两会提案（一） | CCIA理事长肖新光：关于落实《网络安全法》，完善细化网络安全责任制的提案

本文为全国政协委员、安天集团创始人肖新光在2023年全国两会提交的《关于落实<网络安全法>，完善细化网络安全责任制的提案》全文。

一是责任机制层次不够清晰。网络安全是一个极为复杂的治理体系，不同政企机构所建设运营的信息系统承载着海量客户信息。这些系统和数据资产与国家安全、社会治理安全、政企机构安全和公民个人安全四个层次息息相关。因此网络安全责任机制不应单纯是建设运营单位的责任机制。目前网络安全责任制的实际落实，更偏重于“谁建设、谁负责，谁运营、谁负责”的主体责任机制，并未明确四个风险层次间的责任界面。政企机构缺少层次化的风险分析指引，综合协同机制有所不足。

二是责任机制的覆盖范围仍存盲区。从目前责任机制落实来看，基于事件驱动的问责动作较多，但对于推动网络安全与信息化同步规划、同步建设、同步运营全生命周期提升的全过程责任覆盖还不够。与此同时，网络安全水平高度依赖于网信产品，特别是应用开发商的自身安全水平。当前我国网信行业整体代码安全工程能力普遍较差，产品带有严重缺陷和漏洞部署到用户现场情况屡见不鲜，很多厂商不能履行快速修复已知漏洞义务。研发场景和软件分发链安全能力差，易于被攻击者入侵，预埋后门木马。上述都是政企机构遭遇网络入侵的重要原因，但目前没有配套的联动问责机制。

三是责任机制缺少综合支撑要素。大部分网络安全事件并非是事故，而是攻击者施加于被攻击目标的恶意行为活动。在这些事件中遭受攻击损失的机构兼具责任者和受害者的双重角色。既需要督促追责、整改检查，也需要辅助帮扶，包括增加预算保障等。一般性政企机构的投入能力和技术水平，很难单独支撑对抗高水平国家级的网络威胁攻击。如果只有问责机制，而没有免责、激励和赋能机制，政企机构一方面没有能力发现隐蔽性很强的高级持续性威胁，另一方面出于避责心理，采用瞒报掩盖方式应对网络攻击，影响了网络安全事件的强制性报告制度的落实，影响了网络安全威胁的整体有效感知和威胁情报的快速共享。

一是完善层次化风险与责任分析体系。建议主管部门围绕重要信息系统和关键信息基础设施，完善共性方法指引，依托敌情想定和模拟推演等方式，梳理重要信息系统和关键信息基础设施遭遇攻击向国家安全、社会治理安全和公民个人安全的外溢风险，以风险后果视角重新分析网络安全规划和投入的合理性。量化分析规划投入的差距和短板，基于共性和弹性安全能力建设，专项投入支持等方式，弥补重要信息系统和关键信息基础设施运营方的安全投入不足。

二是压实“关口前移，防患于未然”的工作要求，提升责任制覆盖度。建议相关部门组织细化，下沉赋能，对运营关键信息基础设施的政企机构的敌情想定构建、网络安全规划建设情况进行前置检查指导，细化IT供应链网络安全的整体要求、工作机制和流程规范。建立对安全事件有直接责任的网信供应商的关联问责机制。对供应商代码安全能力低下，研发生产环境安全防护投入不足，严重漏洞不及时通报用户并修复，以及提供云、APP等服务关联导致客户资产损失等情况予以追责。鼓励基础安全能力嵌入信息产品，实现安全基因的原生融合。

三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。问责机制作为事后惩治手段，对未落实工作要求导致数据泄漏、系统失陷、造成风险损失的，依法追究。同时鼓励积极作为、扎实投入的导向。对高水平建设、规划、运营安全能力的，实施奖励。对按照高水平完成相关能力建设、按照高要求持续安全运营的政企机构，因遭受国家级高水平攻击造成损失的，适度免责。对发现带有国家和地缘安全背景网络攻击时第一时间上报，发现高价值威胁线索，捕获有价值信息的，提供奖励。