我國關(guān)鍵基礎(chǔ)設(shè)施立法的基本思路和制度構(gòu)建

劉金瑞 中國法學(xué)會法律信息部助理研究員

各位領(lǐng)導(dǎo)、各位嘉賓，大家下午好。

????????隨著信息通信技術(shù)的革命性進展，交通、電力、電信、供水、金融及政府服務(wù)等基礎(chǔ)設(shè)施的運營越來越依靠網(wǎng)絡(luò)信息系統(tǒng)，人類的日常行為和生活越來越轉(zhuǎn)化成網(wǎng)絡(luò)空間的信息數(shù)據(jù)流。然而，網(wǎng)絡(luò)信息系統(tǒng)也極易因為攻擊而整個陷入癱瘓，其中的數(shù)據(jù)也極易被攔截、竊取和破壞，從而引發(fā)了網(wǎng)絡(luò)安全的問題。各國雖然界定不同，但基本強調(diào)網(wǎng)絡(luò)安全就是要確保網(wǎng)絡(luò)信息系統(tǒng)及其所存儲和傳輸?shù)臄?shù)據(jù)的安全，而關(guān)鍵基礎(chǔ)設(shè)施保護自然成為網(wǎng)絡(luò)安全立法的核心問題。在我國，網(wǎng)絡(luò)安全一般理解為系統(tǒng)安全和內(nèi)容安全兩個方面。

　　域外制度設(shè)計以美國為代表，美國的政策和立法基本經(jīng)歷了從國內(nèi)到國際，從政策到立法。其立法設(shè)想包括兩個方面：一是私有關(guān)鍵基礎(chǔ)設(shè)施的保護，二是網(wǎng)絡(luò)安全信息共享。之所以是私有關(guān)鍵基礎(chǔ)設(shè)施的保護，是因為美國已經(jīng)在行政系統(tǒng)內(nèi)部署“愛因斯坦”計劃應(yīng)對政府關(guān)鍵基礎(chǔ)設(shè)施的威脅，而對私有關(guān)鍵基礎(chǔ)設(shè)施，不能強制監(jiān)管，只能謀求其他解決方案。主要立法思路就是，要劃定關(guān)鍵基礎(chǔ)設(shè)施的范圍，并賦予這些設(shè)施以強制性的監(jiān)管方案和安全標準。對于網(wǎng)絡(luò)安全信息共享，主要立法思路是通過交換和共享安全信息，來預(yù)防和充分應(yīng)對網(wǎng)絡(luò)安全事件，以減少損害發(fā)生。這兩方面都設(shè)想只要私營企業(yè)遵守強制標準和進行信息共享，就規(guī)定豁免其因此可能承擔的法律責任。

　　美國立法只有在第二方面通過了CISA(網(wǎng)絡(luò)安全信息共享法)，第一方面的立法設(shè)想并未實現(xiàn)，起主要作用的是一系列政策和法令，制度框架梳理為以下五個方面：一是建立政府和行業(yè)的協(xié)作機制。確立不同的聯(lián)邦部門作為16種行業(yè)CI保護的領(lǐng)導(dǎo)部門，政府設(shè)“政府協(xié)作委員”，行業(yè)設(shè)“行業(yè)協(xié)作委員會”，行業(yè)協(xié)作委員會為國家保護計劃(NIPP)和行業(yè)保護計劃(SSP)制訂提供支持。2006年3月，國土安全部設(shè)立“關(guān)鍵基礎(chǔ)設(shè)施合作伙伴咨詢委員會”，這個委員會大部分會議和文件不向公眾公開，不公開的原因是只要保密才能確保安全。

　　二是制訂國家級保護計劃。從1996年克林頓13010號命令開始，一直強調(diào)制訂國家計劃，但直到2006年6月，小布什政府第一次正式公布國家關(guān)鍵基礎(chǔ)設(shè)施保護計劃，并制訂了特定行業(yè)計劃，這些計劃每四年更新一次。奧巴馬政府時期，計劃第二次更新，保留了之前基本的合作伙伴模式和風(fēng)險管理框架。

　　三是設(shè)立信息共享和分析中心。1998年克林頓63號總統(tǒng)指令規(guī)定FBI內(nèi)部“國家關(guān)鍵基礎(chǔ)設(shè)施保護中心”(NIPC)維持政府和私營部門之間的信息共享，與之相對，私營行業(yè)建立信息共享和分析中心(ISAC)，促成政府和私營行業(yè)之間的信息交換。不同于行業(yè)協(xié)作委員會，該中心是24小時、365天全天候運行，通報、分析和共享安全事件和威脅信息。雖然最初將ISAC設(shè)想成信息交換的主要渠道，之后還是發(fā)展出了一系列其他機制，例如美國計算機應(yīng)急中心(US-CERT)、國土安全信息網(wǎng)絡(luò)(HSIN)、關(guān)鍵基礎(chǔ)設(shè)施保護行政通知服務(wù)處等?！秶涟踩ā愤€規(guī)定要發(fā)展“信息共享和分析組織”(ISAO)，和ISAC是行業(yè)導(dǎo)向的不同，ISAO沒有這種要求。2014年，美國立法授權(quán)國土安全部設(shè)立國家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)，試圖協(xié)調(diào)整合這些情報交換渠道。

　　四是認定關(guān)鍵設(shè)施、評估漏洞風(fēng)險和確定優(yōu)先防護措施。由國土安全部國家保護和計劃司(NPPD)負責，其將關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)分為國內(nèi)或國外兩類，分別納入“國家關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先保護計劃”(NCIPP)和“關(guān)鍵海外依存行動計劃”(CFDI)，兩種計劃對應(yīng)了兩類秘密的列表。但政府對這些資產(chǎn)的所有者或運營者的建議不具有強制性。

　　五是制訂網(wǎng)絡(luò)安全框架。奧巴馬E.O. 13636及PPD-21要求要求過國家標準和技術(shù)研究院(NIST)負責制定網(wǎng)絡(luò)安全技術(shù)標準，領(lǐng)導(dǎo)研發(fā)減少關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險的“網(wǎng)絡(luò)安全框架”，側(cè)重行業(yè)最佳實踐，這是國土安全部“自愿的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全計劃”的基礎(chǔ)。NIST于2014年2月發(fā)布了1.0版的《網(wǎng)絡(luò)安全框架》，DHS鼓勵關(guān)鍵基礎(chǔ)設(shè)施列表上的企業(yè)采用上述“自愿保護計劃”，但不是強制性的。

　　對于關(guān)鍵基礎(chǔ)設(shè)施保護的基本思路，可以從它面臨的風(fēng)險入手進行制度設(shè)計，主要包括三個方面預(yù)防威脅、填補漏洞、應(yīng)對危害。根據(jù)這一思路，結(jié)合新通過的《網(wǎng)絡(luò)安全法》，匯報以下思考要點：一是從國家安全高度把握關(guān)鍵基礎(chǔ)設(shè)施范圍和立法。網(wǎng)安法從國家安全的高度明確了以CI保護為核心，相對于一審稿25條的定義(重要行業(yè)、公共服務(wù)、軍事、政務(wù)、用戶數(shù)量眾多)是重大進步，貫徹了習(xí)總書記4.19講話。重要的不一定是關(guān)鍵的，并不是所有信息系統(tǒng)等同保護。擴大理解“關(guān)鍵信息基礎(chǔ)設(shè)施”為“關(guān)鍵基礎(chǔ)設(shè)施”，網(wǎng)安法界定的關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)理解為不只限于保護信息產(chǎn)業(yè)的關(guān)鍵基礎(chǔ)設(shè)施，類似核電站等也需要保護。設(shè)計法律規(guī)范體系，避免重復(fù)規(guī)定，對于信息系統(tǒng)保護，網(wǎng)絡(luò)安全法的側(cè)重國家安全，刑法和其他法律側(cè)重公共安全。

　　二是堅持國內(nèi)經(jīng)驗總結(jié)與國外經(jīng)驗借鑒相結(jié)合原則。一方面，處理好關(guān)鍵基礎(chǔ)設(shè)施保護和信息安全等級保護的關(guān)系，明確對于關(guān)鍵基礎(chǔ)設(shè)施具體范圍，應(yīng)采用秘密清單制度。另一方面，對第四章規(guī)定的商榷意見。現(xiàn)在網(wǎng)安法的結(jié)構(gòu)是第3章 網(wǎng)絡(luò)運行安全+ 第4章 網(wǎng)絡(luò)信息安全，可我國對“網(wǎng)絡(luò)安全”的理解是系統(tǒng)安全(包括數(shù)據(jù)安全)+內(nèi)容安全，建議今后通過行政法規(guī)等充實第4章的規(guī)定，增加未成年人上網(wǎng)保護、網(wǎng)絡(luò)內(nèi)容管理(實名制、內(nèi)容分級制度)等。

　　三是設(shè)計監(jiān)管框架時區(qū)分一般和關(guān)鍵、公共和私營。一方面，區(qū)分一般信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施。將第3章第一節(jié)“一般規(guī)定”理解為“信息系統(tǒng)的一般保護” ，規(guī)定了適用于所有信息系統(tǒng)的運營者的義務(wù)(漏洞報告、協(xié)助執(zhí)法等)、監(jiān)管部門的權(quán)限。將第3章第二節(jié)理解為“關(guān)鍵基礎(chǔ)設(shè)施的特別保護”，對于第37條的適用，需要進一步探討：數(shù)據(jù)留存的目的到底是什么?一般和關(guān)鍵的區(qū)別?另一方面，區(qū)分公共部門和私營部門設(shè)計不同的監(jiān)管框架。借鑒美國《聯(lián)邦信息安全管理法》和愛因斯坦計劃的經(jīng)驗，政府部門應(yīng)該實行更為嚴格的保護。

　　四是監(jiān)管私營部門要貫徹安全與發(fā)展并重的原則。增加懲戒所示等不是目的，要確保企業(yè)有效遵守，就需要規(guī)定監(jiān)管標準的強制效力，未來條例應(yīng)予明確。現(xiàn)有的網(wǎng)絡(luò)安全信息共享規(guī)定過于簡單，第39條(三)“促進”，沒有具體負責機構(gòu)和實現(xiàn)機制，只有第30條規(guī)定對于企業(yè)的鼓勵還是不夠。

　　五是在相關(guān)條文擬定中為國際規(guī)則制定留下適當空間。一方面完善管轄權(quán)條款確認法律的域外效力。除了“屬地管轄權(quán)”之外，還要規(guī)定“屬人管轄權(quán)”、“保護管轄權(quán)”和“普遍管轄權(quán)”。二是原則上規(guī)定針對網(wǎng)絡(luò)攻擊的反制措施，網(wǎng)安法第75條已經(jīng)予以規(guī)定。