關鍵信息基礎設施保護的立法對策

李營輝　畢穎

【摘要】我國的關鍵信息基礎設施保護面臨著建設起步較晚、專業技術落后、安全威脅嚴峻等形勢。目前我國關鍵信息基礎設施保護的法律法規尚未正式出臺。文章結合我國具體情況，闡釋了關鍵信息基礎設施法律保護的必要性和現狀，梳理立法保護理論原則，并總結歸納了我國關鍵信息基礎設施法律保護的建議。

【關鍵詞】關鍵信息基礎設施 網絡安全 立法

【中圖分類號】DF 【文獻標識碼】A

伴隨著信息通信技術的革命性進展，云計算、大數據等新思維極大地改變著人類的生活方式，政務、經濟、金融、電信等基礎設施的正常運轉越來越依靠信息基礎設施。關鍵信息基礎設施作為關鍵基礎設施的衍生概念應運而生。近年來，黨和國家高度重視網絡安全工作，在總體國家安全觀的大背景下，2015年7月，《中華人民共和國網絡安全法（草案）》（以下簡稱網絡安全法草案）向社會公開征求意見，這將促進關鍵信息基礎設施網絡安全架構的完善。目前，明確定義，劃定保護范圍，梳理關鍵信息基礎設施立法重點問題顯得尤為重要。

關鍵信息基礎設施的定義和特征

作為域外定義，關鍵信息基礎設施是關鍵基礎設施的衍生定義。目前域外對于關鍵基礎設施定義的側重點有所不同，但多是指整合電力、交通、金融、公共衛生、通信與應急服務等部門支撐，并對社會及國家的正常運行其關鍵作用的設施。關鍵信息基礎設施是指支持關鍵基礎設施運作的網絡信息系統。在我國網絡安全法草案中關鍵信息基礎設施主要劃分為以公共通信為代表的基礎信息網絡、重點行業為代表的重要信息網絡、軍事網絡、政務網絡、互聯網運營商網絡等五大系統。作為衍生定義，關鍵信息基礎設施的定義應當隨著關鍵基礎設施的定義變化而動態調整。關鍵信息基礎設施是在信息化浪潮下應運而生的，結合域外理論實踐，其具有功能關聯性、系統關聯性、信息安全關聯性三大特征。

功能關聯性。作為關鍵基礎設施的衍生體，關鍵信息基礎設施正常運行直接關聯著關鍵基礎設施功能的發揮。信息通信技術的快速發展使越來越多的信息系統進入人們的生活，從生活中的手機APP到工作中的OA系統，信息通信技術不僅改變著人類的生活，也將國家行為和人類生活轉化為網絡空間的信息數據流。①隨著互聯網+模式的引入，以往被人所認知相對獨立的核電、金融、甚至是保密管理領域也相繼與信息通信技術相融合。一方面，正常運行的關鍵信息基礎設施可以最大限度避免人為干擾。另一方面，如果關鍵信息基礎設施受到侵害，這對國家安全、社會穩定將造成極大的隱患。

系統關聯性。近年來關鍵基礎設施正在面臨著越來越嚴峻的自然災害、人為事故、蓄意攻擊等外部威脅，例如2011年日本大地震直接導致了福島核電站的癱瘓和核泄漏。但是，關鍵基礎設施往往互通性不強，某一設施遭到某一對象的損壞，對其他設施大多影響有限，即使有受損的潛在風險，人們往往可以通過應急保障措施加以防護。然而，關鍵信息基礎設施依靠網絡通信為媒介，其設計大多輻射某一區域甚至全球。高度依賴連接的信息基礎設施極易由于個體受損而整體癱瘓，信息數據也極易被攔截盜竊。系統關聯性讓不法分子有了可乘之機，近年來，對于關鍵信息基礎設施的攻擊愈演愈烈，傳統恐怖主義也逐漸向網絡恐怖主義轉變。不難看出，關鍵信息基礎設施的系統關聯性決定了其必須具有較高的安全系數和防護等級。

信息安全關聯性。目前各國涉密信息已從傳統的紙質材料逐漸向電子加密信息演變，涉密管理系統也漸趨完善，信息化保密管理手段與關鍵信息基礎設施關系日益緊密。在信息安全關聯性方面，由于關鍵信息基礎設施的功能性，大量關涉國家社會安全的關鍵信息蘊含其中，使其成為信息載體。因此關鍵基礎設施的損壞不僅會破壞信息的完整和傳遞，危及經濟發展、社會穩定和國家安全。近年來出現的針對關鍵信息基礎設施的APT（Advanced Persistent Threa）侵襲則是其表現方式之一。②

我國關鍵信息基礎設施立法保護的必要性

我國關鍵信息基礎設施建設相較發達國家起步較晚，立法及實踐中存在一些現實問題，主要體現在：第一，頂層設計欠缺，管理體制不暢。信息技術的突破帶動了以互聯網行業為首的新興領域的發展，關鍵信息基礎設施與信息技術領域緊密相連，其保護也越來越受到關注。但由于頂層設計缺陷，我國對其防護的滯后性日益凸顯。十八大以來，黨和國家高度重視網絡安全工作，特別提出要重點保障基礎網絡信息系統的安全，但在政策制定、措施完善等方面仍有不足，對關鍵信息基礎設施領域保護的管理機制尚待完善。第二，現行法律保護力度薄弱，專門立法空白。雖然我國制定了數部法規和規章，但立法位階較低，不成體系，至今也沒有一部關于信息安全或關鍵信息基礎設施保護的專門立法。第三，技術保護落后，應急保障不足。發達國家在信息網絡中擁有核心技術和壟斷地位。美國擁有對于全球互聯網資源的絕對控制，而我國互聯網實際上是美國互聯網的一個分支，國內不少重要信息資源服務器均設立境外，關鍵信息基礎設施保護技術的落后，加之網絡資源和控制權受制于人，勢必會留下諸多安全隱患。因此，在依法治國背景下，要對關鍵信息基礎設施進行有效的保護，就需要完善立法，完善保護體系。

我國關鍵信息基礎設施保護立法淵源

公共治理理論。20世紀90年代，世界政治和格局的動蕩不安促使西方統治者開始理性反思，面對日趨多元化的社會，單純的政府治理能否面對流動化的社會發展。政府開始意識到自身存在的局限性，轉而與社會、企業、公民等合作，制定公共政策。近年來在法律出臺尤其是制定過程中，公共治理越來越多扮演基礎性角色，尤其是在與社會發展和公民權益緊密相關領域，民聲民意至關重要。公共治理指的是一種由共同目標支持的管理活動，是各種公共或私人機構共同管理事物的諸多方式，是政府與民間、私人部門與公共部門之間的合作與互動的總和。特別要指出的是，治理不同于統治，在公共利益的實現方式上，多元、民主、合作、協調是基調和方向。③公共治理理論應當作為關鍵信息基礎設施的立法基礎。關鍵信息基礎設施的治理需要政府與企業、公民、技術部門合作，通過制定法律、政策、技術，以保障其自身安全。關鍵信息基礎設施的“共治”，即形成治理的預期效果和合力效應，多種主體共同參與治理并發揮各自的角色功能。在治理主體上，強調不同主體的差異化共同參與，各主體的治理權限、治理效力和治理責任存在差異。在治理方式上，公共治理理論為關鍵信息基礎設施的保護提供了相對客觀的法學視角，它既包括行為主體間的民主協商，也有正式的行政管理，既包括行為主體自愿接受的自律性原則，又實行法律制度等他律性原則。

虛擬社會治理理論。我國對于虛擬社會的研究可追溯到20世紀末，曼紐爾·卡斯特的“信息時代三部曲”尤其是《網絡社會的崛起》中文版的面世，進一步強化該命題的合理性，并用其來指稱互聯網作為人類生存新方式的社會性功能。伴隨著信息時代的發展，虛擬社會治理在關鍵信息基礎設施上的應用得以彰顯。④關鍵信息基礎設施保護客體有二，一為基礎設施本身，二為設施內所存儲、記錄、連接的關鍵信息。虛擬社會治理可為其關鍵信息的保護提供指南。近年來，法律作為虛擬社會治理的諸多方式之一，具有積極的意義。在關鍵信息基礎設施領域，法律不僅可以通過技術創新和教育引導等方式間接提高關鍵信息基礎設施的安全系數，而且可以通過調整主體的權利義務關系直接影響關鍵信息基礎設施的秩序和規則。

比例原則。立法實踐中，關鍵信息基礎設施保護要遵循比例原則，具體為適應性原則、必要性原則和均衡原則三分原則。

首先，行政主體擬實施行政行為，必須對其可能對于行政目標達成之助益進行利益的權衡，以期實施該行政行為有助于公益之增加，而盡少私益之削減。在關鍵信息基礎設施領域，無論是作為管理關鍵信息基礎設施運行的部門單位或是監督關鍵信息基礎設施運行的行政機關，其保護、預防、公開的手段必須是為履行其行政職責而為之，不得出于其他目的。其次，行政主體所欲實施的行政行為必須是在為了達到一定的行政目的或者行政目標而必需實施的情況下才能實施，尤其是在實施該行政行為將會對行政相對人權益不利的情況下。關鍵信息基礎設施中，金融機構、水電煤廠等多涉及民生領域，其最小侵害的方式則是以安全防護最大化為準則而實現，行政機關及其他公共職能部門要積極履行行政職責保護的范圍，但要注意應以必要性為條件，不得任意擴大或縮小關鍵信息基礎設施范圍、內容。最后，系指行政主體所欲實施的行政行為與實施該行政行為所欲達到的行政目標之間必須相對稱，二者構成合理的比例。在關鍵信息基礎設施保護領域分布廣，層級多，可能會損害公民個人知情權或其他利益，那么行政機關必須權衡確認其行為是以維護最廣大的公共利益或國家安全利益為目的，且大于個人知情利益方可行使。行政機關作為防護主體，行政自由裁量權應謹慎使用，對于國家利益、公共利益、個人利益及其他利益等要相較權衡與選擇。

安全保護原則。關鍵信息基礎設施作為國家正常運轉的重要組成部門，有關部門有義務采取措施，維護其正常運轉，最大限度杜絕不法侵害。在實踐中，安全保護這一原則由來已久，但在保障效果上不顯著，這與沒有強制性的法律責任和義務規定有著密切的聯系，尤其體現在行政機關缺乏必要的指導意見或法律規范。本原則明晰了行政機關保障關鍵信息基礎設施的義務，有利于促進其有序運轉。要指出的是，關鍵信息基礎設施防護主體中的非行政主體主要是指互聯網運營商。但是非行政主體與行政主體相較而言，其安全防護的手段方式力度上看都不盡相同，且主體性質和所承擔的社會責任也有根本性的差異。因此，對非行政主體的規制應較行政主體部門寬松。在行政主體指導下，鼓勵非行政主體樹立安全意識，或采取必要的技術管理手段等較為可行。

完善我國關鍵信息基礎設施立法保護的建議

近年來，我國先后起草出臺了《計算機信息系統安全保護條例》等法規規章，關鍵信息基礎設施應用密集領域或地區也出臺一些部門性或地方性法規，但位階較低，體系性差。作為第一部擬出臺綜合性立法，網絡安全法草案中明確了關鍵信息基礎設施定義，劃定了關鍵信息基礎設施基本范圍，提出了普遍性的安全運營規范，將會對關鍵信息基礎設施的保護起到基礎性作用。但是相較廣義的網絡安全領域，關鍵信息基礎設施有其特殊的存在形式和安全地位。為了更好地維系關鍵信息基礎設施的安全，應當在網絡安全綜合性立法的基礎上，進一步制定《關鍵信息基礎設施防護條例》（以下簡稱條例），形成合理的法律防護體系。條例要重點關注以下幾方面內容：

基本原則。與域外不同，我國的關鍵信息基礎設施大多由國家掌握，運營方多以國有企業單位為主，政府與企業信息共享程度高，合作基礎好。但是隨著我國全面深化改革步伐的加快，市場構成必然向多樣化發展。例如，在通信領域，越來越多的關鍵信息掌握在互聯網等私企手中，政府與私企信息共享的重要性日益凸顯。我國可借鑒公共治理理論，采取相關措施，激勵關鍵信息基礎設施的運營方自愿分享安全威脅信息，確保運營方所分享的信息免除我國《政府信息公開條例》的披露義務以及行政法上單方面解除的限制，制定嚴格的程序和限定條件保護包括涉密信息在內的關鍵信息，注重安全，突出信息共享，以平衡維護信息公開與國家安全的二者關系。

調整范圍。目前，我國對于重點信息基礎設施保護主要依靠信息安全等級保護制度。由公安局、國家保密局聯合下發的《信息安全等級保護管理辦法》（以下簡稱辦法）將信息系統的安全保護等級分為五級。⑤辦法中信息系統的五級劃分標準可與關鍵信息基礎設施的定義相結合。考慮到我國實際，我國關鍵信息基礎設施的范圍不宜過廣，受到侵害后有危害國家安全之可能的信息系統可劃定為關鍵信息基礎設施。因此，我國的關鍵信息基礎設施可規定為“關涉國家安全、經濟發展、社會安定的基礎設施，并符合辦法中三級以上防護等級的信息系統，可列為關鍵信息基礎設施調整主體。”

對于“關鍵信息資源”，“關鍵數據資源”是否應被納入關鍵信息基礎設施范圍目前尚存爭議。支持者認為某些重要性、戰略性數據，一旦泄露將危害國家安全，如涉密測繪地理信息坐標等。但上述資源屬性雖隸屬于關鍵信息基礎設施，仍可適用于《保守國家秘密法》的調整范圍，其應當被作為國家秘密，在關鍵信息基礎設施保護的范圍中并不合適。

機構設置。目前，關鍵信息基礎設施保護機構尚未立法確認，且現行機構繁冗復雜，不利于從國家整體上把握關鍵信息基礎設施的安全狀況，更不利于重拳出擊解決難點問題。因此，立法部門可參考中央網絡安全和信息化領導小組的機構設置模式，以法律形式明確在中央統籌下部門的職權和責任，建立起部門之間協調配合機制。我國的關鍵信息基礎設施大多由國家所掌握，其中涉密信息、關鍵信息比例大、層級高，要牢牢堅持黨的領導，政府主導，確保關鍵信息基礎設施和信息萬無一失。

網絡空間設施保護。近年來，云計算、大數據的發展如火如荼，特別“互聯網+”思維上升為國家戰略以來，幾乎全行業都在等待接入云端，或者與大數據應用產生關聯。關聯意味著機遇，同時對于關鍵信息基礎設施的安全性也帶來了挑戰。專門立法要側重網絡空間設施保護問題，并加強關聯所引發的新型安全問題，重視關鍵信息基礎設施屬性，使立法內容具有針對性、指導性和可操作性。

考慮到關鍵信息基礎設施技術的重要性，有以下幾點建議。首先，要建立常態機制排查隱患，采取切實可行的措施維護網絡空間設施安全。第二，建立進口審查制度，審查內容包括建立服務器、路由器、交換機、存儲器等關鍵網絡設施。這對于關鍵信息和涉密信息的保護，鼓勵民族軟件在關鍵信息基礎設施上的應用十分關鍵。第三，可結合《中華人民共和國科學技術進步法》，在立法中對于推動我國關鍵信息基礎設施領域發展做出突出貢獻的企業單位或個人在政策、資金等方面給予獎勵。第四，我國可效仿國外立法引進智庫制度，依托國務院參事等平臺，開展專業領域咨詢指導。第五，對于相關責任人定期開展培訓，提高相關責任人和公民的安全防護意識。

（作者分別為北京交通大學博士研究生，北京交通大學教授、博導；本文系北京市社會科學基金資助重點項目“國家信息安全視角下的網絡空間法治化研究”成果，項目編號：15FXA006）

【注釋】

①劉金瑞：“網絡安全立法近期進展及對我國的啟示”，《暨南學報》（哲學社會科學版），2014年第2期。

②APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為。

③張健：“淺析治理理論及其中國化的路徑選擇”，《市場論壇》，2006年第3期。

④徐曉林，陳強，曾潤喜：“中國虛擬社會治理研究中需要關注的幾個問題”，《中國行政管理》，2013年第11期。

⑤詳見《信息安全等級保護管理辦法》第7條。

責編 /張蕾