隨著各國關(guān)鍵行業(yè)領(lǐng)域信息化、數(shù)字化的不斷深入，網(wǎng)絡安全與國家安全的關(guān)聯(lián)性愈發(fā)緊密。中俄兩國在維護本國網(wǎng)絡安全問題上都面臨嚴峻態(tài)勢，本文從網(wǎng)絡安全問題的立法視角，梳理俄羅斯在網(wǎng)絡安全領(lǐng)域，尤其是防止網(wǎng)絡入侵問題的立法應對，以拓寬立法視野。

　　全球知名網(wǎng)絡安全與數(shù)字隱私機構(gòu)卡巴斯基實驗室數(shù)據(jù)顯示，俄羅斯是全球最易受到網(wǎng)絡攻擊的國家，易受攻擊指數(shù)排第二至五位依次為巴西，中國大陸、美國以及德國。俄羅斯嚴峻的網(wǎng)絡安全挑戰(zhàn)，催生了該國網(wǎng)絡安全立法。經(jīng)濟技術(shù)的信息化、數(shù)字化轉(zhuǎn)型以及國際形勢變化所導致的網(wǎng)絡安全擔憂加劇，為俄羅斯在該領(lǐng)域立法注入新的動力。

　　一、早期：頒布建立國家系統(tǒng)的行政法令

　　2013年1月15日，俄羅斯聯(lián)邦總統(tǒng)發(fā)布了《關(guān)于建立國家系統(tǒng)以檢測、預防和消除計算機攻擊對俄羅斯聯(lián)邦信息資源的影響的法令》（以下簡稱“《計算機攻擊法令》”）。該法令對擬設國家系統(tǒng)的功能及任務、運作主體以及該主體的職責邊界作出劃分，這為俄羅斯網(wǎng)絡安全立法體系的形成奠定了政策基礎。

　　1.任命聯(lián)邦安全局建立國家系統(tǒng)

　　《計算機攻擊法令》明確，由聯(lián)邦安全局負責完成用以檢測、預防和消除計算機攻擊對俄羅斯聯(lián)邦信息資源的國家系統(tǒng)（以下簡稱“國家系統(tǒng)”）的建立。該系統(tǒng)所保護的信息資源既包括俄羅斯聯(lián)邦境內(nèi)的信息系統(tǒng)和電信網(wǎng)絡，也包括俄羅斯聯(lián)邦駐外外交使團和使領(lǐng)館的相應內(nèi)容。

　　2.明確國家系統(tǒng)的主要功能及任務

　　擬建的國家系統(tǒng)涵蓋四大任務及功能，分別為：

　　第一，預測俄羅斯聯(lián)邦信息安全保障領(lǐng)域的形勢；

　　第二，在解決與檢測、預防和消除計算機攻擊威脅相關(guān)問題的同時，需確保俄羅斯聯(lián)邦信息資源所有者、電信運營商和其他從事信息安全領(lǐng)域許可活動的實體之間可正常通信；

　　第三，監(jiān)控俄羅斯聯(lián)邦關(guān)鍵信息基礎設施免受計算機攻擊的保護狀態(tài)及程度；

　　第四，確定與俄羅斯聯(lián)邦信息資源運行相關(guān)的計算機事故的原因。

　　總體上看，擬建國家系統(tǒng)主要涵蓋對計算機攻擊相關(guān)問題的預防功能、關(guān)鍵信息基礎設施的安全保障監(jiān)控功能以及相關(guān)計算機事故的調(diào)查分析功能。同時，還存在避免干擾正常通信需求的消極任務。

　　3.明確網(wǎng)絡安全職責機構(gòu)的權(quán)力邊界

　　《計算機攻擊法令》明確了聯(lián)邦安全局為擬建國家系統(tǒng)的職責部門，在計算機信息安全領(lǐng)域履行以下六項職責：

　　第一，組織并開展建立國家系統(tǒng)的工作，監(jiān)測這些工作的執(zhí)行情況，并與國家其他機構(gòu)合作，確保相關(guān)要素的正常運作；

　　第二，開發(fā)出檢測計算機攻擊政府機構(gòu)信息系統(tǒng)和信息通信網(wǎng)絡的方法；

　　第三，確定聯(lián)邦執(zhí)行機構(gòu)之間就與俄羅斯聯(lián)邦信息資源運作有關(guān)的計算機事件交換信息的程序；

　　第四，根據(jù)俄羅斯聯(lián)邦立法，組織并采取措施，評估俄羅斯聯(lián)邦關(guān)鍵信息基礎設施免受計算機攻擊的保護程度；

　　第五，為組織保護俄羅斯聯(lián)邦的關(guān)鍵信息基礎設施免受計算機攻擊制定方法建議；

　　第六，確定聯(lián)邦執(zhí)行機構(gòu)和外國（國際組織）授權(quán)機構(gòu)之間就與信息資源運作有關(guān)的計算機事件交換信息的程序，并組織此類信息的交換。

　　二、制定規(guī)范的網(wǎng)絡安全立法

　　伴隨現(xiàn)代信息和通信網(wǎng)絡的全球化，俄羅斯的網(wǎng)絡安全面臨新的威脅。尤其是向數(shù)字化邁進的過程中，國家的管理流程得以簡化，甚至部分自動化，使得國家信息資源更容易受到計算機攻擊。一旦有害程序植入關(guān)鍵設備，將產(chǎn)生不利影響，甚至完全癱瘓國家的關(guān)鍵信息基礎設施，這將對社會、金融或環(huán)境造成災難性后果。

　　基于上述實際情況，俄羅斯聯(lián)邦委員會于2017年7月19日頒布了《俄羅斯聯(lián)邦關(guān)鍵信息基礎設施安全法》（以下簡稱“《關(guān)鍵設施安全法》”），該法律吸收了《計算機攻擊法令》的相關(guān)內(nèi)容，并予以細化和補充完善。

　　1.完善保護范圍

　　《關(guān)鍵設施安全法》細化了《計算機攻擊法令》的所規(guī)定用以防范計算機攻擊系統(tǒng)的內(nèi)涵及外延，將國家系統(tǒng)定性為單一的地域分布綜合體，涵蓋了系統(tǒng)本身及對應的設施。同時，該系統(tǒng)所保護的“俄羅斯聯(lián)邦的信息資源”擴充到位于俄羅斯聯(lián)邦境內(nèi)、俄羅斯聯(lián)邦外交使團和（或）領(lǐng)事館的信息系統(tǒng)、信息和電信網(wǎng)絡以及自動化控制系統(tǒng)。

　　2.設立國家計算機事件協(xié)調(diào)中心

　　除原有授權(quán)確保國家系統(tǒng)運作的機構(gòu)外，增加了國家計算機事件協(xié)調(diào)中心，用以確保關(guān)鍵信息基礎設施實體之間的協(xié)調(diào)，應對突發(fā)的計算機事件。

　　根據(jù)俄羅斯聯(lián)邦安全局于2018年7月24日頒布的N366號令“關(guān)于國家計算機事件協(xié)調(diào)中心”的要求，國家計算機事件協(xié)調(diào)中心（以下簡稱 NKTsKI）是旨在檢測、預防和消除計算機攻擊后果以及應對計算機事件的組織體的組成部分之一。NKTsKI的任務是確保協(xié)調(diào)俄羅斯聯(lián)邦關(guān)鍵信息基礎設施主體在檢測、預防和消除計算機攻擊的后果以及應對計算機事件的問題上的活動。

　　N366號令明確NKTsKI執(zhí)行以下功能：

　?。?）協(xié)調(diào)活動以應對計算機事件并直接參與此類活動；

　?。?）參與檢測、預防和消除計算機攻擊的后果；

　?。?）收集、存儲和分析有關(guān)計算機事件和計算機攻擊的信息，并分析檢測、預防和消除計算機攻擊后果以及應對計算機事件的措施的有效性；

　?。?）確定向國家系統(tǒng)提交有關(guān)計算機事件信息的必要格式，以檢測、預防和消除計算機攻擊對俄羅斯聯(lián)邦信息資源的后果，并將其提交給關(guān)鍵信息基礎設施的主體。

　　為了發(fā)揮上述功能，NKTsKI的權(quán)限范圍有：

　?。?）就與檢測、預防和消除計算機攻擊后果相關(guān)的問題向關(guān)鍵信息基礎設施的主體以及其他非關(guān)鍵信息基礎設施的主體和組織（包括外國和國際機構(gòu)）發(fā)送通知和查詢以及對計算機事件的響應；

　?。?）應無權(quán)發(fā)送此類請求的外國或國際組織的請求，以及在提供此類信息的情況下，拒絕提供與關(guān)鍵信息基礎設施運行相關(guān)的計算機事件信息對俄羅斯聯(lián)邦的安全構(gòu)成威脅；

　?。?）讓在該領(lǐng)域工作的組織和專家參與應對計算機事件；

　?。?）分發(fā)和出版信息和參考資料，參加與檢測、預防和消除計算機攻擊后果和應對計算機事件有關(guān)的問題的科學和技術(shù)會議、座談會、會議、展覽，包括國際會議。

　　3.明確關(guān)鍵基礎設施的外延及規(guī)制要求

　　在概念層面，關(guān)鍵基礎設施涵蓋設施的客體，以及用于組織這些客體進行交互的電信網(wǎng)絡。其中，客體包括信息系統(tǒng)、信息電信網(wǎng)絡、關(guān)鍵信息基礎設施主體的自動化控制系統(tǒng)。在范圍層面，關(guān)鍵基礎設施除涵蓋政府機構(gòu)相關(guān)的設施外，還涉及醫(yī)療保健、科學、交通、通信、能源、銀行和金融、國防、火箭和航天、采礦、冶金和化學工業(yè)等領(lǐng)域。

　　此外，該法案引入了關(guān)鍵信息基礎設施的登記冊和類別，建立了確保其安全的要求，以及這些系統(tǒng)與國家系統(tǒng)的交互要求，以確保檢測、預防和消除因計算機攻擊而對俄羅斯聯(lián)邦信息資源產(chǎn)生的不利后果。

　　三、《主權(quán)互聯(lián)網(wǎng)法》的頒布

　　2019年5月，出于對美國《國家網(wǎng)絡安全戰(zhàn)略》中侵略性網(wǎng)絡安全觀，以及網(wǎng)絡攻擊在軍事及政治領(lǐng)域的運用日趨泛化的應對，俄羅斯加速出臺了備受爭議的《主權(quán)互聯(lián)網(wǎng)法》。該法旨在確保俄羅斯具備獨立于國際互聯(lián)網(wǎng)的能力，以確保俄羅斯通信運營商在無法接入國外互聯(lián)網(wǎng)根服務器的情況下，其網(wǎng)絡系統(tǒng)仍可以在境內(nèi)安全、穩(wěn)定地運行。相關(guān)要求如下：

　　一是明確通信、信息技術(shù)和大眾傳媒監(jiān)督管理總局對俄羅斯互聯(lián)網(wǎng)的安全、穩(wěn)定、完整運行負有監(jiān)督、管理、協(xié)調(diào)職責。如出臺相關(guān)文件明確俄羅斯互聯(lián)網(wǎng)和公用通信網(wǎng)穩(wěn)定、安全和完整運行的要求；防范威脅技術(shù)手段的加裝流程、技術(shù)規(guī)范，以及運行管理、升級改造要求；公用通信網(wǎng)與相關(guān)網(wǎng)絡進行信息交互的規(guī)則和流程等。

　　二是強化緊急情況下的網(wǎng)絡管理，將《通信法》第六十五章的名稱改為“對緊急情況和緊急狀態(tài)下公用通信網(wǎng)絡的管理”，并增設在緊急情況和狀態(tài)下對信息通信網(wǎng)絡進行“集中統(tǒng)管”的相關(guān)條款。允許政府部門對相關(guān)通信網(wǎng)絡實施監(jiān)控和“集中統(tǒng)管”，如加強對防范威脅技術(shù)手段的管理，向加裝了防御技術(shù)手段的通信網(wǎng)絡、技術(shù)通信網(wǎng)絡、路由交換節(jié)點、跨境通信線路和國家域名系統(tǒng)的運營管理者下達指令等。

　　三是強化對信息訪問及使用過程中的安全管理和保護，當訪問的信息可能對集中統(tǒng)管產(chǎn)生不良影響時，通信運營商應按照《信息、信息技術(shù)和信息保護法》有關(guān)規(guī)定，利用技術(shù)手段限制對相關(guān)信息的訪問。

　　四是建立俄羅斯的國家域名系統(tǒng)，該系統(tǒng)包括一系列相互關(guān)聯(lián)、用于存儲和獲取相關(guān)網(wǎng)址、域名信息的軟件和硬件設備。

　　四、網(wǎng)絡安全處罰體系的完善

　　除前述運用國家安全系統(tǒng)用以事前的預防及檢測以外，在制定法層面，俄羅斯對相關(guān)網(wǎng)絡安全的事后規(guī)制也作出相關(guān)安排。

　?。ㄒ唬┬淌仑熑?/p>

　　俄羅斯聯(lián)邦于2017年7月19日頒布的《關(guān)于修改<俄羅斯聯(lián)邦刑法>和<俄羅斯聯(lián)邦刑事訴訟法>第151條并通過“俄羅斯聯(lián)邦關(guān)鍵信息基礎設施安全”條款》的法案，在《刑法》中引入了“對俄羅斯聯(lián)邦關(guān)鍵信息基礎設施的不當影響”的新入罪條款。該條款針對危害計算機網(wǎng)絡安全的不同行為模式，按照社會危害程度，設立了不同程度的刑事處罰。

　　1.對直接損害的規(guī)制

　　創(chuàng)建、傳播和（或）使用計算機程序或其他計算機信息，故意不當?shù)赜绊戧P(guān)鍵信息基礎設施，包括銷毀、阻止、修改、復制其中包含的信息，或消除對這些信息的保護。應處以最長五年的強迫勞動，不限制或限制自由兩年，或剝奪自由兩年至五年，并處罰金50萬至100萬盧布或相當于被定罪人一年至三年的工資及其他收入。

　　2.對非法訪問的規(guī)制

　　非法訪問關(guān)鍵信息基礎設施中包含的受保護計算機信息，包括使用計算機程序或其他計算機信息，故意對關(guān)鍵信息基礎設施或惡意對其他計算機程序施加不當影響，并造成損害的，可能處五年以下強制勞動，或二至六年的自由剝奪，并處以五十萬至一百萬盧布的罰款，或相當于被定罪人的工資或薪金或任何其他收入的罰款。

　　3.對非法儲存及傳輸?shù)囊?guī)制

　　違反存儲、處理或傳輸受保護計算機信息的設施的操作規(guī)則，并對關(guān)鍵信息基礎設施造成損害的，處五年以下強迫勞動，剝奪或不剝奪擔任某些職位或從事某些活動的權(quán)利長達三年，或剝奪自由長達三年至六年，并被剝奪擔任某些職位或從事某些活動的權(quán)利，最長期限為三年。

　　4.嚴厲打擊共同、利用職務之便實施的網(wǎng)絡安全犯罪

　　對于前述犯罪行為，如為多人經(jīng)事先共謀或者有組織的團體實施，或利用其職務之便而實施，則面臨加重處罰，判處三至八年徒刑，剝奪擔任某些職務或從事某些活動的權(quán)利，最長三年或三年以上。

　?。ǘ┬姓熑?/p>

　　2021年5月，俄羅斯通過了《關(guān)于確定俄羅斯聯(lián)邦關(guān)鍵信息基礎設施安全領(lǐng)域違法行為的行政責任》（又稱《關(guān)于修訂俄羅斯聯(lián)邦行政違法法典》），新法典補充了對俄羅斯聯(lián)邦關(guān)鍵信息基礎設施安全領(lǐng)域違法行為的行政規(guī)制。

　　新法典在第13.12條明確了相關(guān)主體違反關(guān)鍵信息基礎設施安全規(guī)范時的行政責任，具體包括以下三類：

　　第一，違反為關(guān)鍵信息基礎設施的重要對象建立安全系統(tǒng)，并確保其正常運行的要求，在此類行為不作為犯罪行為處理的情況下，對相關(guān)責任人處以1萬至5萬盧布，對相關(guān)法人實體施以5萬至10萬盧布的罰款。

　　第二，未遵守計算機事件通報及應對程序，未采取措施消除計算機攻擊的后果的，將對相關(guān)責任人處以1萬至5萬盧布的罰款，對相關(guān)法人實體處以10萬至50萬盧布得罰款。

　　第三，違反關(guān)鍵信息基礎設施主體之間、俄羅斯聯(lián)邦關(guān)鍵信息基礎設施主體與外國、國際、國際授權(quán)機構(gòu)之間的計算機事件信息交換程序，對相關(guān)責任人處以2萬至5萬盧布、相關(guān)法人實體處以從10萬到50萬盧布的罰款。

　　四、結(jié)語

　　俄羅斯的網(wǎng)絡安全立法及政策制定，既受技術(shù)革新與實踐應用的影響，也受國際形勢所推動。制定目的從最開始的監(jiān)測、補救，到后來的重點把控，再到如今的全面自主可控，對網(wǎng)絡安全性的追求不斷提高，相關(guān)舉措也更為主動和全面。從近期俄羅斯官方提出的相應措施來看，如部分國有企業(yè)應在2024年前實現(xiàn)軟硬件設備70%以上的國產(chǎn)化、建立起俄羅斯自己的網(wǎng)絡安全技術(shù)標準等計劃，俄羅斯近期對網(wǎng)絡安全問題的應對將關(guān)注于技術(shù)應用層以及內(nèi)容管理層面上。