網絡安全立法中的關鍵信息基礎設施保護問題

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(草案)》（以下簡稱《草案》），並於2015年7月6日在中國人大網公布，向社會公開征求意見。

總體來看，這部法律草案推出的意義非常重大，符合時代發展的要求。目前，在對互聯網進行必要的管理這個基本問題上，全球主要國家已經達成共識，各國也在近幾年紛紛出台相應的法律法規。中國作為一個互聯網大國，在捍衛國家網絡安全方面一直有明確的態度，也一直在進行探索和實踐。把我國捍衛國家網絡安全的相關准則和已有的一些實踐經驗上升為法律制度，制定符合我國網絡空間安全需求的《網絡安全法》，既可以很好地為國家各相關部門依法治國、依法治網提供法律支撐，也更有利於為我國與其他國家就網絡安全問題開展戰略博弈和相關合作提供法律依據。

設專節對關鍵信息基礎設施的運行安全做出規定，是《草案》的亮點之一。《草案》第三章第二節共計九條內容，專門用於規范關鍵信息基礎設施的運行安全，佔據了相當的篇幅。這體現了我國對關鍵信息基礎設施安全的高度重視，也使得我國未來關鍵信息基礎設施的安全管理、安全保護、安全檢查等工作的開展有了重要的法律依據。

關鍵信息基礎設施安全是網絡空間安全的命脈所在，縱觀世界各國的網絡安全相關立法，關鍵信息基礎設施安全都是非常重要的內容。下面筆者從自身感受來談談網絡安全立法中對關鍵信息基礎設施的保護問題。

一、關鍵信息基礎設施的界定

“關鍵信息基礎設施”（Critical Information Infrastructure）是由“關鍵基礎設施”（Critical Infrastructure）一詞發展而來。關鍵基礎設施一詞由來已久，雖然各國對關鍵基礎設施具體定義存在較大差別，但是對其范疇和邊界的理解總體趨向一致，認為關鍵基礎設施是指社會經濟運轉所嚴重依賴的產品、服務、系統和資產總和，一旦這些設施遭到破壞，會對國家安全、經濟穩定和公眾安全產生嚴重影響。具體到關鍵信息基礎設施，可以從兩個方面來理解：一個是信息基礎設施中的關鍵部分，一個是關鍵基礎設施中的信息部分，前者通常包括電信網絡、廣播電視網絡、域名系統、電子簽名認証系統等，后者即我們通常所說的重要信息系統。實際上，隨著信息技術的發展，國家關鍵基礎設施普遍網絡化和信息化，這兩個方面的融合度已經越來越高。

由於網絡信息技術一直處於快速發展之中，關鍵信息基礎設施的定義也在不斷地發展演進，導致各方對國家關鍵信息基礎設施的認識存在不同層面上的差異。《草案》中對關鍵信息基礎設施未做明確定義，而是給了一個范圍上的界定描述：“提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統，軍事網絡，設區的市級以上國家機關等政務網絡，用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統。”這樣一種表述方式可以有效地避免關於概念本身的爭議，增強這部法律未來的可實施性。

然而，在實際操作中，關於關鍵信息基礎設施的界定仍然可能面臨一些操作上的困難，在關於《草案》的多次線上、線下研討中也有很多專家學者提到了這方面的問題。在此，筆者有三方面的建議，一是建議全國人大法工委根據征集到的各方意見在《網絡安全法（草案）》中進一步明確對關鍵信息基礎設施的界定﹔二是建議在未來國務院制定的關鍵信息基礎設施安全保護辦法中制定更加可操作的關鍵信息基礎設施劃定方法﹔三是建議關鍵信息基礎設施劃定與網絡安全等級保護制度充分結合，通過綜合量化評估的方式來劃定關鍵信息基礎設施，並在此基礎上對關鍵信息基礎設施進一步分類分級。

二、關鍵信息基礎設施安全保護中涉及的關鍵問題

關鍵基礎設施及關鍵信息基礎設施的“關鍵”是指這些設施一旦遭到破壞，會對國家安全、經濟穩定和公眾安全產生嚴重影響。因此，關於關鍵信息基礎設施安全保護中的關鍵問題，也應圍繞其一旦遭到破壞可能對國計民生產生的影響來分析。從宏觀層面來講，關鍵信息基礎設施安全保護應著重關注以下三個方面的問題。

1.業務連續能力

業務連續能力是關鍵信息基礎設施安全保護中需要解決的首要問題。如前所述，關鍵信息基礎設施的“關鍵”就在於國計民生對其的高度依賴關系，因此需要關鍵信息基礎設施具備“不間斷可靠供給”的能力。以國外為例，1998年美國簽署的《關於保護美國關鍵基礎設施的第63號總統令》中要求“採取所有必要的措施來迅速減弱關鍵基礎設施——尤其是信息系統——在面臨物理和信息攻擊時的任何重大脆弱性”。2003年2月美國發布的《網絡空間安全國家戰略》中所列的網絡空間安全的戰略目標中包括“降低國家在網絡攻擊前的脆弱性”和“縮短網絡攻擊發生后的破壞和恢復時間”。《草案》充分認識到了業務連續能力對於關鍵信息基礎設施的重要性，第二十七、二十八條兩條從規劃建設、使用管理、人員配置、容災備份、應急處置等多個方面做出規定，來規范關鍵信息基礎設施的業務連續能力。

2.自主可控

自主可控一向被認為是保障網絡安全、信息安全的基本前提。關鍵信息基礎設施安全事關國家命脈，自主可控顯得尤為重要。然而，自主可控設備目前還不能完全覆蓋我國關鍵信息基礎設施建設和運行管理的要求，關鍵信息基礎設施的部分設備和部件短期難以擺脫依賴進口的局面。因此，基於我國國情，現階段在關鍵信息基礎設施的建設和運行管理中必須有輔助措施來增強關鍵信息基礎設施的可控性。為此《草案》在第十九條中對網絡關鍵設備和網絡安全專用產品的認証檢測提出了要求，在第二十九條和第三十條對關鍵信息基礎設施採購網絡產品做出了保密和安全審查方面的要求。

3.數據安全

由於傳統關鍵基礎設施普遍性的信息化、網絡化趨勢，關鍵信息基礎設施集中承載著越來越多的敏感數據，這些數據事關社會穩定和國家安全。隨著大數據、雲計算、移動互聯網等技術的發展，數據的價值得到了大幅度提升，這一方面促進了社會經濟發展，另一方面也誘發了越來越多的數據安全問題，尤其是各類重要信息系統中的敏感數據，成為網絡黑客和間諜機構的重要攻擊目標。為此，《草案》除對網絡數據安全問題（第十七條、第二十二條）和公民個人信息保護（第三十四條至第三十九條）做了一般性規定之外，還在第三十一條中對關鍵信息基礎設施運營者收集的公民個人信息等重要數據的出境存儲加以限制。然而，關鍵基礎設施所承載的重要數據絕不僅限於公民個人信息，還有相當部分的數據需要限制出境存儲，建議《草案》在后續修訂中能夠對這一部分加以補充完善。

綜上，《草案》對於關鍵信息基礎設施安全保護中涉及的業務連續能力、自主可控、數據安全等關鍵問題均給予了足夠關注，做出了一些原則性的規定。作為一部以宏觀指導為主要目的的法律，《網絡安全法（草案）》不可能關注過多的細節，建議以這部法律為基礎制定的后續相關法規條例和技術規范能夠根據實際操作的需要進一步細化這些方面的規定。

三、關鍵信息基礎設施安全保護中各方實體的責任和義務

關鍵信息基礎設施的運營中涉及三類主體，國家（包括相關主管部門）、關鍵信息基礎設施運營者和關鍵信息基礎設施的使用者。《草案》對關鍵信息基礎設施運營者責任和義務的規定比較明確和全面，對國家（相關主管部門）在關鍵信息基礎設施安全保護中的責任規定主要側重於監督指導方面，對關鍵信息基礎設施的使用者的責任和義務則基本沒有做出特別規定（僅限於第九條的一般性規定）。

基於關鍵信息基礎設施對於國計民生的至關重要地位，筆者建議《國家安全法》或其他后續相關立法能夠對於關鍵信息基礎設施安全保護中的使用者義務和國家義務進行明確。

1.關鍵信息基礎設施安全保護中的使用者義務

近年來，由於用戶惡意或不當使用導致的關鍵信息基礎設施服務中斷事件並不罕見，例如2009年的“5.19”全國性斷網事件，2013年8月25日的國家頂級域名遭受攻擊事件等等。由於互聯網系統的開放性，很難通過技術手段去限制用戶對系統的不當使用和濫用，因此，為了充分保障關鍵信息基礎設施安全，有必要對於用戶在關鍵信息基礎設施安全保護中的義務予以明確。

2.關鍵信息基礎設施安全保護中的國家義務

在實際運營中，可能發生運營者依靠自身能力已經不足以保障關鍵信息基礎設施安全的情形發生。在此情況下，必須依靠外力的介入來保障關鍵信息基礎設施安全，進而保障國家安全。為此《草案》在第三十三條中提出了 “（國家相關部門）對網絡安全事件的應急處置與恢復等，提供技術支持與協助”。然而，針對關鍵信息基礎設施的應急處置和恢復涉及較高的資源投入，這條規定在具體執行中可能會變得難以操作。因此，國家有必要針對一些特別重要的關鍵信息基礎設施建立一套應急備份和災難恢復機制，為關鍵信息基礎設施提供國家層面的救助義務。

四、對於我國網絡安全立法后續工作的建議

面向社會公眾征求意見以來，《草案》引起了各界人士的廣泛關注，引發了線上線下熱烈討論，征求到了來自各界人士的大量意見建議，體現了全國各界人士對於我國網絡空間安全問題的高度重視和熱情參與。

網絡安全立法是一個體系性的工作，《草案》的公布僅僅是一個開始，當前的《草案》版本已經給我們描繪出了一個廣闊的國家網絡空間安全體系的藍圖。下一步，立法機構應該在充分吸納各方意見建議的基礎上盡快修訂完善這部法律草案，盡早提請全國人大常委會審議並頒布施行，為我國的網絡強國建設提供堅實的制度保障。

雖然《網絡安全法（草案）》仍然處於立法過程之中，但是鑒於我國網絡安全保護工作的迫切性，《草案》中已經提及的網絡安全等級保護辦法、關鍵信息基礎設施保護辦法、網絡安全審查辦法等制度建設工作應盡早啟動，《草案》中規定的國家網絡安全戰略制定、行業性網絡安全規劃編制實施、網絡安全標准體系建設、網絡安全技術創新支持體系建設等工作也應提前展開，全面加速我國網絡空間安全體系建設的步伐。 

（來源：中國信息安全）