俄羅斯關鍵信息基礎設施保護立法研究

何治樂 孔華鋒 黃道麗

(公安部第三研究所 上海 201204) (信息網絡安全公安部重點實驗室 上海 201204)

?

俄羅斯關鍵信息基礎設施保護立法研究

何治樂 孔華鋒*黃道麗

(公安部第三研究所 上海 201204) (信息網絡安全公安部重點實驗室 上海 201204)

經濟模式的轉變和技術結構的快速變化，更加凸顯了互聯網在時代前進中的核心作用和中間力量。關鍵信息基礎設施與其他設施運行的緊密耦合導致其突破了信息安全原初的可用性、保密性和完整性，可信和可控的重要性被廣泛認可。作為信息技術發展的傳統大國，俄羅斯不斷調整立法以適應信息技術的發展需求，降低關鍵信息基礎設施的安全風險。在明確概念的基礎上，分析俄羅斯相關立法，為我國關鍵信息基礎設施保護立法構建提出若干建議是至關重要的。

俄羅斯 關鍵基礎設施 關鍵信息基礎設施 關鍵信息基礎設施保護

0 引 言

全球互聯導致攻擊變得容易且后果更難以預料，不管從技術出發、亦或法律視角來看，互聯網都變得更加難以掌控。個人、企業、社會乃至物理邊界的國家對網絡的使用規模呈指數倍上漲，信息互換和交替成為經濟發展的基本要素，人們更容易被網絡謠言和煽動性力量所干擾，這些因素的交叉和疊加使得關鍵信息基礎設施(CII)被損害的風險驟增。俄羅斯早期立法以國家安全保護的綜合安全觀出發，關注信息基礎設施的保護。但隨著國際形勢的變化，俄羅斯制定了專門的關鍵信息基礎設施保護(CIIP)法律，值得我國借鑒。

1 個人數據概念界定

法律概念分析的目的是揭示并說明法律作為一類事物之獨特性所在，借此深化人們對法律的理解[1]。關鍵基礎設施(CI)屬于傳統安全領域產生的概念，隨著信息通信技術對社會生產生活的滲透影響，關鍵信息基礎設施(CII)的概念逐漸興起，兩者本質相同但表述上存在細微差別。

1.1 關鍵基礎設施概念

CI的有關定義最早在美國出現，指主要的國家公共工程。1998年克林頓政府發布的《第63號總統令》明確指出，CI指物理系統和以計算機網絡為基礎的系統。20世紀90年代中期，國際恐怖主義威脅的快速增長迫使政策決定者從國土安全的角度賦予其更明確的含義，并對關鍵基礎部門的數量和資產類型進行延伸。根據2001年《愛國者法》的定義，CI主要指“那些實體或虛擬的系統和資產，這些系統和資產一旦遭到破壞，可能危及國家安全、經濟安全、公共健康和社會穩定”[2]。與美國相似，澳大利亞和歐盟對CI的定義與美國相似，也以危害后果為標準。澳大利亞認為CI長時間被破壞、退化或無法使用是會對社會或經濟福祉產生重大影響，乃至危害國家安全或國防的基礎設施[3]。歐盟則進一步將CI界定為物理和信息技術設施、網絡、服務和資產[4]。

由以上概念可以看出，各國對CI的界定都從維護國家安全的視角出發，以支撐經濟運行和社會穩定為必要性，以破壞后造成不可逆的危害后果為基本限定，包括物理和虛擬的服務及資產。在明確內涵的基礎上，各國還對關鍵基礎設施的外延進行規定，美國規定的較為具體，包括11個領域：農業和糧食、水、公共衛生、緊急服務、國防工業基礎、電信、能源、交通、銀行和金融、化學品和危險品、郵政和運輸等；和5個資產：國家紀念物和圣像、核電廠、水壩、政府設施(辦公室和政府部門)、商業關鍵資產(主要的高層建筑)[5]。

1.2 CII概念

CII的概念伴隨著信息通信技術的變化和發展而產生，是傳統CI在信息時代的新型表現形式。尤其是近些年，網絡對社會和經濟發展的全面滲透影響，更加模糊了CI和CII的內涵和外延，在學術研究和立法中，很多學者及國家已經區同使用。歐盟2005年《保護關鍵基礎設施的歐洲計劃(EPCIP)》明確，CI本身或關鍵基礎設施運營必不可少的信息通信技術(ICT)系統(電信、衛星、計算機/軟件、互聯網等)。俄羅斯2015年生效的聯邦法律《關于俄羅斯聯邦關鍵信息基礎設施安全》對俄聯邦CII進行定義：關鍵目標的生產和技術過程管理自動化系統和確保其協作的信息通信網絡，以及完成國家管理任務、確保防御能力、安全和法律秩序的信息系統和通信網絡的總和(以下簡稱俄聯邦CII目標)。

CII包含于CI之內，與信息技術緊密相連，在大數據、智慧城市、遙感技術和即時聊天工具、微博客等新應用充斥的數字時代，CII已經演變成CI的核心部分。從概念解析，CI重點保護的是物理設施或虛擬資產，而CII則更關注CI的網絡信息安全。與CII相關的概念還包括國家信息基礎設施(NII)，NII出現在美國1993年9月發布的《國家信息基礎設施行動動議》，主要功能在于為公民提供大量信息，涉及到教育、金融、交通、醫療等領域，CII已經成為CI和NII的重要組成部分，三者在網絡安全、數據收集和政策文件中的概念有重疊和混用的現象。

2 俄羅斯CII立法及特點

早在2000年，普京簽署的《俄羅斯聯邦信息安全學說》(ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПА СНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ)中就詳細分析了俄羅斯所面臨的內外部信息安全威脅來源。國外威脅集中于攻擊活動和國際話語權爭奪方面：1)霸權主義、外國間諜、軍事力量和恐怖主義損害俄羅斯信息領域的利益；2)信息技術和資源的國際競爭加劇；3)與世界大國的技術差距及外國對俄的技術偵察設備活動；4)國外對俄信息系統正常運轉的干預破壞。國內威脅包括政治、經濟、法律和實踐方面：1)犯罪的不利影響削弱居民和國家信息利益；2)俄羅斯經濟實力薄弱，各個工業部門和信息化程度均落后西方大國，信息安全的各項措施資金投入不夠；3)政策的不協調和法律的不完善；4)教育和培訓體系效率下降，缺乏信息安全方面的專業人員。為了采取措施保護CII，俄羅斯通過了一系列基礎性文件和專門法律。

2.1 綜合性指導文件

2000年9月，普京總統簽署了《俄羅斯聯邦信息安全學說》(ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗ ОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ)，指出信息領域是社會生活的關鍵因素，對聯邦國家的政治、經濟、國防和其他組成部分的安全產生了深遠的影響，信息領域包括信息基礎設施。該學說站在國家安全的角度，為信息基礎設施的安全運轉創造法律條件，使信息基礎設施能夠得到更有效的利用。該學說將俄羅斯的信息領域劃分為經濟領域、內政領域、外交領域、科學技術領域、國防領域、執法和司法領域，分別闡述了這些領域面臨的內外部風險，采取措施對此領域的信息基礎設施進行保護。該學說是俄羅斯國家信息安全和開展活動的綱領性和指導性文件，對俄羅斯聯邦進行CII的立法具有重要參考意義。

2010年10月，俄羅斯聯邦政府通過《信息社會2011-2020年規劃》(государственной программы Российской Федерации “Информационное общество(2011-2020)годы”)，詳細分析了俄羅斯建立和應用信息通信技術的現狀特征，以及實現規劃的風險性、社會性、金融經濟性并列舉了基本指標，將信息社會的基礎設施作為該規劃的一部分，將發展提供電子國家服務的基礎設施作為任務之一。該規劃實際上在很大程度上承接了俄羅斯2002年至2010年的“電子聯邦規劃”(федеральная целевая программа “Электронная Россия(2002-2010)годы”)，并結合國外網絡信息技術發展和立法變化進行了調整。

2.2 專門性CIIP法律

隨著俄羅斯社會信息化的發展和戰略環境的深刻變革，針對CII的保護顯得尤為重要[6]。俄羅斯不僅通過政策和綱領性文件，更通過法律的強制力對CII進行保障。2015年1月1日，俄羅斯聯邦法律《關于俄羅斯聯邦關鍵信息基礎設施安全》生效，旨在實現CII的穩定安全運行，保護個人、社會和國家在信息領域的利益。這是保護CII的專門性法律，從安全保障措施、保障原則、保障的權力機關、防護狀態評估、CII主體的權利義務等方面對俄聯邦CII展開全面保護。

(1) 界定CII的概念、目標分類及主體權利義務

該法律明確了CII及其相關概念，俄聯邦CII指關鍵目標的生產和技術過程管理自動化系統和確保其協作的信息通信網絡，以及完成國家管理任務、確保防御能力、安全和法律秩序的信息系統和通信網絡的總和(以下稱俄聯邦CII目標)。俄聯邦CII主體指擁有俄聯邦CII目標的所有權或其他法律依據的法人，網絡操作者、及保障俄聯邦關鍵信息系統目標功能和協作能力的國家信息系統的操作者。俄聯邦CII安全指俄聯邦CII目標和CII整體的狀態，針對其發生的計算機事件不能導致俄羅斯聯邦、聯邦主體、行政區劃單位經濟管理和/或防御能力、安全和法律秩序的損失，或者不可逆轉的消極變化(破壞)或者實質性降低人們生活安全。

按照功能破壞或喪失的可能后果，該法將CII目標分為經濟意義類、生態意義類、保障防御能力類、保護國家安全類、社會意義類、在實現管理功能上有重要性的俄聯邦CII目標類型、提供大規模信息服務俄聯邦CII目標重要類型。這些類型具體又細分為高、中、低三個危險等級，危險等級不同則管轄的權力機關不同。

該法賦予CII主體按規定程序獲取其擁有所有權或有法律依據的CII目標安全保障相關的信息，及依法自主制定確保CII安全的措施。與國際社會主流發展趨勢類同，俄羅斯立法也給CII主體設定了多于權利的義務，包括對CII實施物理保護、報告計算機事件、執行消除威脅的命令、協助執法、技術保護措施等。

(2) 明確CII安全保障的方法和原則

該法指出，保障俄聯邦CII安全的手段和措施包括法律法規的調整、指定保護的聯邦權力執行機關、技術研發專門程序、確定CII目標生命周期各階段的技術防護要求、對CII目標進行分類、評價CII目標的防護狀態、國家監控、建立檢測及消除攻擊的國家系統、威脅信息的披露、檢測及消除攻擊后果、信息分析和物質技術的方法等。俄聯邦CII安全保障的原則包括：①合法性；②維持個人、社會、國家利益的平衡；③個人、社會、國家在俄聯邦CII安全保障的合作職責；④俄聯邦CII安全保障的連續性和綜合性；⑤聯邦權力執行機關和俄聯邦CII主體的有效協作；⑥俄聯邦CII計算機事件預防優先。

(3) 明確權力機構及其職能

根據該法，CII的保障權力機關包括：①俄聯邦總統；②俄聯邦政府；③安全保障聯邦權力執行機構；④保障信息基礎設施的關鍵系統信息安全、反技術偵查和信息技術保護的聯邦權力執行機關。總統負責整體統籌，把握CIIP的原則和方向。政府則主要負責提供設備和資源。安全保障聯邦權力執行機構主要負責執行各項政策、法律，開展評估及國家監控行動，研究劃分CII的等級，檢查高危險CII目標的可信性等具體實施層面的工作。保障信息基礎設施的關鍵系統信息安全、反技術偵查和信息技術保護的聯邦權力執行機關與安全保障聯邦權力執行機構同屬于執行機關，職能方面略有重合，主要區別在于前者對中、低危險等級的CII目標進行檢查、評估及登記等，而后者負責的是高危險等級的CII目標。

(4) 檢測、預防和消除計算機攻擊俄聯邦信息資源后果的國家系統

檢測、預防和消除計算機攻擊俄聯邦信息資源后果的國家系統(以下簡稱國家系統)指統一集中的、按區域分配的體系，包括部隊、偵查和預防計算機事件的手段、以及有權保障俄聯邦CII安全的國家權力機關。這是俄羅斯CIIP法律的獨特內容，在歐美等CIIP法律較為完善的國家也沒有出現類似規定。國家系統的目的是通過與相關部門合作，采取行動保護俄聯邦信息資源不受計算機攻擊侵襲，或在發現計算機攻擊時及時消除后果。有義務向國家系統提供信息的機構包括CII主體、聯邦權力執行機關、被授權評估CII防護狀態的組織。國家系統中包含的信息屬于限制訪問權限的信息，信息訪問程序由安全保障聯邦權力執行機關確定，國家秘密依據國家秘密聯邦法律受到保護，國家系統可以根據總統命令執行與CII無關的任務。

3 俄羅斯CIIP法律內容分析

3.1 開始趨向制定專門立法

相比美國2003年發布的《關鍵基礎設施和重要資產物理保護國家戰略》，歐盟2004年通過的《打擊恐怖主義活動，加強關鍵基礎設施保護的通訊》和2005年發布的EPCIP，俄羅斯的專門性CIIP法律出臺較晚，直至2015年1月1日開始生效。這之前，俄羅斯CIIP規定較為零散，主要分散在沒有強制效力的學說及規劃中。成文法的相對滯后性是不可避免的，并且會隨著時間的推移越來越嚴重，從而法律失去其對社會的調整作用，甚至會阻礙社會的良性發展[7]，彌補法律和社會進步間缺口的重要方式是及時調整或制定新法。近幾年，安全漏洞的頻頻曝光增加了CII的被攻擊和監控，國外敵對勢力和本國犯罪分子的雙重破壞削弱了現有CII立法的執行力，俄羅斯在綜合性文件和規劃的基礎上，制定了專門的CIIP法律，這將成為俄羅斯CIIP專門性立法的始端，以后會有更加全面的CII法律規定。

3.2 CII概念內涵界定分析

不同于國際社會普遍按照危害后果對CII進行界定的主流方案，俄羅斯更注重強調過程調控和防御能力。這種定義方式是首次在立法中出現，避免了純粹事后補救體系帶來的弊端，傾向于事前的風險預防和控制機制。在開放網絡環境中，當技術保護措施被廣泛應用于信息、通信、控制等不同領域時，網絡安全風險的負面影響擴散[8]風控理念已經深入人心，成為各方追求的理想方式，俄羅斯強調風險預防的CII概念有利于進行動態控制，滿足危機狀況的及時應對處理。俄羅斯將CI劃分為寬泛的經濟、生態、保護國家安全等類型，相比美國的16類(11個領域和5類資產)和歐盟EPCIP中明確的11類(包括水、食品、金融、健康、民事管理、交通、信息通信技術、能源、太空研究、公共法律秩序和安全、化學和核工業)[9]，俄羅斯的CII外延不夠明確，對日益嚴重的針對CII的內外部攻擊而言，這樣過于寬泛的界定不利于明確的保護目標。

3.3 CIIP機構的職權利弊分析

俄羅斯CIIP法律明確了四個權利機構，最高權利機構為俄聯邦總統，負責CII的大政方針，政府負責具體提供資源。具體執行機構包括安全保障聯邦權力執行機構及保障信息基礎設施的關鍵系統信息安全、反技術偵查和信息技術保護的聯邦權力執行機關，這兩個機構按照CII目標的等級進行管理。這樣的規定雖然提高了CIIP的執行力度，但因機構職責的重合交叉，在實際操作中可能出現相互推諉、權能混用的不利現象，對CII的正常高效運轉造成阻礙。此外，法律雖然明確將CII目標劃分為高、中、低危險級別，但與美國按照造成破壞后帶來的后果進行分類不同，俄羅斯法律沒有具體的劃分標準，這也會給權利機構執法帶來不便。

俄羅斯的這部專門性CIIP法律還面臨預警制度、應急響應制度和公私合作協調機制缺乏，CII目標分類(高、中、低)沒有明確認定標準、缺乏信息共享機制等問題。政府能夠為CIIP提供政治合法性及資金，而私營部門可以增加專業人才和工作效率，通過公私合作能夠實現CIIP的資源差異調控，創造更好的安全環境。

4 結 語

攻擊源頭的多渠道和難以溯源性，加上網絡世界管轄權不明帶來的執法困難，CII的脆弱性暴露無遺，亟需立法與技術雙管齊下，同時進行調整。網絡的匿名性、碎片化特征推進世界無極化的發展進程和非政府行為體的演進，傳統的以美國、俄羅斯、中國為主的多極化局勢和政府行為體的權力被削弱，公私協作和國際合作在CIIP方面至關重要。基礎信息網絡和重要信息系統的安全保護在不同國家表現為不同的制度安排，相應的頂層設計及法律體系也各具特點[10]，但CIIP在概念和基本制度框架上存在共通之處。我國與俄羅斯物理邊界接壤，經濟和政治發展聯系密切，我國《網絡安全法(草案二次審議稿)》中提到CII而不是CI的保護，2016年4月19日習總書記在網絡安全和信息化工作座談會上的講話指出要加快構建CII安全保障體系，這些與俄羅斯CII法律描述一致。我國可以借鑒俄羅斯CII法律的先進之處，例如制定專門性立法、界定CII概念、設置權力機構的職能等。CIIP是國家行動的不同領域，其彈性和可塑性的提高不僅涉及法律，還包括政策、治理機構、風險管理和緩解措施、應急準備、威脅情報和信息共享機制[11]。我國應該盡快完善相關措施和執行機制，構建與國外匹配和對等的法律制度，保證CII的在國民經濟運行中的神經中樞作用。

[1] 劉葉深.法律概念分析的性質[J].西北政法大學學報，2007(2)：20-30.

[2] 王康慶, 張紹武.美國關鍵基礎設施保護立法、政策現狀評析及發展趨勢[J]. 信息網絡安全，2015(9)：41-45.

[3] SATRC Working Group on Policy and Regulations.Critical Information Infrastructure Protection and Cyber Security [R].18-20 April,2012.

[4] 唐旺,寧華,陳星,等.關鍵信息基礎設施概念研究[J].信息技術與標準化，2016(4)：26-29.

[5] Lewis T G.Critical Infrastructure Protection in Homeland Security—Defending a Networked Nation[M].United States:John Wiley & Sons Inc, 2006.

[6] 北京江南天安科技有限公司.國外關鍵信息基礎設施保護之俄羅斯篇[J].信息網絡安全，2009(6)：61-64.

[7] 蘭皓翔.論法律規范穩定性與適應性的矛盾及其解決途徑——以我國法律規范為例[J].法制與社會，2014(6)：9-10.

[8] 趙麗莉.基于過程控制理念的網絡安全法律治理研究—以“風險預防與控制”為核心[J].情報雜志，2015，34(8)：177-181.

[9] ENISA.Methodologies for the identification of Critical Information Infrastructure assets and services[R].February 23,2015.

[10] 顧偉.美國關鍵信息基礎設施保護與中國等級保護制度的比較研究及啟示[J].電子政務，2015，151(7)：93-99.

[11] ENISA.Stocktaking, Analysis and Recommendations on the protection of CIIs[R]. January 21,2016.

RESEARCHONLEGISLATIONOFRUSSIACRITICALINFORMATIONINFRASTRUCTUREPROTECTION

He Zhile Kong Huafeng*Huang Daoli
(ThirdResearchInstituteofMinistryofPublicSecurity,Shanghai201204,China) (KeyLabofInformationNetworkSecurity,Shanghai201204,China)

The change of economic model and the rapid variation of technological structure highlights the central role and the middle force of the Internet in the advancing age. The tight coupling operation of the critical information infrastructure and other facilities broke through the original availability, security and integrity of information safety, and the importance of being credible and controlled is widely accepted. As a traditional great power of information technology development, Russia constantly adjust legislation to meet the development needs of information technology, and reduce the security risk of critical information infrastructure. Thus, on the basis of a clear and definitegoal, it is crucial to give suggestion to the construction of legislation of critical information infrastructure protectionby analysing the related Russian legislation.

Russia Critical infrastructure Critical information infrastructure Critical information infrastructure protection

2016-09-12。公安理論及軟科學研究計劃項目(2016LLYJGASS020);2016年基本科研業務費專項資金項目(C16253)。何治樂，助理研究員，主研領域：信息安全法律。孔華鋒，研究員。黃道麗，副研究員。

TP301.6

A

10.3969/j.issn.1000-386x.2017.08.056