祝高峰

（桂林電子科技大學(xué) 法學(xué)院/知識(shí)產(chǎn)權(quán)學(xué)院，廣西 桂林 541004）

引言

數(shù)智經(jīng)濟(jì)時(shí)代是數(shù)字經(jīng)濟(jì)更深層次的發(fā)展階段，即數(shù)字經(jīng)濟(jì)與人工智能的深度結(jié)合應(yīng)用時(shí)代，也可以概括為“數(shù)字經(jīng)濟(jì)+算法”的時(shí)代。伴隨著算法的深度應(yīng)用，數(shù)據(jù)洪流急劇涌向社會(huì)各個(gè)層面和領(lǐng)域，如何規(guī)制網(wǎng)絡(luò)空間中的數(shù)據(jù)信息安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)安全，保障重要數(shù)據(jù)安全，是各國(guó)所面臨的緊迫又亟待解決的問(wèn)題。早期的關(guān)鍵基礎(chǔ)設(shè)施更多地應(yīng)當(dāng)是指物理空間中的關(guān)鍵基礎(chǔ)設(shè)施，但是隨著網(wǎng)絡(luò)空間的不斷擴(kuò)展和延伸，各國(guó)都更多的關(guān)注于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全，這也使得關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施之間的邊界變得越發(fā)模糊。在歐盟、澳大利亞、日本等國(guó)家，兩者的概念經(jīng)?；ハ嘟诲e(cuò)使用。關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)逐漸與關(guān)鍵基礎(chǔ)設(shè)施的邊界趨同。國(guó)際社會(huì)中，國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施也通常用于泛指那些需要進(jìn)行網(wǎng)絡(luò)安全保障的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施[1]。“CI”（Critical Infrastructure，關(guān)鍵基礎(chǔ)設(shè)施）一詞在20世紀(jì)90年代之前不存在，對(duì)CIP（Critical Infrastructure Protection，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）的最早定義出現(xiàn)在1997年。然后，從1997年到2003年，對(duì)CI部門(mén)的確定從8個(gè)擴(kuò)大到13個(gè)部門(mén)加上5個(gè)關(guān)鍵資產(chǎn)（Key Assets），再次擴(kuò)展到18個(gè)部門(mén)和關(guān)鍵資源（Key Resources），然后在2013年合并為16個(gè)CIKR（Critical Infrastructure and Key Resources）部門(mén)[2]。文章論述中如無(wú)特殊說(shuō)明主要采用“關(guān)鍵信息基礎(chǔ)設(shè)施”的表達(dá)，以便與我國(guó)《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》中的表達(dá)保持一致。

一、重要數(shù)據(jù)安全保護(hù)面臨的困境

（一）重要數(shù)據(jù)相關(guān)基本問(wèn)題未能厘清

重要數(shù)據(jù)術(shù)語(yǔ)界定散見(jiàn)于不同規(guī)定之中，但是都比較分散且無(wú)具體的說(shuō)明。2017年4月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱《評(píng)估辦法》），在《評(píng)估辦法》第17條①《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第17條中，將重要數(shù)據(jù)規(guī)定為：“重要數(shù)據(jù)，是指與國(guó)家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國(guó)家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南?！敝凶隽烁爬ㄐ缘囊?guī)定。2017年5月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織起草了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（草案）》［以下簡(jiǎn)稱《評(píng)估指南》（草案）］在征求意見(jiàn)稿中也做了基本的規(guī)定。在2017年8月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》［以下簡(jiǎn)稱《評(píng)估指南》（征求意見(jiàn)稿）］中對(duì)重要數(shù)據(jù)的規(guī)定②《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》中3.5部分指出：“重要數(shù)據(jù)相關(guān)組織、機(jī)構(gòu)和個(gè)人在境內(nèi)收集、產(chǎn)生的不涉及國(guó)家秘密，但與國(guó)家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)（包括原始數(shù)據(jù)和衍生數(shù)據(jù)）”，經(jīng)政府信息公開(kāi)渠道合法公開(kāi)的，不再屬于重要數(shù)據(jù)。具體范圍參照附錄A重要數(shù)據(jù)識(shí)別指南部分內(nèi)容。進(jìn)行了例外的解釋，《評(píng)估指南》（征求意見(jiàn)稿）雖然對(duì)重要數(shù)據(jù)進(jìn)行了更進(jìn)一步的規(guī)定，但是不論從《評(píng)估指南》（征求意見(jiàn)稿）中對(duì)重要數(shù)據(jù)的規(guī)定還是在《評(píng)估指南》（草案）、《評(píng)估辦法》的規(guī)定中，都不能找到重要數(shù)據(jù)的明確界定，從《評(píng)估指南》（征求意見(jiàn)稿）中來(lái)看，目前有關(guān)重要數(shù)據(jù)規(guī)定對(duì)應(yīng)的領(lǐng)域則主要體現(xiàn)在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域。重要數(shù)據(jù)應(yīng)當(dāng)主要是指關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)財(cái)產(chǎn)資源，其有別于個(gè)人信息資源，這就是《評(píng)估辦法》里面為什么沒(méi)有提及個(gè)人信息也是屬于法律上的重要數(shù)據(jù)范圍的原因，兩者本質(zhì)上具有不同的法律屬性。

當(dāng)下有關(guān)重要數(shù)據(jù)的范疇既包括了個(gè)人信息、隱私數(shù)據(jù)，又包括商業(yè)信息、經(jīng)營(yíng)管理數(shù)據(jù)信息等。一句話，重要數(shù)據(jù)的內(nèi)容幾乎囊括了數(shù)據(jù)信息的各個(gè)綜合方面。如果重要數(shù)據(jù)的概念、內(nèi)涵以及法律屬性不能明確的界定，那么對(duì)重要數(shù)據(jù)的規(guī)制必然缺失法理基礎(chǔ)。

（二）重要數(shù)據(jù)安全面臨的挑戰(zhàn)與危機(jī)

1.來(lái)自網(wǎng)絡(luò)入侵的威脅

物理空間的基礎(chǔ)設(shè)施與信息系統(tǒng)的融合程度不斷加深，在全球化融合的態(tài)勢(shì)下，重要數(shù)據(jù)安全在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域正受到前所未有的網(wǎng)絡(luò)威脅，主要威脅來(lái)自網(wǎng)絡(luò)恐怖主義、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)黑客、高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）等方面。2021年5月7日，美國(guó)最大輸油管道運(yùn)營(yíng)商Colonial Pipeline表示，該公司遭到了網(wǎng)絡(luò)攻擊，BBC援引多個(gè)信源報(bào)道稱，實(shí)施此次襲擊的是名為“黑暗面”（Dark Side）的網(wǎng)絡(luò)犯罪團(tuán)伙，通過(guò)對(duì)目標(biāo)系統(tǒng)植入惡意軟件，劫持了科洛尼爾管道運(yùn)輸公司將近100GB的數(shù)據(jù)[3]。此次網(wǎng)絡(luò)安全攻擊，讓美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施的脆弱性充分顯現(xiàn)。然而此事不久后，又發(fā)生了針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域重要數(shù)據(jù)安全進(jìn)行攻擊的網(wǎng)絡(luò)事件。2021年7月21日，據(jù)美聯(lián)社報(bào)道，全球最大石油公司沙特阿美的約1TB數(shù)據(jù)出現(xiàn)在暗網(wǎng)上。黑客表示，如果沙特阿美以加密貨幣支付5000萬(wàn)美元，就把數(shù)據(jù)刪除。此前黑客組織ZeroX聲稱這些被盜取的數(shù)據(jù)時(shí)間跨度達(dá)27年，包括員工信息、項(xiàng)目規(guī)范和分析報(bào)告等[4]。

重要數(shù)據(jù)的安全對(duì)任何一國(guó)來(lái)說(shuō)，其重要性都不言而喻，我國(guó)目前針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)安全保護(hù)能力仍較弱，面對(duì)重要數(shù)據(jù)安全來(lái)自互聯(lián)網(wǎng)的非法入侵、惡意攻擊等行為仍然缺乏必要和有效應(yīng)對(duì)處理機(jī)制，重要數(shù)據(jù)安全的風(fēng)險(xiǎn)抵御能力較弱，整個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)安全治理都相對(duì)緩慢，缺乏有效的法律保障機(jī)制，尤其在重要數(shù)據(jù)安全的監(jiān)測(cè)預(yù)警機(jī)制、重要數(shù)據(jù)安全面臨突發(fā)威脅應(yīng)急響應(yīng)機(jī)制、對(duì)重要數(shù)據(jù)的處置恢復(fù)能力等方面仍缺乏有效的法律制度保障。

2.網(wǎng)絡(luò)產(chǎn)品自身存在的安全隱患

對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)產(chǎn)品目前實(shí)現(xiàn)完全自主可控仍不現(xiàn)實(shí)，我國(guó)重要領(lǐng)域的重要數(shù)據(jù)安全存在極大的隱患，尤其在涉及政府、能源、通信、海關(guān)、金融、交通、醫(yī)療等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)產(chǎn)品仍主要依靠進(jìn)口，網(wǎng)絡(luò)產(chǎn)品自身安全性存在很大風(fēng)險(xiǎn)，必然也會(huì)危及到重要數(shù)據(jù)安全。網(wǎng)絡(luò)產(chǎn)品的涵蓋范圍也比較廣泛，既有硬件方面的產(chǎn)品，也有軟件方面的產(chǎn)品，對(duì)于網(wǎng)絡(luò)產(chǎn)品自身存在的安全隱患，如果全部做到監(jiān)管、排查也是不現(xiàn)實(shí)的，但是對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的涉及重要數(shù)據(jù)安全的網(wǎng)絡(luò)產(chǎn)品運(yùn)行和應(yīng)用，建立有效的重要數(shù)據(jù)安全檢測(cè)、評(píng)估、監(jiān)管等制度則是必要的。

3.重要數(shù)據(jù)具有極易遭受攻擊的屬性

重要數(shù)據(jù)安全不僅僅關(guān)系到政府、能源、通信、海關(guān)、金融、交通、醫(yī)療等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)資源安全，由于這些行業(yè)和領(lǐng)域都與各國(guó)的國(guó)家安全，社會(huì)穩(wěn)定緊密相連，因此，重要數(shù)據(jù)極易成為網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)間諜的攻擊目標(biāo)。大數(shù)據(jù)時(shí)代，數(shù)據(jù)的“爬取”能力也越來(lái)越強(qiáng)，僅僅通過(guò)技術(shù)層面對(duì)重要數(shù)據(jù)安全提供完善的保護(hù)，顯然是不夠的，在注重技術(shù)保護(hù)的同時(shí)，更應(yīng)當(dāng)設(shè)立有效的法律保障制度，從技術(shù)和制度上“雙管齊下”，才能為重要數(shù)據(jù)安全提供有效的保障。因此，針對(duì)重要數(shù)據(jù)安全極易受到威脅和攻擊的屬性，從法律層面規(guī)制重要數(shù)據(jù)安全不僅具有理論層面的意義，更具有現(xiàn)實(shí)的緊迫意義。

美國(guó)、歐盟等發(fā)達(dá)國(guó)家在網(wǎng)絡(luò)信息安全保護(hù)方面仍處于主導(dǎo)地位，美國(guó)網(wǎng)絡(luò)安全企業(yè)在技術(shù)創(chuàng)新方面的綜合實(shí)力仍處于遙遙領(lǐng)先的位置。2018年，美國(guó)有353家網(wǎng)絡(luò)安全企業(yè)上榜，約占據(jù)500強(qiáng)的71%，且在前10名中占據(jù)8個(gè)席位[5]。重要數(shù)據(jù)安全對(duì)各國(guó)的主權(quán)安全、政權(quán)安全、經(jīng)濟(jì)發(fā)展安全以及社會(huì)安全等方面都具有深刻的影響，各國(guó)都將不遺余力地保護(hù)本國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，維護(hù)本國(guó)的數(shù)據(jù)主權(quán)安全和重要數(shù)據(jù)安全。

二、重要數(shù)據(jù)安全法律保護(hù)的域外實(shí)踐模式

國(guó)外對(duì)重要數(shù)據(jù)安全的法律保護(hù)并未有明確的規(guī)定，對(duì)與重要數(shù)據(jù)安全相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域則采取了相應(yīng)的規(guī)定，這些規(guī)定主要體現(xiàn)在對(duì)整個(gè)關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的保護(hù)上、信息系統(tǒng)與物理設(shè)施同時(shí)進(jìn)行保護(hù)以及保障信息技術(shù)安全上。

（一）美國(guó)對(duì)關(guān)鍵基礎(chǔ)設(shè)施采取整體綜合保護(hù)的模式

早在1996年，克林頓政府第13010號(hào)行政令中就已經(jīng)對(duì)8類①關(guān)鍵基礎(chǔ)設(shè)施主要包括電信、電力系統(tǒng)、天然氣及石油的存儲(chǔ)和運(yùn)輸、銀行和金融、交通運(yùn)輸、供水系統(tǒng)、緊急服務(wù)（包括醫(yī)療，警察，消防，救援）、政府連續(xù)性等 8 類。張莉.美國(guó)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施法律分析及啟示[EB/OL].http：//www.xinhuanet.com//world/2015-07/24/c＿128056543.htm，2015-07-24.關(guān)鍵基礎(chǔ)設(shè)施定義了范圍。2002年美國(guó)《國(guó)土安全法》（Homeland Security Act of 2002）將關(guān)鍵資源（Key Resources）定義為“對(duì)經(jīng)濟(jì)和政府的最低限度運(yùn)行至關(guān)重要的公共或私人控制的資源”。有趣的是，這項(xiàng)法案并沒(méi)有提供任何關(guān)鍵資源的具體例子，而是主要強(qiáng)調(diào)了理解關(guān)鍵資源的性質(zhì)，包括風(fēng)險(xiǎn)、威脅和漏洞的重要性。在《國(guó)土安全法》頒布近一年后，美國(guó)總統(tǒng)提出了物理保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資產(chǎn)的國(guó)家戰(zhàn)略（National Strategy for the Physical Protection of Critical Infrastructures and Key Assets），該戰(zhàn)略引入了“關(guān)鍵資產(chǎn)”的概念。關(guān)鍵資產(chǎn)被定義為“單個(gè)目標(biāo)，其破壞不會(huì)危及重要系統(tǒng)，但可能造成局部災(zāi)難或嚴(yán)重?fù)p害我們國(guó)家的士氣或信心”。“關(guān)鍵基礎(chǔ)設(shè)施”“關(guān)鍵資源”和“關(guān)鍵資產(chǎn)”的概念包括物理、“硬”系統(tǒng)（如道路和高速公路），以及控制硬系統(tǒng)的“軟”系統(tǒng)，因此，在解決不同利益相關(guān)者時(shí)，“關(guān)鍵”和非關(guān)鍵系統(tǒng)之間的區(qū)別是困難的[6]。

2013年奧巴馬政府制定的《提高關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》出臺(tái)后，同時(shí)要求關(guān)鍵基礎(chǔ)設(shè)施要具有恢復(fù)力的文件也隨之出臺(tái)。2014年第一個(gè)全面指導(dǎo)性文件“關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架規(guī)范”出臺(tái)[7]。2019年5月15日，美國(guó)總統(tǒng)特朗普簽署《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全》行政令，要求禁止交易、使用可能對(duì)美國(guó)國(guó)家安全、外交政策和經(jīng)濟(jì)構(gòu)成特殊威脅的外國(guó)信息技術(shù)和服務(wù)[8]。美國(guó)規(guī)定關(guān)鍵基礎(chǔ)設(shè)施是指一旦喪失功能或遭到破壞，將對(duì)國(guó)家安全、經(jīng)濟(jì)安全、公共健康，對(duì)美國(guó)至關(guān)重要的實(shí)際或虛擬的系統(tǒng)和資產(chǎn)產(chǎn)生嚴(yán)重?fù)p害的設(shè)施。美國(guó)確定了10個(gè)②它們分別為：國(guó)土安全部門(mén)負(fù)責(zé)通信和信息技術(shù)、化工、關(guān)鍵制造、應(yīng)急服務(wù)、水利、核反應(yīng)堆及其材料和廢棄物、商業(yè)設(shè)施等7個(gè)行業(yè)；國(guó)土安全部和聯(lián)邦事務(wù)管理總局共同負(fù)責(zé)政府設(shè)施的安全保護(hù)；國(guó)土安全部和運(yùn)輸部共同負(fù)責(zé)運(yùn)輸系統(tǒng)；能源部負(fù)責(zé)能源行業(yè)；財(cái)政部負(fù)責(zé)金融服務(wù)行業(yè)；環(huán)境保護(hù)署負(fù)責(zé)水及污水處理系統(tǒng)；衛(wèi)生與公眾健康部負(fù)責(zé)醫(yī)療保健和公共衛(wèi)生行業(yè)；國(guó)防部負(fù)責(zé)國(guó)防工業(yè)；農(nóng)業(yè)農(nóng)村部和衛(wèi)生與公眾健康部共同負(fù)責(zé)食品和農(nóng)業(yè)。楊合慶.中華人民共和國(guó)網(wǎng)絡(luò)安全法釋義[M].北京：中國(guó)民主法制出版社，2017：89-91.聯(lián)邦主管部門(mén)負(fù)責(zé)行業(yè)內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作，通過(guò)此種部門(mén)分工負(fù)責(zé)的機(jī)制實(shí)現(xiàn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，不僅可以節(jié)省保護(hù)重要數(shù)據(jù)資源的成本，更加有利于實(shí)現(xiàn)重要數(shù)據(jù)的高效保護(hù)。

從美國(guó)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的立法保護(hù)中不難看出，美國(guó)對(duì)重要數(shù)據(jù)安全的保護(hù)，主要體現(xiàn)在其對(duì)整個(gè)關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的保護(hù)，而并未放在重要數(shù)據(jù)安全的保護(hù)規(guī)制上。美國(guó)定義的CI范圍比其他國(guó)家要廣，且會(huì)隨著社會(huì)的發(fā)展而不斷地進(jìn)行調(diào)整。

（二）英國(guó)設(shè)立國(guó)家基礎(chǔ)設(shè)施保護(hù)中心保護(hù)關(guān)鍵國(guó)家基礎(chǔ)設(shè)施

在英國(guó)，CNI（Critical National Infrastructure，關(guān)鍵國(guó)家基礎(chǔ)設(shè)施）由向國(guó)家提供不間斷基本服務(wù)的關(guān)鍵元素組成。沒(méi)有這些元素，基本服務(wù)就不能提供，英國(guó)將遭受嚴(yán)重的經(jīng)濟(jì)損害、巨大的社會(huì)破壞乃至嚴(yán)重的生命威脅[9]。其中有10個(gè)①它們分別是：通信（數(shù)字通信、固定語(yǔ)音通信、郵遞、政府信息、無(wú)線通信）；應(yīng)急服務(wù)（救護(hù)、消防和營(yíng)救、海上急救、警察）；能源（電力、天然氣、石油）；金融（資產(chǎn)管理、金融設(shè)施、投資銀行、市場(chǎng)、小額銀行）；食品（生產(chǎn)、進(jìn)口、加工、配送、零售）；政府和公共服務(wù)（中央政府、地區(qū)政府、地方政府、議會(huì)和立法機(jī)關(guān)、司法、國(guó)家安全）；公共安全（化學(xué)、生物、輻射和核［CBRN］恐怖襲擊；危及百姓生活的事件）；健康（醫(yī)療保健、公共衛(wèi)生）；交通（航空、海運(yùn)、鐵路、公路）；水處理（飲用水、污水）。北京江南天安科技有限公司.英國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)概述[J].信息網(wǎng)絡(luò)安全，2009（08）：33.領(lǐng)域被認(rèn)為是在提供“基本服務(wù)”。CIIP（Critical Information Infrastructure Protection，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)）的保護(hù)責(zé)任主要由內(nèi)政大臣承擔(dān)。CPNI（Centre for the Protection of National Infrastructure，國(guó)家基礎(chǔ)設(shè)施保護(hù)中心）建立于2007年2月1日，由NISCC（National Infrastructure Security Coordination Centre，國(guó)家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心）和NSAC（National Security Advice Centre，國(guó)家安全咨詢中心）合并而來(lái)。其主要功能之一就是發(fā)揮政府機(jī)構(gòu)在保護(hù)各CNI部門(mén)的工作中的協(xié)調(diào)作用。同時(shí)CPNI一直承擔(dān)著保護(hù)英國(guó)CNI免受物理和電子攻擊侵?jǐn)_的責(zé)任。CPNI負(fù)責(zé)向構(gòu)成了國(guó)家基礎(chǔ)設(shè)施的企業(yè)和機(jī)構(gòu)提供一體化（信息、人員和物理形式的結(jié)合）安全建議[10]。

英國(guó)將關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的行業(yè)、企業(yè)看成為一種“基本服務(wù)”，對(duì)重要數(shù)據(jù)安全的保護(hù)也主要是體現(xiàn)在其對(duì)物理設(shè)施的保護(hù)以及信息系統(tǒng)的保護(hù)上，也并未有對(duì)重要數(shù)據(jù)安全明確規(guī)定的法律。

（三）德國(guó)通過(guò)完善法律制度保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施

德國(guó)聯(lián)邦參議院于2015年7月10日，通過(guò)了新的《聯(lián)邦信息技術(shù)安全法》，其中對(duì)能源、信息與通信、交通運(yùn)輸、衛(wèi)生保健、供水、食品以及金融保險(xiǎn)等行業(yè)中被認(rèn)定為關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行重點(diǎn)保護(hù)。該法案從受保護(hù)資產(chǎn)的可用性、完整性、保密性和可靠性的角度，強(qiáng)化信息技術(shù)安全局的職能，以應(yīng)對(duì)信息技術(shù)系統(tǒng)面臨的現(xiàn)實(shí)和未來(lái)的威脅。新的《聯(lián)邦信息技術(shù)安全法》共有10個(gè)部分，堪稱系統(tǒng)完備的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度體系。明確了聯(lián)邦信息技術(shù)安全局作為國(guó)家信息安全主管機(jī)構(gòu)，除了原有的保障聯(lián)邦信息技術(shù)安全的職能外，它將作為個(gè)人、企業(yè)、行政機(jī)構(gòu)、政界之間有關(guān)信息技術(shù)安全對(duì)話溝通的主要職能部門(mén)。同時(shí)也明確了關(guān)鍵基礎(chǔ)設(shè)施的范圍[11]。為了進(jìn)一步提高網(wǎng)絡(luò)信息安全，德國(guó)聯(lián)邦政府于2020年12月16日通過(guò)了《信息技術(shù)安全法》的修訂草案，隸屬德國(guó)聯(lián)邦內(nèi)政部的聯(lián)邦信息安全辦公室的權(quán)限得到擴(kuò)大，除能源、供水等關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商外，將有更多企業(yè)需履行風(fēng)險(xiǎn)報(bào)告義務(wù)，如國(guó)防工業(yè)和其他對(duì)國(guó)民經(jīng)濟(jì)具有特別重要意義的企業(yè)等[12]。

（四）日本采取維護(hù)信息系統(tǒng)安全的方式保障關(guān)鍵基礎(chǔ)設(shè)施

2005年，日本國(guó)家信息安全中心制定并頒布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動(dòng)計(jì)劃》，其中對(duì)關(guān)鍵基礎(chǔ)設(shè)施的概念作出了明確的界定，即由提供高度不可代替且對(duì)人民社會(huì)生活和經(jīng)濟(jì)活動(dòng)不可或缺的服務(wù)的商業(yè)實(shí)體組成，如果其功能被暫停、削弱或根本無(wú)法運(yùn)行，人們的社會(huì)生活和經(jīng)濟(jì)活動(dòng)會(huì)遭受重大破壞。其中規(guī)定關(guān)鍵部門(mén)包括10類：電信、金融、民航、鐵路、電力、燃?xì)?、政?wù)、醫(yī)療、水利和物流。依照該行動(dòng)計(jì)劃，組成關(guān)鍵基礎(chǔ)設(shè)施重要部分的基本信息系統(tǒng)統(tǒng)稱為“關(guān)鍵信息系統(tǒng)”[13]。日本政府于2010年5月頒布《保護(hù)國(guó)家信息安全戰(zhàn)略》，并再次強(qiáng)調(diào)現(xiàn)有的信息安全政策，確保物聯(lián)網(wǎng)（IoT）設(shè)備安全、醫(yī)療和教育領(lǐng)域信息安全的必要性，并推廣加密甚至“匿名”隱私保護(hù)技術(shù)的使用。2013年6月，日本發(fā)布首個(gè)《網(wǎng)絡(luò)安全戰(zhàn)略》，首次明確提出“在國(guó)外，針對(duì)交通信號(hào)設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施（如控制系統(tǒng)）的網(wǎng)絡(luò)攻擊，其復(fù)雜性和復(fù)雜程度都令人懷疑政府組織參與其中”。2014年，日本出臺(tái)《網(wǎng)絡(luò)安全基本法》，首次對(duì)“網(wǎng)絡(luò)安全”一詞進(jìn)行法律界定，并明確規(guī)定了日本政府、地方當(dāng)局、關(guān)鍵信息基礎(chǔ)設(shè)施提供商、網(wǎng)絡(luò)相關(guān)企業(yè)經(jīng)營(yíng)者、教育/研究機(jī)構(gòu)等的相關(guān)職責(zé)[14]。從以上分析不難看出，日本主要是采取維護(hù)信息系統(tǒng)安全的方式保障關(guān)鍵基礎(chǔ)設(shè)施安全。

三、重要數(shù)據(jù)安全法律保障制度構(gòu)建

2019年5月，在2019中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上，2015年圖靈獎(jiǎng)獲得者、世界著名密碼技術(shù)與安全技術(shù)專家惠特菲爾德·迪菲說(shuō)，數(shù)據(jù)量越大，安全保障的重要性就越大，有太多案例已經(jīng)證明了這一點(diǎn)。5G、人工智能、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和云計(jì)算的協(xié)同融合，點(diǎn)燃了新的引擎，有數(shù)據(jù)安全才有數(shù)據(jù)未來(lái)[15]。由此可見(jiàn)，當(dāng)下數(shù)據(jù)安全的重要性已不言而喻，數(shù)據(jù)安全中的個(gè)人信息安全和重要數(shù)據(jù)安全更是重中之重。

（一）理論層面

1.重要數(shù)據(jù)的界定

不論是《評(píng)估辦法》對(duì)重要數(shù)據(jù)的一般性規(guī)定，還是2017年8月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在《評(píng)估指南》（征求意見(jiàn)稿）對(duì)重要數(shù)據(jù)的規(guī)定，都是更多地關(guān)注在重要數(shù)據(jù)的重要性層面上，在2017年8月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在《評(píng)估指南》（征求意見(jiàn)稿）中指出：“重要數(shù)據(jù)相關(guān)組織、機(jī)構(gòu)和個(gè)人在境內(nèi)收集、產(chǎn)生的不涉及國(guó)家秘密，但與國(guó)家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)（包括原始數(shù)據(jù)和衍生數(shù)據(jù)）”，經(jīng)政府信息公開(kāi)渠道合法公開(kāi)的，不再屬于重要數(shù)據(jù)。該條規(guī)定的重要數(shù)據(jù)應(yīng)當(dāng)滿足以下條件：（1）重要數(shù)據(jù)的搜集地域范圍限制在境內(nèi)；（2）重要數(shù)據(jù)來(lái)源主體的廣泛性；（3）不涉及國(guó)家秘密，同時(shí)也沒(méi)有經(jīng)過(guò)政府合法公開(kāi)過(guò)的重要數(shù)據(jù)；（4）收集和產(chǎn)生的重要數(shù)據(jù)還要與國(guó)家利益和公共利益密切相關(guān)。與此對(duì)應(yīng)的領(lǐng)域則主要體現(xiàn)在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域。重要數(shù)據(jù)應(yīng)當(dāng)主要是關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)財(cái)產(chǎn)資源，有別于個(gè)人信息資源，個(gè)人信息也是屬于法律上的重要數(shù)據(jù)資源范疇，但與特指的重要數(shù)據(jù)概念不同。

文章將重要數(shù)據(jù)界定為：重要數(shù)據(jù)是指面向境內(nèi)收集的不為一般公眾所知悉的也未經(jīng)合法公開(kāi)的與國(guó)家利益或者社會(huì)公共利益緊密相關(guān)的重要數(shù)據(jù)信息資源，該重要數(shù)據(jù)一旦遭受竊取、泄露或者非法公開(kāi)等將會(huì)給國(guó)家利益和社會(huì)公共利益造成重大損失，嚴(yán)重的會(huì)影響到國(guó)家安全。

2.重要數(shù)據(jù)的特征及法律屬性厘定

重要數(shù)據(jù)具有重要的價(jià)值，重要數(shù)據(jù)作為數(shù)據(jù)資源的一部分，應(yīng)當(dāng)與數(shù)據(jù)、信息的特征，尤其是法律意義上的數(shù)據(jù)、信息特征具有同質(zhì)性，即重要數(shù)據(jù)應(yīng)滿足數(shù)據(jù)、信息的法律特征。重要數(shù)據(jù)或者信息成為財(cái)產(chǎn)的理由主要包括以下方面：（1）重要數(shù)據(jù)信息資源的稀缺性，具有價(jià)值性；（2）重要數(shù)據(jù)信息資源的可控性，重要數(shù)據(jù)信息資源有具體的或者相對(duì)的管控人；（3）重要數(shù)據(jù)信息資源可以交易。主要存在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)當(dāng)然具有稀缺性及巨大的經(jīng)濟(jì)價(jià)值，同時(shí)不論是在官方機(jī)構(gòu)掌控的重要數(shù)據(jù)，還是由企業(yè)、甚至是個(gè)人掌控下的重要數(shù)據(jù)，都是可以控制的，重要數(shù)據(jù)達(dá)到一定條件可以交易，因此，重要數(shù)據(jù)的本質(zhì)屬性具有財(cái)產(chǎn)性，重要數(shù)據(jù)安全則屬于數(shù)據(jù)安全的一部分。

（二）制度層面

重要數(shù)據(jù)安全的法律保護(hù)，在有法理支撐的條件下，再對(duì)重要數(shù)據(jù)安全的法律保障制度進(jìn)行構(gòu)建則必事半功倍，重要數(shù)據(jù)安全法律保障機(jī)制的內(nèi)容應(yīng)當(dāng)包括以下主要方面。

1.建立重要數(shù)據(jù)安全綜合保障制度

（1）建立分類、分級(jí)的重要數(shù)據(jù)安全管理制度。梳理對(duì)標(biāo)《國(guó)家安全法》《網(wǎng)絡(luò)安全法》《評(píng)估辦法》以及《評(píng)估指南》（征求意見(jiàn)稿）等法律法規(guī)要求，建立重要數(shù)據(jù)安全分類、分級(jí)保護(hù)，重要數(shù)據(jù)安全預(yù)警以及重要數(shù)據(jù)對(duì)外提供使用報(bào)告等制度，健全完善關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域個(gè)人信息安全和重要數(shù)據(jù)數(shù)據(jù)安全生命周期安全管理制度；（2）完善重要數(shù)據(jù)識(shí)別標(biāo)準(zhǔn)體系。推動(dòng)出臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的《個(gè)人信息和重要數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》，加快完善關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系。盡快出臺(tái)行業(yè)重要數(shù)據(jù)識(shí)別指南、網(wǎng)絡(luò)重要數(shù)據(jù)安全防護(hù)等重點(diǎn)標(biāo)準(zhǔn)，遴選部分關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)或行業(yè)開(kāi)展貫標(biāo)試點(diǎn)，加快推動(dòng)網(wǎng)絡(luò)重要數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)制定工作；（3）建立重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制。出臺(tái)重要數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)，針對(duì)物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)新應(yīng)用帶來(lái)的重要數(shù)據(jù)安全問(wèn)題，及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估和監(jiān)測(cè)，積極推動(dòng)建立重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制；（4）建立重要數(shù)據(jù)安全出境的監(jiān)管審查制度。重要數(shù)據(jù)安全關(guān)系國(guó)家安全，重要數(shù)據(jù)所涵蓋的數(shù)據(jù)信息價(jià)值巨大，重要數(shù)據(jù)一旦泄露將會(huì)導(dǎo)致嚴(yán)重后果，因此應(yīng)建立重要數(shù)據(jù)安全出境的監(jiān)管審查制度。

2.實(shí)施重要數(shù)據(jù)資源“清單式”管理制度

對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開(kāi)展分門(mén)別類的重要數(shù)據(jù)資源調(diào)研摸底，依據(jù)重要數(shù)據(jù)的敏感程度和泄露濫用可能造成的危害，制定關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域重要數(shù)據(jù)安全保護(hù)目錄，并選取重點(diǎn)企業(yè)開(kāi)展試點(diǎn)應(yīng)用。同時(shí)建立試點(diǎn)企業(yè)內(nèi)部重要數(shù)據(jù)清單和重要數(shù)據(jù)分類、分級(jí)管理制度，對(duì)列入的重要數(shù)據(jù)實(shí)施重點(diǎn)保護(hù)。工作是艱辛復(fù)雜的，但是長(zhǎng)效來(lái)看是值得的。明確關(guān)鍵基礎(chǔ)實(shí)施領(lǐng)域重要數(shù)據(jù)安全的職能部門(mén)，設(shè)立重要數(shù)據(jù)安全管理責(zé)任部門(mén)和專職人員，承擔(dān)相關(guān)領(lǐng)域重要數(shù)據(jù)安全管理工作，明確各關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域內(nèi)部有重要數(shù)據(jù)安全的日志記錄、重要數(shù)據(jù)訪問(wèn)控制、重要數(shù)據(jù)加密、重要數(shù)據(jù)脫敏、重要數(shù)據(jù)容災(zāi)備份等重要數(shù)據(jù)安全的保護(hù)措施，組織開(kāi)展重要部門(mén)重要數(shù)據(jù)安全崗位人員相關(guān)的法律法規(guī)培訓(xùn)、知識(shí)技能等培訓(xùn)，落實(shí)重要數(shù)據(jù)安全事件報(bào)告、調(diào)查追責(zé)、向社會(huì)公告等要求。

3.加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域信息通信技術(shù)（ICT）供應(yīng)鏈的監(jiān)管

ICT供應(yīng)鏈安全應(yīng)從四個(gè)方面著手：針對(duì)關(guān)鍵軟硬件產(chǎn)品開(kāi)展安全審查，管控供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；統(tǒng)籌推進(jìn)開(kāi)源代碼安全檢測(cè)工作，提升對(duì)ICT供應(yīng)鏈安全威脅的檢測(cè)能力；督促供應(yīng)商營(yíng)造安全的供應(yīng)環(huán)境，強(qiáng)化對(duì)ICT供應(yīng)鏈網(wǎng)絡(luò)安全威脅的源頭管控；引導(dǎo)用戶企業(yè)加強(qiáng)安全管理，補(bǔ)齊ICT供應(yīng)鏈管理短板[16]。以上措施同樣也可以用于對(duì)重要數(shù)據(jù)安全的保護(hù)，統(tǒng)籌協(xié)調(diào)金融、電信、交通等行業(yè)主管部門(mén)，盡快啟動(dòng)針對(duì)關(guān)鍵軟硬件產(chǎn)品的網(wǎng)絡(luò)安全審查工作，對(duì)進(jìn)入我國(guó)重要行業(yè)、領(lǐng)域的關(guān)鍵軟硬件產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全審查。盡快制定出臺(tái)網(wǎng)絡(luò)安全審查、評(píng)估配套方面的標(biāo)準(zhǔn)規(guī)范，加快推廣實(shí)施ICT供應(yīng)鏈重要數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南、信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)系列國(guó)家標(biāo)準(zhǔn)，為開(kāi)展重要數(shù)據(jù)安全審查提供支撐。

四、結(jié)語(yǔ)

由于網(wǎng)絡(luò)空間數(shù)據(jù)信息自由流動(dòng)的原則以及數(shù)據(jù)跨境交易業(yè)已成為常態(tài)，結(jié)合互聯(lián)網(wǎng)的特性，重要數(shù)據(jù)安全的保障在國(guó)際層面需要各國(guó)共同努力構(gòu)建良好的網(wǎng)絡(luò)空間治理環(huán)境，保障重要數(shù)據(jù)的保密性、可用性、可控性和完整性，各個(gè)國(guó)家應(yīng)順應(yīng)時(shí)代潮流，在“領(lǐng)網(wǎng)”①“領(lǐng)網(wǎng)”是指國(guó)家基于網(wǎng)絡(luò)信息技術(shù)和信息基礎(chǔ)設(shè)施而架構(gòu)起來(lái)的網(wǎng)絡(luò)空間，國(guó)家對(duì)在“領(lǐng)網(wǎng)”內(nèi)的信息數(shù)據(jù)享有主權(quán)權(quán)力和權(quán)利。祝高峰.大數(shù)據(jù)時(shí)代國(guó)家信息主權(quán)的確立及其立法建議[J].江西社會(huì)科學(xué)，2016，36（07）：194.的范圍內(nèi)勇?lián)鷶?shù)據(jù)安全發(fā)展的責(zé)任，共迎重要數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)挑戰(zhàn)，共同推進(jìn)網(wǎng)絡(luò)空間重要數(shù)據(jù)安全的治理，努力推動(dòng)構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。重要數(shù)據(jù)安全是一個(gè)多維度的問(wèn)題，重要數(shù)據(jù)安全不僅關(guān)系到關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)安全，更會(huì)危及社會(huì)安全和國(guó)家安全，因此在明確數(shù)據(jù)主權(quán)的前提下，界定重要數(shù)據(jù)的概念，厘清重要數(shù)據(jù)的法律屬性，構(gòu)建重要數(shù)據(jù)安全的法律保障機(jī)制既是現(xiàn)實(shí)保護(hù)數(shù)據(jù)安全的要求，也是完善數(shù)據(jù)安全法律保障制度的要求。