俄羅斯關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法研究

何治樂 孔華鋒 黃道麗

(公安部第三研究所 上海 201204) (信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室 上海 201204)

?

俄羅斯關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法研究

何治樂 孔華鋒*黃道麗

(公安部第三研究所 上海 201204) (信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室 上海 201204)

經(jīng)濟(jì)模式的轉(zhuǎn)變和技術(shù)結(jié)構(gòu)的快速變化，更加凸顯了互聯(lián)網(wǎng)在時(shí)代前進(jìn)中的核心作用和中間力量。關(guān)鍵信息基礎(chǔ)設(shè)施與其他設(shè)施運(yùn)行的緊密耦合導(dǎo)致其突破了信息安全原初的可用性、保密性和完整性，可信和可控的重要性被廣泛認(rèn)可。作為信息技術(shù)發(fā)展的傳統(tǒng)大國(guó)，俄羅斯不斷調(diào)整立法以適應(yīng)信息技術(shù)的發(fā)展需求，降低關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)。在明確概念的基礎(chǔ)上，分析俄羅斯相關(guān)立法，為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法構(gòu)建提出若干建議是至關(guān)重要的。

俄羅斯 關(guān)鍵基礎(chǔ)設(shè)施 關(guān)鍵信息基礎(chǔ)設(shè)施 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

0 引 言

全球互聯(lián)導(dǎo)致攻擊變得容易且后果更難以預(yù)料，不管從技術(shù)出發(fā)、亦或法律視角來看，互聯(lián)網(wǎng)都變得更加難以掌控。個(gè)人、企業(yè)、社會(huì)乃至物理邊界的國(guó)家對(duì)網(wǎng)絡(luò)的使用規(guī)模呈指數(shù)倍上漲，信息互換和交替成為經(jīng)濟(jì)發(fā)展的基本要素，人們更容易被網(wǎng)絡(luò)謠言和煽動(dòng)性力量所干擾，這些因素的交叉和疊加使得關(guān)鍵信息基礎(chǔ)設(shè)施(CII)被損害的風(fēng)險(xiǎn)驟增。俄羅斯早期立法以國(guó)家安全保護(hù)的綜合安全觀出發(fā)，關(guān)注信息基礎(chǔ)設(shè)施的保護(hù)。但隨著國(guó)際形勢(shì)的變化，俄羅斯制定了專門的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)(CIIP)法律，值得我國(guó)借鑒。

1 個(gè)人數(shù)據(jù)概念界定

法律概念分析的目的是揭示并說明法律作為一類事物之獨(dú)特性所在，借此深化人們對(duì)法律的理解[1]。關(guān)鍵基礎(chǔ)設(shè)施(CI)屬于傳統(tǒng)安全領(lǐng)域產(chǎn)生的概念，隨著信息通信技術(shù)對(duì)社會(huì)生產(chǎn)生活的滲透影響，關(guān)鍵信息基礎(chǔ)設(shè)施(CII)的概念逐漸興起，兩者本質(zhì)相同但表述上存在細(xì)微差別。

1.1 關(guān)鍵基礎(chǔ)設(shè)施概念

CI的有關(guān)定義最早在美國(guó)出現(xiàn)，指主要的國(guó)家公共工程。1998年克林頓政府發(fā)布的《第63號(hào)總統(tǒng)令》明確指出，CI指物理系統(tǒng)和以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的系統(tǒng)。20世紀(jì)90年代中期，國(guó)際恐怖主義威脅的快速增長(zhǎng)迫使政策決定者從國(guó)土安全的角度賦予其更明確的含義，并對(duì)關(guān)鍵基礎(chǔ)部門的數(shù)量和資產(chǎn)類型進(jìn)行延伸。根據(jù)2001年《愛國(guó)者法》的定義，CI主要指“那些實(shí)體或虛擬的系統(tǒng)和資產(chǎn)，這些系統(tǒng)和資產(chǎn)一旦遭到破壞，可能危及國(guó)家安全、經(jīng)濟(jì)安全、公共健康和社會(huì)穩(wěn)定”[2]。與美國(guó)相似，澳大利亞和歐盟對(duì)CI的定義與美國(guó)相似，也以危害后果為標(biāo)準(zhǔn)。澳大利亞認(rèn)為CI長(zhǎng)時(shí)間被破壞、退化或無法使用是會(huì)對(duì)社會(huì)或經(jīng)濟(jì)福祉產(chǎn)生重大影響，乃至危害國(guó)家安全或國(guó)防的基礎(chǔ)設(shè)施[3]。歐盟則進(jìn)一步將CI界定為物理和信息技術(shù)設(shè)施、網(wǎng)絡(luò)、服務(wù)和資產(chǎn)[4]。

由以上概念可以看出，各國(guó)對(duì)CI的界定都從維護(hù)國(guó)家安全的視角出發(fā)，以支撐經(jīng)濟(jì)運(yùn)行和社會(huì)穩(wěn)定為必要性，以破壞后造成不可逆的危害后果為基本限定，包括物理和虛擬的服務(wù)及資產(chǎn)。在明確內(nèi)涵的基礎(chǔ)上，各國(guó)還對(duì)關(guān)鍵基礎(chǔ)設(shè)施的外延進(jìn)行規(guī)定，美國(guó)規(guī)定的較為具體，包括11個(gè)領(lǐng)域：農(nóng)業(yè)和糧食、水、公共衛(wèi)生、緊急服務(wù)、國(guó)防工業(yè)基礎(chǔ)、電信、能源、交通、銀行和金融、化學(xué)品和危險(xiǎn)品、郵政和運(yùn)輸?shù)龋缓?個(gè)資產(chǎn)：國(guó)家紀(jì)念物和圣像、核電廠、水壩、政府設(shè)施(辦公室和政府部門)、商業(yè)關(guān)鍵資產(chǎn)(主要的高層建筑)[5]。

1.2 CII概念

CII的概念伴隨著信息通信技術(shù)的變化和發(fā)展而產(chǎn)生，是傳統(tǒng)CI在信息時(shí)代的新型表現(xiàn)形式。尤其是近些年，網(wǎng)絡(luò)對(duì)社會(huì)和經(jīng)濟(jì)發(fā)展的全面滲透影響，更加模糊了CI和CII的內(nèi)涵和外延，在學(xué)術(shù)研究和立法中，很多學(xué)者及國(guó)家已經(jīng)區(qū)同使用。歐盟2005年《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃(EPCIP)》明確，CI本身或關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)必不可少的信息通信技術(shù)(ICT)系統(tǒng)(電信、衛(wèi)星、計(jì)算機(jī)/軟件、互聯(lián)網(wǎng)等)。俄羅斯2015年生效的聯(lián)邦法律《關(guān)于俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全》對(duì)俄聯(lián)邦CII進(jìn)行定義：關(guān)鍵目標(biāo)的生產(chǎn)和技術(shù)過程管理自動(dòng)化系統(tǒng)和確保其協(xié)作的信息通信網(wǎng)絡(luò)，以及完成國(guó)家管理任務(wù)、確保防御能力、安全和法律秩序的信息系統(tǒng)和通信網(wǎng)絡(luò)的總和(以下簡(jiǎn)稱俄聯(lián)邦CII目標(biāo))。

CII包含于CI之內(nèi)，與信息技術(shù)緊密相連，在大數(shù)據(jù)、智慧城市、遙感技術(shù)和即時(shí)聊天工具、微博客等新應(yīng)用充斥的數(shù)字時(shí)代，CII已經(jīng)演變成CI的核心部分。從概念解析，CI重點(diǎn)保護(hù)的是物理設(shè)施或虛擬資產(chǎn)，而CII則更關(guān)注CI的網(wǎng)絡(luò)信息安全。與CII相關(guān)的概念還包括國(guó)家信息基礎(chǔ)設(shè)施(NII)，NII出現(xiàn)在美國(guó)1993年9月發(fā)布的《國(guó)家信息基礎(chǔ)設(shè)施行動(dòng)動(dòng)議》，主要功能在于為公民提供大量信息，涉及到教育、金融、交通、醫(yī)療等領(lǐng)域，CII已經(jīng)成為CI和NII的重要組成部分，三者在網(wǎng)絡(luò)安全、數(shù)據(jù)收集和政策文件中的概念有重疊和混用的現(xiàn)象。

2 俄羅斯CII立法及特點(diǎn)

早在2000年，普京簽署的《俄羅斯聯(lián)邦信息安全學(xué)說》(ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПА СНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ)中就詳細(xì)分析了俄羅斯所面臨的內(nèi)外部信息安全威脅來源。國(guó)外威脅集中于攻擊活動(dòng)和國(guó)際話語權(quán)爭(zhēng)奪方面：1)霸權(quán)主義、外國(guó)間諜、軍事力量和恐怖主義損害俄羅斯信息領(lǐng)域的利益；2)信息技術(shù)和資源的國(guó)際競(jìng)爭(zhēng)加劇；3)與世界大國(guó)的技術(shù)差距及外國(guó)對(duì)俄的技術(shù)偵察設(shè)備活動(dòng)；4)國(guó)外對(duì)俄信息系統(tǒng)正常運(yùn)轉(zhuǎn)的干預(yù)破壞。國(guó)內(nèi)威脅包括政治、經(jīng)濟(jì)、法律和實(shí)踐方面：1)犯罪的不利影響削弱居民和國(guó)家信息利益；2)俄羅斯經(jīng)濟(jì)實(shí)力薄弱，各個(gè)工業(yè)部門和信息化程度均落后西方大國(guó)，信息安全的各項(xiàng)措施資金投入不夠；3)政策的不協(xié)調(diào)和法律的不完善；4)教育和培訓(xùn)體系效率下降，缺乏信息安全方面的專業(yè)人員。為了采取措施保護(hù)CII，俄羅斯通過了一系列基礎(chǔ)性文件和專門法律。

2.1 綜合性指導(dǎo)文件

2000年9月，普京總統(tǒng)簽署了《俄羅斯聯(lián)邦信息安全學(xué)說》(ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗ ОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ)，指出信息領(lǐng)域是社會(huì)生活的關(guān)鍵因素，對(duì)聯(lián)邦國(guó)家的政治、經(jīng)濟(jì)、國(guó)防和其他組成部分的安全產(chǎn)生了深遠(yuǎn)的影響，信息領(lǐng)域包括信息基礎(chǔ)設(shè)施。該學(xué)說站在國(guó)家安全的角度，為信息基礎(chǔ)設(shè)施的安全運(yùn)轉(zhuǎn)創(chuàng)造法律條件，使信息基礎(chǔ)設(shè)施能夠得到更有效的利用。該學(xué)說將俄羅斯的信息領(lǐng)域劃分為經(jīng)濟(jì)領(lǐng)域、內(nèi)政領(lǐng)域、外交領(lǐng)域、科學(xué)技術(shù)領(lǐng)域、國(guó)防領(lǐng)域、執(zhí)法和司法領(lǐng)域，分別闡述了這些領(lǐng)域面臨的內(nèi)外部風(fēng)險(xiǎn)，采取措施對(duì)此領(lǐng)域的信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)。該學(xué)說是俄羅斯國(guó)家信息安全和開展活動(dòng)的綱領(lǐng)性和指導(dǎo)性文件，對(duì)俄羅斯聯(lián)邦進(jìn)行CII的立法具有重要參考意義。

2010年10月，俄羅斯聯(lián)邦政府通過《信息社會(huì)2011-2020年規(guī)劃》(государственной программы Российской Федерации “Информационное общество(2011-2020)годы”)，詳細(xì)分析了俄羅斯建立和應(yīng)用信息通信技術(shù)的現(xiàn)狀特征，以及實(shí)現(xiàn)規(guī)劃的風(fēng)險(xiǎn)性、社會(huì)性、金融經(jīng)濟(jì)性并列舉了基本指標(biāo)，將信息社會(huì)的基礎(chǔ)設(shè)施作為該規(guī)劃的一部分，將發(fā)展提供電子國(guó)家服務(wù)的基礎(chǔ)設(shè)施作為任務(wù)之一。該規(guī)劃實(shí)際上在很大程度上承接了俄羅斯2002年至2010年的“電子聯(lián)邦規(guī)劃”(федеральная целевая программа “Электронная Россия(2002-2010)годы”)，并結(jié)合國(guó)外網(wǎng)絡(luò)信息技術(shù)發(fā)展和立法變化進(jìn)行了調(diào)整。

2.2 專門性CIIP法律

隨著俄羅斯社會(huì)信息化的發(fā)展和戰(zhàn)略環(huán)境的深刻變革，針對(duì)CII的保護(hù)顯得尤為重要[6]。俄羅斯不僅通過政策和綱領(lǐng)性文件，更通過法律的強(qiáng)制力對(duì)CII進(jìn)行保障。2015年1月1日，俄羅斯聯(lián)邦法律《關(guān)于俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全》生效，旨在實(shí)現(xiàn)CII的穩(wěn)定安全運(yùn)行，保護(hù)個(gè)人、社會(huì)和國(guó)家在信息領(lǐng)域的利益。這是保護(hù)CII的專門性法律，從安全保障措施、保障原則、保障的權(quán)力機(jī)關(guān)、防護(hù)狀態(tài)評(píng)估、CII主體的權(quán)利義務(wù)等方面對(duì)俄聯(lián)邦CII展開全面保護(hù)。

(1) 界定CII的概念、目標(biāo)分類及主體權(quán)利義務(wù)

該法律明確了CII及其相關(guān)概念，俄聯(lián)邦CII指關(guān)鍵目標(biāo)的生產(chǎn)和技術(shù)過程管理自動(dòng)化系統(tǒng)和確保其協(xié)作的信息通信網(wǎng)絡(luò)，以及完成國(guó)家管理任務(wù)、確保防御能力、安全和法律秩序的信息系統(tǒng)和通信網(wǎng)絡(luò)的總和(以下稱俄聯(lián)邦CII目標(biāo))。俄聯(lián)邦CII主體指擁有俄聯(lián)邦CII目標(biāo)的所有權(quán)或其他法律依據(jù)的法人，網(wǎng)絡(luò)操作者、及保障俄聯(lián)邦關(guān)鍵信息系統(tǒng)目標(biāo)功能和協(xié)作能力的國(guó)家信息系統(tǒng)的操作者。俄聯(lián)邦CII安全指俄聯(lián)邦CII目標(biāo)和CII整體的狀態(tài)，針對(duì)其發(fā)生的計(jì)算機(jī)事件不能導(dǎo)致俄羅斯聯(lián)邦、聯(lián)邦主體、行政區(qū)劃單位經(jīng)濟(jì)管理和/或防御能力、安全和法律秩序的損失，或者不可逆轉(zhuǎn)的消極變化(破壞)或者實(shí)質(zhì)性降低人們生活安全。

按照功能破壞或喪失的可能后果，該法將CII目標(biāo)分為經(jīng)濟(jì)意義類、生態(tài)意義類、保障防御能力類、保護(hù)國(guó)家安全類、社會(huì)意義類、在實(shí)現(xiàn)管理功能上有重要性的俄聯(lián)邦CII目標(biāo)類型、提供大規(guī)模信息服務(wù)俄聯(lián)邦CII目標(biāo)重要類型。這些類型具體又細(xì)分為高、中、低三個(gè)危險(xiǎn)等級(jí)，危險(xiǎn)等級(jí)不同則管轄的權(quán)力機(jī)關(guān)不同。

該法賦予CII主體按規(guī)定程序獲取其擁有所有權(quán)或有法律依據(jù)的CII目標(biāo)安全保障相關(guān)的信息，及依法自主制定確保CII安全的措施。與國(guó)際社會(huì)主流發(fā)展趨勢(shì)類同，俄羅斯立法也給CII主體設(shè)定了多于權(quán)利的義務(wù)，包括對(duì)CII實(shí)施物理保護(hù)、報(bào)告計(jì)算機(jī)事件、執(zhí)行消除威脅的命令、協(xié)助執(zhí)法、技術(shù)保護(hù)措施等。

(2) 明確CII安全保障的方法和原則

該法指出，保障俄聯(lián)邦CII安全的手段和措施包括法律法規(guī)的調(diào)整、指定保護(hù)的聯(lián)邦權(quán)力執(zhí)行機(jī)關(guān)、技術(shù)研發(fā)專門程序、確定CII目標(biāo)生命周期各階段的技術(shù)防護(hù)要求、對(duì)CII目標(biāo)進(jìn)行分類、評(píng)價(jià)CII目標(biāo)的防護(hù)狀態(tài)、國(guó)家監(jiān)控、建立檢測(cè)及消除攻擊的國(guó)家系統(tǒng)、威脅信息的披露、檢測(cè)及消除攻擊后果、信息分析和物質(zhì)技術(shù)的方法等。俄聯(lián)邦CII安全保障的原則包括：①合法性；②維持個(gè)人、社會(huì)、國(guó)家利益的平衡；③個(gè)人、社會(huì)、國(guó)家在俄聯(lián)邦CII安全保障的合作職責(zé)；④俄聯(lián)邦CII安全保障的連續(xù)性和綜合性；⑤聯(lián)邦權(quán)力執(zhí)行機(jī)關(guān)和俄聯(lián)邦CII主體的有效協(xié)作；⑥俄聯(lián)邦CII計(jì)算機(jī)事件預(yù)防優(yōu)先。

(3) 明確權(quán)力機(jī)構(gòu)及其職能

根據(jù)該法，CII的保障權(quán)力機(jī)關(guān)包括：①俄聯(lián)邦總統(tǒng)；②俄聯(lián)邦政府；③安全保障聯(lián)邦權(quán)力執(zhí)行機(jī)構(gòu)；④保障信息基礎(chǔ)設(shè)施的關(guān)鍵系統(tǒng)信息安全、反技術(shù)偵查和信息技術(shù)保護(hù)的聯(lián)邦權(quán)力執(zhí)行機(jī)關(guān)。總統(tǒng)負(fù)責(zé)整體統(tǒng)籌，把握CIIP的原則和方向。政府則主要負(fù)責(zé)提供設(shè)備和資源。安全保障聯(lián)邦權(quán)力執(zhí)行機(jī)構(gòu)主要負(fù)責(zé)執(zhí)行各項(xiàng)政策、法律，開展評(píng)估及國(guó)家監(jiān)控行動(dòng)，研究劃分CII的等級(jí)，檢查高危險(xiǎn)CII目標(biāo)的可信性等具體實(shí)施層面的工作。保障信息基礎(chǔ)設(shè)施的關(guān)鍵系統(tǒng)信息安全、反技術(shù)偵查和信息技術(shù)保護(hù)的聯(lián)邦權(quán)力執(zhí)行機(jī)關(guān)與安全保障聯(lián)邦權(quán)力執(zhí)行機(jī)構(gòu)同屬于執(zhí)行機(jī)關(guān)，職能方面略有重合，主要區(qū)別在于前者對(duì)中、低危險(xiǎn)等級(jí)的CII目標(biāo)進(jìn)行檢查、評(píng)估及登記等，而后者負(fù)責(zé)的是高危險(xiǎn)等級(jí)的CII目標(biāo)。

(4) 檢測(cè)、預(yù)防和消除計(jì)算機(jī)攻擊俄聯(lián)邦信息資源后果的國(guó)家系統(tǒng)

檢測(cè)、預(yù)防和消除計(jì)算機(jī)攻擊俄聯(lián)邦信息資源后果的國(guó)家系統(tǒng)(以下簡(jiǎn)稱國(guó)家系統(tǒng))指統(tǒng)一集中的、按區(qū)域分配的體系，包括部隊(duì)、偵查和預(yù)防計(jì)算機(jī)事件的手段、以及有權(quán)保障俄聯(lián)邦CII安全的國(guó)家權(quán)力機(jī)關(guān)。這是俄羅斯CIIP法律的獨(dú)特內(nèi)容，在歐美等CIIP法律較為完善的國(guó)家也沒有出現(xiàn)類似規(guī)定。國(guó)家系統(tǒng)的目的是通過與相關(guān)部門合作，采取行動(dòng)保護(hù)俄聯(lián)邦信息資源不受計(jì)算機(jī)攻擊侵襲，或在發(fā)現(xiàn)計(jì)算機(jī)攻擊時(shí)及時(shí)消除后果。有義務(wù)向國(guó)家系統(tǒng)提供信息的機(jī)構(gòu)包括CII主體、聯(lián)邦權(quán)力執(zhí)行機(jī)關(guān)、被授權(quán)評(píng)估CII防護(hù)狀態(tài)的組織。國(guó)家系統(tǒng)中包含的信息屬于限制訪問權(quán)限的信息，信息訪問程序由安全保障聯(lián)邦權(quán)力執(zhí)行機(jī)關(guān)確定，國(guó)家秘密依據(jù)國(guó)家秘密聯(lián)邦法律受到保護(hù)，國(guó)家系統(tǒng)可以根據(jù)總統(tǒng)命令執(zhí)行與CII無關(guān)的任務(wù)。

3 俄羅斯CIIP法律內(nèi)容分析

3.1 開始趨向制定專門立法

相比美國(guó)2003年發(fā)布的《關(guān)鍵基礎(chǔ)設(shè)施和重要資產(chǎn)物理保護(hù)國(guó)家戰(zhàn)略》，歐盟2004年通過的《打擊恐怖主義活動(dòng)，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的通訊》和2005年發(fā)布的EPCIP，俄羅斯的專門性CIIP法律出臺(tái)較晚，直至2015年1月1日開始生效。這之前，俄羅斯CIIP規(guī)定較為零散，主要分散在沒有強(qiáng)制效力的學(xué)說及規(guī)劃中。成文法的相對(duì)滯后性是不可避免的，并且會(huì)隨著時(shí)間的推移越來越嚴(yán)重，從而法律失去其對(duì)社會(huì)的調(diào)整作用，甚至?xí)璧K社會(huì)的良性發(fā)展[7]，彌補(bǔ)法律和社會(huì)進(jìn)步間缺口的重要方式是及時(shí)調(diào)整或制定新法。近幾年，安全漏洞的頻頻曝光增加了CII的被攻擊和監(jiān)控，國(guó)外敵對(duì)勢(shì)力和本國(guó)犯罪分子的雙重破壞削弱了現(xiàn)有CII立法的執(zhí)行力，俄羅斯在綜合性文件和規(guī)劃的基礎(chǔ)上，制定了專門的CIIP法律，這將成為俄羅斯CIIP專門性立法的始端，以后會(huì)有更加全面的CII法律規(guī)定。

3.2 CII概念內(nèi)涵界定分析

不同于國(guó)際社會(huì)普遍按照危害后果對(duì)CII進(jìn)行界定的主流方案，俄羅斯更注重強(qiáng)調(diào)過程調(diào)控和防御能力。這種定義方式是首次在立法中出現(xiàn)，避免了純粹事后補(bǔ)救體系帶來的弊端，傾向于事前的風(fēng)險(xiǎn)預(yù)防和控制機(jī)制。在開放網(wǎng)絡(luò)環(huán)境中，當(dāng)技術(shù)保護(hù)措施被廣泛應(yīng)用于信息、通信、控制等不同領(lǐng)域時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的負(fù)面影響擴(kuò)散[8]風(fēng)控理念已經(jīng)深入人心，成為各方追求的理想方式，俄羅斯強(qiáng)調(diào)風(fēng)險(xiǎn)預(yù)防的CII概念有利于進(jìn)行動(dòng)態(tài)控制，滿足危機(jī)狀況的及時(shí)應(yīng)對(duì)處理。俄羅斯將CI劃分為寬泛的經(jīng)濟(jì)、生態(tài)、保護(hù)國(guó)家安全等類型，相比美國(guó)的16類(11個(gè)領(lǐng)域和5類資產(chǎn))和歐盟EPCIP中明確的11類(包括水、食品、金融、健康、民事管理、交通、信息通信技術(shù)、能源、太空研究、公共法律秩序和安全、化學(xué)和核工業(yè))[9]，俄羅斯的CII外延不夠明確，對(duì)日益嚴(yán)重的針對(duì)CII的內(nèi)外部攻擊而言，這樣過于寬泛的界定不利于明確的保護(hù)目標(biāo)。

3.3 CIIP機(jī)構(gòu)的職權(quán)利弊分析

俄羅斯CIIP法律明確了四個(gè)權(quán)利機(jī)構(gòu)，最高權(quán)利機(jī)構(gòu)為俄聯(lián)邦總統(tǒng)，負(fù)責(zé)CII的大政方針，政府負(fù)責(zé)具體提供資源。具體執(zhí)行機(jī)構(gòu)包括安全保障聯(lián)邦權(quán)力執(zhí)行機(jī)構(gòu)及保障信息基礎(chǔ)設(shè)施的關(guān)鍵系統(tǒng)信息安全、反技術(shù)偵查和信息技術(shù)保護(hù)的聯(lián)邦權(quán)力執(zhí)行機(jī)關(guān)，這兩個(gè)機(jī)構(gòu)按照CII目標(biāo)的等級(jí)進(jìn)行管理。這樣的規(guī)定雖然提高了CIIP的執(zhí)行力度，但因機(jī)構(gòu)職責(zé)的重合交叉，在實(shí)際操作中可能出現(xiàn)相互推諉、權(quán)能混用的不利現(xiàn)象，對(duì)CII的正常高效運(yùn)轉(zhuǎn)造成阻礙。此外，法律雖然明確將CII目標(biāo)劃分為高、中、低危險(xiǎn)級(jí)別，但與美國(guó)按照造成破壞后帶來的后果進(jìn)行分類不同，俄羅斯法律沒有具體的劃分標(biāo)準(zhǔn)，這也會(huì)給權(quán)利機(jī)構(gòu)執(zhí)法帶來不便。

俄羅斯的這部專門性CIIP法律還面臨預(yù)警制度、應(yīng)急響應(yīng)制度和公私合作協(xié)調(diào)機(jī)制缺乏，CII目標(biāo)分類(高、中、低)沒有明確認(rèn)定標(biāo)準(zhǔn)、缺乏信息共享機(jī)制等問題。政府能夠?yàn)镃IIP提供政治合法性及資金，而私營(yíng)部門可以增加專業(yè)人才和工作效率，通過公私合作能夠?qū)崿F(xiàn)CIIP的資源差異調(diào)控，創(chuàng)造更好的安全環(huán)境。

4 結(jié) 語

攻擊源頭的多渠道和難以溯源性，加上網(wǎng)絡(luò)世界管轄權(quán)不明帶來的執(zhí)法困難，CII的脆弱性暴露無遺，亟需立法與技術(shù)雙管齊下，同時(shí)進(jìn)行調(diào)整。網(wǎng)絡(luò)的匿名性、碎片化特征推進(jìn)世界無極化的發(fā)展進(jìn)程和非政府行為體的演進(jìn)，傳統(tǒng)的以美國(guó)、俄羅斯、中國(guó)為主的多極化局勢(shì)和政府行為體的權(quán)力被削弱，公私協(xié)作和國(guó)際合作在CIIP方面至關(guān)重要。基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)在不同國(guó)家表現(xiàn)為不同的制度安排，相應(yīng)的頂層設(shè)計(jì)及法律體系也各具特點(diǎn)[10]，但CIIP在概念和基本制度框架上存在共通之處。我國(guó)與俄羅斯物理邊界接壤，經(jīng)濟(jì)和政治發(fā)展聯(lián)系密切，我國(guó)《網(wǎng)絡(luò)安全法(草案二次審議稿)》中提到CII而不是CI的保護(hù)，2016年4月19日習(xí)總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話指出要加快構(gòu)建CII安全保障體系，這些與俄羅斯CII法律描述一致。我國(guó)可以借鑒俄羅斯CII法律的先進(jìn)之處，例如制定專門性立法、界定CII概念、設(shè)置權(quán)力機(jī)構(gòu)的職能等。CIIP是國(guó)家行動(dòng)的不同領(lǐng)域，其彈性和可塑性的提高不僅涉及法律，還包括政策、治理機(jī)構(gòu)、風(fēng)險(xiǎn)管理和緩解措施、應(yīng)急準(zhǔn)備、威脅情報(bào)和信息共享機(jī)制[11]。我國(guó)應(yīng)該盡快完善相關(guān)措施和執(zhí)行機(jī)制，構(gòu)建與國(guó)外匹配和對(duì)等的法律制度，保證CII的在國(guó)民經(jīng)濟(jì)運(yùn)行中的神經(jīng)中樞作用。

[1] 劉葉深.法律概念分析的性質(zhì)[J].西北政法大學(xué)學(xué)報(bào)，2007(2)：20-30.

[2] 王康慶, 張紹武.美國(guó)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)立法、政策現(xiàn)狀評(píng)析及發(fā)展趨勢(shì)[J]. 信息網(wǎng)絡(luò)安全，2015(9)：41-45.

[3] SATRC Working Group on Policy and Regulations.Critical Information Infrastructure Protection and Cyber Security [R].18-20 April,2012.

[4] 唐旺,寧華,陳星,等.關(guān)鍵信息基礎(chǔ)設(shè)施概念研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2016(4)：26-29.

[5] Lewis T G.Critical Infrastructure Protection in Homeland Security—Defending a Networked Nation[M].United States:John Wiley & Sons Inc, 2006.

[6] 北京江南天安科技有限公司.國(guó)外關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)之俄羅斯篇[J].信息網(wǎng)絡(luò)安全，2009(6)：61-64.

[7] 蘭皓翔.論法律規(guī)范穩(wěn)定性與適應(yīng)性的矛盾及其解決途徑——以我國(guó)法律規(guī)范為例[J].法制與社會(huì)，2014(6)：9-10.

[8] 趙麗莉.基于過程控制理念的網(wǎng)絡(luò)安全法律治理研究—以“風(fēng)險(xiǎn)預(yù)防與控制”為核心[J].情報(bào)雜志，2015，34(8)：177-181.

[9] ENISA.Methodologies for the identification of Critical Information Infrastructure assets and services[R].February 23,2015.

[10] 顧偉.美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與中國(guó)等級(jí)保護(hù)制度的比較研究及啟示[J].電子政務(wù)，2015，151(7)：93-99.

[11] ENISA.Stocktaking, Analysis and Recommendations on the protection of CIIs[R]. January 21,2016.

RESEARCHONLEGISLATIONOFRUSSIACRITICALINFORMATIONINFRASTRUCTUREPROTECTION

He Zhile Kong Huafeng*Huang Daoli
(ThirdResearchInstituteofMinistryofPublicSecurity,Shanghai201204,China) (KeyLabofInformationNetworkSecurity,Shanghai201204,China)

The change of economic model and the rapid variation of technological structure highlights the central role and the middle force of the Internet in the advancing age. The tight coupling operation of the critical information infrastructure and other facilities broke through the original availability, security and integrity of information safety, and the importance of being credible and controlled is widely accepted. As a traditional great power of information technology development, Russia constantly adjust legislation to meet the development needs of information technology, and reduce the security risk of critical information infrastructure. Thus, on the basis of a clear and definitegoal, it is crucial to give suggestion to the construction of legislation of critical information infrastructure protectionby analysing the related Russian legislation.

Russia Critical infrastructure Critical information infrastructure Critical information infrastructure protection

2016-09-12。公安理論及軟科學(xué)研究計(jì)劃項(xiàng)目(2016LLYJGASS020);2016年基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目(C16253)。何治樂，助理研究員，主研領(lǐng)域：信息安全法律。孔華鋒，研究員。黃道麗，副研究員。

TP301.6

A

10.3969/j.issn.1000-386x.2017.08.056