网络安全立法中的关键信息基础设施保护问题

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》（以下简称《草案》），并于2015年7月6日在中国人大网公布，向社会公开征求意见。

总体来看，这部法律草案推出的意义非常重大，符合时代发展的要求。目前，在对互联网进行必要的管理这个基本问题上，全球主要国家已经达成共识，各国也在近几年纷纷出台相应的法律法规。中国作为一个互联网大国，在捍卫国家网络安全方面一直有明确的态度，也一直在进行探索和实践。把我国捍卫国家网络安全的相关准则和已有的一些实践经验上升为法律制度，制定符合我国网络空间安全需求的《网络安全法》，既可以很好地为国家各相关部门依法治国、依法治网提供法律支撑，也更有利于为我国与其他国家就网络安全问题开展战略博弈和相关合作提供法律依据。

设专节对关键信息基础设施的运行安全做出规定，是《草案》的亮点之一。《草案》第三章第二节共计九条内容，专门用于规范关键信息基础设施的运行安全，占据了相当的篇幅。这体现了我国对关键信息基础设施安全的高度重视，也使得我国未来关键信息基础设施的安全管理、安全保护、安全检查等工作的开展有了重要的法律依据。

关键信息基础设施安全是网络空间安全的命脉所在，纵观世界各国的网络安全相关立法，关键信息基础设施安全都是非常重要的内容。下面笔者从自身感受来谈谈网络安全立法中对关键信息基础设施的保护问题。

一、关键信息基础设施的界定

“关键信息基础设施”（Critical Information Infrastructure）是由“关键基础设施”（Critical Infrastructure）一词发展而来。关键基础设施一词由来已久，虽然各国对关键基础设施具体定义存在较大差别，但是对其范畴和边界的理解总体趋向一致，认为关键基础设施是指社会经济运转所严重依赖的产品、服务、系统和资产总和，一旦这些设施遭到破坏，会对国家安全、经济稳定和公众安全产生严重影响。具体到关键信息基础设施，可以从两个方面来理解：一个是信息基础设施中的关键部分，一个是关键基础设施中的信息部分，前者通常包括电信网络、广播电视网络、域名系统、电子签名认证系统等，后者即我们通常所说的重要信息系统。实际上，随着信息技术的发展，国家关键基础设施普遍网络化和信息化，这两个方面的融合度已经越来越高。

由于网络信息技术一直处于快速发展之中，关键信息基础设施的定义也在不断地发展演进，导致各方对国家关键信息基础设施的认识存在不同层面上的差异。《草案》中对关键信息基础设施未做明确定义，而是给了一个范围上的界定描述：“提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统。”这样一种表述方式可以有效地避免关于概念本身的争议，增强这部法律未来的可实施性。

然而，在实际操作中，关于关键信息基础设施的界定仍然可能面临一些操作上的困难，在关于《草案》的多次线上、线下研讨中也有很多专家学者提到了这方面的问题。在此，笔者有三方面的建议，一是建议全国人大法工委根据征集到的各方意见在《网络安全法（草案）》中进一步明确对关键信息基础设施的界定；二是建议在未来国务院制定的关键信息基础设施安全保护办法中制定更加可操作的关键信息基础设施划定方法；三是建议关键信息基础设施划定与网络安全等级保护制度充分结合，通过综合量化评估的方式来划定关键信息基础设施，并在此基础上对关键信息基础设施进一步分类分级。

二、关键信息基础设施安全保护中涉及的关键问题

关键基础设施及关键信息基础设施的“关键”是指这些设施一旦遭到破坏，会对国家安全、经济稳定和公众安全产生严重影响。因此，关于关键信息基础设施安全保护中的关键问题，也应围绕其一旦遭到破坏可能对国计民生产生的影响来分析。从宏观层面来讲，关键信息基础设施安全保护应着重关注以下三个方面的问题。

1.业务连续能力

业务连续能力是关键信息基础设施安全保护中需要解决的首要问题。如前所述，关键信息基础设施的“关键”就在于国计民生对其的高度依赖关系，因此需要关键信息基础设施具备“不间断可靠供给”的能力。以国外为例，1998年美国签署的《关于保护美国关键基础设施的第63号总统令》中要求“采取所有必要的措施来迅速减弱关键基础设施——尤其是信息系统——在面临物理和信息攻击时的任何重大脆弱性”。2003年2月美国发布的《网络空间安全国家战略》中所列的网络空间安全的战略目标中包括“降低国家在网络攻击前的脆弱性”和“缩短网络攻击发生后的破坏和恢复时间”。《草案》充分认识到了业务连续能力对于关键信息基础设施的重要性，第二十七、二十八条两条从规划建设、使用管理、人员配置、容灾备份、应急处置等多个方面做出规定，来规范关键信息基础设施的业务连续能力。

2.自主可控

自主可控一向被认为是保障网络安全、信息安全的基本前提。关键信息基础设施安全事关国家命脉，自主可控显得尤为重要。然而，自主可控设备目前还不能完全覆盖我国关键信息基础设施建设和运行管理的要求，关键信息基础设施的部分设备和部件短期难以摆脱依赖进口的局面。因此，基于我国国情，现阶段在关键信息基础设施的建设和运行管理中必须有辅助措施来增强关键信息基础设施的可控性。为此《草案》在第十九条中对网络关键设备和网络安全专用产品的认证检测提出了要求，在第二十九条和第三十条对关键信息基础设施采购网络产品做出了保密和安全审查方面的要求。

3.数据安全

由于传统关键基础设施普遍性的信息化、网络化趋势，关键信息基础设施集中承载着越来越多的敏感数据，这些数据事关社会稳定和国家安全。随着大数据、云计算、移动互联网等技术的发展，数据的价值得到了大幅度提升，这一方面促进了社会经济发展，另一方面也诱发了越来越多的数据安全问题，尤其是各类重要信息系统中的敏感数据，成为网络黑客和间谍机构的重要攻击目标。为此，《草案》除对网络数据安全问题（第十七条、第二十二条）和公民个人信息保护（第三十四条至第三十九条）做了一般性规定之外，还在第三十一条中对关键信息基础设施运营者收集的公民个人信息等重要数据的出境存储加以限制。然而，关键基础设施所承载的重要数据绝不仅限于公民个人信息，还有相当部分的数据需要限制出境存储，建议《草案》在后续修订中能够对这一部分加以补充完善。

综上，《草案》对于关键信息基础设施安全保护中涉及的业务连续能力、自主可控、数据安全等关键问题均给予了足够关注，做出了一些原则性的规定。作为一部以宏观指导为主要目的的法律，《网络安全法（草案）》不可能关注过多的细节，建议以这部法律为基础制定的后续相关法规条例和技术规范能够根据实际操作的需要进一步细化这些方面的规定。

三、关键信息基础设施安全保护中各方实体的责任和义务

关键信息基础设施的运营中涉及三类主体，国家（包括相关主管部门）、关键信息基础设施运营者和关键信息基础设施的使用者。《草案》对关键信息基础设施运营者责任和义务的规定比较明确和全面，对国家（相关主管部门）在关键信息基础设施安全保护中的责任规定主要侧重于监督指导方面，对关键信息基础设施的使用者的责任和义务则基本没有做出特别规定（仅限于第九条的一般性规定）。

基于关键信息基础设施对于国计民生的至关重要地位，笔者建议《国家安全法》或其他后续相关立法能够对于关键信息基础设施安全保护中的使用者义务和国家义务进行明确。

1.关键信息基础设施安全保护中的使用者义务

近年来，由于用户恶意或不当使用导致的关键信息基础设施服务中断事件并不罕见，例如2009年的“5.19”全国性断网事件，2013年8月25日的国家顶级域名遭受攻击事件等等。由于互联网系统的开放性，很难通过技术手段去限制用户对系统的不当使用和滥用，因此，为了充分保障关键信息基础设施安全，有必要对于用户在关键信息基础设施安全保护中的义务予以明确。

2.关键信息基础设施安全保护中的国家义务

在实际运营中，可能发生运营者依靠自身能力已经不足以保障关键信息基础设施安全的情形发生。在此情况下，必须依靠外力的介入来保障关键信息基础设施安全，进而保障国家安全。为此《草案》在第三十三条中提出了 “（国家相关部门）对网络安全事件的应急处置与恢复等，提供技术支持与协助”。然而，针对关键信息基础设施的应急处置和恢复涉及较高的资源投入，这条规定在具体执行中可能会变得难以操作。因此，国家有必要针对一些特别重要的关键信息基础设施建立一套应急备份和灾难恢复机制，为关键信息基础设施提供国家层面的救助义务。

四、对于我国网络安全立法后续工作的建议

面向社会公众征求意见以来，《草案》引起了各界人士的广泛关注，引发了线上线下热烈讨论，征求到了来自各界人士的大量意见建议，体现了全国各界人士对于我国网络空间安全问题的高度重视和热情参与。

网络安全立法是一个体系性的工作，《草案》的公布仅仅是一个开始，当前的《草案》版本已经给我们描绘出了一个广阔的国家网络空间安全体系的蓝图。下一步，立法机构应该在充分吸纳各方意见建议的基础上尽快修订完善这部法律草案，尽早提请全国人大常委会审议并颁布施行，为我国的网络强国建设提供坚实的制度保障。

虽然《网络安全法（草案）》仍然处于立法过程之中，但是鉴于我国网络安全保护工作的迫切性，《草案》中已经提及的网络安全等级保护办法、关键信息基础设施保护办法、网络安全审查办法等制度建设工作应尽早启动，《草案》中规定的国家网络安全战略制定、行业性网络安全规划编制实施、网络安全标准体系建设、网络安全技术创新支持体系建设等工作也应提前展开，全面加速我国网络空间安全体系建设的步伐。 

（来源：中国信息安全）