文|吴红强 信通院互联网法律研究中心助理研究员

随着各国关键行业领域信息化、数字化的不断深入,网络安全与国家安全的关联性愈发紧密。中俄两国在维护本国网络安全问题上都面临严峻态势,本文从网络安全问题的立法视角,梳理俄罗斯在网络安全领域,尤其是防止网络入侵问题的立法应对,以拓宽立法视野。

全球知名网络安全与数字隐私机构卡巴斯基实验室数据显示,俄罗斯是全球最易受到网络攻击的国家,易受攻击指数排第二至五位依次为巴西,中国大陆、美国以及德国。俄罗斯严峻的网络安全挑战,催生了该国网络安全立法。经济技术的信息化、数字化转型以及国际形势变化所导致的网络安全担忧加剧,为俄罗斯在该领域立法注入新的动力。

一、早期:颁布建立国家系统的行政法令

2013年1月15日,俄罗斯联邦总统发布了《关于建立国家系统以检测、预防和消除计算机攻击对俄罗斯联邦信息资源的影响的法令》(以下简称“《计算机攻击法令》”)。该法令对拟设国家系统的功能及任务、运作主体以及该主体的职责边界作出划分,这为俄罗斯网络安全立法体系的形成奠定了政策基础。

1.任命联邦安全局建立国家系统

《计算机攻击法令》明确,由联邦安全局负责完成用以检测、预防和消除计算机攻击对俄罗斯联邦信息资源的国家系统(以下简称“国家系统”)的建立。该系统所保护的信息资源既包括俄罗斯联邦境内的信息系统和电信网络,也包括俄罗斯联邦驻外外交使团和使领馆的相应内容。

2.明确国家系统的主要功能及任务

拟建的国家系统涵盖四大任务及功能,分别为:

第一,预测俄罗斯联邦信息安全保障领域的形势;

第二,在解决与检测、预防和消除计算机攻击威胁相关问题的同时,需确保俄罗斯联邦信息资源所有者、电信运营商和其他从事信息安全领域许可活动的实体之间可正常通信;

第三,监控俄罗斯联邦关键信息基础设施免受计算机攻击的保护状态及程度;

第四,确定与俄罗斯联邦信息资源运行相关的计算机事故的原因。

总体上看,拟建国家系统主要涵盖对计算机攻击相关问题的预防功能、关键信息基础设施的安全保障监控功能以及相关计算机事故的调查分析功能。同时,还存在避免干扰正常通信需求的消极任务。

3.明确网络安全职责机构的权力边界

《计算机攻击法令》明确了联邦安全局为拟建国家系统的职责部门,在计算机信息安全领域履行以下六项职责:

第一,组织并开展建立国家系统的工作,监测这些工作的执行情况,并与国家其他机构合作,确保相关要素的正常运作;

第二,开发出检测计算机攻击政府机构信息系统和信息通信网络的方法;

第三,确定联邦执行机构之间就与俄罗斯联邦信息资源运作有关的计算机事件交换信息的程序;

第四,根据俄罗斯联邦立法,组织并采取措施,评估俄罗斯联邦关键信息基础设施免受计算机攻击的保护程度;

第五,为组织保护俄罗斯联邦的关键信息基础设施免受计算机攻击制定方法建议;

第六,确定联邦执行机构和外国(国际组织)授权机构之间就与信息资源运作有关的计算机事件交换信息的程序,并组织此类信息的交换。

二、制定规范的网络安全立法

伴随现代信息和通信网络的全球化,俄罗斯的网络安全面临新的威胁。尤其是向数字化迈进的过程中,国家的管理流程得以简化,甚至部分自动化,使得国家信息资源更容易受到计算机攻击。一旦有害程序植入关键设备,将产生不利影响,甚至完全瘫痪国家的关键信息基础设施,这将对社会、金融或环境造成灾难性后果。

基于上述实际情况,俄罗斯联邦委员会于2017年7月19日颁布了《俄罗斯联邦关键信息基础设施安全法》(以下简称“《关键设施安全法》”),该法律吸收了《计算机攻击法令》的相关内容,并予以细化和补充完善。

1.完善保护范围

《关键设施安全法》细化了《计算机攻击法令》的所规定用以防范计算机攻击系统的内涵及外延,将国家系统定性为单一的地域分布综合体,涵盖了系统本身及对应的设施。同时,该系统所保护的“俄罗斯联邦的信息资源”扩充到位于俄罗斯联邦境内、俄罗斯联邦外交使团和(或)领事馆的信息系统、信息和电信网络以及自动化控制系统。

2.设立国家计算机事件协调中心

除原有授权确保国家系统运作的机构外,增加了国家计算机事件协调中心,用以确保关键信息基础设施实体之间的协调,应对突发的计算机事件。

根据俄罗斯联邦安全局于2018年7月24日颁布的N366号令“关于国家计算机事件协调中心”的要求,国家计算机事件协调中心(以下简称 NKTsKI)是旨在检测、预防和消除计算机攻击后果以及应对计算机事件的组织体的组成部分之一。NKTsKI的任务是确保协调俄罗斯联邦关键信息基础设施主体在检测、预防和消除计算机攻击的后果以及应对计算机事件的问题上的活动。

N366号令明确NKTsKI执行以下功能:

(1)协调活动以应对计算机事件并直接参与此类活动;

(2)参与检测、预防和消除计算机攻击的后果;

(3)收集、存储和分析有关计算机事件和计算机攻击的信息,并分析检测、预防和消除计算机攻击后果以及应对计算机事件的措施的有效性;

(4)确定向国家系统提交有关计算机事件信息的必要格式,以检测、预防和消除计算机攻击对俄罗斯联邦信息资源的后果,并将其提交给关键信息基础设施的主体。

为了发挥上述功能,NKTsKI的权限范围有:

(1)就与检测、预防和消除计算机攻击后果相关的问题向关键信息基础设施的主体以及其他非关键信息基础设施的主体和组织(包括外国和国际机构)发送通知和查询以及对计算机事件的响应;

(2)应无权发送此类请求的外国或国际组织的请求,以及在提供此类信息的情况下,拒绝提供与关键信息基础设施运行相关的计算机事件信息对俄罗斯联邦的安全构成威胁;

(3)让在该领域工作的组织和专家参与应对计算机事件;

(4)分发和出版信息和参考资料,参加与检测、预防和消除计算机攻击后果和应对计算机事件有关的问题的科学和技术会议、座谈会、会议、展览,包括国际会议。

3.明确关键基础设施的外延及规制要求

在概念层面,关键基础设施涵盖设施的客体,以及用于组织这些客体进行交互的电信网络。其中,客体包括信息系统、信息电信网络、关键信息基础设施主体的自动化控制系统。在范围层面,关键基础设施除涵盖政府机构相关的设施外,还涉及医疗保健、科学、交通、通信、能源、银行和金融、国防、火箭和航天、采矿、冶金和化学工业等领域。

此外,该法案引入了关键信息基础设施的登记册和类别,建立了确保其安全的要求,以及这些系统与国家系统的交互要求,以确保检测、预防和消除因计算机攻击而对俄罗斯联邦信息资源产生的不利后果。

三、《主权互联网法》的颁布

2019年5月,出于对美国《国家网络安全战略》中侵略性网络安全观,以及网络攻击在军事及政治领域的运用日趋泛化的应对,俄罗斯加速出台了备受争议的《主权互联网法》。该法旨在确保俄罗斯具备独立于国际互联网的能力,以确保俄罗斯通信运营商在无法接入国外互联网根服务器的情况下,其网络系统仍可以在境内安全、稳定地运行。相关要求如下:

一是明确通信、信息技术和大众传媒监督管理总局对俄罗斯互联网的安全、稳定、完整运行负有监督、管理、协调职责。如出台相关文件明确俄罗斯互联网和公用通信网稳定、安全和完整运行的要求;防范威胁技术手段的加装流程、技术规范,以及运行管理、升级改造要求;公用通信网与相关网络进行信息交互的规则和流程等。

二是强化紧急情况下的网络管理,将《通信法》第六十五章的名称改为“对紧急情况和紧急状态下公用通信网络的管理”,并增设在紧急情况和状态下对信息通信网络进行“集中统管”的相关条款。允许政府部门对相关通信网络实施监控和“集中统管”,如加强对防范威胁技术手段的管理,向加装了防御技术手段的通信网络、技术通信网络、路由交换节点、跨境通信线路和国家域名系统的运营管理者下达指令等。

三是强化对信息访问及使用过程中的安全管理和保护,当访问的信息可能对集中统管产生不良影响时,通信运营商应按照《信息、信息技术和信息保护法》有关规定,利用技术手段限制对相关信息的访问。

四是建立俄罗斯的国家域名系统,该系统包括一系列相互关联、用于存储和获取相关网址、域名信息的软件和硬件设备。

四、网络安全处罚体系的完善

除前述运用国家安全系统用以事前的预防及检测以外,在制定法层面,俄罗斯对相关网络安全的事后规制也作出相关安排。

(一)刑事责任

俄罗斯联邦于2017年7月19日颁布的《关于修改<俄罗斯联邦刑法>和<俄罗斯联邦刑事诉讼法>第151条并通过“俄罗斯联邦关键信息基础设施安全”条款》的法案,在《刑法》中引入了“对俄罗斯联邦关键信息基础设施的不当影响”的新入罪条款。该条款针对危害计算机网络安全的不同行为模式,按照社会危害程度,设立了不同程度的刑事处罚。

1.对直接损害的规制

创建、传播和(或)使用计算机程序或其他计算机信息,故意不当地影响关键信息基础设施,包括销毁、阻止、修改、复制其中包含的信息,或消除对这些信息的保护。应处以最长五年的强迫劳动,不限制或限制自由两年,或剥夺自由两年至五年,并处罚金50万至100万卢布或相当于被定罪人一年至三年的工资及其他收入。

2.对非法访问的规制

非法访问关键信息基础设施中包含的受保护计算机信息,包括使用计算机程序或其他计算机信息,故意对关键信息基础设施或恶意对其他计算机程序施加不当影响,并造成损害的,可能处五年以下强制劳动,或二至六年的自由剥夺,并处以五十万至一百万卢布的罚款,或相当于被定罪人的工资或薪金或任何其他收入的罚款。

3.对非法储存及传输的规制

违反存储、处理或传输受保护计算机信息的设施的操作规则,并对关键信息基础设施造成损害的,处五年以下强迫劳动,剥夺或不剥夺担任某些职位或从事某些活动的权利长达三年,或剥夺自由长达三年至六年,并被剥夺担任某些职位或从事某些活动的权利,最长期限为三年。

4.严厉打击共同、利用职务之便实施的网络安全犯罪

对于前述犯罪行为,如为多人经事先共谋或者有组织的团体实施,或利用其职务之便而实施,则面临加重处罚,判处三至八年徒刑,剥夺担任某些职务或从事某些活动的权利,最长三年或三年以上。

(二)行政责任

2021年5月,俄罗斯通过了《关于确定俄罗斯联邦关键信息基础设施安全领域违法行为的行政责任》(又称《关于修订俄罗斯联邦行政违法法典》),新法典补充了对俄罗斯联邦关键信息基础设施安全领域违法行为的行政规制。

新法典在第13.12条明确了相关主体违反关键信息基础设施安全规范时的行政责任,具体包括以下三类:

第一,违反为关键信息基础设施的重要对象建立安全系统,并确保其正常运行的要求,在此类行为不作为犯罪行为处理的情况下,对相关责任人处以1万至5万卢布,对相关法人实体施以5万至10万卢布的罚款。

第二,未遵守计算机事件通报及应对程序,未采取措施消除计算机攻击的后果的,将对相关责任人处以1万至5万卢布的罚款,对相关法人实体处以10万至50万卢布得罚款。

第三,违反关键信息基础设施主体之间、俄罗斯联邦关键信息基础设施主体与外国、国际、国际授权机构之间的计算机事件信息交换程序,对相关责任人处以2万至5万卢布、相关法人实体处以从10万到50万卢布的罚款。

四、结语

俄罗斯的网络安全立法及政策制定,既受技术革新与实践应用的影响,也受国际形势所推动。制定目的从最开始的监测、补救,到后来的重点把控,再到如今的全面自主可控,对网络安全性的追求不断提高,相关举措也更为主动和全面。从近期俄罗斯官方提出的相应措施来看,如部分国有企业应在2024年前实现软硬件设备70%以上的国产化、建立起俄罗斯自己的网络安全技术标准等计划,俄罗斯近期对网络安全问题的应对将关注于技术应用层以及内容管理层面上。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。