加強我國關鍵基礎設施信息安全法律保護的思考

編者按：《國家安全法》不僅強調維護國家主權、安全和發展利益，而且明確將關鍵基礎設施和重要領域信息系統及數據的安全可控作為維護國家安全的重要戰略任務。為實現這一目標，就要堅持“依法治國”的基本理念，通過出台專門法律“依法治理”，保証國家關鍵基礎設施安全運轉。為此，需要盡快摸清我國現有法律政策對國家關鍵基礎設施信息安全保護的現狀及不足，並從安全保護、監測預警、應急處置、監督管理和資源保障五個維度完善法律制度，形成國家關鍵基礎設施信息安全保護的長效機制。

2015年7月1日新出台並正式實施的《國家安全法》，其中的第二十五條將網絡和信息安全納入國家安全的范圍，並專門強調了實現關鍵基礎設施和重要領域信息系統及數據安全可控的重要戰略任務。保障關鍵基礎設施信息安全對於國家安全至關重要。關鍵基礎設施一旦系統被中斷或者被破壞, 將會對國民生活、國土安全、經濟穩定以及政府的正常運轉等產生重大的影響。信息時代關鍵基礎設施的正常運行高度依賴於信息技術和信息網絡，因此，克服信息技術和信息網絡因自身脆弱性或人為因素而造成的安全隱患，便成為保障國家安全的重要內容。加強國家關鍵基礎設施信息安全保障，則需要以法律為全局統籌，結合技術、管理、人才等體系協同發展。

一、我國加強國家關鍵基礎信息安全法律保護的必要性

美國“9•11”恐怖襲擊事件后，國家關鍵基礎設施在國家安全、社會民生、經濟發展和政府事務中的基礎性作用不斷凸顯，逐步成為保障社會穩定和持續運轉的重要支撐。然而，隨著網絡與信息技術的飛速發展，傳統的物理基礎設施與信息系統的融合程度不斷加深，使得網絡環境所帶來的不安全因素對關鍵基礎設施部門的信息系統構成極大威脅，這些信息網絡不僅將國家關鍵基礎設施內部的各個組成部分聯結在一起，而且支持國家關鍵基礎設施之間的通信和互動。“震網”病毒、“Duqu”病毒和“火焰”病毒攻擊事件的相繼出現，充分印証了源自互聯網的惡意程序正在向工業控制系統、能源、交通、金融、電力等關鍵領域的信息系統快速蔓延的趨勢，如果不加以妥善的治理，不僅嚴重影響到國家關鍵基礎設施的持續正常運行，還將對國家安全和社會穩定造成前所未有的威脅。

此外，當今社會經濟全球化、氣候極端化和國際關系綜合化的趨勢進一步凸顯了國家關鍵基礎設施信息安全保護的復雜性。在此背景下，世界各國紛紛開始高度重視對國家關鍵基礎設施的信息安全保護，美國、俄羅斯、英國、日本等國針對國家關鍵基礎設施的界定、國家關鍵基礎設施部門的確定、國家關鍵基礎設施信息安全保護的具體制度等問題在國家戰略和立法中做出了必要的部署和相應的調整，以滿足新形勢下國家關鍵基礎設施信息安全保護的迫切需求。其中，美國不僅在2001年《愛國者法案》中明確了國家關鍵基礎設施的定義，還在國家戰略、國家計劃和總統令中不斷調整國家關鍵基礎設施的部門種類，並設置以國土安全部為主導、多機構參與的國家關鍵基礎設施管理體系，以實現國家關鍵基礎設施信息安全保護所需的預警與監測、信息共享和應急處置。歐盟2005年頒布了《保護關鍵基礎設施的歐洲計劃》，要求必須建立一個以遭遇恐怖主義的威脅時能夠保障關鍵基礎設施持續運轉為先決條件的保護計劃。日本2005年頒布了《關鍵基礎設施信息安全措施行動方案》，對關鍵基礎設施的概念進行了定義，同時規定了從事相關領域的部門如何對關鍵基礎設施進行保護，並增強關鍵基礎設施的防御能力。在英國，國家關鍵基礎設施被稱為關鍵國家基礎設施（Critical National Infrastructure, CNI），它由國家基礎設施的對於不間斷向國家提供基本服務來說不可或缺的關鍵元素組成。英國政府始終致力於保護關鍵國家基礎設施（CNI）免受兩種威脅，包括針對物理設施的物理攻擊和針對計算機或通信系統的電子攻擊。此外，英國也建立了由國務大臣負責，國家基礎設施保護中心協調，各CNI部門具體實施的國家關鍵基礎設施保護管理體系。

與此同時，我國具有從國家層面增強對關鍵基礎設施信息安全保護的迫切需要。2013年的黨的第十八屆三中全會公報提出，要“設立國家安全委員會，完善國家安全體制和國家安全戰略，確保國家安全。”目前，我國正在大力推進信息化建設。2012年國務院下發了《關於大力推進信息化發展和切實保障信息安全的若干意見》的23號文，明確指出“大力推進信息化發展和切實保障信息安全，對調整經濟結構、轉變發展方式、保障和改善民生、維護國家安全具有重大意義”，要求“採取更加有力的政策措施，大力推進信息化發展，切實保障信息安全”。國務院23號文同時也指出我國目前還存在“信息安全工作的戰略統籌和綜合協調不夠，重要信息系統和基礎信息網絡防護能力不強”等問題。然而，盡管我國信息化建設尚處在初級階段，但面臨的信息安全問題卻是全方位的、與世界同步的，而且我國還面臨錯綜復雜的國際環境下與我國國情相關的特殊信息安全問題。而關鍵基礎設施是一個有機的綜合系統，內部各分類設施系統之間聯系非常緊密，並且這個系統在其內部以及同外界環境之間均需協調一致，才能正常良好地運轉。關鍵基礎設施還必須與國民經濟和社會發展相協調。

二、我國現有法律政策對國家關鍵基礎設施信息安全保護的現狀及不足

近年來，我國國家關鍵基礎設施領域信息化十分廣泛，信息化主管部門、公安機關和行業主管部門都制定了相關的信息安全保護制度，各國家關鍵基礎設施運營單位也基本都制定了相應的信息安全保護的具體組織和技術措施。但是，我國對關鍵基礎設施的信息安全保護工作起步較晚、發展較慢，而保障關鍵基礎設施信息安全是一項長期任務，涉及多個部門、多個行業和多個領域，需要加以統籌協調。對於關鍵基礎設施信息安全的內涵、主管機構及相關職能部門職責分配、關鍵基礎設施信息安全防控和信息共享機制等重要問題，我國至今尚無立法性文件進行明確的制度安排。

同時，我國現有法律政策在國家關鍵基礎設施的信息安全保護方面存在諸多問題，具體而言，主要包括以下幾個方面：第一，我國尚未確立國家關鍵基礎設施的概念，沒有明確的國家關鍵基礎設施保護對象﹔第二，我國缺乏有效的國家關鍵基礎設施信息安全風險監測和預警機制，對國家關鍵基礎設施信息安全風險的監測和預警能力較弱﹔第三，我國國家關鍵基礎設施信息安全事件的報告、通報和發布渠道不暢，信息共享不足﹔第四，我國國家關鍵基礎設施部門的信息安全保護能力參差不齊，缺乏對控制、應急、減災、恢復能力的統一、有效監管﹔第五，我國國家關鍵基礎設施信息安全事件的應急措施不完備，無法對關鍵基礎設施部門突發的信息安全事件進行有效的應急處置﹔第六，我國國家關鍵基礎設施信息安全保護的財政和制度保障不足。由此可見，我國國家關鍵基礎設施信息安全保護立法是十分緊迫的。

三、我國加強國家關鍵基礎設施信息安全法律保護具體制度建議

在信息化浪潮沖擊下的今天，如果國家關鍵基礎設施信息安全遭到破壞，那麼會對社會生活秩序造成嚴重的破壞。因此，對於保護國家關鍵基礎設施信息安全來說，最重要的目的是“保証國家關鍵基礎設施的正常運轉”。具體的制度措施包括以下幾個主要方面：

（一）安全保護制度

總體而言，我國構建的國家關鍵基礎設施信息安全保護制度應當包括五個方面：第一，明確國家關鍵基礎設施信息安全保護對象的認定標准和程序﹔第二，確定國家關鍵基礎設施共享依賴和脆弱性評估，制定安全保障措施﹔第三，規定國家關鍵基礎設施建設中的信息安全保護，包括遵循三同步原則和產品採購分類分級管理原則﹔第四，建立國家關鍵基礎設施信息安全測評制度，明確技術檢測與風險評估的認可制度，以及測評機構安全服務過程應當承擔的義務和禁止性行為﹔第五，確立國家關鍵基礎設施運行中的信息安全保護，涉及建立信息安全負責人制度、保密管理和境外數據處理禁則。

在我國的具體實踐當中，國家關鍵基礎設施的認定標准類似於等級保護中對信息系統進行的等級確定。因此，在認定國家關鍵基礎設施之前，首先需要對基礎設施的信息安全保護進行重要性分析，主要從該基礎設施的信息系統支撐本單位各類職能、業務運轉以及支撐其他單位或行業提供服務的角度分析，即本單位完成主要社會功能、職能履行和業務正常運轉對該基礎設施信息系統的依賴程度﹔該基礎設施信息系統提供的服務對於其他單位或行業來講的重要程度，即其他單位或行業的信息系統對該基礎設施信息系統的依賴程度。通過雙向的依賴性分析，可以判斷該基礎設施信息安全保護的重要程度，據此認定其是否可被納入國家關鍵基礎設施信息安全保護立法的適用范圍。

（二）監測預警制度

隨著網絡與信息技術的發展，我們逐步意識到在網絡空間實時監測與及時准確的識別潛在的信息安全風險的重要性，從戰略角度考慮，監測通報與預警能夠以有效利用現有資源的方式及時採取有效的行動。同樣，建立國家關鍵基礎設施信息安全事件的監測通報與預警制度，以有效規制國家關鍵基礎設施信息安全事件監測通報與預警的組織機構、採取的具體措施和信息通報發布機制等，是確保國家關鍵基礎設施不受信息安全事件影響而保持正常持續運轉的不可或缺的要素。因此，我國構建國家關鍵基礎設施信息安全事件監測通報與預警制度應當包括三個方面的內容：第一，確立國家關鍵基礎設施信息安全監測通報機制，由專門監管機構負責國家關鍵基礎設施信息安全風險監測通報工作，制定國家關鍵基礎設施信息安全事件監測通報規劃和方案﹔第二，確立信息安全相關的漏洞通報機制，由專門機構定期發布信息安全漏洞通報﹔第三，從預警級別、預警啟動、不同級別預警的應對機制以及預警解除等方面完善國家關鍵基礎設施信息安全事件的預警機制。

（三）應急處置制度

近年來，信息安全事件頻發的趨勢使得我們深刻認識到絕對的信息安全保障難以實現，重要的是注重和加強應急響應。如前所述，國家關鍵基礎設施作為保障社會正常持續運轉的重要支撐，其信息安全同樣面臨嚴重的威脅，尤其表現為突發信息安全事件所帶來的巨大沖擊。因此，一旦國家關鍵基礎設施信息安全遭到破壞或意外，要以維護起正常運轉為首要目標，第一時間響應，協調各方面的力量，將破壞和意外對正常運轉的影響在最短的時間內降到最低，進行應急處置，並且在最短時間內進行恢復。

我國構建國家關鍵基礎設施信息安全事件應急處置與恢復制度應當從以下幾個方面考慮：第一，建立國家關鍵基礎設施信息安全事件的應急處置基本制度，其中包括國家關鍵基礎設施信息安全事件的分級處置和標准制定，以及應急預案的制定﹔第二，明確國家關鍵基礎設施信息安全事件的應急處置措施，包括信息安全事件的檢測，信息安全事件應急預案的啟動，以及特大、重大信息安全事件的緊急處置﹔第三，確立國家關鍵基礎設施信息安全事件的信息發布機制﹔第四，明確信息安全事件后國家關鍵基礎設施的恢復制度﹔第五，完善國家關鍵基礎設施信息安全事件應急處置和恢復的總結報告制度﹔最后，確保與《突發事件應對法》的銜接，基本思路是在《突發事件應對法》的框架之下，制訂符合國家關鍵基礎設施信息安全應急處置與恢復的具體制度。

（四）監督管理制度

基於國家關鍵基礎設施信息安全的脆弱性及相互之間的依賴性，應當將業務主管和安全主管相分離，加強國家關鍵基礎設施信息安全的監管與協調，設立專門的監管協調部門，負責對國家關鍵基礎設施信息安全保護的監管工作。具體制度應當包括以下幾個方面：第一，明確專門監管機構的信息安全監督管理職責，涉及指導、協調國家關鍵基礎設施信息安全保護對象的認定、共享依賴性和脆弱性評估、信息安全風險監測通報與預警等﹔第二，明確各個國家關鍵基礎設施行業主管部門的信息安全監督管理職責﹔第三，明確國家關鍵基礎設施運營單位的信息安全監督管理職責和信息安全服務單位相應的協助義務﹔第四，明確各地方政府的信息安全監督管理職責﹔第五，保証國家關鍵基礎設施信息安全保護的行業主管和安全主管的分離。

（五）資源保障制度

為了解決目前一些國家關鍵基礎設施運營單位業務經費緊張的問題，立法應當規定國家關鍵基礎設施信息安全保護的保障措施，要求各級政府保障國家關鍵基礎設施信息安全保護工作的經費，做好與國家關鍵基礎設施信息安全保護相關的技術與物資儲備。

四、結論

綜上所述，我國急需加強關鍵基礎設施信息安全保護的頂層設計，通過出台正式立法的方式，推動關鍵基礎設施信息安全保護工作。

（本課題為陝西省社科基金項目（13F060）、陝西省軟科學項目（2014KRM73）的階段性成果）

（來源：中國信息安全）