王　玥，馬民虎

(西安交通大學(xué) 法學(xué)院, 陜西 西安　710049)

?

【法學(xué)研究】

“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護研究

王玥，馬民虎

(西安交通大學(xué) 法學(xué)院, 陜西 西安710049)

在“互聯(lián)網(wǎng)+”時代,關(guān)鍵基礎(chǔ)設(shè)施的信息安全對維持社會正常運轉(zhuǎn),維護國家安全和社會穩(wěn)定,保障公眾實現(xiàn)生存權(quán)與發(fā)展權(quán)至關(guān)重要。而關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護的立場和路徑與一國的基本國情密切相關(guān),但是也應(yīng)當(dāng)包含預(yù)防為主、協(xié)調(diào)統(tǒng)一與合作共享的基本共識。我國現(xiàn)行法律制度無法適應(yīng)“互聯(lián)網(wǎng)+”時代的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護需求,在法律理念和具體制度設(shè)計上存在諸多不足,亟待加強頂層設(shè)計,通過專項立法的方式,推動“互聯(lián)網(wǎng)+”時代的關(guān)鍵基礎(chǔ)設(shè)施法律保護。

互聯(lián)網(wǎng)+;關(guān)鍵基礎(chǔ)設(shè)施;信息安全;法律保護

我國目前正在積極推進“互聯(lián)網(wǎng)+”行動計劃[1],其本質(zhì)是互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的跨界融合進而達到驅(qū)動創(chuàng)新、產(chǎn)業(yè)結(jié)構(gòu)重塑和經(jīng)濟轉(zhuǎn)型,我國關(guān)鍵基礎(chǔ)設(shè)施與互聯(lián)網(wǎng)的深度融合已成為必然趨勢。然而,在促使關(guān)鍵基礎(chǔ)設(shè)施更高效、更有彈性、更可靠的同時[2](P137-145),互聯(lián)網(wǎng)本身的脆弱性與關(guān)鍵基礎(chǔ)設(shè)施持續(xù)運轉(zhuǎn)的需求卻可能存在尖銳矛盾[3]。在“互聯(lián)網(wǎng)+”時代,關(guān)鍵基礎(chǔ)設(shè)施的信息安全可能存在嚴重的風(fēng)險隱患,危及整個國家的正常運轉(zhuǎn)。當(dāng)前,借鑒域外經(jīng)驗,分析我國關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的現(xiàn)狀及不足,開展全面涵蓋“互聯(lián)網(wǎng)+”時代的關(guān)鍵基礎(chǔ)設(shè)施法律保護的戰(zhàn)略需求、法律理念和原則、具體法律保護對策等內(nèi)容的體系化研究,是我國當(dāng)前網(wǎng)絡(luò)與信息安全法治建設(shè)的一項重要使命。

一、我國“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護的戰(zhàn)略需求

“互聯(lián)網(wǎng)+”是移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新一代信息技術(shù)廣泛應(yīng)用于傳統(tǒng)的經(jīng)濟與社會生活各部門并深度融合的過程[4](P32-38)。 “互聯(lián)網(wǎng)+”已經(jīng)成為一項國家戰(zhàn)略,將逐步滲透到我國各個領(lǐng)域的發(fā)展當(dāng)中。關(guān)鍵基礎(chǔ)設(shè)施則指那些“遭到破壞后會對國家安全、社會穩(wěn)定、公共利益或者公民、法人和其他組織的正常生產(chǎn)和生活造成嚴重影響的資產(chǎn)或系統(tǒng)”[5]](P53-54)。關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護則是要確保關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或者惡意行為的能力,確保所存儲或傳輸?shù)臄?shù)據(jù)不受這些事件和行為的影響,并確保經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供服務(wù)的可用性、真實性、完整性和保密性。“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全的法律保護則是我國一項戰(zhàn)略需求：

第一,關(guān)鍵基礎(chǔ)設(shè)施信息安全是維持“互聯(lián)網(wǎng)+”時代社會正常運轉(zhuǎn)的基礎(chǔ)。關(guān)鍵基礎(chǔ)設(shè)施最顯著的特征是具有公共服務(wù)職能,其服務(wù)涵蓋國家的社會生產(chǎn)與公民生活的基本需求。關(guān)鍵基礎(chǔ)設(shè)施同時服務(wù)于物質(zhì)生產(chǎn)和居民生活,在“互聯(lián)網(wǎng)+”時代,隨著各項基礎(chǔ)設(shè)施通過互聯(lián)網(wǎng)等新一代信息技術(shù)的聯(lián)通,二者更加緊密結(jié)合,難以截然分開。由于目前新一代信息技術(shù)處于高速發(fā)展階段,技術(shù)遠未成熟,客觀上存在很多難以克服的技術(shù)漏洞和安全缺陷,關(guān)鍵基礎(chǔ)設(shè)施的信息系統(tǒng)可能暴露出極大的安全隱患,威脅社會正常運轉(zhuǎn)。

第二,對關(guān)鍵基礎(chǔ)設(shè)施的信息安全提供法律保護是“互聯(lián)網(wǎng)+”時代維護國家安全和社會穩(wěn)定的現(xiàn)實需要。關(guān)鍵基礎(chǔ)設(shè)施是現(xiàn)代化社會的核心部門,是國家安全和社會穩(wěn)定得以維系的最重要保障。隨著“互聯(lián)網(wǎng)+”行動的不斷深入,將關(guān)鍵基礎(chǔ)設(shè)施內(nèi)部的各個組成部分聯(lián)結(jié)在一起,而且增強了不同關(guān)鍵基礎(chǔ)設(shè)施部門之間的依賴性。例如,“震網(wǎng)”病毒等攻擊事件的出現(xiàn)，更為信息安全風(fēng)險正在向各個關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域蔓延敲響了警鐘?？梢?關(guān)鍵基礎(chǔ)設(shè)施信息安全事件一旦發(fā)生,就會對國家安全和社會穩(wěn)定造成災(zāi)難性的后果。

第三, 關(guān)鍵基礎(chǔ)設(shè)施信息安全是“互聯(lián)網(wǎng)+”時代公眾實現(xiàn)生存權(quán)與發(fā)展權(quán)的基本保障。 “互聯(lián)網(wǎng)+”時代,關(guān)鍵基礎(chǔ)設(shè)施的信息安全與社會公眾的生活息息相關(guān),社會公眾對于金融、電力、通訊、應(yīng)急服務(wù)、能源、醫(yī)療服務(wù)、交通、供水等基礎(chǔ)設(shè)施的依賴性要強于以往任何一個時代，任何關(guān)鍵基礎(chǔ)設(shè)施因面臨信息安全問題而無法正常運轉(zhuǎn)時,個人的生存權(quán)與發(fā)展權(quán)無疑將受到威脅。

第四,對關(guān)鍵基礎(chǔ)設(shè)施進行法律保護是順應(yīng)國際形勢的必要舉措。從世界范圍來看,隨著關(guān)鍵基礎(chǔ)設(shè)施在國家安全、社會民生、經(jīng)濟發(fā)展和政府事務(wù)中的基礎(chǔ)性作用日益凸顯[6]](P4-5),美國、德國、巴西、法國、印度等國家均制定了與本國國情相適應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護法律政策。

第五,“互聯(lián)網(wǎng)+”時代我國具有以立法增強對關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的迫切需要。盡管十八屆三中全會提出確保國家安全的戰(zhàn)略與舉措[7],然而,我國目前卻面臨著信息化程度和水平較低而信息安全風(fēng)險與世界同步[8]](P57-63)、復(fù)雜的國內(nèi)外環(huán)境與 “互聯(lián)網(wǎng)+”行動建設(shè)背景下的特殊信息安全問題。因此,我國具有對關(guān)鍵基礎(chǔ)設(shè)施信息安全進行法律保護的重大需求。

綜上所述,“互聯(lián)網(wǎng)+”時代的到來,使得這些互相存有依賴性的關(guān)鍵基礎(chǔ)設(shè)施正面臨一些共同的信息安全風(fēng)險,因此存在統(tǒng)一協(xié)調(diào)、規(guī)范其信息安全防護的戰(zhàn)略需求,迫切需要對關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護進行通盤考慮和頂層設(shè)計的相關(guān)研究。

二、“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護的域外經(jīng)驗

盡管“互聯(lián)網(wǎng)+”是一個我國獨創(chuàng)的概念,但是關(guān)鍵基礎(chǔ)設(shè)施與新一代信息技術(shù)的深度跨界融合的實踐卻已經(jīng)在全球范圍內(nèi)廣泛開展，使其法律保護呈現(xiàn)出多元化的趨勢。從目前各國和地區(qū)的立法實踐來看,需要對各國和地區(qū)的信息安全立法狀況和關(guān)鍵基礎(chǔ)設(shè)施保護狀況進行通盤分析,透析關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護的基本原理,并為我國關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護提供可借鑒的制度設(shè)計。

(一)美國:協(xié)同發(fā)展型

作為世界上互聯(lián)網(wǎng)技術(shù)最為先進且應(yīng)用最為廣泛的國家,從1998年以來,美國通過持續(xù)發(fā)布戰(zhàn)略、立法、計劃、行政令、總統(tǒng)令等一系列制度已逐步形成一套較為完善的關(guān)鍵基礎(chǔ)設(shè)施保護制度體系[9]](P3-6)，具體內(nèi)容涉及關(guān)鍵基礎(chǔ)設(shè)施的界定和脆弱性評估、保護和協(xié)調(diào)機構(gòu)設(shè)置及其職能、信息安全保護、監(jiān)測預(yù)警、信息共享、應(yīng)急響應(yīng)等方面。美國的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護整體呈現(xiàn)出保護對象不斷發(fā)展進化、強調(diào)公私部門之間的協(xié)作與信息共享的特征,是“協(xié)同發(fā)展型”的保護體系。美國對于關(guān)鍵基礎(chǔ)設(shè)施的法律保護范圍根據(jù)社會發(fā)展和安全形勢而逐漸擴大,從克林頓政府時期的8類擴展到現(xiàn)在的16類*克林頓政府時期關(guān)鍵基礎(chǔ)設(shè)施部門主要包括：電信、電力系統(tǒng)、天然氣及石油的存儲和運輸、銀行和金融、交通運輸、供水系統(tǒng)、緊急服務(wù)、政府連續(xù)性等8類。奧巴馬政府確定了16類關(guān)鍵基礎(chǔ)設(shè)施部門：化學(xué)、商業(yè)設(shè)施、通信、關(guān)鍵制造、水利、國防工業(yè)基地、應(yīng)急服務(wù)、能源、金融服務(wù)、食品和農(nóng)業(yè)、政府設(shè)施、醫(yī)療保健和公共衛(wèi)生、信息技術(shù)、核反應(yīng)堆及材料和廢棄物、運輸系統(tǒng)、水及污水處理系統(tǒng)。[10]。在保護機制方面,美國重視多機構(gòu)參與的關(guān)鍵基礎(chǔ)設(shè)施管理工作的協(xié)調(diào),強化對于關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險的監(jiān)測預(yù)警和應(yīng)急響應(yīng),重視不同機構(gòu)之間的信息共享,以實現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施信息安全保護需求[11]](P17-23)。美國的關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護和協(xié)調(diào)的核心機構(gòu)是國土安全部基礎(chǔ)設(shè)施保護辦公室下設(shè)的國家基礎(chǔ)設(shè)施協(xié)調(diào)中心(NICC)和“國家網(wǎng)絡(luò)安全和通訊整合中心”(NCCIC)[12]](P35-41),并鼓勵私營部門自愿加入 “信息共享和分析組織”(ISAOs)與政府進行網(wǎng)絡(luò)威脅情報的信息共享。

(二)歐盟:風(fēng)險控制型

歐盟已經(jīng)建立了以“風(fēng)險”為核心防控對象, 以風(fēng)險進行事前評估預(yù)防和事中及時應(yīng)對為途徑, 以保障關(guān)鍵基礎(chǔ)設(shè)施持續(xù)運轉(zhuǎn)為目標(biāo)的“風(fēng)險控制型”關(guān)鍵基礎(chǔ)設(shè)施信息安全保護體系。 歐盟2005年頒布了《保護關(guān)鍵基礎(chǔ)設(shè)施的歐洲計劃》, 明確了11個關(guān)鍵基礎(chǔ)設(shè)施部門*具體包括:能源、信息和通信技術(shù)、水、食品、健康、金融系統(tǒng)、公共和法律秩序與安全、民事管理、交通、化學(xué)和核工業(yè)、太空和研究。， 力圖建立一個在遭遇恐怖主義襲擊時能夠優(yōu)先維持關(guān)鍵基礎(chǔ)設(shè)施持續(xù)運轉(zhuǎn)的保護計劃。 這一計劃鼓勵各成員國制定關(guān)鍵基礎(chǔ)設(shè)施保護政策, 并且提供了各成員國保護本國境內(nèi)關(guān)鍵基礎(chǔ)設(shè)施的具體方法: ①各成員國根據(jù)預(yù)設(shè)的國家標(biāo)準(zhǔn)確定關(guān)鍵基礎(chǔ)設(shè)施的保護對象, 在設(shè)立標(biāo)準(zhǔn)時應(yīng)當(dāng)至少考慮特定的基礎(chǔ)設(shè)施被中斷或破壞時的定性和定量影響; ②根據(jù)“失去或不可利用該基礎(chǔ)設(shè)施”導(dǎo)致地理區(qū)域產(chǎn)生的影響程度對關(guān)鍵基礎(chǔ)設(shè)施進行風(fēng)險評估; ③風(fēng)險評估的影響因素有: 公共影響、 經(jīng)濟影響、 環(huán)境影響、 政策影響、 心理影響以及公共健康影響。 如果成員國尚未制定這種標(biāo)準(zhǔn), 委員會將根據(jù)成員國的請求, 為其提供相關(guān)的方法策略, 幫助成員國建立標(biāo)準(zhǔn)[13](P51-60)]。 此外, 歐盟還對關(guān)鍵基礎(chǔ)設(shè)施信息安全保護作出了加強國際合作的特別規(guī)定。

(三)日本:政府主導(dǎo)型

日本的關(guān)鍵基礎(chǔ)設(shè)施保護體系呈現(xiàn)出“政府主導(dǎo)”的特色,強調(diào)政府與關(guān)鍵基礎(chǔ)設(shè)施運營部門之間的信息共享,以強化多部門的聯(lián)動,確保政府對其關(guān)鍵基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性。日本關(guān)鍵基礎(chǔ)設(shè)施保護的核心機構(gòu)是內(nèi)閣秘書處下設(shè)的信息安全政策中心和國家信息安全中心,其保護機制是以加強防護工程、技術(shù)操作、分析和響應(yīng)能力(CEPTOAR)為核心,并強調(diào)政府部門與關(guān)鍵基礎(chǔ)設(shè)施運營部門之間的信息共享。其主要制度是以鞏固政府關(guān)鍵基礎(chǔ)設(shè)施為核心,包含下列措施:①強化首席信息安全辦公室的職能;②增強和鞏固政府內(nèi)部安全運營合作工作組;③高效并持續(xù)改進政府機構(gòu)信息系統(tǒng)的信息安全措施;④在政府機構(gòu)內(nèi)部促進安全加密應(yīng)用;⑤確保云計算信息安全;⑥評估中央政府計算機系統(tǒng)信息安全措施的標(biāo)準(zhǔn);⑦在政府機構(gòu)的信息系統(tǒng)構(gòu)建能夠徹底實施信息安全措施的裝備;⑧為社會保險和稅務(wù)的常用數(shù)字系統(tǒng)確立適當(dāng)?shù)男畔踩雷o;⑨為地方政府和獨立行政機構(gòu)實施信息安全措施。此外,用以鞏固其他關(guān)鍵基礎(chǔ)設(shè)施的措施則包括:①強化信息共享系統(tǒng);②推動CEPTOAR委員會;③確定安全標(biāo)準(zhǔn);④改進關(guān)鍵基礎(chǔ)設(shè)施保護措施;⑤細化業(yè)務(wù)連續(xù)性計劃;⑥在關(guān)鍵基礎(chǔ)設(shè)施方面推動國際聯(lián)盟。

通過歸納、比較上述國家和地區(qū)的保護模式可知,目前國際上關(guān)于關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護的立場和路徑取決于該國家和地區(qū)的信息化狀況、法治現(xiàn)狀和安全觀等基本情況。但對于關(guān)鍵基礎(chǔ)設(shè)施信息安全保護也已達成一些基本共識:首先,安全觀從絕對安全轉(zhuǎn)向相對安全,認為絕對的安全不可能實現(xiàn),只能盡早發(fā)現(xiàn)風(fēng)險、隔離風(fēng)險、減小損失和應(yīng)急恢復(fù),盡最大可能保障關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)運轉(zhuǎn)。其次,建立關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的統(tǒng)一協(xié)調(diào)機構(gòu)。最后,通過深化公私部門合作的方式實現(xiàn)合作及信息共享。

三、我國“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的法律實踐

(一)保護現(xiàn)狀

目前，我國的關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護呈現(xiàn)多頭監(jiān)管的狀況:中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組(以下簡稱“網(wǎng)信部門”)是信息化推進、網(wǎng)絡(luò)信息安全協(xié)調(diào)的主管部門，工業(yè)和信息化部是信息化建設(shè)的主管部門,公安部是信息系統(tǒng)安全的主管部門,這三個部門是承擔(dān)我國關(guān)鍵基礎(chǔ)設(shè)施信息安全保護工作的主要機構(gòu),其職能側(cè)重于制定宏觀政策、提出措施建議、信息安全協(xié)調(diào)和監(jiān)督管理。而具體的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護工作還主要依靠各行業(yè)的主管機構(gòu),各自制定和監(jiān)督實施具體的信息安全保護辦法或條例。

在立法方面,我國現(xiàn)行法律法規(guī)并沒有直接對關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護作出規(guī)定,但是在我國各級立法機關(guān)制定發(fā)布的重要設(shè)施安全保護和信息安全立法中存在一定數(shù)量可適用于關(guān)鍵基礎(chǔ)設(shè)施信息安全的規(guī)定,這些法律法規(guī)橫跨刑事、民事、行政等多個領(lǐng)域,較為分散,尚未形成完整的法律體系。其中較為重要的立法包括:

1. 關(guān)鍵基礎(chǔ)設(shè)施保護的相關(guān)制度我國立法當(dāng)中沒有關(guān)鍵基礎(chǔ)設(shè)施的概念,因此,與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的主要立法是《企業(yè)事業(yè)單位內(nèi)部治安保衛(wèi)條例》(以下簡稱《內(nèi)保條例》),其中規(guī)定將關(guān)系全國或者所在地區(qū)國計民生、國家安全和公共安全的11類單位作為治安保衛(wèi)重點單位*包括廣播電臺、電視臺、通訊社等主要新聞單位;機場、港口、大型車站等重要交通樞紐;國防科技工業(yè)重要產(chǎn)品的研制、生產(chǎn)單位;電信、郵政、金融單位;大型能源動力設(shè)施、水利設(shè)施和城市水、電、燃氣、熱力供應(yīng)設(shè)施;大型物資儲備單位和大型商貿(mào)中心;教育、科研、醫(yī)療單位和大型文化、體育場所;博物館、檔案館和重點文物保護單位;研制、生產(chǎn)、銷售、儲存危險物品或者實驗、保藏傳染性菌種、毒種的單位;國家重點建設(shè)工程;其他需要重點保衛(wèi)的單位。，并規(guī)定各單位需要制定內(nèi)部治安保衛(wèi)制度、措施,建立必要的治安防范設(shè)施檢查監(jiān)督制度、隱患排查制度及應(yīng)急處置制度。在規(guī)制范圍上,《內(nèi)保條例》涵蓋范圍涉及關(guān)鍵基礎(chǔ)設(shè)施的大部分運營單位，但并未涉及對信息安全風(fēng)險防范的具體規(guī)定。

此外,為了貫徹《內(nèi)保條例》對重點單位的重點保護,不少行業(yè)針對某類重要基礎(chǔ)設(shè)施的保護作出了規(guī)定,包括《電力設(shè)施保護條例》《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》《水庫大壩安全管理條例》《石油天然氣管道保護條例》《廣播電視設(shè)施保護條例》等,對本行業(yè)內(nèi)的重要基礎(chǔ)設(shè)施保護作出了制度安排,但幾乎沒有涉及信息安全的相關(guān)內(nèi)容。

2. 信息安全保護的相關(guān)制度我國在信息安全保護領(lǐng)域的基本制度是等級保護制度,按照《計算機信息系統(tǒng)安全保護條例》的規(guī)定,其核心制度是將信息系統(tǒng)按標(biāo)準(zhǔn)分為五級并實施不同的保護標(biāo)準(zhǔn),逐級加大保護力度;對涉及國家事務(wù)、經(jīng)濟建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機信息系統(tǒng)的安全實施重點保護，保護范圍包括信息系統(tǒng)的設(shè)備安全、網(wǎng)絡(luò)安全、運行環(huán)境安全以及信息安全。2007年我國正式實施的《信息安全等級保護管理辦法》明確規(guī)定信息系統(tǒng)的等級劃分標(biāo)準(zhǔn)及其技術(shù)測評和風(fēng)險評估等內(nèi)容,為我國關(guān)鍵基礎(chǔ)設(shè)施信息安全保護立法提供了思路。

此外,為了保障各行業(yè)的信息安全管理,防范計算機信息技術(shù)風(fēng)險,各關(guān)鍵基礎(chǔ)設(shè)施行業(yè)相繼制定了相應(yīng)的內(nèi)部規(guī)范性文件,包括《工業(yè)和信息化部關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法(試行)》《國家安全監(jiān)管總局網(wǎng)絡(luò)運行和信息安全保密管理辦法》《中國人民銀行信息安全管理規(guī)定》等,對本行業(yè)內(nèi)的信息安全保護作出了具體規(guī)定。

上述行業(yè)內(nèi)部立法的制定與頒布,使得我國部分關(guān)鍵基礎(chǔ)設(shè)施信息安全保護工作有法可依,也為完善我國“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護工作積累了一定的立法經(jīng)驗。

3. 突發(fā)事件的監(jiān)測預(yù)警與應(yīng)急恢復(fù)相關(guān)制度2007年頒布的《突發(fā)事件應(yīng)對法》根據(jù)社會危害程度和影響范圍的不同將突發(fā)事件分為四級,具體規(guī)定了突發(fā)事件的預(yù)防與應(yīng)急準(zhǔn)備制度、監(jiān)測與預(yù)警制度、應(yīng)急處置制度以及事后恢復(fù)與重建制度。但是,《突發(fā)事件應(yīng)對法》主要適用于各種突然發(fā)生、并造成或者可能造成嚴重社會危害、需要采取應(yīng)急處置措施予以應(yīng)對的事件,沒有考慮到關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的特殊性,在具體的應(yīng)對措施上不能提供有效的指導(dǎo)。

(二)存在的問題

1.對“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的集中領(lǐng)導(dǎo)與統(tǒng)籌協(xié)調(diào)機制的需求缺乏回應(yīng)我國當(dāng)前關(guān)鍵基礎(chǔ)設(shè)施信息安全相關(guān)立法,確立了“信息安全立法+行業(yè)內(nèi)部立法”的多頭監(jiān)管且“條塊分割”的保護體系:電信、電力、供水、金融、醫(yī)療衛(wèi)生、交通運輸、應(yīng)急等相關(guān)主管部門都出臺了各自保護信息系統(tǒng)安全的規(guī)范性文件,保護模式、標(biāo)準(zhǔn)各異,缺乏協(xié)調(diào)和信息共享機制。關(guān)鍵基礎(chǔ)設(shè)施是一個有機的綜合系統(tǒng),這個系統(tǒng)內(nèi)部和外界環(huán)境之間均需協(xié)調(diào)一致,才能持續(xù)運轉(zhuǎn)。而在“條塊分割”的現(xiàn)狀下，缺乏對關(guān)鍵基礎(chǔ)設(shè)施保護的集中領(lǐng)導(dǎo)、統(tǒng)籌協(xié)調(diào)和信息共享機制,既不利于國家從整體上防控關(guān)鍵基礎(chǔ)設(shè)施的信息安全風(fēng)險,也不利于關(guān)鍵基礎(chǔ)設(shè)施遭受大規(guī)模攻擊后的集中應(yīng)急處置。

2. 缺乏對“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全特殊性的把握“互聯(lián)網(wǎng)+”時代,關(guān)鍵基礎(chǔ)設(shè)施部門之間的依賴性進一步增強,隨著信息化程度的加深,基礎(chǔ)設(shè)施的脆弱性進一步加強,使得關(guān)鍵基礎(chǔ)設(shè)施比傳統(tǒng)時代更容易受到攻擊和遠程控制。因此,在“互聯(lián)網(wǎng)+”時代,必須制定有針對性的專門保護制度,才能促進關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域新一代信息技術(shù)應(yīng)用的同時,切實保障關(guān)鍵基礎(chǔ)設(shè)施的信息安全。從我國目前的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護機制上看，普遍存在“輕預(yù)防”的現(xiàn)象,未制定統(tǒng)一的風(fēng)險評估標(biāo)準(zhǔn),多數(shù)關(guān)鍵基礎(chǔ)設(shè)施運營部門未能進行有效的脆弱性評估,同時又缺乏統(tǒng)一的安全計劃與指南,無法確定需要加強安全評估并予以重點保護的關(guān)鍵環(huán)節(jié),關(guān)鍵基礎(chǔ)設(shè)施的信息安全存在極大隱患。

3. 立法缺乏系統(tǒng)性我國現(xiàn)行立法中并未形成對關(guān)鍵基礎(chǔ)設(shè)施信息安全的有效保護體系,缺乏符合“互聯(lián)網(wǎng)+”時代的保護理念與原則,制度之間缺乏有效銜接,可能導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險的發(fā)生。具體來說,我國沒有明確關(guān)鍵基礎(chǔ)設(shè)施的概念和保護范圍，缺乏統(tǒng)一的信息安全保護機構(gòu),對于關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的監(jiān)測和預(yù)警能力較弱,信息安全保護能力參差不齊,應(yīng)急措施不完備,無法對關(guān)鍵基礎(chǔ)設(shè)施部門突發(fā)的信息安全事件進行有效的應(yīng)急處置,缺乏對控制、應(yīng)急、減災(zāi)、恢復(fù)能力的統(tǒng)一有效監(jiān)管,對關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的財政和科研支持等制度也沒有涉及。

四、完善我國“互聯(lián)網(wǎng)+”時代關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的法律對策

盡管我國已經(jīng)對關(guān)鍵基礎(chǔ)設(shè)施信息安全問題有所認識,但是現(xiàn)行立法從保護理念原則和具體制度構(gòu)建上都無法適應(yīng)“互聯(lián)網(wǎng)+”時代我國關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護的需求，因此，應(yīng)借鑒域外的相關(guān)經(jīng)驗，在革新立法理念和原則的基礎(chǔ)上,制定在國家基本法律層面上的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護法。

(一)立法理念與原則

應(yīng)當(dāng)通過立法的頂層設(shè)計貫徹 “確保安全”的立法理念[14],堅持“積極防御和綜合治理”“保安全促發(fā)展”和“預(yù)防為主與應(yīng)急響應(yīng)”三項立法原則,全面提高信息安全防護能力。

1.積極防御和綜合治理原則基于信息安全風(fēng)險“不可逆”的特點,在關(guān)鍵基礎(chǔ)設(shè)施信息安全保護立法中,從發(fā)現(xiàn)信息安全風(fēng)險、隔離風(fēng)險、降低和控制風(fēng)險的整個環(huán)節(jié)構(gòu)建一整套包括預(yù)警、監(jiān)測、響應(yīng)、控制以及應(yīng)急恢復(fù)等在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護立法體系。在關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)規(guī)劃、建設(shè)、投入運行使用的各個環(huán)節(jié)采取綜合治理的方式,明確每個參與者的信息安全管理責(zé)任,將網(wǎng)絡(luò)脆弱性引發(fā)的信息安全風(fēng)險降至最低程度，以更好地保障關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)正常運轉(zhuǎn)。

2.保安全促發(fā)展原則立法中應(yīng)當(dāng)更多地考慮安全的因素,但是,由于“互聯(lián)網(wǎng)+”計劃的目的通過將互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)深度融合,發(fā)揮互聯(lián)網(wǎng)的優(yōu)勢,進行產(chǎn)業(yè)升級,提升經(jīng)濟生產(chǎn)力并實現(xiàn)社會財富的增加[15]](P5-9),因此,在保障安全的同時,應(yīng)當(dāng)正確認識安全與發(fā)展之間的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全[16]](P74-80)，使關(guān)鍵基礎(chǔ)設(shè)施信息安全保護工作同經(jīng)濟建設(shè)和社會發(fā)展相協(xié)調(diào),以實現(xiàn)促進國家經(jīng)濟和社會正常發(fā)展的目的。

3.預(yù)防為主與應(yīng)急響應(yīng)原則必須強化對關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險的過程控制,圍繞“安全保護—監(jiān)測預(yù)警—應(yīng)急響應(yīng)”的防護理念，在關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的報告、應(yīng)急處置、控制等各個環(huán)節(jié)貫穿“防護”這條主線。突出對關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的監(jiān)測和預(yù)警,設(shè)立關(guān)鍵基礎(chǔ)設(shè)施信息安全事件監(jiān)測制度,提高監(jiān)測預(yù)警能力。針對不同等級的關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的特點,制定相應(yīng)的應(yīng)急處置和恢復(fù)措施。

(二)制度目標(biāo)

在“互聯(lián)網(wǎng)+”時代,如果關(guān)鍵基礎(chǔ)設(shè)施信息安全遭到破壞,將對國家安全、社會穩(wěn)定和公民生活秩序造成嚴重破壞,因此,應(yīng)當(dāng)將 “保證關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)運轉(zhuǎn)”作為關(guān)鍵基礎(chǔ)設(shè)施信息安全保護法律制度的核心目標(biāo)。

(三)保護范圍

基于對世界各國確定的關(guān)鍵基礎(chǔ)設(shè)施部門的分析,結(jié)合我國的實際情況可以得出,我國關(guān)鍵基礎(chǔ)設(shè)施部門應(yīng)當(dāng)包括：能源、金融、社會應(yīng)急和服務(wù)、醫(yī)療和社會保障、通信、政府服務(wù)、核設(shè)施、航空航天、先進制造、石油石化、油氣管網(wǎng)、電力、交通運輸、水利樞紐、城市設(shè)施、國防工業(yè)等部門。

(四)保護機構(gòu)及機制

國家應(yīng)當(dāng)在網(wǎng)信部門內(nèi)成立關(guān)鍵基礎(chǔ)設(shè)施信息安全保護委員會,指導(dǎo)、協(xié)調(diào)和監(jiān)督檢查關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護工作。工信、公安、安全、保密以及各關(guān)鍵基礎(chǔ)設(shè)施運營單位的行業(yè)主管部門,依法在其職權(quán)范圍內(nèi)對關(guān)鍵基礎(chǔ)設(shè)施信息安全實施監(jiān)督管理。省級人民政府制定本行政區(qū)域內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施信息安全保護規(guī)劃并組織實施,建立健全關(guān)鍵基礎(chǔ)設(shè)施信息安全事件預(yù)防、控制和監(jiān)督管理體系。

(五)具體制度

1.安全保護制度明確關(guān)鍵基礎(chǔ)設(shè)施信息安全保護對象的認定標(biāo)準(zhǔn)和程序,建立關(guān)鍵基礎(chǔ)設(shè)施信息安全保護對象清單,評估其依賴性和脆弱性,規(guī)定關(guān)鍵基礎(chǔ)設(shè)施運營單位、主管部門的信息安全保護職責(zé),分別建立關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的信息安全保護制度、運行中的信息安全保護制度、關(guān)鍵基礎(chǔ)設(shè)施信息安全測評制度,并建立首席信息安全官制度。

2.監(jiān)測預(yù)警制度設(shè)定關(guān)鍵基礎(chǔ)設(shè)施信息安全事件監(jiān)測制度,強化監(jiān)測預(yù)警能力的建設(shè);加強對關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的發(fā)現(xiàn),防止信息安全事件擴散;強化關(guān)鍵基礎(chǔ)設(shè)施運營單位主管部門在信息安全事件監(jiān)測方面的責(zé)任,并在監(jiān)測、預(yù)警、隔離、報告等各個環(huán)節(jié)防止信息安全事件的深化與擴大。

3.應(yīng)急處置制度在《突發(fā)事件應(yīng)對法》的框架下,針對不同等級的關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的特點,進一步完善應(yīng)急處置和恢復(fù)措施,并根據(jù)各類關(guān)鍵基礎(chǔ)設(shè)施運營單位及其有關(guān)主管部門的職責(zé)分工,分別規(guī)定應(yīng)急處置和恢復(fù)的各種措施,并建立事后的總結(jié)報告制度。

4.監(jiān)督管理制度通過對關(guān)鍵基礎(chǔ)設(shè)施運營單位、主管部門以及關(guān)鍵基礎(chǔ)設(shè)施信息安全保護委員會各自職責(zé)的規(guī)定,將行業(yè)主管與安全主管相分離,規(guī)范關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)督管理工作,防止出現(xiàn)監(jiān)管職責(zé)重疊或“監(jiān)管真空”。

5.保障促進制度為了保障關(guān)鍵基礎(chǔ)設(shè)施運營單位信息安全保護工作的順利進行,應(yīng)當(dāng)規(guī)定相關(guān)的保障措施,要求各級政府保障關(guān)鍵基礎(chǔ)設(shè)施信息安全保護工作的經(jīng)費、技術(shù)與物資儲備。具體制度設(shè)計應(yīng)當(dāng)包括以下內(nèi)容:第一,建立關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的技術(shù)能力與經(jīng)費保障制度;第二,建立針對關(guān)鍵基礎(chǔ)設(shè)施信息安全保護的科學(xué)研究和教學(xué)的支持計劃。

[1] 李克強.2015 年政府工作報告[N].人民日報，2015-03-17(1).

[2] ALCARAZN C, LOPEZ J. Analysis of Requirements for Critical Control Systems[J]. International Journal of Critical Infrastructure Protection，2012, 5(3-4).

[3] 美國通信行業(yè)協(xié)會.保障網(wǎng)絡(luò)安全:保障關(guān)鍵基礎(chǔ)設(shè)施和全球供應(yīng)鏈的建議[EB/OL].[2015-07-26]. http://www.usito.org/sites/default/files/tia-cybersecurity-white-paper-critical-infrastructure--global-supply-chain-chinese-201306.pdf.

[4] 寧家駿. “互聯(lián)網(wǎng)+”行動計劃的實施背景、內(nèi)涵及主要內(nèi)容[J].電子政務(wù)，2015,(6).

[5] COHEN F. What Makes Critical Infrastructures Critical [J]. International Journal of Critical Infrastructure Protection, 2010, (6).

[6] GEORGE R. Critical Infrastructure Protection[J]. International Journal of Critical Infrastructure Protection, 2008, (8).

[7] 中國共產(chǎn)黨第十八屆中央委員會第三次全體會議公報[N]. 人民日報,2013-11-13(1).

[8] 馬民虎. 網(wǎng)絡(luò)安全:法律的困惑與對策[J].中國人民公安大學(xué)學(xué)報：社會科學(xué)版, 2007, 23(1).

[9] 張莉.美國保護關(guān)鍵基礎(chǔ)設(shè)施安全政策分析[J].信息安全與技術(shù),2013,(7).

[10] THE WHITE HOUSE. Critical Infrastructure Security and Resilience[EB/OL].[2015-10-28]: http://www.whitehouse.gov/the-press-office/2013/02/12/presidential-policydirective-critical-infrastructure-security-and-resil.

[11] 王玥,方婷,馬民虎,美國關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)測預(yù)警機制演進與啟示[J].情報雜志，2016,35 (1).

[12] 袁春陽,杜躍進,周威.美國政府《國家網(wǎng)絡(luò)應(yīng)急響應(yīng)計劃》及其借鑒意義[J].保密科學(xué)技術(shù)，2012,(5).

[13] ADAM M， LEWIS, DAVID WARD. European Reference Network for Critical Infrastructure Protection [J]. International Journal of Critical Infrastructure Protection, 2013，(2).

[14] 中共中央關(guān)于全面深化改革若干重大問題的決定[N]. 人民日報, 2013-11-16(1).

[15] 黃楚新,王丹. “互聯(lián)網(wǎng)+”意味著什么——對“互聯(lián)網(wǎng)+ ”的深層認識[J].新聞與寫作,2015，(5).

[16] 馬民虎,李江鴻.我國信息安全法的法理念探析[J].西安交通大學(xué)學(xué)報：社會科學(xué)版, 2007, 27(3).

[責(zé)任編輯霍麗]

Study on Legal Protection of Critical Infrastructure Information Security in the “Internet+” Era

WANG Yue, MA Min-hu

(School of Law, Xi′an Jiaotong University, Xi′an 710049, China)

In the “Internet+” era, CI information security protection is crucial to the normal operation of our society, national security and human rights. Legal protection of CI information security is one of China′s strategic demands. Meanwhile, according to international legislative experience, the best legislative mode of CI information security should be chosen under China′s own situation, while with the concern to some international common practice, including prevention first, coordination and information sharing. With a complicated information security situation in “Internet+” era, regulations on information security protection is general and scattered and inadequate in regulation on CI, so CI information security legislation is in great need.

Internet+; critical infrastructure; information security; legal protection

2015-12-08

國家社科基金重大項目(15ZDA047)；國家社科基金青年項目(14CFX030)；陜西省社科基金項目(13F060)；陜西省軟科學(xué)項目(2014KRM73)

王玥,女,陜西西安人,博士,西安交通大學(xué)副教授，主要從事信息安全法、基因法研究。

D922.1

ADOI：10.16152/j.cnki.xdxbsk.2016-05-024