張 敏

(西安交通大學法學院 西安 710049)(fish_law@163.com)

?

我國關(guān)鍵基礎(chǔ)設(shè)施保護立法定位與內(nèi)容的思考

張 敏

(西安交通大學法學院 西安 710049)(fish_law@163.com)

關(guān)鍵基礎(chǔ)設(shè)施信息安全保護是保障國家安全、社會正常運轉(zhuǎn)以及實現(xiàn)公民生存權(quán)和發(fā)展權(quán)的基本前提.提出關(guān)鍵基礎(chǔ)設(shè)施的基本概念、認定標準，試圖闡明關(guān)鍵基礎(chǔ)設(shè)施保護立法與《國家安全法》、《網(wǎng)絡(luò)安全法(草案)》、等級保護制度之間的關(guān)系，并提出了關(guān)鍵基礎(chǔ)設(shè)施立法的法律定位——安全保障法.我國關(guān)鍵基礎(chǔ)設(shè)施保護立法應(yīng)以信息安全保障為重心，在立法內(nèi)容的設(shè)定上即應(yīng)著眼于對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的預(yù)防與控制，還應(yīng)提升對關(guān)鍵基礎(chǔ)設(shè)施信息安全的技術(shù)保障能力、組織保障能力、執(zhí)法保障能力，加強關(guān)鍵基礎(chǔ)設(shè)施保護的國際合作.

關(guān)鍵基礎(chǔ)設(shè)施；關(guān)鍵基礎(chǔ)設(shè)施保護立法； 信息安全保障

1 關(guān)鍵基礎(chǔ)設(shè)施的概念與認定

美國2001年《愛國者法案》認為，關(guān)鍵基礎(chǔ)設(shè)施(critical infrastructure， CI)是指關(guān)系到美國生死存亡的，無論是物理還是虛擬的系統(tǒng)和資產(chǎn)，這些系統(tǒng)和資產(chǎn)的功能喪失或遭到破壞會對國家安全、經(jīng)濟穩(wěn)定、國家公眾健康與安全或這些要素的任何結(jié)合產(chǎn)生嚴重影響.歐盟委員會于2004年發(fā)布的通告《打擊恐怖主義活動，加強關(guān)鍵基礎(chǔ)設(shè)施保護》中指出，關(guān)鍵基礎(chǔ)設(shè)施是指如果被破壞或摧毀，會對公民的健康、安全、穩(wěn)定或經(jīng)濟福祉或成員國政府的有效運轉(zhuǎn)造成嚴重影響的物理和信息技術(shù)設(shè)施、網(wǎng)絡(luò)、服務(wù)和資產(chǎn).關(guān)鍵基礎(chǔ)設(shè)施橫跨經(jīng)濟的諸多部門和重要政府服務(wù).

我國的政策與立法實踐中未對關(guān)鍵基礎(chǔ)設(shè)施的概念給予明確的界定，但對關(guān)鍵基礎(chǔ)設(shè)施保護的實際工作卻一直存在.我們認為關(guān)鍵基礎(chǔ)設(shè)施具有服務(wù)職能的公共性①服務(wù)職能的“公共性”是指任何一項關(guān)鍵基礎(chǔ)設(shè)施都不是為特定部門、單位、企業(yè)或居民服務(wù)的，而是為國家所有政府部門、企業(yè)、其他組織和居民提供服務(wù)的，是為社會整體、為整個國家提供社會化服務(wù).從服務(wù)對象上看，關(guān)鍵基礎(chǔ)設(shè)施既為物質(zhì)生產(chǎn)服務(wù)，又為居民生活服務(wù).兩者難以截然分開.、服務(wù)職能的關(guān)鍵性②服務(wù)職能的“關(guān)鍵性”是指關(guān)鍵基礎(chǔ)設(shè)施最顯著的特征.通常，某基礎(chǔ)設(shè)施的成分或整體被定義為“關(guān)鍵”是由該基礎(chǔ)設(shè)施在整體基礎(chǔ)設(shè)施系統(tǒng)中的戰(zhàn)略地位決定的，尤其是該基礎(chǔ)設(shè)施的成分或整體對其他基礎(chǔ)設(shè)施或部門起著鏈接渠道的作用.由于不同國家的傳統(tǒng)文化、地理、歷史、社會發(fā)展現(xiàn)狀以及社會政治因素的差異性，因此對關(guān)鍵基礎(chǔ)設(shè)施服務(wù)職能的“關(guān)鍵性”認識各異.、運轉(zhuǎn)的系統(tǒng)性和協(xié)調(diào)性③運轉(zhuǎn)的“系統(tǒng)性”和“協(xié)調(diào)性”是指關(guān)鍵基礎(chǔ)設(shè)施是一個有機的綜合系統(tǒng)，該系統(tǒng)在其內(nèi)部以及同外界環(huán)境之間均需協(xié)調(diào)一致才能正常良好地運轉(zhuǎn).關(guān)鍵基礎(chǔ)設(shè)施必須與城市國民經(jīng)濟、人口規(guī)模、居民生活水平、城市規(guī)劃建設(shè)等保持協(xié)調(diào)發(fā)展的關(guān)系.關(guān)鍵基礎(chǔ)設(shè)施內(nèi)部各分類設(shè)施系統(tǒng)之間聯(lián)系也非常緊密而協(xié)調(diào).例如如果排水設(shè)施不良或遇到雨水積水就會造成交通不暢，如果城市道路通暢就能提高城市的防火防災(zāi)能力，城市電話普及、通訊設(shè)備良好無疑也會減少交通流量，減輕城市道路壓力等.這三大特征盡管各國在“關(guān)鍵”的定義上存在差異，但總體上都把其癱瘓或遭到破壞會對一個國家的安全、經(jīng)濟和社會福祉產(chǎn)生削弱性影響的部門視為關(guān)鍵基礎(chǔ)設(shè)施部門[1].通常，基礎(chǔ)設(shè)施的某個成分因其在整個基礎(chǔ)設(shè)施系統(tǒng)中的戰(zhàn)略地位，尤其由于該基礎(chǔ)設(shè)施與其他基礎(chǔ)設(shè)施之間的相互依賴性而被定義為“關(guān)鍵”[2].歐盟委員會認定國家關(guān)鍵基礎(chǔ)設(shè)施時通常考慮3個因素：1)范圍.根據(jù)國家關(guān)鍵基礎(chǔ)設(shè)施要素的損失或停運所可能影響的地理區(qū)域(國際、全國、省州或地方)范圍,評估國家關(guān)鍵基礎(chǔ)設(shè)施要素的損失；2)量級.將影響或損失的程度劃分為“無”、“微小”、“中度”或“重大”等類別，評估事件潛在量級的尺度包括社會影響(受波及的公民數(shù)量、生命損失、疾病、嚴重傷害、疏散等)、經(jīng)濟影響(GDP效應(yīng)、經(jīng)濟損失和或產(chǎn)品或服務(wù)退化，相互依賴性與其他國家關(guān)鍵基礎(chǔ)設(shè)施要素)以及政治影響；3)時效.這一尺度確定什么時間點的要素損失有可能造成嚴重影響(如即刻、24～48h內(nèi)、1周內(nèi))④Communication from the Commission to the Council and the European Parliament Critical Infrastructure Protection in the Fight Against Terrorism[EB/OL]. [2015-03-02]. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=URISERV:l33259.

綜上，我們認為國家關(guān)鍵基礎(chǔ)設(shè)施是指那些遭到破壞后對國家安全、社會秩序、公共利益或公民、法人和其他組織的正常生產(chǎn)和生活造成嚴重影響的資產(chǎn)或系統(tǒng).我國在認定關(guān)鍵基礎(chǔ)設(shè)施時應(yīng)該考慮2個因素：第一，該基礎(chǔ)設(shè)施先天固有的重要特性，即該基礎(chǔ)設(shè)施是維護國家安全與公民正常生活的基礎(chǔ)保障；第二，后天環(huán)境賦予其具有重要特性，即是指該基礎(chǔ)設(shè)施在建成之后由于其發(fā)展使得其他基礎(chǔ)設(shè)施對它的依賴程度逐漸加強，重要程度顯現(xiàn)出來.目前，可以按照國發(fā)2012年23號文《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》中的有關(guān)規(guī)定，將國家各級黨政機關(guān)，銀行、保險、證券等金融部門，郵政、電信、廣播、電視部門，電力、熱力、燃氣、煤炭、油料等能源單位，航空、航天等尖端科技企業(yè)和研究單位，鐵路、公路、水運、海運等交通運輸部門，水利及水源供給部門，醫(yī)療、消防、緊急救援等社會應(yīng)急服務(wù)部門，重要物資儲備單位，國家、地方經(jīng)濟建設(shè)的重點工程建設(shè)單位納入關(guān)鍵基礎(chǔ)設(shè)施的保護范圍.

2 關(guān)鍵基礎(chǔ)設(shè)施保護立法的法律定位——安全保障法

2.1 關(guān)鍵基礎(chǔ)設(shè)施保護立法與《國家安全法》

國家安全是任何國家存在與發(fā)展的基本前提和根本保障.與原來的國家安全法不同，新的《國家安全法》不再局限于反間諜工作，而一部國家安全領(lǐng)域的綜合性法律旨在界定并保護國家安全.《國家安全法》規(guī)定要“實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”，突顯了立法對關(guān)鍵基礎(chǔ)設(shè)施保護“安全與可控”的重視.從立法宗旨看，《國家安全法》旨在維護國家安全與保障人民的根本利益，是一部關(guān)切基礎(chǔ)性與全局性安全的綜合性立法，保護關(guān)鍵基礎(chǔ)設(shè)施的信息安全是國家安全保障的應(yīng)有之義.而關(guān)鍵基礎(chǔ)設(shè)施保護立法宗旨應(yīng)以加強其信息安全保護為立法軸心，在立法內(nèi)容上應(yīng)規(guī)制關(guān)鍵基礎(chǔ)設(shè)施立項、建設(shè)、運行、使用、支持和維護等過程中保障計算機信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的活動.從立法位階看，關(guān)鍵基礎(chǔ)設(shè)施保護立法應(yīng)該定位為《國家安全法》的下位法，應(yīng)遵循上位法優(yōu)于下位法的基本原則.

2.2 關(guān)鍵基礎(chǔ)設(shè)施保護立法與《網(wǎng)絡(luò)安全法》(草案)

2015年7月，《網(wǎng)絡(luò)安全法》(草案)在萬眾矚目下出臺，該草案明確了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的戰(zhàn)略地位和價值.草案第三章第二節(jié)對于關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障用了較多的篇幅去規(guī)制，涵蓋了涉及國家安全、經(jīng)濟安全和保障民生等領(lǐng)域，具體范圍包括基礎(chǔ)信息網(wǎng)絡(luò)、重要行業(yè)和領(lǐng)域的重要信息系統(tǒng)、軍事網(wǎng)絡(luò)、重要政務(wù)網(wǎng)絡(luò)、用戶數(shù)量眾多的商業(yè)網(wǎng)絡(luò)等.盡管草案中所規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施與關(guān)鍵基礎(chǔ)設(shè)施在內(nèi)涵上并不完全一致，但兩者在多數(shù)情況下已可以混用.《網(wǎng)絡(luò)安全法》應(yīng)調(diào)整一般網(wǎng)絡(luò)用戶、網(wǎng)站運營人、網(wǎng)絡(luò)運營商、網(wǎng)絡(luò)主管部門、網(wǎng)絡(luò)設(shè)備生產(chǎn)者、網(wǎng)絡(luò)行業(yè)組織者之間在網(wǎng)絡(luò)空間安全保障中的權(quán)利與義務(wù)關(guān)系.而關(guān)鍵基礎(chǔ)設(shè)施保護立法的調(diào)整范圍應(yīng)包括國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護主管部門、國家關(guān)鍵基礎(chǔ)設(shè)施的行業(yè)主管部門、運營單位和各級地方政府在實施國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護工作的過程中所產(chǎn)生的各種社會關(guān)系，應(yīng)突出對信息安全事件的監(jiān)測和預(yù)警，在國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的報告、應(yīng)急處置、控制等各個環(huán)節(jié)，貫穿“預(yù)防為主”這條主線，防止信息安全事件擴散.從立法定位看，網(wǎng)絡(luò)安全法是網(wǎng)絡(luò)空間的基本法，協(xié)調(diào)與平衡國家安全、社會穩(wěn)定、產(chǎn)業(yè)發(fā)展及個人隱私是網(wǎng)絡(luò)安全法的基本價值訴求.隨著網(wǎng)絡(luò)安全法律體系的成熟與健全，關(guān)鍵基礎(chǔ)設(shè)施保護立法將成為網(wǎng)絡(luò)安全立法體系的有機組成部分.

2.3 關(guān)鍵基礎(chǔ)設(shè)施保護立法與信息安全等級保護制度

信息安全等級保護制度是國家信息安全保障的基本制度.自1994 年《中華人民共和國計算機信息系統(tǒng)安全保護條例》頒布以來，國家就在積極探索我國信息安全等級保護的思路、方法、途徑.從立法目標看，信息安全等級保護制度的核心觀念是保護重點、適度安全，即分級別、按需要重點保護“重要信息系統(tǒng)”.而關(guān)鍵基礎(chǔ)設(shè)施保護立法在于有效應(yīng)對自然災(zāi)害、人為事故、蓄意攻擊等諸多信息安全風險，政府的目標是要將這種安全風險給國家造成的影響最小化，最重要的是要有行動協(xié)調(diào)且訓練有素的快速反應(yīng)能力，并建立一套完整的監(jiān)測、評估、應(yīng)急響應(yīng)體系.關(guān)鍵基礎(chǔ)設(shè)施保護立法應(yīng)突出國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護、監(jiān)測和預(yù)警、應(yīng)急處置與恢復(fù)、監(jiān)督管理以及保障措施等制度.從防護思路看，信息安全等級保護主要是從如何保護重要信息系統(tǒng)免受不同程度威脅侵害的角度出發(fā)，因此各種保護措施主要圍繞信息系統(tǒng)的“防護”展開，如身份鑒別、訪問控制等安全機制，即通過不同層面的縱深防護達到保護信息系統(tǒng)的目的.而關(guān)鍵基礎(chǔ)設(shè)施保護立法的核心思想不僅包括“防護”，而是仍繞圍繞著 “防護—檢測—響應(yīng)”的全面防護思想.

2.4 關(guān)鍵基礎(chǔ)設(shè)施保護法是保障法

保障能力是信息安全法律體系的邏輯起點與靈魂，也是判斷法律實施效果的標準[3].關(guān)鍵基礎(chǔ)設(shè)施保護立法是網(wǎng)絡(luò)安全立法的有機組成部分.關(guān)鍵基礎(chǔ)設(shè)施保護法應(yīng)定位為安全保障法，即保障關(guān)鍵基礎(chǔ)設(shè)施功能實現(xiàn)、持續(xù)化穩(wěn)定運營，完整性地發(fā)現(xiàn)、消除和恢復(fù)信息安全威脅和風險的法律.從立法形式上應(yīng)是實體性法律規(guī)范與程序性法律規(guī)范的結(jié)合，以更好地發(fā)揮關(guān)鍵基礎(chǔ)設(shè)施安全保障法的作用.具體而言，關(guān)鍵基礎(chǔ)設(shè)施保護法應(yīng)具有以下特點：

第一，對信息安全威脅和風險的“發(fā)現(xiàn)”應(yīng)含有偵查、預(yù)警及供應(yīng)鏈安全審查.對信息安全威脅和風險的“發(fā)現(xiàn)”是指對信息安全事件的監(jiān)測、通報與預(yù)警.隨著關(guān)鍵基礎(chǔ)設(shè)施之間的連通性不斷增強，對潛在信息安全威脅與風險的實時監(jiān)測、準確識別、及時通報、有效預(yù)警可極大提升我們對關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護能力，防止信息安全事件的擴散.我們認為“發(fā)現(xiàn)” 階段應(yīng)包括必要的偵查、預(yù)警及IT供應(yīng)鏈安全審查.必要的偵查是指偵查機關(guān)自行直接執(zhí)法與通信機構(gòu)協(xié)助執(zhí)法的有機結(jié)合；預(yù)警是指國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護主管機構(gòu)根據(jù)信息安全事件的發(fā)生、擴散趨勢的預(yù)測，及時向相關(guān)國家關(guān)鍵基礎(chǔ)設(shè)施運營單位及其主管部門發(fā)出緊急信號，報告危險情況，以避免信息安全事件發(fā)生或者擴散；關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)鏈安全審查是指根據(jù)國際和國內(nèi)相關(guān)安全標準，對IT供應(yīng)鏈的安全產(chǎn)品的性能、研發(fā)過程、程序、步驟、方法、產(chǎn)品的交付方法等進行全方位審查，以確保IT供應(yīng)鏈關(guān)鍵節(jié)點的安全性與完整性，提升我國對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的可控性.

第二，對信息安全威脅和風險的“消除”應(yīng)當包含對網(wǎng)絡(luò)攻擊的懲治.網(wǎng)絡(luò)攻擊具有匿名性、跨國性和非對城性特征，是各國關(guān)鍵基礎(chǔ)設(shè)施面臨的最主要的信息安全威脅之一.近年來，網(wǎng)絡(luò)攻擊的數(shù)量增加、攻擊的范圍不斷擴大,攻擊以系統(tǒng)失靈、拒絕服務(wù)、欺騙偽裝、破壞或者盜取數(shù)據(jù)、物資失竊、傳輸延遲以及誤導式的服務(wù)體現(xiàn)出來.攻擊的損害后果可能被即使發(fā)現(xiàn)，也可能會在未來的某個時刻發(fā)生，并對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)系統(tǒng)帶來災(zāi)難性的影響.我們認為對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的“消除”也應(yīng)該包含對于網(wǎng)絡(luò)攻擊的懲治，應(yīng)通過立法方式明確攻擊關(guān)鍵基礎(chǔ)設(shè)施行為的性質(zhì)與責任承擔方式.

第三，對關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運行的“恢復(fù)” 應(yīng)當包括公眾對社會穩(wěn)定的信心.網(wǎng)絡(luò)攻擊的隱蔽性和力量的不對稱性使其先天就具備了恐怖主義的特質(zhì)[4].針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊不再僅僅是國家行為，而將成為恐怖組織播散恐怖、制造輿論的工具.針對關(guān)鍵基礎(chǔ)設(shè)施及工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊不僅會帶來潛在的大規(guī)模毀損和瞬間的財政損失，還將會使公眾的“安全感”遭受“攻擊”.文明社會依賴于公眾對社會穩(wěn)定性和持久性的信心，表現(xiàn)這種屬性的方式多種多樣，其最簡單的方式就是將公眾信心定義為普遍期待明天與今天沒有什么差別和各種事件都能為政府當局所預(yù)見，所控制①戰(zhàn)略脆弱性：信息時代基礎(chǔ)設(shè)施保護和國家安全(http://www.china.com.cn/military/txt/2010-04/09/content_19778737.htm).歷史經(jīng)驗告訴我們，一旦公眾對社會穩(wěn)定的信心遭到破壞，則社會秩序?qū)⑾萑牖靵y狀態(tài)，法律的威懾力與約束力也將形同虛設(shè).一旦關(guān)鍵基礎(chǔ)設(shè)施的使用性能與公眾對社會穩(wěn)定的信心同時成為首攻擊的目標，將對整個國家與民族帶來災(zāi)難性后果.可見，對關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運行的“恢復(fù)”不應(yīng)忽視公眾對社會穩(wěn)定的信心的恢復(fù).

3 我國關(guān)鍵基礎(chǔ)設(shè)施保護立法內(nèi)容思考—以信息安全保障為重心

3.1 強化關(guān)鍵基礎(chǔ)設(shè)施信息安全風險防控

針對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的預(yù)防和控制是關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的關(guān)鍵環(huán)節(jié)，應(yīng)積極探索事先的監(jiān)測預(yù)警與通報措施及事中應(yīng)急響處置與恢復(fù)應(yīng)急措施.

3.1.1 監(jiān)測通報與預(yù)警

我國《突發(fā)事件應(yīng)對法》中針對突發(fā)事件監(jiān)測通報與預(yù)警制度作出了具體的規(guī)定，總體上要求突發(fā)事件應(yīng)對工作實行預(yù)防為主、預(yù)防與應(yīng)急相結(jié)合的原則.《突發(fā)事件應(yīng)對法》中的突發(fā)事件監(jiān)測通報與預(yù)警制度的規(guī)范內(nèi)容框架基本可以適用于國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護，但是，由于其所適用的突發(fā)事件是指突然發(fā)生，造成或者可能造成嚴重社會危害，需要采取應(yīng)急處置措施予以應(yīng)對的自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生事件和社會安全事件，因此，針對國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護，在監(jiān)測通報與預(yù)警的組織管理機構(gòu)和采取的應(yīng)對措施上還應(yīng)當作出具體的規(guī)定.我們認為應(yīng)該包括以下幾個方面：

第一，確立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)測通報機制，明確關(guān)鍵基礎(chǔ)設(shè)施安全管理部門和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)主管部門的基本職責.第二，建立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的預(yù)警機制.國家關(guān)鍵基礎(chǔ)設(shè)施安全主管部門應(yīng)根據(jù)信息安全事件的發(fā)生、擴散趨勢的預(yù)測，及時向相關(guān)國家關(guān)鍵基礎(chǔ)設(shè)施運營單位及其主管部門發(fā)出國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件預(yù)警.按照事件發(fā)生的緊急程度、發(fā)展勢態(tài)和可能造成的危害程度分為一級、二級、三級和四級，分別用紅色、橙色、黃色和藍色標示.第三，建立國家關(guān)鍵基礎(chǔ)設(shè)施預(yù)警解除機制.國家關(guān)鍵基礎(chǔ)設(shè)施安全主管部門應(yīng)當根據(jù)事態(tài)的發(fā)展，按照有關(guān)規(guī)定適時調(diào)整預(yù)警級別并重新發(fā)布.有事實證明不可能發(fā)生信息安全事件或者危險已經(jīng)解除的，當立即宣布解除警報，終止預(yù)警期，并解除已經(jīng)采取的有關(guān)措施.

3.1.2 應(yīng)急處置與恢復(fù)

我國雖然沒有制定專門的國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件應(yīng)急法律制度，但在現(xiàn)行的法律中已有一些關(guān)于應(yīng)急法律規(guī)范的零散規(guī)定，如國務(wù)院147號令①國務(wù)院147號令第19條規(guī)定，公安部在緊急情況下，可以就涉及計算機信息安全的特定事項發(fā)布專項通令.、291號令②國務(wù)院291號令第53條規(guī)定，執(zhí)行特殊通信、應(yīng)急通信和搶修、搶險任務(wù)的電信車輛，經(jīng)公安交通管理機關(guān)批準，在保障交通安全暢通的前提下可以不受各種禁止機動車通行標志的限制.、第27號文③國務(wù)院第27號文中規(guī)定，國家和社會各方面都要充分重視信息安全應(yīng)急處理工作.要進一步完善國家信息安全應(yīng)急處理協(xié)調(diào)機制，建立健全指揮調(diào)度機制和信息安全通報制度，加強信息安全事件的緊急處置工作.各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性和災(zāi)難恢復(fù)，制定并不斷完善信息安全應(yīng)急處置預(yù)案.災(zāi)難備份建設(shè)要從實際出發(fā)，提倡資源共享、互為備份.要加強信息安全應(yīng)急支援服務(wù)隊伍建設(shè)，鼓勵社會力量參與災(zāi)難備份設(shè)施建設(shè)和提供技術(shù)服務(wù)，提高信息安全應(yīng)急響應(yīng)能力.中都有相關(guān)規(guī)定.行業(yè)內(nèi)部已經(jīng)有關(guān)于應(yīng)急響應(yīng)的相關(guān)規(guī)定.2007年頒布的《突發(fā)事件應(yīng)對法》根據(jù)社會危害程度和影響范圍的不同將突發(fā)事件分為特別重大、重大、較大和一般四級，確立了突發(fā)事件的預(yù)防與應(yīng)急準備制度，監(jiān)測與預(yù)警制度，應(yīng)急處置制度以及事后恢復(fù)與重建制度.此外，金融與通信行業(yè)內(nèi)部已經(jīng)有關(guān)于應(yīng)急響應(yīng)的規(guī)定④我國人民銀行于2002年出臺的《商業(yè)銀行內(nèi)部控制指引》和《關(guān)于加強銀行數(shù)據(jù)集中安全工作的指導意見》，對金融行業(yè)的應(yīng)急管理作出了具體的規(guī)定.信息產(chǎn)業(yè)部還要求國內(nèi)的10家骨干互聯(lián)網(wǎng)運營企業(yè)(包括6家電信運營商和4個公共信息網(wǎng))成立自己的應(yīng)急響應(yīng)中心..但我國網(wǎng)絡(luò)信息安全應(yīng)急制度中部門之間的協(xié)調(diào)缺乏法律保障、應(yīng)急執(zhí)法中責任的承擔仍然有待明確、應(yīng)急過程中信息共享機制缺乏.我們認為構(gòu)建國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件應(yīng)急處置與恢復(fù)制度應(yīng)當從以下幾個方面考慮：

第一，建立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的應(yīng)急處置基本制度.首先建立信息安全事件分級應(yīng)急處置、應(yīng)急協(xié)調(diào)處置制度制度.信息安全事件應(yīng)急處置的分級標準由國家關(guān)鍵基礎(chǔ)設(shè)施安全管理機構(gòu)會同有關(guān)部門制訂.國家關(guān)鍵基礎(chǔ)設(shè)施運營單位的行業(yè)主管部門應(yīng)當負責制定信息安全事件應(yīng)急處置預(yù)案，確定信息安全事件響應(yīng)、處置的范圍、程度以及處置措施等.第二，明確國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的應(yīng)急處置措施，包括信息安全事件的檢測、信息安全事件應(yīng)急預(yù)案的啟動以及特大、重大信息安全事件的緊急處置.第三，確立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的信息發(fā)布機制；國家關(guān)鍵基礎(chǔ)設(shè)施安全管理部門由國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護委員會向社會發(fā)布.有關(guān)打擊破壞國家關(guān)鍵基礎(chǔ)設(shè)施信息安全違法犯罪活動的信息由公安機關(guān)按照國家相關(guān)法律法規(guī)的規(guī)定向社會發(fā)布.第四，明確信息安全事件后國家關(guān)鍵基礎(chǔ)設(shè)施的恢復(fù)制度.國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件應(yīng)急處置工作結(jié)束后，國家關(guān)鍵基礎(chǔ)設(shè)施運營主管部門應(yīng)當立即組織對信息安全事件造成的損失進行評估，組織受影響國家關(guān)鍵基礎(chǔ)設(shè)施運營單位盡快恢復(fù)正常運營，制定恢復(fù)重建計劃，并向國家關(guān)鍵基礎(chǔ)設(shè)施安全主管部門報告.

3.2 提升關(guān)鍵基礎(chǔ)設(shè)施的技術(shù)保障能力、組織保障能力與執(zhí)法保障能力

除了根據(jù)關(guān)鍵基礎(chǔ)設(shè)施面臨的信息安全風險建立風險監(jiān)測通報與預(yù)警、應(yīng)急處置與恢復(fù)制度之外，為保障我國關(guān)鍵基礎(chǔ)設(shè)施的穩(wěn)定運營，還應(yīng)全面提升我國對關(guān)鍵基礎(chǔ)設(shè)施信息安全的保障能力，重視對我國關(guān)鍵基礎(chǔ)設(shè)施信息安全的技術(shù)保障能力、組織保障能力、執(zhí)法保障能力的建設(shè)與提升.

3.2.1 技術(shù)保障能力

技術(shù)保障能力是應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的核心要素.技術(shù)保障能力的提升應(yīng)包括：1)構(gòu)建兼有監(jiān)測、預(yù)警、響應(yīng)與恢復(fù)能力建設(shè)的信息安全技術(shù)防護體系，為我國關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的保護提供具體的技術(shù)指導方案.關(guān)鍵基礎(chǔ)設(shè)施的信息安全技術(shù)不是信息安全技術(shù)和產(chǎn)品的一次性簡單堆積，大量安全技術(shù)的堆積不僅會造成資源浪費，還會降低關(guān)鍵基礎(chǔ)設(shè)施技術(shù)系統(tǒng)抵御信息安全風險的能力.隨著關(guān)鍵基礎(chǔ)設(shè)施之間的連通性與依賴性不斷增強，我們應(yīng)從頂層設(shè)計的角度構(gòu)建具備監(jiān)測、預(yù)警、響應(yīng)和恢復(fù)能力的動態(tài)縱深防御體系框架，從攻擊、防范、檢測、控制、評估等角度構(gòu)建我國關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)安全防護體系.2)建立和完善國家信息安全審查制度，從宏觀戰(zhàn)略和微觀技術(shù)2個層面分別采取不同的措施.在技術(shù)層面應(yīng)開展信息技術(shù)產(chǎn)品和服務(wù)安全測評技術(shù)的研究，分析信息技術(shù)和產(chǎn)品的漏洞，制定相關(guān)的測評標準.對于進入政府機構(gòu)、交通、電力、金融等重要領(lǐng)域的產(chǎn)品需要建立更為全面、嚴苛的技術(shù)審查與企業(yè)背景審查.此外，應(yīng)建立關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域引入國外設(shè)備與項目的決策機制.3)強化對新興技術(shù)的安全防范.加大對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)等新興技術(shù)研發(fā)的資金投入，加強核心技術(shù)攻關(guān)，提高我國對新興技術(shù)的掌控能力，形成擁有自主知識產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條.4)增強我國網(wǎng)絡(luò)安全防御技術(shù)與反擊技術(shù)的研發(fā).在認為因素造成的信息安全事件面前，輿論譴責只是隔靴搔癢，外交的反擊更為重要.

3.2.2 組織保障能力

組織保障能力是應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的前提要素.組織保障能力的提升應(yīng)包括以下方面：1)完善信息安全人才培養(yǎng)體系.制定國家信息安全崗位和職責標準,完善信息安全人才培養(yǎng)和選拔渠道，制定信息安全人才儲備計劃，保障關(guān)鍵部門信息安全人才需求.2)加強信息安全防御力量建設(shè).建立成建制的網(wǎng)絡(luò)部隊，成立專門的網(wǎng)絡(luò)戰(zhàn)司令部，全面負責我國網(wǎng)絡(luò)空間的安全防御.3)加強公司的信息安全治理結(jié)構(gòu).公司是社會的主要組成部分，同時也是國家信息安全的最終受益者，因而這些實體對信息安全治理工作的積極主動參與，并將這一功能工作納入公司或組織的內(nèi)部管理活動中，將有助于在網(wǎng)絡(luò)時代更好地保護信息系統(tǒng)和強化我國本土安全.我國應(yīng)將公司的信息安全治理提升到法律義務(wù)層面，明確公司的組織機構(gòu)模型中不同主體的信息安全義務(wù).也就是說，除善良管理義務(wù)、忠實義務(wù)是現(xiàn)代公司治理結(jié)構(gòu)下董事、經(jīng)理對于公司的義務(wù)外，信息安全治理也應(yīng)成為公司治理結(jié)構(gòu)的重要組成部分，這也是網(wǎng)絡(luò)空間賦予公司董事、經(jīng)理對公司新的義務(wù)[5].

3.2.3 執(zhí)法保障能力

執(zhí)法保障能力是應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的有力后盾.執(zhí)法保障能力的提升應(yīng)包括：1)信息安全共享機制的建立.隨著網(wǎng)絡(luò)入侵和惡意攻擊的目標性和有效性不斷增強，政府或企業(yè)單方的治理能力凸顯不足，迫切需要依賴雙方通過信息共享、對話、建立伙伴關(guān)系等方式，共同參與網(wǎng)絡(luò)安全保障能力建設(shè)的，以相互協(xié)調(diào)網(wǎng)絡(luò)安全的風險識別、控制與防范活動. 網(wǎng)絡(luò)安全信息共享能夠在宏觀層面引導信息技術(shù)企業(yè)，特別是關(guān)鍵基礎(chǔ)設(shè)施運營企業(yè)快速識別所遭受網(wǎng)絡(luò)入侵和惡意攻擊的來源、特點等，及時共享預(yù)警和分析信息，降低突發(fā)網(wǎng)絡(luò)攻擊事件的爆發(fā)頻率，提高企業(yè)應(yīng)對網(wǎng)絡(luò)安全風險和威脅的綜合能力.2)通信協(xié)助執(zhí)法制度的建立.網(wǎng)絡(luò)安全風險與傳統(tǒng)的侵權(quán)風險不同，具有隱蔽性強、危害結(jié)果嚴重、影響范圍廣闊等特點，這使得對其偵查難度加大，偵查難度加大使得偵查機關(guān)由自行直接執(zhí)法轉(zhuǎn)向通信機構(gòu)協(xié)助執(zhí)法轉(zhuǎn)變的需求增加.通信協(xié)助執(zhí)法制度已成為歐美各國應(yīng)對網(wǎng)絡(luò)信息安全風險的一種重要的法律制度.目前中國對通信服務(wù)商要求的協(xié)助執(zhí)法只限于“針對違法犯罪活動進行的停止傳輸、保存和報告義務(wù)”.我們認為我國通信協(xié)助執(zhí)法制度是保障關(guān)鍵基礎(chǔ)設(shè)施信息安全的有力保障，我國應(yīng)明確協(xié)助執(zhí)法主體確定、義務(wù)，完善相關(guān)的技術(shù)標準和嚴格的程序，電信運營商協(xié)助執(zhí)法和執(zhí)法機關(guān)執(zhí)法時，都應(yīng)當共同遵守統(tǒng)一的技術(shù)標準，以平衡各種利益關(guān)系，減少對公民隱私權(quán)的侵犯.3)加強對數(shù)據(jù)存留的法律監(jiān)督.應(yīng)賦予公共通信網(wǎng)絡(luò)運營商的通信數(shù)據(jù)存留義務(wù)，以確保該類數(shù)據(jù)能夠用于協(xié)助重大犯罪的偵察和起訴.由于存留的數(shù)據(jù)涉及到公民的隱私，應(yīng)采取適當?shù)拇胧┍Ｗo該數(shù)據(jù)，以避免數(shù)據(jù)被意外或非法損毀，或未經(jīng)許可非法存留、處理、獲取、披露.除已經(jīng)獲取存留的數(shù)據(jù)外，其他數(shù)據(jù)應(yīng)該在屆滿存留期限后被銷毀.通過加強數(shù)據(jù)存留的法律監(jiān)督以同時滿足維護國家安全、公共利益與個人隱私保護的需求.

3.3 加強國際合作

隨著網(wǎng)絡(luò)空間的無限延伸，原有的安全孤島將不復(fù)存在，任何國家試圖在網(wǎng)絡(luò)空間謀求自身的絕對安全幾乎是不可能的，加強各國之間的合作.制定共同適用的國際規(guī)則、形成有效的國際合作機制是應(yīng)對信息安全問題的必然途徑.隨著各種網(wǎng)絡(luò)信息安全事件的出現(xiàn)，各國已更加清醒地意識到信息安全的重要性，也積極采取各種應(yīng)對措施和行動.斯諾登事件發(fā)生后，絕大多數(shù)國家對美國的網(wǎng)絡(luò)監(jiān)控、黑客攻擊等行為表示了擔憂.在此背景下，推動網(wǎng)絡(luò)信息安全方面的國際合作正面臨一個較好的契機.我們認為保障關(guān)鍵基礎(chǔ)設(shè)施的信息安全急需在以下方面展開合作：

第一，加強法律協(xié)調(diào)與司法合作.在對外合作時根據(jù)共同的威脅和合作需要，研究、比較和梳理合作方的相關(guān)國內(nèi)法，就相互矛盾之處在司法方面謀求妥協(xié)和共識，以共同制定雙邊及區(qū)域信息安全合作的國際法律基礎(chǔ).此外，應(yīng)加強合作方警備合作及司法協(xié)助方面的協(xié)調(diào)，推動執(zhí)法部門間簽署合作協(xié)定.尤其是要研究在該領(lǐng)域出現(xiàn)緊急情況時相關(guān)國家的協(xié)作途徑.

第二，明確運營商等非政府行為主體的協(xié)助執(zhí)法義務(wù).應(yīng)對網(wǎng)絡(luò)信息安全的嚴峻風險單靠政府的力量難以有效應(yīng)對現(xiàn)有的危機，因此各國政府開始考慮尋求相關(guān)單位和個人的協(xié)助，通過立法確定強制性的協(xié)助執(zhí)法義務(wù)——執(zhí)法機構(gòu)在進行偵查和刑事調(diào)查時，相關(guān)的單位和個人有義務(wù)提供執(zhí)法便利.具體而言，在國際、國內(nèi)有關(guān)網(wǎng)絡(luò)犯罪的調(diào)查中，它們也都可以協(xié)助收集、記錄并提交用戶信息、實時的往來數(shù)據(jù)和內(nèi)容數(shù)據(jù)，并對此負保密義務(wù).此外，還涉及數(shù)據(jù)保護、公開、搜集、扣押、截取等的規(guī)定.與國外通信協(xié)助執(zhí)法制度不同，中國目前通信服務(wù)提供商在執(zhí)法活動中的角色是“被動式”的，技術(shù)偵查手段專屬于偵查機關(guān).可見明確運營商等非政府行為主體的協(xié)助執(zhí)法義務(wù)對于推動我國關(guān)鍵基礎(chǔ)設(shè)施信息安全保障的國際合作具有重要的現(xiàn)實意義.

第三，加強應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施信息安全風險的國際演練.實施聯(lián)合網(wǎng)絡(luò)安全演習是網(wǎng)絡(luò)領(lǐng)域最高水平的合作方式，可全方位提升網(wǎng)絡(luò)危機事件的應(yīng)對能力，通過聯(lián)合網(wǎng)絡(luò)演習可識別出我國在關(guān)鍵基礎(chǔ)設(shè)施信息安全保障領(lǐng)域的薄弱環(huán)節(jié)，以及能夠進行國際合作的具體內(nèi)容，并將這些問題的應(yīng)對策略納入我國關(guān)鍵基礎(chǔ)設(shè)施信息安全保障的實施策略中.

4 總 結(jié)

我國關(guān)鍵基礎(chǔ)設(shè)施面臨著技術(shù)固有缺陷帶來的信息安全的威脅、信息技術(shù)的自主性不足引發(fā)的信息安全的威脅、病毒傳播與黑客攻擊等蓄意攻擊活動引發(fā)的信息安全的威脅.保障能力是信息安全法律體系的邏輯起點與靈魂，也是判斷法律實施效果的標準.我們認為關(guān)鍵基礎(chǔ)保護法應(yīng)當是一部綜合性的，跨領(lǐng)域的調(diào)整物理與信息融合的安全保障法.關(guān)鍵基礎(chǔ)設(shè)施保護立法需要明確其調(diào)整對象與立法的主要內(nèi)容.關(guān)鍵基礎(chǔ)設(shè)施在立法中應(yīng)以信息安全風險管控為思路、信息安全保障為重心來引導立法內(nèi)容的設(shè)置.此外，應(yīng)加強各國在關(guān)鍵基礎(chǔ)設(shè)施保護實踐中的合作，制定共同適用的國際規(guī)則，形成有效的國際合作機制.

[1]曲潔, 朱建平. 等級保護與關(guān)鍵基礎(chǔ)設(shè)施防護的融合研究[J]. 信息網(wǎng)絡(luò)安全, 2011(12): 84-88

[2]Dunn M, Wigert I. 關(guān)鍵信息基礎(chǔ)設(shè)施保護: 十四國安全保護政策陳述和分析[M]. 合肥: 中國科學技術(shù)大學出版社, 2007: 295-296

[3]馬民虎. 信息安全法律體系: 靈魂與重心[J]. 信息網(wǎng)絡(luò)與安全, 2007 (1): 13-15

[4]郎平. 網(wǎng)絡(luò)空間安全: 一項新的全球議程[J]. 國際安全研究, 2013 (1): 128-141

[5]馬民虎. 美國公司信息安全治理研究動態(tài)及憑薦[J]. 信息網(wǎng)絡(luò)安全, 2006 (10): 57-61

張 敏

博士研究生，主要研究方向為信息安全法律與政策.

fish_law@163.com

The Reflection of Legal Position and Content of Critical Infrastructure Protection Legislation in China

Zhang Min

(SchoolofLaw,Xi’anJiaotongUnivercity,Xi’an710049)

Critical infrastructure information security is the precondition of national security andthe normal operation of society. It also ensure the civic right to live and development .The paper proposed the concept of critical infrastructure, the identified standard, and tried to elucidate the relationship between the legislation of critical infrastructure legislation andNationalSecurityLaw,NetworkSecurityLaw(Draft) and Hierarchical protection system, then proposed the legal position of critical infrastructure protection legislation—security safeguard law.China’s critical infrastructure protection legislation should focus on information security safeguarding, the contents of the legislation not only incloud the information security risk prevention and control, but also the promotion of the technical, organization’s and law enforcement’s safeguard abilities and international cooperation on critical infrastructure protection.

critical infrastructure protection; critical infrastructure protection legislation; information security safeguard

2015-08-27

2015年國家社科基金項目(15BFX050);信息網(wǎng)絡(luò)安全公安部重點實驗室開放課題項目(C13604)

TP309