俄乌冲突爆发以来,俄罗斯在网络与数据安全领域经历着西方国家的联合「讨伐」,欧美IT领域的著名企业如苹果、谷歌、亚马逊、高通、戴尔等纷纷对俄「断网、断供、停服」,甚至由俄罗斯人自行创建的 Veeam Software ——全球最有名的备份软件企业之一也在前述「停服」之列,俄罗斯因此一度陷入数据存储“饥荒”的窘迫;与此同时,俄罗斯不断受到 Conti、Lockbit 等具有明确政治立场的勒索病毒组织袭击也一度成为媒体关注的焦点。以此窥知,随着信息全球化程度的日益深化,数据与系统安全风险快速累积,重要系统的容灾备份能力强弱已然关乎经济社会能否稳定运行;尤其在国际形势动荡变化的当下,将涉及到重要数据甚至核心数据的数据处理者之灾备安全提升至国家安全亦毫不为过。而坦率说,除银行业等个别行业外,我国目前对于灾备安全的认知度普遍不高,灾备能力建设薄弱现状与捍卫国家安全之矛盾日益凸显且亟待解决。由此,本文特就我国现有法律法规中容灾备份合规义务进行简单梳理和归纳,以供各类主体尤其是重要数据或核心数据处理者以及关键信息基础设施运营者等关键主体参考。「灾备」是「灾难备份」的缩写。「灾难」是指由于人为或自然原因,造成信息系统严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定时间的突发性事件。「灾难备份」则是指为了将信息系统从灾难中恢复到正常状态而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程 [1]。由于灾难备份中的技术内容主要又包含数据备份以及业务容灾两部分 [2],因此业界也将“灾难备份”成为「容灾备份」。加强灾备能力建设,不仅需要全行业加快构筑完善的灾备制度体系,更需要各类责任主体尽快将灾备能力建设的考量因素从「成本优先」向「安全优先」的原则倾斜、严格履行灾备合规义务。(一)灾备能力建设是《网安法》下应急预案制度的重要组成部分早在2007年,《信息系统灾难恢复规范》 GB/T 20988-2007 作为灾备行业的第一部国家标准,已就信息系统运营者的灾难恢复、备用数据处理义务等进行了整体框架设计和流程规划。2016年11月7日颁布的《中华人民共和国网络安全法》(简称《网安法》)第三十四条第一次从立法层面对关键信息基础设施运营者施以了「对重要系统和数据库进行容灾备份」的义务。但从三十四条本身可以看出 [3],该法中的「容灾备份」和「网络安全事件应急预案制度」分属于关键信息基础设施运营者两项不同的合规义务。但这种情况在中央网信办2017年1月10日颁布的《国家网络安全事件应急预案》(简称《网安应急预案》)中有所调整。《网安应急预案》 6.1 条实质上将《网安法》三十四条第(三)项规定的「容灾备份」义务并入了第(四)项规定的「应急预案」措施中,要求「各地区、各部门按职责做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力」。 即,灾备能力建设实质上已成为《网安法》下网络安全应急预案制度的一个必不可少的组成部分。相应的,2021年9月1日实施的《关键信息基础设施安全保护条例》(简称《关基安全条例》),也未再就《网安法》中已经明确的关键信息基础设施运营者(简称「关基运营者」)之「容灾备份」义务予以沿用和单独列明。取而代之的,是在第十五条规定了关基运营者应建立专门安全管理机构,具体负责按照国家及行业网络安全事件应急预案,制定应急预案、定期开展应急演练、处置网络安全事件之合规职责。由此可知,灾备能力建设已然属于关基运营者基于《网安法》下的强制合规义务。此外,由于我国应急预案制度源于《中华人民共和国突发事件应对法》(下简称《突发事件应对法》),因此,根据该法律体系下《突发事件应急预案管理办法》、《网安应急预案》的规定,灾备能力建设不仅仅是关基运营者的义务,亦是各级人民政府及其部门、基层组织、事业单位、社会团体等主体的强制性合规义务 [4]。并且,根据《突发事件应对法》第六十三、六十四、六十八条的规定,地方各级人民政府或有关部门未建立包括灾备制度在内的应急预案措施的,直接负责的主管人员和其他直接责任人员将可能受到行政处分;而其他有关主体如企事业单位未履行或适当履行该义务,将可能会受到停产停业、暂扣或者吊销许可证或者营业执照,并处五万元以上二十万元以下的罚款等行政处罚、直至行政拘留甚至刑事处罚。(二)灾备能力建设是《数安法》下数据处理者的法定义务2019年12月1日实施的《信息安全技术 网络安全等级保护基本要求》( GB/T 22239-2019 )(简称《网络等保要求》)在其最低级别即第一安全等级的通用要求 6.1.4.7 条中即明确规定:「应提供重要数据的本地数据备份与恢复功能」。事实上,越高级别的等级要求对应的灾备义务越高。并且,针对一些特定的业务领域如云计算领域,等保要求对此做出了更为严格的扩展性规定。可以说,灾备义务是等保要求的核心内容之一。诚然,《网络等保要求》这一标准本身并非强制性适用标准,但与《关基安全条例》同日实施的《中华人民共和国数据安全法》(简称《数安法》)第二十七条关于“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”的规定,相当于已将网络等保要求从推荐性要求转化为了强制性要求。同时,国家网信办于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》(简称《数安条例(征求意见稿)》)第九条也规定:「数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护」。虽《数安条例》尚未正式发布实施,但不难推断的是,对于利用信息网络进行数据处理的各类主体来说,符合网络等保的要求已属于一项法定强制性义务。此外,《数安法》虽通篇再无「容灾备份」提法,但其二十三条明确规定「国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息」。截至目前,虽尚没有专门的数据安全应急处置细化标准或规定正式出台,但如前所述,可以想见,灾备能力建设亦必将是数安法下数据安全应急处置机制的重要内容。综上所述,履行灾备合规义务、加强灾备能力建设不仅是各类主体在《网安法》下事关网络安全的重要内容,也是《数安法》下关乎每一个数据处理者尤其是涉及重要数据、核心数据处理者的法定义务。正如数据分级分类制度旨在对不同种类或级别数据采取不同的保护措施,灾备能力建设的合规性要求同样也会基于不同主体所运营或处理的系统重要程度或数据类别与级别的不同、甚至是行业领域的不同而有着明显差别。比如2008年前后,中国人民银行、银监会陆续发布《银行业信息系统灾难恢复管理规范》《商业银行数据中心监管指引》《商业银行业务连续性监管指引》等部门规章对我国银行业信息系统的灾备能力建设提出了明确要求。近年来,烟草、电力、证券、通信等重点行业也先后发布了本行业的灾备标准,如《烟草行业信息系统容灾备份建设指南》( YC/Z 583—2019 )、《电力行业数据灾备系统存储监控技术规范》(DL/T 1597-2016)、《证券期货经营机构信息系统备份能力标准》( JR/T 0059-2010 )、《基于存储复制技术的数据灾备技术要求》( YD/T 2916-2015 )等。因此,灾备能力建设的具体合规内容在事实上具有较强的类别化甚至个性化特征,需根据不同主体所处的行业或领域并结合其所具体运营系统的重要程度、所处理数据的类别与级别予以个性化评估,非一语可概之。不过,纵观我国业已发布的灾备制度规定或标准,灾备能力建设主要可以概括为两方面内容:其一为系统功能与设施建设,其二为运维制度与管理建设。篇幅所限,下文主要以涉重要数据处理者为例,进行简单梳理,抛砖引玉。以《数安条例(征求意见稿)》拟定的「处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求」为例,除去重要数据所在行业的特殊性规定,相应系统运营主体其至少还需满足两项系统功能与设施建设合规要求,其一为等保要求,其二为涉关基要求。具体包括:《等保要求》对第三级标准的数据备份恢复能力规定为:b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。如果说前述规定还仅仅是系统功能方面的要求,第四级等保要求则进一步增加了灾备设施的建设要求,即「应建立异地灾难备份中心,提供业务应用的实时切换」。如前所述,《关基安全条例》并未对灾备义务进行具体规定,但正在制定中的相关标准则对关基运营者的灾备义务有着明确规定。如2020年由全国信息安全标准化技术委员会( SAC/TC260 )提出并归口的《信息安全技术 关键信息基础设施安全控制措施(报批稿)》(简称 《关基安控措施》) 6.6.4.1 明确指出,关基运营者应 「对重要系统和数据库实现异地备份」。进一步的,《关基安控措施》 6.6.4.2 章节规定,关基运营者应当:(1)按照 GB/T 20988-2007 的规定选择灾难备份中心,避免灾难备份中心与主中心同时遭受同类风险,包括同城和异地两种类型,以规避不同影响范围的灾难风险。(2)建设灾难备份中心,计算机机房应符合有关国家标准的要求,工作辅助设施和生活设施应符合灾难恢复目标的要求。(3)确保为灾难备份中心提供与主场所同等的网络安全措施。类似的,央行2021年制订的《金融数据中心容灾建设指引》,也给出了 「两地三中心」,多地多中心的灾备设施建设参考。同样以《数安条例(征求意见稿)》中对于重要数据处理主体为例,灾备管理与运维规范建设仍主要包括涉等保和涉关基两项合规要求。《等保要求》第三级的灾备运维制度与管理要求包括但不限于:a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等;c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。d) 应通过系统管理员对数据和设备的备份与恢复等进行系统资源和运行进行配置、控制和管理等。e) 应定期对数据备份情况进行常规安全检查;等等。同样,《关基安控措施》规定关基运营者应当建立如下管理制度:a)制定容灾备份策略,根据系统重要性、业务特点、建设成本等因素选择合适的容灾备份机制;b)依据容灾备份策略,制定容灾备份系统技术方案,包含数据备份系统、备用数据处理系统和备用的网络系统。同时,制定中的《信息安全技术 关键信息基础设施安全保障指标体系》(初稿)对关基运营者的运维制度与管理也给出了具体的评价标准:即关基运营者是否按照《信息系统灾难恢复规范》 GB/T 20988—2007 的有关要求开展灾难恢复能力等级建设尤其是灾难恢复演练工作。类似的,央行2020年发布的《金融行业网络安全等级保护实施指引》第二部分也明确提出了对业务系统和金融数据的灾难恢复实施要求和演练要求等。如上,本文虽只列举了涉重要数据的主体灾备能力建设要求,但灾备能力建设的重要性及合规义务内涵的多样性已可见一斑。综上所述,各类主体尤其是涉及重要数据甚至核心数据的国家机关、政府部门以及关键信息基础设施运营者等关键主体确需重视灾备能力建设这一提升灾备安全能力的核心手段、加快履行相应合规义务、捍卫社会关键节点安全、织密网络数据安全之网,唯有如此,国家安全方有实力可匹。
【1】摘自《网络安全标准实践指南—信息系统灾难备份实践指引》(征求意见稿 v1.0-202204),全国信息安全标准化技术委员会秘书处,网址:https://www.tc260.org.cn/front/postDetail.html?id=20220426150037【2】参见《网络安全标准实践指南—信息系统灾难备份实践指引》(征求意见稿 v1.0-202204),全国信息安全标准化技术委员会秘书处。【3】第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:……(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;……【4】《突发事件应急预案管理办法》第二条:本办法所称应急预案,是指各级人民政府及其部门、基层组织、企事业单位、社会团体等为依法、迅速、科学、有序应对突发事件,最大程度减少突发事件及其造成的损害而预先制定的工作方案。 林野丽
北京市鑫诺律师事务所高级合伙人、数据产业发展研究中心主任,北京国际大数据交易所首批合作及服务商代表、中华人民共和国住房与城乡建设部办公厅常年法律顾问、中国信息通信研究院多个数据领域项目联合发起人或合作方代表。
游子良
北京市鑫诺律师事务所数据产业发展研究中心秘书长。
Copyright © 2022 iLAW.All rights reserved. 本内容及配图设计为iLAW原创版权所有。任何个人或公司未经授权严禁转载使用,如需转载请微信联络@ilawhegui3
最后修改时间:2022-08-18 18:13:51
文章转载自
iLaw合规,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
