網絡關鍵信息基礎設施范圍研究

崔 聰 聰

(北京郵電大學 互聯網治理與法律研究中心，北京100876)

?

網絡關鍵信息基礎設施范圍研究

崔 聰 聰

(北京郵電大學 互聯網治理與法律研究中心，北京100876)

關鍵信息基礎設施的內涵——“國家安全、國計民生和公共安全”，是確定關鍵信息基礎設施范圍的基礎。《網絡安全法》第三十一條的“公共利益”應限縮解釋為“公共安全”。關鍵信息基礎設施包括：信息基礎設施中的關鍵部分，如電信網絡、廣播電視網絡等；關鍵基礎設施中的信息部分，即重要信息系統。由于“用戶數量眾多”過于模糊，所以不宜將其列為界定關鍵信息基礎設施的標準。

關鍵信息基礎設施；國家安全；公共安全

網絡社會，國家安全、經濟繁榮以及人民福祉嚴重地依賴“關鍵基礎設施”這一復雜的動態巨系統。長久以來，關鍵信息基礎設施一直是網絡入侵的重要目標。近期，關鍵信息基礎設施的威脅在急劇增加，針對關鍵信息基礎設施的新型攻擊技術手段層出不窮，金融、能源、關鍵制造、電力、交通等重要行業關鍵信息基礎設施成為網絡攻擊的主要對象。網絡關鍵信息基礎設施的重要性及其所面臨的嚴峻形勢，使其成為各國網絡安全立法的核心問題，各國紛紛出臺網絡空間安全戰略、法律和政策，對關鍵基礎設施保護進行制度安排。

一、關鍵信息基礎設施面臨的威脅

互聯網本身的脆弱性與關鍵基礎設施持續運轉的需求卻可能存在尖銳矛盾。關鍵基礎設施間的相互關聯與耦合，在提升社會整體協同與運作效率的同時，也面臨著惡意攻擊、自然災害破壞引發的連鎖反應，可能造成跨部門、跨區域的大面積基礎設施受損或癱瘓并引發相應的服務中斷與缺失。這種脆弱性已成為現代社會的一大新的脆弱源，這種新的脆弱性與傳統的威脅交織在一起構成了現代社會的新型危機并在社會中處于主要地位和中心地位[1]87-92。

金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標[2]。高級網絡攻擊已經對基礎設施、金融系統，乃至地緣政治造成重大影響。2015年末至2016年以來，一系列針對關鍵基礎設施特別是工業系統和金融系統的破壞性攻擊被曝光：烏克蘭停電事件，沙特Shamoon2.0事件，孟加拉央行被竊事件，臺灣第一銀行及泰國郵政儲蓄銀行ATM被竊事件等。在未來幾年中，針對能源、交通、制造、金融、通信等領域的關鍵基礎設施破壞性攻擊仍將持續加劇，安全生產事故，甚至是安全生產災難，隨時都有可能大規模爆發[3]。

當前，我國關鍵信息基礎設施面臨的安全形勢非常復雜，網絡運營者安全防護能力十分欠缺，工控系統安全隱患非常突出，黨政機關網站被不法分子攻擊篡改嚴重，個人信息和數據泄露實踐頻繁發生，網絡安全威脅的隱蔽性導致網絡運營者遭受重大損害時才發現補救。為維護國家網絡空間主權和國家安全、社會公共利益，全國人大常委會于2016年11月7日通過了《網絡安全法》，專設關鍵信息基礎設施運行安全一節，構建起以信息共享為基礎，事前預防、事中控制、事后恢復與懲治的關鍵信息基礎設施保護體系。

二、現行立法中關鍵信息基礎設施范圍

(一)《網絡安全法》

科學確定關鍵信息基礎設施的范圍是對其進行保護的前提。《網絡安全法(草案)》(以下簡稱草案)采用列舉的方式將關鍵信息基礎設施劃分為以下幾種類型：(1)基礎信息網絡，如公共通信、廣播電視傳輸等服務所依賴的網絡；(2)重要行業使用的網絡系統，如能源、交通、水利、金融等；(3)公共服務領域的網絡系統，如供電、供水、供氣、醫療衛生、社會保障等；(4)黨政軍機關使用的網絡系統；(5)涉及大量用戶的網絡服務提供者的網絡和系統。《網絡安全法(草案二次審議稿)》(以下簡稱二審稿)將關鍵信息基礎設施界定為遭到破壞、功能損壞或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網絡和系統。《網絡安全法》將關鍵信息基礎設施界定為公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網絡和系統*《中華人民共和國網絡安全法》第31條。。并授權國務院確定關鍵信息基礎設施的具體范圍。

(二)《國家網絡空間安全戰略》及管理實踐

《國家網絡空間安全戰略》(以下簡稱戰略)將關鍵信息基礎設施界定為事關國家安全和國計民生，數據泄露、被攻擊或者遭到破壞以及喪失功能可能嚴重危害國家安全、公共利益的網絡信息系統，主要包括基礎信息網絡，重要行業和重要領域的信息系統，國家機關的重要信息系統以及重要的互聯網應用系統等。在監督管理實踐中，中央網信辦基本采用了戰略的規定，將關鍵信息基礎設施界定為面向公眾提供網絡信息服務或支撐重要行業運行的信息系統以及工業控制系統，上述系統關涉國家安全或者公民的人身和財產安全[4]。

(三)評述

從立法技術層面分析，草案采用列舉方式界定關鍵信息基礎設施的范圍，具體包括以下四個層面：(1)基礎信息網絡；(2)重要行業和公共服務的重要信息系統；(3)軍政網絡；(4)用戶數量眾多的網絡和系統。二審稿與草案截然相反，采用描述本質特征的方式界定關鍵信息基礎設施的內涵和范圍。最終通過的《網絡安全法》采取折中方式，在列舉重要行業和領域的基礎上，采用描述本質特征的概括式條款界定關鍵信息基礎設施的內涵與外延。

值得注意的是，二審稿刪除了“用戶數量眾多的網絡和系統”，最終通過的《網絡安全法》亦沒有出現上述表述。那么，被百度、騰訊和阿里巴巴等網絡服務提供者關心的“用戶數量眾多的網絡和系統”是否被明確排除在關鍵信息基礎設施范圍之外，“用戶數量眾多的網絡和系統”能否解釋為關涉“公共利益的網絡和系統”，國務院在確定關鍵信息基礎設施具體范圍時應遵循什么樣的原則和標準，亟待理論與立法予以澄清。戰略沿襲《網絡安全法》的規定，采取“列舉+概括”方式界定關鍵信息基礎設施的內涵和范圍。需要指出的是，戰略提到的“重要互聯網應用系統”如何界定，能否涵蓋用戶數量眾多的網絡系統，亦需明確。

三、國外立法及啟示

(一)國外主要國家和地區立法

1.美國

1998年5月，克林頓政府頒布《第63號總統決策指令》(PDD-63)，將關鍵基礎設施界定為“物理的或基于網絡的、維持經濟及政府最低程度運行所必需的系統”[5]116-133。2001年通過的《愛國者法》將關鍵基礎設施界定為對美國來說至關重要的系統和資產，無論是物理的還是虛擬的，這些系統或資產一旦喪失能力或遭受破壞將削弱國家安全、國家經濟安全或國家公共衛生或公共安全，或上述事項的任何組合。奧巴馬《關于改善網絡安全關鍵基礎設施的行政命令》對關鍵基礎設施的界定沿用了《愛國者法》的規定*關鍵基礎設施是指對于美國極其重要的系統和資產，它們包括了物理層面的和虛擬層面的，而這些系統和資產遭到破壞會對國家經濟安全、國家公共健康及安全構成威脅。。2012年網絡安全法(未生效)將關鍵基礎設施界定為一旦被未經授權地損害或者訪問，便很可能會導致生命維持服務中斷的系統或資產，這種服務中斷足以導致大規模傷亡事件、全國性長時間停工、災難性經濟損害或者國家安全嚴重惡化。“災難性經濟損害”是指美國金融市場、交通系統的崩潰或根本性破壞，或者對美國經濟造成其他長期系統性的損害。但關鍵基礎設施不包括“商業性信息技術產品”[5]116-133。

從上述規定可以看出，美國關鍵基礎設施的內涵相對固定，但關鍵基礎設施的范圍即外延處于不斷變化和調整之中。從1996年克林頓政府第13010號行政令確定的8類*關鍵基礎設施主要包括電信、電力系統、天然氣及石油的存儲和運輸、銀行和金融、交通運輸、供水系統、緊急服務(包括醫療，警察，消防，救援)、政府連續性等8類。到2003 年布什政府發布的《關鍵基礎設施和重要資產物理保護國家戰略》確定的11類*農業與食品、水、公共衛生、應急服務、國防工業基地、通信、能源、交通運輸、金融、化學工業與有害物質、郵政與貨運。同時，戰略還提出了“關鍵資產”的概念，主要包括核電站、水壩、有害物質存儲設備，以及代表國家形象的肖像、紀念館、政府與商務中心等。，再到2003年第7號總統令《關鍵基礎設施標識、優先級和保護》確認的17類*國家重要基礎設施和關鍵資源。主要包括：信息技術、電信、化學、運輸系統、應急服務、郵政、船運、大壩、政府設施和商業設計、農業、食品、公共衛生及醫療、供水及污水處理系統、能源、銀行和金融業、國家紀念物和象征物、國防工業基地。，2008年，國土安全部宣布“關鍵制造業”作為第18類需要保護的國家基礎設施和關鍵資源，目前為2013年第21號總統令重新確定的16類關鍵基礎設施部門[6]106-108，具體類別和主管部門如下：國土安全部(化工、商業設施、通訊、關鍵制造、水利、應急服務、信息技術、核反應堆材料及其廢棄物)、國防部(國防工業基礎)、能源部(能源)、財政部(金融服務)、農業部與衛生和公共服務部(食品和農業)、國土安全和總務局(政府設施)、衛生及公共服務部(醫療保健和公共健康)、國土安全部和交通部(交通運輸系統)、環境保護局(水和污水處理系統)。

在確定關鍵基礎設施部門的基礎上，基于防范恐怖襲擊等安全考慮，美國基礎設施清單采用秘密清單的方式。根據《國土安全法》授權，國土安全部確定了關鍵基礎設施的關鍵行業并發布了關鍵基礎設施分類方法，關鍵基礎設施清單依照以下程序確定：各州及聯邦部門制作關鍵基礎設施一級清單和二級清單提名；國土安全部對所有的提名進行審議，創建關鍵基礎設施清單草案；各州和聯邦部門進行復議，必要時提供進一步的資料；無異議后國土安全部通知各州和聯邦機構最終的關鍵基礎設施清單[7]36-38。

2.歐盟

為應對恐怖主義危機，歐盟于2004年啟動了“關鍵基礎設施保護規劃”。同年10月，歐委會公布了《反恐怖主義中的關鍵基礎設施保護通訊》，將關鍵基礎設施界定為如果被中斷或被破壞的話，將會對歐盟公民的健康、安全、經濟安全和福利，以及歐盟政府發揮有效職能造成嚴重影響的物理和信息技術設施、網絡、業務和資產，具體包括：能源裝置和網絡；通信和信息技術；金融(銀行、證券和投資)；衛生醫療、食品；自來水；運輸(基建、碼頭、聯合運輸設施、鐵路和公共交通網絡、交通控制系統)六大類[8]21-24。根據《歐盟關鍵基礎設施保護計劃綠皮書》，關鍵信息基礎設施(CII)指本身是關鍵基礎設施或對于關鍵基礎設施的運行非常關鍵的ICT系統(如電信、計算機/軟件、互聯網、衛星等)[8]21-24。

2016年7月通過的《網絡與信息系統安全指令》并未采用關鍵信息基礎設施概念，而是使用“基本服務運營商”概念。從后者的內涵看，“基本服務”等同于通常意義上的關鍵信息基礎設施，具體而言，“基本服務運營商”是指通過網絡和信息系統為關鍵的社會和/或經濟活動提供基礎服務的公共或私人實體，安全事件將對提供該服務產生顯著破壞性影響。確定“顯著破壞性影響”時，成員國應至少考慮以下跨部門因素：(1)接受服務的用戶數量；(2)對服務提供者的依賴程度；(3)安全事件在程度和持續時間方面對經濟和社會活動或公共安全可能產生的影響；(4)該實體的市場份額；(5)可能受事故影響的地區范圍；(6)該實體對于維持服務的足夠水平的重要性，同時成員國應該考慮到，在適當時機，考慮替代性手段。關鍵信息基礎設施具體包括能源(電力、石油、天然氣)、運輸(航空運輸、鐵路運輸、內陸水路運輸、公路運輸、遠洋運輸、短途海運以及港口)、銀行、金融市場基礎設施、衛生部門、飲用水的供給和分配、數字基礎設施等7個領域。

3.德國

德國于2015年8月通過了《聯邦信息技術安全法》修正案，將關鍵基礎設施定義為對社會運行具有重要意義，其停運或受損將造成嚴重供應不足或危及公共安全的設施。關于關鍵信息基礎設施的范圍，由聯邦內政部制定法律條例進行確定。哪些機構或部門被納入關鍵信息基礎設施的范圍，聯邦內政部從以下兩個層面進行考量：一是因安全事件導致該設施停止運行或受損會造成供應瓶頸或者給公共安全造成重大危害；二是上述損害結果會影響相當數量的人口。依照上述標準，衛生與健康、信息與通信服務、供水、能源、交通運輸、金融以及食品供應等應納入關鍵信息基礎設施的范疇。德國政府不會公布詳細的企業和設施清單，但明確排除了這些領域中的小企業[5]116-133。

4.日本

早在2000年日本即制定了“關于重要基礎設施的網絡恐怖主義對策特別行動計劃”，以保護重要基礎設施信息網絡免受恐怖主義的威脅。2004年制定了“關于重要基礎設施的信息安全對策基本思路”，并于2005年制定了“重要基礎設施信息安全行動計劃”(目前已更新至第三版)。日本《網絡安全戰略》將關鍵信息基礎設施界定為由提供高度不可替代且對人們日常生活和經濟活動不可或缺的商業實體組成，如果其服務的職能中止，惡化或變得不可用，可能會對人們的日常生活或經濟活動產生重大影響。日本《網絡安全基本法》第3條將關鍵基礎設施運營者界定為國民生活及經濟活動的根基，其機能一旦停止或下降，將有可能給國民生活或社會經濟活動帶來影響的事業單位的從業者。

關于重要基礎設施關鍵領域的劃定，日本最初確定了信息通信、金融、航空、鐵路、電力、燃氣、政府及行政服務七個關鍵領域，2005年12月增加了醫療、供排水系統、物流三個領域，2014年5月又增加了化工、信貸、石油三個領域。具體主管部門、領域及其機構如表1所示。

表1 日本關鍵基礎設施主管部門、領域及其機構

(二)啟示

目前，國際社會對關鍵信息基礎設施這一概念未形成廣泛共識。究其原因，技術變革以及威脅變化勢必帶來安全觀念的變革，關鍵基礎設施的范疇也將處于動態變化之中。各國在開展關鍵信息設施保護或關鍵基礎設施網絡安全保護工作時，都研究提出了關鍵信息基礎設施的范圍，制定了關鍵信息基礎設施識別認定的標準和流程。

對“關鍵”的理解，主要取決于各國的政策目的，但無論是美國還是歐盟，都將關鍵基礎設施保護上升到維護國家安全和公共安全的高度，在界定“關鍵基礎設施”及其范圍時強調國家安全和公共安全。所謂的“關鍵”是指事關國家安全和公共安全，這既突出了保護的重點，也避免了將過多企業納入監管而徒增企業負擔[5]116-133。具體而言，關鍵性既可以解釋為作為系統概念的關鍵性，即某個基礎設施或其某個組件在整個基礎設施系統中的地位非常重要，特別是其在其他基礎設施或部門之間起著鏈接渠道的作用，也可以解釋為其在社會中擔任的角色或發揮的功能使其與生俱來就具有關鍵性意義。

四、中國立法建議

(一)“關鍵”的內涵

關鍵信息基礎設施的內涵——“國家安全、國計民生和公共安全”，是確定關鍵信息基礎設施的基礎。所謂“國計民生”是指關鍵基礎設施所具有的功能和提供的服務，對于一個國家的正常運轉是最基本的、必要的，對社會公眾而言是不可或缺的產品或服務，如供水、供電以及公共通信等，諸如游戲、音樂下載等娛樂服務，因對社會公眾而言并非必不可少，所以不應納入關鍵信息基礎設施的范圍。需要指出的是，《網絡安全法》第三十一條的“公共利益”應做限縮解釋為“公共安全”，公共利益的范圍遠遠大于公共安全的范圍，公共安全僅限于不特定的、多數人的健康、生命以及財產的安全[9]160，公共利益的范圍不限于公共安全，如社會公眾對公園的需求，可以界定為公共利益但不能認定為公共安全。從各國關鍵基礎設施保護立法來看，所謂的“關鍵”就是指事關國家安全和公共安全，考慮到與國際接軌的需要以及范圍過寬對企業造成的不利影響，關鍵信息基礎設施的“關鍵”應理解為事關國家安全、國計民生和公共安全。

(二)“關鍵”的考量因素

就被重點保護的部分而言，關鍵信息基礎設施一個層面是信息基礎設施中的關鍵部分，如電信網絡、廣播電視網絡等；另一個層面是關鍵基礎設施中的信息部分，即重要信息系統。從損害后果看，“關鍵”應理解為這些關鍵信息基礎設施因網絡安全事件而遭到破壞或在一定時間內不能正常運轉，將會對社會公眾安全和信息安全產生影響，威脅國家經濟安全，損害中國的國際競爭力以及阻礙政府和公共機構正常運行，或者影響中國的國防能力，具體應從以下幾個方面考慮：(1)傷亡標準，即根據潛在傷亡人數進行評估；(2)經濟影響標準，即根據經濟損失和/或產品或服務退化的顯著性評估，包括潛在的環境影響；(3)公共影響標準，即根據對社會公眾信心、身體痛苦和日常生活妨害等方面的影響，包括基本服務的損失評估。

(三)用戶數量

關鍵信息基礎設施范圍確定合理科學，既實現了關鍵信息基礎設施進行特殊保護的立法目的，又不至于給企業增加不必要的負擔。由于“用戶數量眾多”過于模糊，所以不宜將其列為界定關鍵信息基礎設施的標準。美國、歐盟等將關鍵基礎設施限定在影響國家安全、經濟安全、公共安全的范圍內，其中美國的網絡服務提供者隸屬于關鍵基礎設施中的信息技術部門，具體是否納入保護范疇，其沒有采用用戶數量眾多作為判斷標準，而是根據是否關鍵遴選企業，并鼓勵其他企業自愿參與，建議借鑒國外經驗，不將用戶眾多的商業網絡強制納入關鍵信息基礎設施范圍，而是鼓勵用戶數量眾多的網絡服務提供者參與關鍵信息基礎設施保護，接受監督。

[1] 馬永馳，西寶.應急響應與關鍵基礎設施服務缺失的互鎖困境與對策[J].大連理工大學學報(社會科學版)，2012(2).

[2] 習近平在網絡安全和信息化工作座談會上的講話[EB/OL].(2016-04-25)[2017-01-26].http://news.xinhuanet.com/politics/2016-04/25/c_1118731175.htm.

[3] 2016中國高級持續性威脅(APT)研究報告[EB/OL].[2017-02-26].https://b0bc60.lt.yunpan.cn/lk/c52SGHSni8gFm.

[4] 全國范圍關鍵信息基礎設施網絡安全檢查工作啟動[EB/OL].[2017-02-26].http://www.cac.gov.cn/2016-07/08/c_1119185700.htm.

[5] 劉金瑞.我國網絡關鍵基礎設施立法的基本思路和制度建構[J].環球法律評論，2016(5).

[6] 張莉.沿襲與變革：美國保護關鍵基礎設施政策分析[J].中國信息安全，2014(7).

[7] 唐旺，寧華，陳星，等.美國關鍵基礎設施識別認定研究[J].信息技術與標準化，2016(9).

[8] 王融.歐盟關鍵信息基礎設施保護制度研究[J].保密科學技術，2016(7).

[9] 喬曉陽.中華人民共和國國家安全法釋義[M].北京：法律出版社，2016.

[責任編輯：秦衛波]

Research on Scope of Critical Information Infrastructure

CUI Cong-cong

(Institute of Internet Governance and Law，BUPT，Beijing 100876，China)

It should only focus on the connotation of critical information infrastructure(CII) including national security，national interest and public security to identify the range of it.The“ public interest” definded in the Article 31 of ‘cyber security laws’ should use the restrictive interpretation as “public security”.The CII includes the critical part of information infrastructure，such as telecommunication network and radio broadcasting and television network；and the information component of the critical infrastructure，which is the important information systems. At the same time，since the meaning of “the large number of users” is too vague，it should not be classified as a standard for defining CII.

Critical Information Infrastructure(CII)；National Security；Public Security

10.16164/j.cnki.22-1062/c.2017.04.021

2017-03-24

國家社會科學基金重大項目(13&ZD181)。

崔聰聰(1978-)，男，河北深州人，北京郵電大學互聯網治理與法律研究中心副主任，副教授，法學博士。

D922.8

A

1001-6201(2017)04-0121-05