建立鐵路信息安全監管系統,以監管主體為中心,由監管主體來確定整個系統的管理體系。鐵路網絡信息安全監管主體在各自的職能范圍內依法履行對鐵路網絡信息安全的監管職責。
②鐵路運輸企業與相關部門建立聯動協作機制
鐵路網絡信息安全除了依靠鐵路部門依法履行責任主體的義務之外,還需要反恐部門、公安機關等相關部門的配合,因此鐵路運輸企業應建立與相關部門的協作機制,定期召開聯席會議制度。
(4)完善對個人信息保護具體措施
鐵路信息化建設進程中不斷采用新技術,提高了鐵路運輸的效率和客戶體驗,也帶來了一系列安全挑戰。鐵路信息系統中存儲的運輸安全相關數據資源以及大量敏感信息和公民個人信息一旦泄露,將會影響整個鐵路運輸行業的穩定運行,危及國家安全、人民群眾的生命財產安全和國家數據安全。根據《網絡安全法》第七十四條的規定違反本法規定,給他人造成損害的,依法承擔民事責任。《民法總則》頒布前,對自然人的個人信息的保護主要由行政法和刑法予以規制,救濟手段多為懲罰性或者管理性手段,《民法總則》雖然規定任何組織和個人需要獲取他人個人信息的應當依法取得并確保信息安全,但未規定個人信息保護案件的舉證責任機制。因此應明確侵犯個人信息案件中鐵路運輸企業負有舉證責任,才能倒逼鐵路運輸企業構建個人信息保護制度,強化系統權限管理機制,操作應留下痕跡,下載有提示功能,避免因為舉證不當而承擔責任。
4 結論
鐵路網絡信息安全需要鐵路網絡信息安全法律、法規保駕護航。鐵路網絡信息安全法治化路徑為加快制定關鍵信息基礎設施網絡與信息安全保護的行政法規,出臺《鐵路網絡信息安全保護辦法》,確定鐵路網絡信息安全保護的責任主體、監管主體等主體的權利義務以及權責邊界等內容,國家鐵路局會同相關機關制定鐵路網絡信息安全保護的行業標準,鐵路監管機關應與相關部門共同構建鐵路網絡與信息監管協同、聯動機制。
作者簡介:
劉衛紅( 1971-),女,碩士研究生, 副教授 ,主要研究方向:鐵路法、經濟法。
來源: 信息技術與網絡安全
北京市公安局海淀分局備案號:11010802023656號