信息化觀察網(wǎng)

本文來自微信公眾號(hào)“隱私護(hù)衛(wèi)隊(duì)”，文|胡耕碩。

12月8日，為了規(guī)范網(wǎng)絡(luò)安全事件的報(bào)告，減少網(wǎng)絡(luò)安全事件造成的損失和危害，維護(hù)國家網(wǎng)絡(luò)安全，國家互聯(lián)網(wǎng)信息辦公室就《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》（下稱《征求意見稿》）公開征求意見。其中就規(guī)范網(wǎng)絡(luò)安全事件報(bào)告的主體、內(nèi)容、程序和要求作了規(guī)定，明確屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。

據(jù)南都記者了解，這是我國首次專門針對(duì)網(wǎng)絡(luò)安全事件報(bào)告制定的管理辦法。

有助于優(yōu)化網(wǎng)絡(luò)安全事件的報(bào)告制度

所謂網(wǎng)絡(luò)安全事件是指，由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)造成危害，對(duì)社會(huì)造成負(fù)面影響的事件。

征求意見稿按照《網(wǎng)絡(luò)安全事件分級(jí)指南》（下稱《指南》）將網(wǎng)絡(luò)安全事件分為特別重大、重大、較大和一般四個(gè)等級(jí)，根據(jù)事件對(duì)國家安全、社會(huì)秩序、公共利益、用戶權(quán)益等方面造成的影響程度和損失程度進(jìn)行劃分，并規(guī)定了不同等級(jí)的網(wǎng)絡(luò)安全事件的報(bào)告時(shí)限、內(nèi)容、程序和要求。

在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，運(yùn)營者應(yīng)當(dāng)及時(shí)啟動(dòng)應(yīng)急預(yù)案進(jìn)行處置。按照《指南》，屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。

此前在網(wǎng)絡(luò)安全事件報(bào)告方面，我國主要遵循《網(wǎng)絡(luò)安全法》第五十條規(guī)定，網(wǎng)絡(luò)運(yùn)營者發(fā)現(xiàn)其網(wǎng)絡(luò)存在安全缺陷、漏洞或者遭受攻擊、入侵等影響網(wǎng)絡(luò)安全正常運(yùn)行的情況，應(yīng)當(dāng)立即采取補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告?！稊?shù)據(jù)安全法》第三十六條同樣規(guī)定，數(shù)據(jù)處理者發(fā)生或者可能發(fā)生數(shù)據(jù)安全事件的，應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取補(bǔ)救措施，按照規(guī)定向有關(guān)主管部門報(bào)告，并告知數(shù)據(jù)提供者和受影響的個(gè)人。

此外，《個(gè)人信息保護(hù)法》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《證券期貨業(yè)網(wǎng)絡(luò)安全事件報(bào)告與調(diào)查處理辦法》《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律法規(guī)，也在原則上規(guī)定了網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件及個(gè)人信息安全事件的報(bào)告制度。

對(duì)此，中國互聯(lián)網(wǎng)協(xié)會(huì)法工委副秘書長胡鋼認(rèn)為，《征求意見稿》有助于細(xì)化報(bào)告制度，優(yōu)化報(bào)告流程，規(guī)范報(bào)告行為，強(qiáng)化報(bào)告效能，進(jìn)而減少網(wǎng)絡(luò)安全事件造成的損失和危害，維護(hù)國家網(wǎng)絡(luò)安全。

《征求意見稿》中的網(wǎng)絡(luò)安全事件等級(jí)分類參考自2023年12月1日起實(shí)施的國家市場(chǎng)監(jiān)督管理總局和國家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布的《GB/T 20986—2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級(jí)指南》。胡鋼認(rèn)為，前者內(nèi)容比后者更為具體詳實(shí)、操作性強(qiáng)。

要求一小時(shí)內(nèi)上報(bào)，會(huì)引發(fā)大量誤報(bào)嗎？

此外，根據(jù)《征求意見稿》第十條，運(yùn)營者未按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件的，網(wǎng)信部門按照有關(guān)法律、行政法規(guī)的規(guī)定進(jìn)行處罰。因運(yùn)營者遲報(bào)、漏報(bào)、謊報(bào)或者瞞報(bào)網(wǎng)絡(luò)安全事件，造成重大危害后果的，對(duì)運(yùn)營者及有關(guān)責(zé)任人依法從重處罰。

胡鋼告訴南都記者，從重處罰是指在法定處罰范圍內(nèi)采用較重的處罰，屬于行政處罰機(jī)構(gòu)的自由裁量權(quán)范圍。運(yùn)營者遲報(bào)、漏報(bào)、謊報(bào)或者瞞報(bào)網(wǎng)絡(luò)安全事件，即未能及時(shí)有效完整報(bào)告，容易引發(fā)延遲啟動(dòng)應(yīng)急預(yù)案，拖延調(diào)查和評(píng)估，延誤采取技術(shù)或管理等的補(bǔ)救措施，進(jìn)而造成重大危害后果。故而從重處罰具有合理性。

然而，對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任許可表示，《征求意見稿》中“1小時(shí)內(nèi)報(bào)告”和可能的從重處理，可能會(huì)導(dǎo)致平臺(tái)恐懼處罰，無論網(wǎng)安事件的大小都上報(bào)，造成大量誤報(bào)。

許可指出，在網(wǎng)安事件上報(bào)的過程中，需要權(quán)衡準(zhǔn)確性和及時(shí)性。在網(wǎng)安事件發(fā)生后，如果需要準(zhǔn)確了解其發(fā)生的原因和潛在影響，需要較長時(shí)間調(diào)查和進(jìn)行應(yīng)急處置。報(bào)告越快速，可能對(duì)網(wǎng)安事件的了解越不全面、不準(zhǔn)確。

許可以歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）中的數(shù)據(jù)泄露強(qiáng)制通知舉例，GDPR要求數(shù)據(jù)控制者在數(shù)據(jù)泄露后，“無延遲地”“在可行的情況下，在意識(shí)到數(shù)據(jù)泄露的72小時(shí)內(nèi)”通知監(jiān)管機(jī)構(gòu)。許可指出，即使在72小時(shí)的時(shí)限要求里，也出現(xiàn)了大量誤報(bào)問題。“英國監(jiān)管機(jī)構(gòu)ICO每周可能接到500個(gè)舉報(bào)，其中1/3都是誤報(bào)。在上報(bào)時(shí)間更短、處理網(wǎng)安事件的人手更少的情況下，誤報(bào)幾率會(huì)更高。誤報(bào)不僅浪費(fèi)監(jiān)管資源，還有可能造成‘狼來了’的困境，使人們忽略真正重要的風(fēng)險(xiǎn)。”

此外，許可也認(rèn)為，《征求意見稿》中第十一條需要進(jìn)一步明確。第十一條指出，在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，運(yùn)營者已采取合理必要的防護(hù)措施，按照本辦法規(guī)定主動(dòng)報(bào)告，同時(shí)按照預(yù)案有關(guān)程序進(jìn)行處置、盡最大努力降低事件影響，可視情免除或從輕追究運(yùn)營者及有關(guān)責(zé)任人的責(zé)任。

許可表示，網(wǎng)安事件的追責(zé)應(yīng)遵循基于過錯(cuò)責(zé)任的追責(zé)機(jī)制，而安全并非絕對(duì)概念。網(wǎng)安事件追責(zé)的前提應(yīng)當(dāng)是平臺(tái)并未盡到安全責(zé)任，但在平臺(tái)采取有效保護(hù)措施和及時(shí)報(bào)告時(shí)，即使發(fā)生網(wǎng)安事件也應(yīng)免責(zé)。此處的“視情免除或從輕追究運(yùn)營者及有關(guān)責(zé)任人的責(zé)任”應(yīng)進(jìn)一步明確。另一方面，為防范運(yùn)營者隱瞞網(wǎng)安事件，對(duì)于應(yīng)報(bào)而未報(bào)的，應(yīng)當(dāng)明確從重或加重處罰。