本文来自微信公众号“隐私护卫队”,文|胡耕硕。
12月8日,为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,国家互联网信息办公室就《网络安全事件报告管理办法(征求意见稿)》(下称《征求意见稿》)公开征求意见。其中就规范网络安全事件报告的主体、内容、程序和要求作了规定,明确属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
据南都记者了解,这是我国首次专门针对网络安全事件报告制定的管理办法。
有助于优化网络安全事件的报告制度
所谓网络安全事件是指,由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。
征求意见稿按照《网络安全事件分级指南》(下称《指南》)将网络安全事件分为特别重大、重大、较大和一般四个等级,根据事件对国家安全、社会秩序、公共利益、用户权益等方面造成的影响程度和损失程度进行划分,并规定了不同等级的网络安全事件的报告时限、内容、程序和要求。
在发生网络安全事件时,运营者应当及时启动应急预案进行处置。按照《指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
此前在网络安全事件报告方面,我国主要遵循《网络安全法》第五十条规定,网络运营者发现其网络存在安全缺陷、漏洞或者遭受攻击、入侵等影响网络安全正常运行的情况,应当立即采取补救措施,并按照规定向有关主管部门报告。《数据安全法》第三十六条同样规定,数据处理者发生或者可能发生数据安全事件的,应当立即启动应急预案,采取补救措施,按照规定向有关主管部门报告,并告知数据提供者和受影响的个人。
此外,《个人信息保护法》《计算机信息系统安全保护条例》《证券期货业网络安全事件报告与调查处理办法》《网络安全审查办法(修订草案征求意见稿)》《关键信息基础设施安全保护条例》《国家网络安全事件应急预案》等法律法规,也在原则上规定了网络安全事件、数据安全事件及个人信息安全事件的报告制度。
对此,中国互联网协会法工委副秘书长胡钢认为,《征求意见稿》有助于细化报告制度,优化报告流程,规范报告行为,强化报告效能,进而减少网络安全事件造成的损失和危害,维护国家网络安全。
《征求意见稿》中的网络安全事件等级分类参考自2023年12月1日起实施的国家市场监督管理总局和国家标准化管理委员会联合发布的《GB/T 20986—2023信息安全技术网络安全事件分类分级指南》。胡钢认为,前者内容比后者更为具体详实、操作性强。
要求一小时内上报,会引发大量误报吗?
此外,根据《征求意见稿》第十条,运营者未按照规定报告网络安全事件的,网信部门按照有关法律、行政法规的规定进行处罚。因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
胡钢告诉南都记者,从重处罚是指在法定处罚范围内采用较重的处罚,属于行政处罚机构的自由裁量权范围。运营者迟报、漏报、谎报或者瞒报网络安全事件,即未能及时有效完整报告,容易引发延迟启动应急预案,拖延调查和评估,延误采取技术或管理等的补救措施,进而造成重大危害后果。故而从重处罚具有合理性。
然而,对外经贸大学数字经济与法律创新研究中心主任许可表示,《征求意见稿》中“1小时内报告”和可能的从重处理,可能会导致平台恐惧处罚,无论网安事件的大小都上报,造成大量误报。
许可指出,在网安事件上报的过程中,需要权衡准确性和及时性。在网安事件发生后,如果需要准确了解其发生的原因和潜在影响,需要较长时间调查和进行应急处置。报告越快速,可能对网安事件的了解越不全面、不准确。
许可以欧盟《一般数据保护条例》(GDPR)中的数据泄露强制通知举例,GDPR要求数据控制者在数据泄露后,“无延迟地”“在可行的情况下,在意识到数据泄露的72小时内”通知监管机构。许可指出,即使在72小时的时限要求里,也出现了大量误报问题。“英国监管机构ICO每周可能接到500个举报,其中1/3都是误报。在上报时间更短、处理网安事件的人手更少的情况下,误报几率会更高。误报不仅浪费监管资源,还有可能造成‘狼来了’的困境,使人们忽略真正重要的风险。”
此外,许可也认为,《征求意见稿》中第十一条需要进一步明确。第十一条指出,在发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
许可表示,网安事件的追责应遵循基于过错责任的追责机制,而安全并非绝对概念。网安事件追责的前提应当是平台并未尽到安全责任,但在平台采取有效保护措施和及时报告时,即使发生网安事件也应免责。此处的“视情免除或从轻追究运营者及有关责任人的责任”应进一步明确。另一方面,为防范运营者隐瞒网安事件,对于应报而未报的,应当明确从重或加重处罚。