隨著各國關(guān)鍵行業(yè)領(lǐng)域信息化、數(shù)字化的不斷深入，網(wǎng)絡(luò)安全與國家安全的關(guān)聯(lián)性愈發(fā)緊密。中俄兩國在維護本國網(wǎng)絡(luò)安全問題上都面臨嚴(yán)峻態(tài)勢，本文從網(wǎng)絡(luò)安全問題的立法視角，梳理俄羅斯在網(wǎng)絡(luò)安全領(lǐng)域，尤其是防止網(wǎng)絡(luò)入侵問題的立法應(yīng)對，以拓寬立法視野。

　　全球知名網(wǎng)絡(luò)安全與數(shù)字隱私機構(gòu)卡巴斯基實驗室數(shù)據(jù)顯示，俄羅斯是全球最易受到網(wǎng)絡(luò)攻擊的國家，易受攻擊指數(shù)排第二至五位依次為巴西，中國大陸、美國以及德國。俄羅斯嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，催生了該國網(wǎng)絡(luò)安全立法。經(jīng)濟技術(shù)的信息化、數(shù)字化轉(zhuǎn)型以及國際形勢變化所導(dǎo)致的網(wǎng)絡(luò)安全擔(dān)憂加劇，為俄羅斯在該領(lǐng)域立法注入新的動力。

　　一、早期：頒布建立國家系統(tǒng)的行政法令

　　2013年1月15日，俄羅斯聯(lián)邦總統(tǒng)發(fā)布了《關(guān)于建立國家系統(tǒng)以檢測、預(yù)防和消除計算機攻擊對俄羅斯聯(lián)邦信息資源的影響的法令》（以下簡稱“《計算機攻擊法令》”）。該法令對擬設(shè)國家系統(tǒng)的功能及任務(wù)、運作主體以及該主體的職責(zé)邊界作出劃分，這為俄羅斯網(wǎng)絡(luò)安全立法體系的形成奠定了政策基礎(chǔ)。

　　1.任命聯(lián)邦安全局建立國家系統(tǒng)

　　《計算機攻擊法令》明確，由聯(lián)邦安全局負責(zé)完成用以檢測、預(yù)防和消除計算機攻擊對俄羅斯聯(lián)邦信息資源的國家系統(tǒng)（以下簡稱“國家系統(tǒng)”）的建立。該系統(tǒng)所保護的信息資源既包括俄羅斯聯(lián)邦境內(nèi)的信息系統(tǒng)和電信網(wǎng)絡(luò)，也包括俄羅斯聯(lián)邦駐外外交使團和使領(lǐng)館的相應(yīng)內(nèi)容。

　　2.明確國家系統(tǒng)的主要功能及任務(wù)

　　擬建的國家系統(tǒng)涵蓋四大任務(wù)及功能，分別為：

　　第一，預(yù)測俄羅斯聯(lián)邦信息安全保障領(lǐng)域的形勢；

　　第二，在解決與檢測、預(yù)防和消除計算機攻擊威脅相關(guān)問題的同時，需確保俄羅斯聯(lián)邦信息資源所有者、電信運營商和其他從事信息安全領(lǐng)域許可活動的實體之間可正常通信；

　　第三，監(jiān)控俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施免受計算機攻擊的保護狀態(tài)及程度；

　　第四，確定與俄羅斯聯(lián)邦信息資源運行相關(guān)的計算機事故的原因。

　　總體上看，擬建國家系統(tǒng)主要涵蓋對計算機攻擊相關(guān)問題的預(yù)防功能、關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障監(jiān)控功能以及相關(guān)計算機事故的調(diào)查分析功能。同時，還存在避免干擾正常通信需求的消極任務(wù)。

　　3.明確網(wǎng)絡(luò)安全職責(zé)機構(gòu)的權(quán)力邊界

　　《計算機攻擊法令》明確了聯(lián)邦安全局為擬建國家系統(tǒng)的職責(zé)部門，在計算機信息安全領(lǐng)域履行以下六項職責(zé)：

　　第一，組織并開展建立國家系統(tǒng)的工作，監(jiān)測這些工作的執(zhí)行情況，并與國家其他機構(gòu)合作，確保相關(guān)要素的正常運作；

　　第二，開發(fā)出檢測計算機攻擊政府機構(gòu)信息系統(tǒng)和信息通信網(wǎng)絡(luò)的方法；

　　第三，確定聯(lián)邦執(zhí)行機構(gòu)之間就與俄羅斯聯(lián)邦信息資源運作有關(guān)的計算機事件交換信息的程序；

　　第四，根據(jù)俄羅斯聯(lián)邦立法，組織并采取措施，評估俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施免受計算機攻擊的保護程度；

　　第五，為組織保護俄羅斯聯(lián)邦的關(guān)鍵信息基礎(chǔ)設(shè)施免受計算機攻擊制定方法建議；

　　第六，確定聯(lián)邦執(zhí)行機構(gòu)和外國（國際組織）授權(quán)機構(gòu)之間就與信息資源運作有關(guān)的計算機事件交換信息的程序，并組織此類信息的交換。

　　二、制定規(guī)范的網(wǎng)絡(luò)安全立法

　　伴隨現(xiàn)代信息和通信網(wǎng)絡(luò)的全球化，俄羅斯的網(wǎng)絡(luò)安全面臨新的威脅。尤其是向數(shù)字化邁進的過程中，國家的管理流程得以簡化，甚至部分自動化，使得國家信息資源更容易受到計算機攻擊。一旦有害程序植入關(guān)鍵設(shè)備，將產(chǎn)生不利影響，甚至完全癱瘓國家的關(guān)鍵信息基礎(chǔ)設(shè)施，這將對社會、金融或環(huán)境造成災(zāi)難性后果。

　　基于上述實際情況，俄羅斯聯(lián)邦委員會于2017年7月19日頒布了《俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》（以下簡稱“《關(guān)鍵設(shè)施安全法》”），該法律吸收了《計算機攻擊法令》的相關(guān)內(nèi)容，并予以細化和補充完善。

　　1.完善保護范圍

　　《關(guān)鍵設(shè)施安全法》細化了《計算機攻擊法令》的所規(guī)定用以防范計算機攻擊系統(tǒng)的內(nèi)涵及外延，將國家系統(tǒng)定性為單一的地域分布綜合體，涵蓋了系統(tǒng)本身及對應(yīng)的設(shè)施。同時，該系統(tǒng)所保護的“俄羅斯聯(lián)邦的信息資源”擴充到位于俄羅斯聯(lián)邦境內(nèi)、俄羅斯聯(lián)邦外交使團和（或）領(lǐng)事館的信息系統(tǒng)、信息和電信網(wǎng)絡(luò)以及自動化控制系統(tǒng)。

　　2.設(shè)立國家計算機事件協(xié)調(diào)中心

　　除原有授權(quán)確保國家系統(tǒng)運作的機構(gòu)外，增加了國家計算機事件協(xié)調(diào)中心，用以確保關(guān)鍵信息基礎(chǔ)設(shè)施實體之間的協(xié)調(diào)，應(yīng)對突發(fā)的計算機事件。

　　根據(jù)俄羅斯聯(lián)邦安全局于2018年7月24日頒布的N366號令“關(guān)于國家計算機事件協(xié)調(diào)中心”的要求，國家計算機事件協(xié)調(diào)中心（以下簡稱 NKTsKI）是旨在檢測、預(yù)防和消除計算機攻擊后果以及應(yīng)對計算機事件的組織體的組成部分之一。NKTsKI的任務(wù)是確保協(xié)調(diào)俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施主體在檢測、預(yù)防和消除計算機攻擊的后果以及應(yīng)對計算機事件的問題上的活動。

　　N366號令明確NKTsKI執(zhí)行以下功能：

　　（1）協(xié)調(diào)活動以應(yīng)對計算機事件并直接參與此類活動；

　　（2）參與檢測、預(yù)防和消除計算機攻擊的后果；

　　（3）收集、存儲和分析有關(guān)計算機事件和計算機攻擊的信息，并分析檢測、預(yù)防和消除計算機攻擊后果以及應(yīng)對計算機事件的措施的有效性；

　?。?）確定向國家系統(tǒng)提交有關(guān)計算機事件信息的必要格式，以檢測、預(yù)防和消除計算機攻擊對俄羅斯聯(lián)邦信息資源的后果，并將其提交給關(guān)鍵信息基礎(chǔ)設(shè)施的主體。

　　為了發(fā)揮上述功能，NKTsKI的權(quán)限范圍有：

　　（1）就與檢測、預(yù)防和消除計算機攻擊后果相關(guān)的問題向關(guān)鍵信息基礎(chǔ)設(shè)施的主體以及其他非關(guān)鍵信息基礎(chǔ)設(shè)施的主體和組織（包括外國和國際機構(gòu)）發(fā)送通知和查詢以及對計算機事件的響應(yīng)；

　?。?）應(yīng)無權(quán)發(fā)送此類請求的外國或國際組織的請求，以及在提供此類信息的情況下，拒絕提供與關(guān)鍵信息基礎(chǔ)設(shè)施運行相關(guān)的計算機事件信息對俄羅斯聯(lián)邦的安全構(gòu)成威脅；

　?。?）讓在該領(lǐng)域工作的組織和專家參與應(yīng)對計算機事件；

　?。?）分發(fā)和出版信息和參考資料，參加與檢測、預(yù)防和消除計算機攻擊后果和應(yīng)對計算機事件有關(guān)的問題的科學(xué)和技術(shù)會議、座談會、會議、展覽，包括國際會議。

　　3.明確關(guān)鍵基礎(chǔ)設(shè)施的外延及規(guī)制要求

　　在概念層面，關(guān)鍵基礎(chǔ)設(shè)施涵蓋設(shè)施的客體，以及用于組織這些客體進行交互的電信網(wǎng)絡(luò)。其中，客體包括信息系統(tǒng)、信息電信網(wǎng)絡(luò)、關(guān)鍵信息基礎(chǔ)設(shè)施主體的自動化控制系統(tǒng)。在范圍層面，關(guān)鍵基礎(chǔ)設(shè)施除涵蓋政府機構(gòu)相關(guān)的設(shè)施外，還涉及醫(yī)療保健、科學(xué)、交通、通信、能源、銀行和金融、國防、火箭和航天、采礦、冶金和化學(xué)工業(yè)等領(lǐng)域。

　　此外，該法案引入了關(guān)鍵信息基礎(chǔ)設(shè)施的登記冊和類別，建立了確保其安全的要求，以及這些系統(tǒng)與國家系統(tǒng)的交互要求，以確保檢測、預(yù)防和消除因計算機攻擊而對俄羅斯聯(lián)邦信息資源產(chǎn)生的不利后果。

　　三、《主權(quán)互聯(lián)網(wǎng)法》的頒布

　　2019年5月，出于對美國《國家網(wǎng)絡(luò)安全戰(zhàn)略》中侵略性網(wǎng)絡(luò)安全觀，以及網(wǎng)絡(luò)攻擊在軍事及政治領(lǐng)域的運用日趨泛化的應(yīng)對，俄羅斯加速出臺了備受爭議的《主權(quán)互聯(lián)網(wǎng)法》。該法旨在確保俄羅斯具備獨立于國際互聯(lián)網(wǎng)的能力，以確保俄羅斯通信運營商在無法接入國外互聯(lián)網(wǎng)根服務(wù)器的情況下，其網(wǎng)絡(luò)系統(tǒng)仍可以在境內(nèi)安全、穩(wěn)定地運行。相關(guān)要求如下：

　　一是明確通信、信息技術(shù)和大眾傳媒監(jiān)督管理總局對俄羅斯互聯(lián)網(wǎng)的安全、穩(wěn)定、完整運行負有監(jiān)督、管理、協(xié)調(diào)職責(zé)。如出臺相關(guān)文件明確俄羅斯互聯(lián)網(wǎng)和公用通信網(wǎng)穩(wěn)定、安全和完整運行的要求；防范威脅技術(shù)手段的加裝流程、技術(shù)規(guī)范，以及運行管理、升級改造要求；公用通信網(wǎng)與相關(guān)網(wǎng)絡(luò)進行信息交互的規(guī)則和流程等。

　　二是強化緊急情況下的網(wǎng)絡(luò)管理，將《通信法》第六十五章的名稱改為“對緊急情況和緊急狀態(tài)下公用通信網(wǎng)絡(luò)的管理”，并增設(shè)在緊急情況和狀態(tài)下對信息通信網(wǎng)絡(luò)進行“集中統(tǒng)管”的相關(guān)條款。允許政府部門對相關(guān)通信網(wǎng)絡(luò)實施監(jiān)控和“集中統(tǒng)管”，如加強對防范威脅技術(shù)手段的管理，向加裝了防御技術(shù)手段的通信網(wǎng)絡(luò)、技術(shù)通信網(wǎng)絡(luò)、路由交換節(jié)點、跨境通信線路和國家域名系統(tǒng)的運營管理者下達指令等。

　　三是強化對信息訪問及使用過程中的安全管理和保護，當(dāng)訪問的信息可能對集中統(tǒng)管產(chǎn)生不良影響時，通信運營商應(yīng)按照《信息、信息技術(shù)和信息保護法》有關(guān)規(guī)定，利用技術(shù)手段限制對相關(guān)信息的訪問。

　　四是建立俄羅斯的國家域名系統(tǒng)，該系統(tǒng)包括一系列相互關(guān)聯(lián)、用于存儲和獲取相關(guān)網(wǎng)址、域名信息的軟件和硬件設(shè)備。

　　四、網(wǎng)絡(luò)安全處罰體系的完善

　　除前述運用國家安全系統(tǒng)用以事前的預(yù)防及檢測以外，在制定法層面，俄羅斯對相關(guān)網(wǎng)絡(luò)安全的事后規(guī)制也作出相關(guān)安排。

　　（一）刑事責(zé)任

　　俄羅斯聯(lián)邦于2017年7月19日頒布的《關(guān)于修改<俄羅斯聯(lián)邦刑法>和<俄羅斯聯(lián)邦刑事訴訟法>第151條并通過“俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全”條款》的法案，在《刑法》中引入了“對俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施的不當(dāng)影響”的新入罪條款。該條款針對危害計算機網(wǎng)絡(luò)安全的不同行為模式，按照社會危害程度，設(shè)立了不同程度的刑事處罰。

　　1.對直接損害的規(guī)制

　　創(chuàng)建、傳播和（或）使用計算機程序或其他計算機信息，故意不當(dāng)?shù)赜绊戧P(guān)鍵信息基礎(chǔ)設(shè)施，包括銷毀、阻止、修改、復(fù)制其中包含的信息，或消除對這些信息的保護。應(yīng)處以最長五年的強迫勞動，不限制或限制自由兩年，或剝奪自由兩年至五年，并處罰金50萬至100萬盧布或相當(dāng)于被定罪人一年至三年的工資及其他收入。

　　2.對非法訪問的規(guī)制

　　非法訪問關(guān)鍵信息基礎(chǔ)設(shè)施中包含的受保護計算機信息，包括使用計算機程序或其他計算機信息，故意對關(guān)鍵信息基礎(chǔ)設(shè)施或惡意對其他計算機程序施加不當(dāng)影響，并造成損害的，可能處五年以下強制勞動，或二至六年的自由剝奪，并處以五十萬至一百萬盧布的罰款，或相當(dāng)于被定罪人的工資或薪金或任何其他收入的罰款。

　　3.對非法儲存及傳輸?shù)囊?guī)制

　　違反存儲、處理或傳輸受保護計算機信息的設(shè)施的操作規(guī)則，并對關(guān)鍵信息基礎(chǔ)設(shè)施造成損害的，處五年以下強迫勞動，剝奪或不剝奪擔(dān)任某些職位或從事某些活動的權(quán)利長達三年，或剝奪自由長達三年至六年，并被剝奪擔(dān)任某些職位或從事某些活動的權(quán)利，最長期限為三年。

　　4.嚴(yán)厲打擊共同、利用職務(wù)之便實施的網(wǎng)絡(luò)安全犯罪

　　對于前述犯罪行為，如為多人經(jīng)事先共謀或者有組織的團體實施，或利用其職務(wù)之便而實施，則面臨加重處罰，判處三至八年徒刑，剝奪擔(dān)任某些職務(wù)或從事某些活動的權(quán)利，最長三年或三年以上。

　?。ǘ┬姓?zé)任

　　2021年5月，俄羅斯通過了《關(guān)于確定俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全領(lǐng)域違法行為的行政責(zé)任》（又稱《關(guān)于修訂俄羅斯聯(lián)邦行政違法法典》），新法典補充了對俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全領(lǐng)域違法行為的行政規(guī)制。

　　新法典在第13.12條明確了相關(guān)主體違反關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)范時的行政責(zé)任，具體包括以下三類：

　　第一，違反為關(guān)鍵信息基礎(chǔ)設(shè)施的重要對象建立安全系統(tǒng)，并確保其正常運行的要求，在此類行為不作為犯罪行為處理的情況下，對相關(guān)責(zé)任人處以1萬至5萬盧布，對相關(guān)法人實體施以5萬至10萬盧布的罰款。

　　第二，未遵守計算機事件通報及應(yīng)對程序，未采取措施消除計算機攻擊的后果的，將對相關(guān)責(zé)任人處以1萬至5萬盧布的罰款，對相關(guān)法人實體處以10萬至50萬盧布得罰款。

　　第三，違反關(guān)鍵信息基礎(chǔ)設(shè)施主體之間、俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施主體與外國、國際、國際授權(quán)機構(gòu)之間的計算機事件信息交換程序，對相關(guān)責(zé)任人處以2萬至5萬盧布、相關(guān)法人實體處以從10萬到50萬盧布的罰款。

　　四、結(jié)語

　　俄羅斯的網(wǎng)絡(luò)安全立法及政策制定，既受技術(shù)革新與實踐應(yīng)用的影響，也受國際形勢所推動。制定目的從最開始的監(jiān)測、補救，到后來的重點把控，再到如今的全面自主可控，對網(wǎng)絡(luò)安全性的追求不斷提高，相關(guān)舉措也更為主動和全面。從近期俄羅斯官方提出的相應(yīng)措施來看，如部分國有企業(yè)應(yīng)在2024年前實現(xiàn)軟硬件設(shè)備70%以上的國產(chǎn)化、建立起俄羅斯自己的網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)等計劃，俄羅斯近期對網(wǎng)絡(luò)安全問題的應(yīng)對將關(guān)注于技術(shù)應(yīng)用層以及內(nèi)容管理層面上。