我國關鍵基礎設施保護立法定位與內容的思考

張 敏

(西安交通大學法學院 西安 710049)(fish_law@163.com)

?

我國關鍵基礎設施保護立法定位與內容的思考

張 敏

(西安交通大學法學院 西安 710049)(fish_law@163.com)

關鍵基礎設施信息安全保護是保障國家安全、社會正常運轉以及實現公民生存權和發展權的基本前提.提出關鍵基礎設施的基本概念、認定標準，試圖闡明關鍵基礎設施保護立法與《國家安全法》、《網絡安全法(草案)》、等級保護制度之間的關系，并提出了關鍵基礎設施立法的法律定位——安全保障法.我國關鍵基礎設施保護立法應以信息安全保障為重心，在立法內容的設定上即應著眼于對關鍵基礎設施信息安全風險的預防與控制，還應提升對關鍵基礎設施信息安全的技術保障能力、組織保障能力、執法保障能力，加強關鍵基礎設施保護的國際合作.

關鍵基礎設施；關鍵基礎設施保護立法； 信息安全保障

1 關鍵基礎設施的概念與認定

美國2001年《愛國者法案》認為，關鍵基礎設施(critical infrastructure， CI)是指關系到美國生死存亡的，無論是物理還是虛擬的系統和資產，這些系統和資產的功能喪失或遭到破壞會對國家安全、經濟穩定、國家公眾健康與安全或這些要素的任何結合產生嚴重影響.歐盟委員會于2004年發布的通告《打擊恐怖主義活動，加強關鍵基礎設施保護》中指出，關鍵基礎設施是指如果被破壞或摧毀，會對公民的健康、安全、穩定或經濟福祉或成員國政府的有效運轉造成嚴重影響的物理和信息技術設施、網絡、服務和資產.關鍵基礎設施橫跨經濟的諸多部門和重要政府服務.

我國的政策與立法實踐中未對關鍵基礎設施的概念給予明確的界定，但對關鍵基礎設施保護的實際工作卻一直存在.我們認為關鍵基礎設施具有服務職能的公共性①服務職能的“公共性”是指任何一項關鍵基礎設施都不是為特定部門、單位、企業或居民服務的，而是為國家所有政府部門、企業、其他組織和居民提供服務的，是為社會整體、為整個國家提供社會化服務.從服務對象上看，關鍵基礎設施既為物質生產服務，又為居民生活服務.兩者難以截然分開.、服務職能的關鍵性②服務職能的“關鍵性”是指關鍵基礎設施最顯著的特征.通常，某基礎設施的成分或整體被定義為“關鍵”是由該基礎設施在整體基礎設施系統中的戰略地位決定的，尤其是該基礎設施的成分或整體對其他基礎設施或部門起著鏈接渠道的作用.由于不同國家的傳統文化、地理、歷史、社會發展現狀以及社會政治因素的差異性，因此對關鍵基礎設施服務職能的“關鍵性”認識各異.、運轉的系統性和協調性③運轉的“系統性”和“協調性”是指關鍵基礎設施是一個有機的綜合系統，該系統在其內部以及同外界環境之間均需協調一致才能正常良好地運轉.關鍵基礎設施必須與城市國民經濟、人口規模、居民生活水平、城市規劃建設等保持協調發展的關系.關鍵基礎設施內部各分類設施系統之間聯系也非常緊密而協調.例如如果排水設施不良或遇到雨水積水就會造成交通不暢，如果城市道路通暢就能提高城市的防火防災能力，城市電話普及、通訊設備良好無疑也會減少交通流量，減輕城市道路壓力等.這三大特征盡管各國在“關鍵”的定義上存在差異，但總體上都把其癱瘓或遭到破壞會對一個國家的安全、經濟和社會福祉產生削弱性影響的部門視為關鍵基礎設施部門[1].通常，基礎設施的某個成分因其在整個基礎設施系統中的戰略地位，尤其由于該基礎設施與其他基礎設施之間的相互依賴性而被定義為“關鍵”[2].歐盟委員會認定國家關鍵基礎設施時通常考慮3個因素：1)范圍.根據國家關鍵基礎設施要素的損失或停運所可能影響的地理區域(國際、全國、省州或地方)范圍,評估國家關鍵基礎設施要素的損失；2)量級.將影響或損失的程度劃分為“無”、“微小”、“中度”或“重大”等類別，評估事件潛在量級的尺度包括社會影響(受波及的公民數量、生命損失、疾病、嚴重傷害、疏散等)、經濟影響(GDP效應、經濟損失和或產品或服務退化，相互依賴性與其他國家關鍵基礎設施要素)以及政治影響；3)時效.這一尺度確定什么時間點的要素損失有可能造成嚴重影響(如即刻、24～48h內、1周內)④Communication from the Commission to the Council and the European Parliament Critical Infrastructure Protection in the Fight Against Terrorism[EB/OL]. [2015-03-02]. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=URISERV:l33259.

綜上，我們認為國家關鍵基礎設施是指那些遭到破壞后對國家安全、社會秩序、公共利益或公民、法人和其他組織的正常生產和生活造成嚴重影響的資產或系統.我國在認定關鍵基礎設施時應該考慮2個因素：第一，該基礎設施先天固有的重要特性，即該基礎設施是維護國家安全與公民正常生活的基礎保障；第二，后天環境賦予其具有重要特性，即是指該基礎設施在建成之后由于其發展使得其他基礎設施對它的依賴程度逐漸加強，重要程度顯現出來.目前，可以按照國發2012年23號文《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》中的有關規定，將國家各級黨政機關，銀行、保險、證券等金融部門，郵政、電信、廣播、電視部門，電力、熱力、燃氣、煤炭、油料等能源單位，航空、航天等尖端科技企業和研究單位，鐵路、公路、水運、海運等交通運輸部門，水利及水源供給部門，醫療、消防、緊急救援等社會應急服務部門，重要物資儲備單位，國家、地方經濟建設的重點工程建設單位納入關鍵基礎設施的保護范圍.

2 關鍵基礎設施保護立法的法律定位——安全保障法

2.1 關鍵基礎設施保護立法與《國家安全法》

國家安全是任何國家存在與發展的基本前提和根本保障.與原來的國家安全法不同，新的《國家安全法》不再局限于反間諜工作，而一部國家安全領域的綜合性法律旨在界定并保護國家安全.《國家安全法》規定要“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”，突顯了立法對關鍵基礎設施保護“安全與可控”的重視.從立法宗旨看，《國家安全法》旨在維護國家安全與保障人民的根本利益，是一部關切基礎性與全局性安全的綜合性立法，保護關鍵基礎設施的信息安全是國家安全保障的應有之義.而關鍵基礎設施保護立法宗旨應以加強其信息安全保護為立法軸心，在立法內容上應規制關鍵基礎設施立項、建設、運行、使用、支持和維護等過程中保障計算機信息及其相關系統、環境、網絡和操作安全的活動.從立法位階看，關鍵基礎設施保護立法應該定位為《國家安全法》的下位法，應遵循上位法優于下位法的基本原則.

2.2 關鍵基礎設施保護立法與《網絡安全法》(草案)

2015年7月，《網絡安全法》(草案)在萬眾矚目下出臺，該草案明確了保障關鍵信息基礎設施安全的戰略地位和價值.草案第三章第二節對于關鍵信息基礎設施的安全保障用了較多的篇幅去規制，涵蓋了涉及國家安全、經濟安全和保障民生等領域，具體范圍包括基礎信息網絡、重要行業和領域的重要信息系統、軍事網絡、重要政務網絡、用戶數量眾多的商業網絡等.盡管草案中所規定的關鍵信息基礎設施與關鍵基礎設施在內涵上并不完全一致，但兩者在多數情況下已可以混用.《網絡安全法》應調整一般網絡用戶、網站運營人、網絡運營商、網絡主管部門、網絡設備生產者、網絡行業組織者之間在網絡空間安全保障中的權利與義務關系.而關鍵基礎設施保護立法的調整范圍應包括國家關鍵基礎設施信息安全保護主管部門、國家關鍵基礎設施的行業主管部門、運營單位和各級地方政府在實施國家關鍵基礎設施信息安全保護工作的過程中所產生的各種社會關系，應突出對信息安全事件的監測和預警，在國家關鍵基礎設施信息安全事件的報告、應急處置、控制等各個環節，貫穿“預防為主”這條主線，防止信息安全事件擴散.從立法定位看，網絡安全法是網絡空間的基本法，協調與平衡國家安全、社會穩定、產業發展及個人隱私是網絡安全法的基本價值訴求.隨著網絡安全法律體系的成熟與健全，關鍵基礎設施保護立法將成為網絡安全立法體系的有機組成部分.

2.3 關鍵基礎設施保護立法與信息安全等級保護制度

信息安全等級保護制度是國家信息安全保障的基本制度.自1994 年《中華人民共和國計算機信息系統安全保護條例》頒布以來，國家就在積極探索我國信息安全等級保護的思路、方法、途徑.從立法目標看，信息安全等級保護制度的核心觀念是保護重點、適度安全，即分級別、按需要重點保護“重要信息系統”.而關鍵基礎設施保護立法在于有效應對自然災害、人為事故、蓄意攻擊等諸多信息安全風險，政府的目標是要將這種安全風險給國家造成的影響最小化，最重要的是要有行動協調且訓練有素的快速反應能力，并建立一套完整的監測、評估、應急響應體系.關鍵基礎設施保護立法應突出國家關鍵基礎設施信息安全保護、監測和預警、應急處置與恢復、監督管理以及保障措施等制度.從防護思路看，信息安全等級保護主要是從如何保護重要信息系統免受不同程度威脅侵害的角度出發，因此各種保護措施主要圍繞信息系統的“防護”展開，如身份鑒別、訪問控制等安全機制，即通過不同層面的縱深防護達到保護信息系統的目的.而關鍵基礎設施保護立法的核心思想不僅包括“防護”，而是仍繞圍繞著 “防護—檢測—響應”的全面防護思想.

2.4 關鍵基礎設施保護法是保障法

保障能力是信息安全法律體系的邏輯起點與靈魂，也是判斷法律實施效果的標準[3].關鍵基礎設施保護立法是網絡安全立法的有機組成部分.關鍵基礎設施保護法應定位為安全保障法，即保障關鍵基礎設施功能實現、持續化穩定運營，完整性地發現、消除和恢復信息安全威脅和風險的法律.從立法形式上應是實體性法律規范與程序性法律規范的結合，以更好地發揮關鍵基礎設施安全保障法的作用.具體而言，關鍵基礎設施保護法應具有以下特點：

第一，對信息安全威脅和風險的“發現”應含有偵查、預警及供應鏈安全審查.對信息安全威脅和風險的“發現”是指對信息安全事件的監測、通報與預警.隨著關鍵基礎設施之間的連通性不斷增強，對潛在信息安全威脅與風險的實時監測、準確識別、及時通報、有效預警可極大提升我們對關鍵基礎設施的信息安全保護能力，防止信息安全事件的擴散.我們認為“發現” 階段應包括必要的偵查、預警及IT供應鏈安全審查.必要的偵查是指偵查機關自行直接執法與通信機構協助執法的有機結合；預警是指國家關鍵基礎設施信息安全保護主管機構根據信息安全事件的發生、擴散趨勢的預測，及時向相關國家關鍵基礎設施運營單位及其主管部門發出緊急信號，報告危險情況，以避免信息安全事件發生或者擴散；關鍵基礎設施供應鏈安全審查是指根據國際和國內相關安全標準，對IT供應鏈的安全產品的性能、研發過程、程序、步驟、方法、產品的交付方法等進行全方位審查，以確保IT供應鏈關鍵節點的安全性與完整性，提升我國對關鍵基礎設施信息安全風險的可控性.

第二，對信息安全威脅和風險的“消除”應當包含對網絡攻擊的懲治.網絡攻擊具有匿名性、跨國性和非對城性特征，是各國關鍵基礎設施面臨的最主要的信息安全威脅之一.近年來，網絡攻擊的數量增加、攻擊的范圍不斷擴大,攻擊以系統失靈、拒絕服務、欺騙偽裝、破壞或者盜取數據、物資失竊、傳輸延遲以及誤導式的服務體現出來.攻擊的損害后果可能被即使發現，也可能會在未來的某個時刻發生，并對關鍵基礎設施的網絡系統帶來災難性的影響.我們認為對關鍵基礎設施信息安全風險的“消除”也應該包含對于網絡攻擊的懲治，應通過立法方式明確攻擊關鍵基礎設施行為的性質與責任承擔方式.

第三，對關鍵基礎設施穩定運行的“恢復” 應當包括公眾對社會穩定的信心.網絡攻擊的隱蔽性和力量的不對稱性使其先天就具備了恐怖主義的特質[4].針對關鍵基礎設施的網絡攻擊不再僅僅是國家行為，而將成為恐怖組織播散恐怖、制造輿論的工具.針對關鍵基礎設施及工業控制系統的網絡攻擊不僅會帶來潛在的大規模毀損和瞬間的財政損失，還將會使公眾的“安全感”遭受“攻擊”.文明社會依賴于公眾對社會穩定性和持久性的信心，表現這種屬性的方式多種多樣，其最簡單的方式就是將公眾信心定義為普遍期待明天與今天沒有什么差別和各種事件都能為政府當局所預見，所控制①戰略脆弱性：信息時代基礎設施保護和國家安全(http://www.china.com.cn/military/txt/2010-04/09/content_19778737.htm).歷史經驗告訴我們，一旦公眾對社會穩定的信心遭到破壞，則社會秩序將陷入混亂狀態，法律的威懾力與約束力也將形同虛設.一旦關鍵基礎設施的使用性能與公眾對社會穩定的信心同時成為首攻擊的目標，將對整個國家與民族帶來災難性后果.可見，對關鍵基礎設施穩定運行的“恢復”不應忽視公眾對社會穩定的信心的恢復.

3 我國關鍵基礎設施保護立法內容思考—以信息安全保障為重心

3.1 強化關鍵基礎設施信息安全風險防控

針對關鍵基礎設施信息安全風險的預防和控制是關鍵基礎設施信息安全保護的關鍵環節，應積極探索事先的監測預警與通報措施及事中應急響處置與恢復應急措施.

3.1.1 監測通報與預警

我國《突發事件應對法》中針對突發事件監測通報與預警制度作出了具體的規定，總體上要求突發事件應對工作實行預防為主、預防與應急相結合的原則.《突發事件應對法》中的突發事件監測通報與預警制度的規范內容框架基本可以適用于國家關鍵基礎設施的信息安全保護，但是，由于其所適用的突發事件是指突然發生，造成或者可能造成嚴重社會危害，需要采取應急處置措施予以應對的自然災害、事故災難、公共衛生事件和社會安全事件，因此，針對國家關鍵基礎設施信息安全保護，在監測通報與預警的組織管理機構和采取的應對措施上還應當作出具體的規定.我們認為應該包括以下幾個方面：

第一，確立國家關鍵基礎設施信息安全監測通報機制，明確關鍵基礎設施安全管理部門和關鍵基礎設施行業主管部門的基本職責.第二，建立國家關鍵基礎設施信息安全事件的預警機制.國家關鍵基礎設施安全主管部門應根據信息安全事件的發生、擴散趨勢的預測，及時向相關國家關鍵基礎設施運營單位及其主管部門發出國家關鍵基礎設施信息安全事件預警.按照事件發生的緊急程度、發展勢態和可能造成的危害程度分為一級、二級、三級和四級，分別用紅色、橙色、黃色和藍色標示.第三，建立國家關鍵基礎設施預警解除機制.國家關鍵基礎設施安全主管部門應當根據事態的發展，按照有關規定適時調整預警級別并重新發布.有事實證明不可能發生信息安全事件或者危險已經解除的，當立即宣布解除警報，終止預警期，并解除已經采取的有關措施.

3.1.2 應急處置與恢復

我國雖然沒有制定專門的國家關鍵基礎設施信息安全事件應急法律制度，但在現行的法律中已有一些關于應急法律規范的零散規定，如國務院147號令①國務院147號令第19條規定，公安部在緊急情況下，可以就涉及計算機信息安全的特定事項發布專項通令.、291號令②國務院291號令第53條規定，執行特殊通信、應急通信和搶修、搶險任務的電信車輛，經公安交通管理機關批準，在保障交通安全暢通的前提下可以不受各種禁止機動車通行標志的限制.、第27號文③國務院第27號文中規定，國家和社會各方面都要充分重視信息安全應急處理工作.要進一步完善國家信息安全應急處理協調機制，建立健全指揮調度機制和信息安全通報制度，加強信息安全事件的緊急處置工作.各基礎信息網絡和重要信息系統建設要充分考慮抗毀性和災難恢復，制定并不斷完善信息安全應急處置預案.災難備份建設要從實際出發，提倡資源共享、互為備份.要加強信息安全應急支援服務隊伍建設，鼓勵社會力量參與災難備份設施建設和提供技術服務，提高信息安全應急響應能力.中都有相關規定.行業內部已經有關于應急響應的相關規定.2007年頒布的《突發事件應對法》根據社會危害程度和影響范圍的不同將突發事件分為特別重大、重大、較大和一般四級，確立了突發事件的預防與應急準備制度，監測與預警制度，應急處置制度以及事后恢復與重建制度.此外，金融與通信行業內部已經有關于應急響應的規定④我國人民銀行于2002年出臺的《商業銀行內部控制指引》和《關于加強銀行數據集中安全工作的指導意見》，對金融行業的應急管理作出了具體的規定.信息產業部還要求國內的10家骨干互聯網運營企業(包括6家電信運營商和4個公共信息網)成立自己的應急響應中心..但我國網絡信息安全應急制度中部門之間的協調缺乏法律保障、應急執法中責任的承擔仍然有待明確、應急過程中信息共享機制缺乏.我們認為構建國家關鍵基礎設施信息安全事件應急處置與恢復制度應當從以下幾個方面考慮：

第一，建立國家關鍵基礎設施信息安全事件的應急處置基本制度.首先建立信息安全事件分級應急處置、應急協調處置制度制度.信息安全事件應急處置的分級標準由國家關鍵基礎設施安全管理機構會同有關部門制訂.國家關鍵基礎設施運營單位的行業主管部門應當負責制定信息安全事件應急處置預案，確定信息安全事件響應、處置的范圍、程度以及處置措施等.第二，明確國家關鍵基礎設施信息安全事件的應急處置措施，包括信息安全事件的檢測、信息安全事件應急預案的啟動以及特大、重大信息安全事件的緊急處置.第三，確立國家關鍵基礎設施信息安全事件的信息發布機制；國家關鍵基礎設施安全管理部門由國家關鍵基礎設施信息安全保護委員會向社會發布.有關打擊破壞國家關鍵基礎設施信息安全違法犯罪活動的信息由公安機關按照國家相關法律法規的規定向社會發布.第四，明確信息安全事件后國家關鍵基礎設施的恢復制度.國家關鍵基礎設施信息安全事件應急處置工作結束后，國家關鍵基礎設施運營主管部門應當立即組織對信息安全事件造成的損失進行評估，組織受影響國家關鍵基礎設施運營單位盡快恢復正常運營，制定恢復重建計劃，并向國家關鍵基礎設施安全主管部門報告.

3.2 提升關鍵基礎設施的技術保障能力、組織保障能力與執法保障能力

除了根據關鍵基礎設施面臨的信息安全風險建立風險監測通報與預警、應急處置與恢復制度之外，為保障我國關鍵基礎設施的穩定運營，還應全面提升我國對關鍵基礎設施信息安全的保障能力，重視對我國關鍵基礎設施信息安全的技術保障能力、組織保障能力、執法保障能力的建設與提升.

3.2.1 技術保障能力

技術保障能力是應對關鍵基礎設施信息安全風險的核心要素.技術保障能力的提升應包括：1)構建兼有監測、預警、響應與恢復能力建設的信息安全技術防護體系，為我國關鍵基礎設施信息系統的保護提供具體的技術指導方案.關鍵基礎設施的信息安全技術不是信息安全技術和產品的一次性簡單堆積，大量安全技術的堆積不僅會造成資源浪費，還會降低關鍵基礎設施技術系統抵御信息安全風險的能力.隨著關鍵基礎設施之間的連通性與依賴性不斷增強，我們應從頂層設計的角度構建具備監測、預警、響應和恢復能力的動態縱深防御體系框架，從攻擊、防范、檢測、控制、評估等角度構建我國關鍵基礎設施信息系統安全防護體系.2)建立和完善國家信息安全審查制度，從宏觀戰略和微觀技術2個層面分別采取不同的措施.在技術層面應開展信息技術產品和服務安全測評技術的研究，分析信息技術和產品的漏洞，制定相關的測評標準.對于進入政府機構、交通、電力、金融等重要領域的產品需要建立更為全面、嚴苛的技術審查與企業背景審查.此外，應建立關鍵基礎設施領域引入國外設備與項目的決策機制.3)強化對新興技術的安全防范.加大對云計算、物聯網、移動互聯網、衛星互聯網等新興技術研發的資金投入，加強核心技術攻關，提高我國對新興技術的掌控能力，形成擁有自主知識產權的安全產業鏈條.4)增強我國網絡安全防御技術與反擊技術的研發.在認為因素造成的信息安全事件面前，輿論譴責只是隔靴搔癢，外交的反擊更為重要.

3.2.2 組織保障能力

組織保障能力是應對關鍵基礎設施信息安全風險的前提要素.組織保障能力的提升應包括以下方面：1)完善信息安全人才培養體系.制定國家信息安全崗位和職責標準,完善信息安全人才培養和選拔渠道，制定信息安全人才儲備計劃，保障關鍵部門信息安全人才需求.2)加強信息安全防御力量建設.建立成建制的網絡部隊，成立專門的網絡戰司令部，全面負責我國網絡空間的安全防御.3)加強公司的信息安全治理結構.公司是社會的主要組成部分，同時也是國家信息安全的最終受益者，因而這些實體對信息安全治理工作的積極主動參與，并將這一功能工作納入公司或組織的內部管理活動中，將有助于在網絡時代更好地保護信息系統和強化我國本土安全.我國應將公司的信息安全治理提升到法律義務層面，明確公司的組織機構模型中不同主體的信息安全義務.也就是說，除善良管理義務、忠實義務是現代公司治理結構下董事、經理對于公司的義務外，信息安全治理也應成為公司治理結構的重要組成部分，這也是網絡空間賦予公司董事、經理對公司新的義務[5].

3.2.3 執法保障能力

執法保障能力是應對關鍵基礎設施信息安全風險的有力后盾.執法保障能力的提升應包括：1)信息安全共享機制的建立.隨著網絡入侵和惡意攻擊的目標性和有效性不斷增強，政府或企業單方的治理能力凸顯不足，迫切需要依賴雙方通過信息共享、對話、建立伙伴關系等方式，共同參與網絡安全保障能力建設的，以相互協調網絡安全的風險識別、控制與防范活動. 網絡安全信息共享能夠在宏觀層面引導信息技術企業，特別是關鍵基礎設施運營企業快速識別所遭受網絡入侵和惡意攻擊的來源、特點等，及時共享預警和分析信息，降低突發網絡攻擊事件的爆發頻率，提高企業應對網絡安全風險和威脅的綜合能力.2)通信協助執法制度的建立.網絡安全風險與傳統的侵權風險不同，具有隱蔽性強、危害結果嚴重、影響范圍廣闊等特點，這使得對其偵查難度加大，偵查難度加大使得偵查機關由自行直接執法轉向通信機構協助執法轉變的需求增加.通信協助執法制度已成為歐美各國應對網絡信息安全風險的一種重要的法律制度.目前中國對通信服務商要求的協助執法只限于“針對違法犯罪活動進行的停止傳輸、保存和報告義務”.我們認為我國通信協助執法制度是保障關鍵基礎設施信息安全的有力保障，我國應明確協助執法主體確定、義務，完善相關的技術標準和嚴格的程序，電信運營商協助執法和執法機關執法時，都應當共同遵守統一的技術標準，以平衡各種利益關系，減少對公民隱私權的侵犯.3)加強對數據存留的法律監督.應賦予公共通信網絡運營商的通信數據存留義務，以確保該類數據能夠用于協助重大犯罪的偵察和起訴.由于存留的數據涉及到公民的隱私，應采取適當的措施保護該數據，以避免數據被意外或非法損毀，或未經許可非法存留、處理、獲取、披露.除已經獲取存留的數據外，其他數據應該在屆滿存留期限后被銷毀.通過加強數據存留的法律監督以同時滿足維護國家安全、公共利益與個人隱私保護的需求.

3.3 加強國際合作

隨著網絡空間的無限延伸，原有的安全孤島將不復存在，任何國家試圖在網絡空間謀求自身的絕對安全幾乎是不可能的，加強各國之間的合作.制定共同適用的國際規則、形成有效的國際合作機制是應對信息安全問題的必然途徑.隨著各種網絡信息安全事件的出現，各國已更加清醒地意識到信息安全的重要性，也積極采取各種應對措施和行動.斯諾登事件發生后，絕大多數國家對美國的網絡監控、黑客攻擊等行為表示了擔憂.在此背景下，推動網絡信息安全方面的國際合作正面臨一個較好的契機.我們認為保障關鍵基礎設施的信息安全急需在以下方面展開合作：

第一，加強法律協調與司法合作.在對外合作時根據共同的威脅和合作需要，研究、比較和梳理合作方的相關國內法，就相互矛盾之處在司法方面謀求妥協和共識，以共同制定雙邊及區域信息安全合作的國際法律基礎.此外，應加強合作方警備合作及司法協助方面的協調，推動執法部門間簽署合作協定.尤其是要研究在該領域出現緊急情況時相關國家的協作途徑.

第二，明確運營商等非政府行為主體的協助執法義務.應對網絡信息安全的嚴峻風險單靠政府的力量難以有效應對現有的危機，因此各國政府開始考慮尋求相關單位和個人的協助，通過立法確定強制性的協助執法義務——執法機構在進行偵查和刑事調查時，相關的單位和個人有義務提供執法便利.具體而言，在國際、國內有關網絡犯罪的調查中，它們也都可以協助收集、記錄并提交用戶信息、實時的往來數據和內容數據，并對此負保密義務.此外，還涉及數據保護、公開、搜集、扣押、截取等的規定.與國外通信協助執法制度不同，中國目前通信服務提供商在執法活動中的角色是“被動式”的，技術偵查手段專屬于偵查機關.可見明確運營商等非政府行為主體的協助執法義務對于推動我國關鍵基礎設施信息安全保障的國際合作具有重要的現實意義.

第三，加強應對關鍵基礎設施信息安全風險的國際演練.實施聯合網絡安全演習是網絡領域最高水平的合作方式，可全方位提升網絡危機事件的應對能力，通過聯合網絡演習可識別出我國在關鍵基礎設施信息安全保障領域的薄弱環節，以及能夠進行國際合作的具體內容，并將這些問題的應對策略納入我國關鍵基礎設施信息安全保障的實施策略中.

4 總 結

我國關鍵基礎設施面臨著技術固有缺陷帶來的信息安全的威脅、信息技術的自主性不足引發的信息安全的威脅、病毒傳播與黑客攻擊等蓄意攻擊活動引發的信息安全的威脅.保障能力是信息安全法律體系的邏輯起點與靈魂，也是判斷法律實施效果的標準.我們認為關鍵基礎保護法應當是一部綜合性的，跨領域的調整物理與信息融合的安全保障法.關鍵基礎設施保護立法需要明確其調整對象與立法的主要內容.關鍵基礎設施在立法中應以信息安全風險管控為思路、信息安全保障為重心來引導立法內容的設置.此外，應加強各國在關鍵基礎設施保護實踐中的合作，制定共同適用的國際規則，形成有效的國際合作機制.

[1]曲潔, 朱建平. 等級保護與關鍵基礎設施防護的融合研究[J]. 信息網絡安全, 2011(12): 84-88

[2]Dunn M, Wigert I. 關鍵信息基礎設施保護: 十四國安全保護政策陳述和分析[M]. 合肥: 中國科學技術大學出版社, 2007: 295-296

[3]馬民虎. 信息安全法律體系: 靈魂與重心[J]. 信息網絡與安全, 2007 (1): 13-15

[4]郎平. 網絡空間安全: 一項新的全球議程[J]. 國際安全研究, 2013 (1): 128-141

[5]馬民虎. 美國公司信息安全治理研究動態及憑薦[J]. 信息網絡安全, 2006 (10): 57-61

張 敏

博士研究生，主要研究方向為信息安全法律與政策.

fish_law@163.com

The Reflection of Legal Position and Content of Critical Infrastructure Protection Legislation in China

Zhang Min

(SchoolofLaw,Xi’anJiaotongUnivercity,Xi’an710049)

Critical infrastructure information security is the precondition of national security andthe normal operation of society. It also ensure the civic right to live and development .The paper proposed the concept of critical infrastructure, the identified standard, and tried to elucidate the relationship between the legislation of critical infrastructure legislation andNationalSecurityLaw,NetworkSecurityLaw(Draft) and Hierarchical protection system, then proposed the legal position of critical infrastructure protection legislation—security safeguard law.China’s critical infrastructure protection legislation should focus on information security safeguarding, the contents of the legislation not only incloud the information security risk prevention and control, but also the promotion of the technical, organization’s and law enforcement’s safeguard abilities and international cooperation on critical infrastructure protection.

critical infrastructure protection; critical infrastructure protection legislation; information security safeguard

2015-08-27

2015年國家社科基金項目(15BFX050);信息網絡安全公安部重點實驗室開放課題項目(C13604)

TP309