導讀：為了完善鐵路網(wǎng)絡(luò )信息安全法治化路徑，梳理了涉及鐵路網(wǎng)絡(luò )信息安全的法律法規，剖析了制約鐵路網(wǎng)絡(luò )信息安全法治化的困境，對鐵路網(wǎng)絡(luò )信息安全保護法治化完善路徑給出建議。如出臺《鐵路網(wǎng)絡(luò )信息安全保護辦法》，明確鐵路網(wǎng)絡(luò )信息安全保護的責任主體、監管主體、相應主體的權利義務(wù)以及權責邊界等內容；制定鐵路網(wǎng)絡(luò )信息安全保護的行業(yè)標準，鐵路監管機關(guān)應與相關(guān)部門(mén)共同構建鐵路網(wǎng)絡(luò )與信息監管協(xié)同、聯(lián)動(dòng)機制等。

0     引言

鐵路信息系統屬于《網(wǎng)絡(luò )安全法》和《國家網(wǎng)絡(luò )空間安全戰略》規定需要重點(diǎn)保護的關(guān)鍵信息基礎設施之一，加強保護其控制系統安全和數據安全成為題中之義?！毒W(wǎng)絡(luò )安全法》實(shí)施后，我國鐵路運輸企業(yè)作為網(wǎng)絡(luò )與信息安全的責任主體,建立了鐵路網(wǎng)絡(luò )安全信息保護制度，但因企業(yè)的制度不具有法律效力，保護亟需建立完備的鐵路網(wǎng)絡(luò )與信息安全法律和制度體系，為鐵路網(wǎng)絡(luò )信息安全保護提供法律保障。同時(shí)，需要建立科學(xué)有效的網(wǎng)絡(luò )信息與安全監管體系，打通監管主體與相關(guān)部門(mén)的協(xié)同協(xié)作機制。

1     我國鐵路網(wǎng)絡(luò )信息安全立法概述

我國的鐵路計算機網(wǎng)絡(luò )分為中國鐵路總公司、鐵路局集團、基層站段三級網(wǎng)絡(luò )體系。我國鐵路計算機網(wǎng)絡(luò )面臨計算機病毒威脅、惡意網(wǎng)絡(luò )攻擊、突發(fā)事件威脅等安全問(wèn)題，不僅需要不斷更新鐵路信息技術(shù)，還需要完善鐵路網(wǎng)絡(luò )信息安全法律體系。

1.1   相關(guān)法律

涉及鐵路網(wǎng)絡(luò )信息安全內容的法律主要包括《網(wǎng)絡(luò )安全法》、《國家安全法》、《反恐怖主義法》、《中華人民共和國突發(fā)事件應對法》、《刑法》、《民法總則》、《保密法》、《治安管理處罰法》等。其中《網(wǎng)絡(luò )安全法》確立了網(wǎng)絡(luò )安全保護和網(wǎng)絡(luò )空間治理的基本框架，確定了網(wǎng)絡(luò )安全運維、安全監測與應急處置以及個(gè)人信息保護等重要制度，為鐵路網(wǎng)絡(luò )信息安全法律體系完善提供了基本依據?！秶野踩ā?、《反恐怖主義法》、《中華人民共和國突發(fā)事件應對法》、《保密法》均強調關(guān)鍵信息基礎設施的保障體系系統建設；《刑法》、《民法總則》、《治安管理處罰法》規定個(gè)人信息的獲取、收集、使用和加工均應依法進(jìn)行，違規入侵計算系統要受法律追究。如表1所示（點(diǎn)擊圖片可放大）。

1.2  相關(guān)行政法規、管理辦法

我國歷史上制定頒布了關(guān)于鐵路信息安全的條例和管理辦法(如表2所示，點(diǎn)擊圖片可放大)，為鐵路信息安全保護奠定了基礎。面對網(wǎng)絡(luò )信息安全形勢快速發(fā)展的新局面，當前國家正在抓緊制定與《網(wǎng)絡(luò )安全法》配套的法律法規，比如網(wǎng)絡(luò )安全等級保護制度、關(guān)鍵信息基礎設施的認定和保護辦法、數據跨境傳輸的安全評估辦法、網(wǎng)絡(luò )產(chǎn)品和服務(wù)的國家安全審查制度等，相關(guān)立法草案正在按照立法程序征詢(xún)各相關(guān)方的意見(jiàn)。

2     我國鐵路網(wǎng)絡(luò )信息安全法治化困境

(1)法律法規體系建設有待完善。目前涉及鐵路網(wǎng)絡(luò )信息安全的規定主要有國務(wù)院頒發(fā)的《鐵路安全管理條例》，規定鐵路運輸企業(yè)應當建立網(wǎng)絡(luò )與信息安全應急保障體系；國家鐵路局頒發(fā)的《高速鐵路安全防護管理辦法(征求意見(jiàn)稿)》，規定鐵路運輸企業(yè)應當建立高速鐵路網(wǎng)絡(luò )安全保障體系，落實(shí)網(wǎng)絡(luò )安全等級保護制度等。

(2)制度體系和標準體系有待完善。只有建立和完善鐵路行業(yè)信息安全等級保護標準體系，才能有利于監管主體有針對性地履行監管，確保鐵路管理信息化朝著(zhù)一個(gè)安全、健康的方向發(fā)展。

(3)鐵路網(wǎng)絡(luò )信息安全監管系統不夠完備。目前我國鐵路網(wǎng)絡(luò )與信息安全的責任主體的問(wèn)責制度、監管主體以及監管主體之間的監管職責邊界以及相關(guān)之間的協(xié)同協(xié)作機制有待進(jìn)一步明確，以利于有效監管。

(4)社會(huì )公眾個(gè)人信息保護缺乏法律支撐，鐵路乘客個(gè)人信息因為覆蓋面廣，更容易成為信息竊取的目標。目前，涉及旅客個(gè)人信息保護的文件主要有《鐵路安全管理條例》、《鐵路旅客車(chē)票實(shí)名制管理辦法》等，規定鐵路運輸企業(yè)及其工作人員在鐵路火車(chē)票實(shí)名制制度實(shí)施過(guò)程中對旅客身份信息不得竊取或泄露。

2018年歐盟開(kāi)始實(shí)施的《通用數據保護條例》對個(gè)人數據保護進(jìn)行了較為嚴格的規定，實(shí)現了歐盟數字市場(chǎng)的統一立法和統一監管；美國各行業(yè)、領(lǐng)域都有各自適用的單行法，并通過(guò)和利益攸關(guān)方簽訂雙邊協(xié)定，保護個(gè)人信息數據安全。我國鐵路網(wǎng)絡(luò )信息安全的法律法規應充分參考借鑒國外成熟經(jīng)驗，制定進(jìn)程有待加快。

3    鐵路網(wǎng)絡(luò )與信息安全法律體系完善建議

隨著(zhù)鐵路運輸信息化依賴(lài)程度逐漸提高，鐵路運輸面臨的網(wǎng)絡(luò )空間安全威脅不斷加劇，為更好地保障鐵路運輸關(guān)鍵信息基礎設施網(wǎng)絡(luò )運行安全、重要數據安全和個(gè)人隱私安全，需要完善鐵路網(wǎng)絡(luò )與信息安全法律體系和完善技術(shù)標準體系，依法落實(shí)責任體系。

(1)完善相關(guān)立法

我國鐵路網(wǎng)絡(luò )信息安全法制體系應保證國家經(jīng)濟社會(huì )穩定運行的同時(shí)，保證社會(huì )公眾的合法權益，根據《網(wǎng)絡(luò )安全法》的規定對鐵路領(lǐng)域關(guān)鍵信息基礎設施劃定具體范圍和設立實(shí)施安全保護辦法；根據國務(wù)院關(guān)于關(guān)鍵性基礎設施的保護辦法制定交通網(wǎng)絡(luò )與信息安全辦法，國家鐵路局制定《鐵路網(wǎng)絡(luò )與信息安全管理規定》等規范性文件。鐵路網(wǎng)絡(luò )信息安全法制體系應明晰鐵路網(wǎng)絡(luò )與信息安全責任主體的權利義務(wù)以及對企業(yè)的問(wèn)責制度；明確鐵路網(wǎng)絡(luò )信息安全保護的監管主體、各監管主體之間的職責和權責邊界。

(2)完善鐵路網(wǎng)絡(luò )信息安全制度和技術(shù)標準

①完善鐵路網(wǎng)絡(luò )信息安全制度體系

結合鐵路行業(yè)重要信息系統等級保護和安全測評工作，鐵路運輸企業(yè)應制定相關(guān)運維管理制度、內部運維人員管理、外部攻擊入侵防護、安全產(chǎn)品使用和運維管理責任劃分等。確立關(guān)鍵信息基礎設施目錄，對關(guān)鍵信息基礎設施進(jìn)行安全運維；制定鐵路行業(yè)的安全監測預警機制和信息通報制度。

②完善鐵路網(wǎng)絡(luò )信息安全技術(shù)標準

我國鐵路行業(yè)的網(wǎng)絡(luò )信息安全標準體系尚不完善，建立系統科學(xué)并且適合于我國鐵路行業(yè)的標準體系，保障鐵路運輸平穩運行，則顯得尤為緊迫。

根據《標準化法》的規定，鐵路網(wǎng)絡(luò )信息安全技術(shù)標準屬于保障人身健康和生命財產(chǎn)安全、國家安全、生態(tài)環(huán)境安全以及滿(mǎn)足經(jīng)濟社會(huì )管理基本需要的技術(shù)要求，應當制定強制性國家標準，行業(yè)標準，完善企業(yè)標準。

(3)建立鐵路網(wǎng)絡(luò )信息安全監管系統

①在鐵路運營(yíng)網(wǎng)絡(luò )信息領(lǐng)域建立鐵路信息安全監管系統，以監管主體為中心，由監管主體來(lái)確定整個(gè)系統的管理體系。鐵路網(wǎng)絡(luò )信息安全監管主體在各自的職能范圍內依法履行對鐵路網(wǎng)絡(luò )信息安全的監管職責。

②鐵路運輸企業(yè)與相關(guān)部門(mén)建立聯(lián)動(dòng)協(xié)作機制

鐵路網(wǎng)絡(luò )信息安全除了依靠鐵路部門(mén)依法履行責任主體的義務(wù)之外，還需要反恐部門(mén)、公安機關(guān)等相關(guān)部門(mén)的配合，因此鐵路運輸企業(yè)應建立與相關(guān)部門(mén)的協(xié)作機制，定期召開(kāi)聯(lián)席會(huì )議制度。

(4)完善對個(gè)人信息保護具體措施

鐵路信息化建設進(jìn)程中不斷采用新技術(shù)，提高了鐵路運輸的效率和客戶(hù)體驗，也帶來(lái)了一系列安全挑戰。鐵路信息系統中存儲的運輸安全相關(guān)數據資源以及大量敏感信息和公民個(gè)人信息一旦泄露，將會(huì )影響整個(gè)鐵路運輸行業(yè)的穩定運行，危及國家安全、人民群眾的生命財產(chǎn)安全和國家數據安全。根據《網(wǎng)絡(luò )安全法》第七十四條的規定違反本法規定，給他人造成損害的，依法承擔民事責任?！睹穹倓t》頒布前，對自然人的個(gè)人信息的保護主要由行政法和刑法予以規制，救濟手段多為懲罰性或者管理性手段，《民法總則》雖然規定任何組織和個(gè)人需要獲取他人個(gè)人信息的應當依法取得并確保信息安全，但未規定個(gè)人信息保護案件的舉證責任機制。因此應明確侵犯個(gè)人信息案件中鐵路運輸企業(yè)負有舉證責任，才能倒逼鐵路運輸企業(yè)構建個(gè)人信息保護制度，強化系統權限管理機制，操作應留下痕跡，下載有提示功能，避免因為舉證不當而承擔責任。

4    結論

鐵路網(wǎng)絡(luò )信息安全需要鐵路網(wǎng)絡(luò )信息安全法律、法規保駕護航。鐵路網(wǎng)絡(luò )信息安全法治化路徑為加快制定關(guān)鍵信息基礎設施網(wǎng)絡(luò )與信息安全保護的行政法規，出臺《鐵路網(wǎng)絡(luò )信息安全保護辦法》，確定鐵路網(wǎng)絡(luò )信息安全保護的責任主體、監管主體等主體的權利義務(wù)以及權責邊界等內容，國家鐵路局會(huì )同相關(guān)機關(guān)制定鐵路網(wǎng)絡(luò )信息安全保護的行業(yè)標準，鐵路監管機關(guān)應與相關(guān)部門(mén)共同構建鐵路網(wǎng)絡(luò )與信息監管協(xié)同、聯(lián)動(dòng)機制。

作者簡(jiǎn)介：

劉衛紅（ 1971-），女，碩士研究生， 副教授 ，主要研究方向：鐵路法、經(jīng)濟法。

來(lái)源： 信息技術(shù)與網(wǎng)絡(luò )安全