關鍵信息基礎設施保護制度的國際接軌與中國特色
——《網絡安全法》亮點解讀

顧 偉

(阿里巴巴集團法務部法律研究中心，北京 100102)

關鍵信息基礎設施保護制度的國際接軌與中國特色
——《網絡安全法》亮點解讀

顧 偉

(阿里巴巴集團法務部法律研究中心，北京 100102)

20世紀末以來，隨著信息通信技術迅速滲透，基礎網絡和重要信息系統安全風險大幅度增加，出于對基礎設施重要信息系統安全保護重要性的認識，我國及西方國家都在不斷探索完善本國的網絡安全保護制度。鑒于網絡的互聯互通與市場機制，各國在制度的頂層設計與具體措施方面既有本地化選擇，更形成了諸多國際性的特征。本文對我國《網絡安全法》中關鍵信息基礎設施保護制度的二元化現象進行了解讀，并在此基礎上對制度建構進行了初步探索。

網絡安全;關鍵信息基礎設施;安全審查

0 引言

2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《網絡安全法》。正式發布的法律在整體維持二審稿關鍵信息基礎設施保護制度頂層設計的基礎上，對關鍵信息基礎設施保護予以進一步完善，包括增加重要行業和領域的范圍列舉；增加對攻擊、侵入、干擾、破壞我國關鍵信息基礎設施的境外機構、組織、個人的懲戒措施等。

通過對關鍵信息基礎設施的認定標準、基本范圍、管理機制等進行頂層設計，以及對關鍵基礎設施的運營管理、數據存儲、安全評估和安全保護提出基本要求，《網絡安全法》已初步搭建起關鍵信息基礎設施保護的基本制度架構，并將其確立為我國信息網絡安全保護的基礎制度之一。這也標志著中國網絡安全治理正式邁入了法治化軌道，為加快推進法治中國和網絡強國戰略提供堅實保障。

1 與國際接軌的頂層設計與基本制度

從整體架構看，我國關鍵信息基礎設施保護制度基本實現了與國際接軌。縱觀互聯網較為發達的國家和地區，多以關鍵（信息）基礎設施保護為基礎，建立信息網絡安全保護制度，對基礎信息網絡和重要信息系統等的安全進行重點保護。我國與美國、歐洲國家等在關鍵（信息）基礎設施方面的共通性比較明顯。主要體

現在：

一是將重要行業和關鍵領域納入關鍵信息基礎設施保護范疇，乃國際慣例。例如，美國2013年奧巴馬政府第21號總統令確定了通訊、金融服務、信息技術等16類關鍵基礎設施部門[1]；歐盟《2008/114/EC號指令》確立了8大類的關鍵信息基礎設施，歐洲議會2012年通過的關鍵信息基礎設施保護決議中，則進一步提出將信息通信技術行業、金融服務等納入關鍵基礎設施范疇。[2]我國《網絡安全法》三審稿則明確將“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務”等確定為重要行業和領域。

二是將關鍵信息基礎設施限定在對一國經濟社會生活極其重要，若失效或破壞會對國家安全、經濟安全、社會生活產生重大負面影響的信息系統和設施，是發達國家立法的通行做法。例如美國克林頓政府第63號總統令《對關鍵基礎設施保護的政策》將關鍵基礎設施定義為：“對國家至關重要的物理和網絡系統與資產,它們失去能力或被破壞將會使國家安全、國家經濟安全和國家公共衛生與安全受到削弱。”[3]歐盟《2008/114/EC號指令》亦采取類似定性。我國《網絡安全法》三審稿也明確將“一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”納入保護的范圍。

三是將自愿參與作為關鍵信息基礎設施保護的重要機制。美國《2002年關鍵基礎設施信息保護法》（Critical Infrastructure Information Act of 2002）規定關鍵基礎設施機構可以自愿向國土安全部提交關鍵基礎設施及其保護系統的網絡安全威脅信息，以及時發現并處理關鍵基礎設施信息系統的缺陷，為機構和公眾提供預警和評估參考。2015年12月底通過的《網絡安全信息共享法》（Cybersecurity Information Sharing Act of 2015）則對私營機構向政府共享信息進行了制度化設計，進一步消除共享的法律障礙，鼓勵各公私單位自愿分享網絡安全信息。我國《網絡安全法》在二審稿中就已經明確提出，國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。可以預見，自愿性的網絡安全信息共享將是這種自愿參與的主形式之一。

2 具有中國特色的網絡安全管理機制

我國自20世紀90年代起即開始推進信息網絡等級保護制度，構建中國特色的基礎網絡和重要信息系統的保護制度，因此《網絡安全法》在設計關鍵信息基礎設施保護制度之時，尤為注意與我國傳統信息網絡安全管理制度的有序銜接。并且，正如習近平總書記在4.19講話中指出的，“國家關鍵信息基礎設施面臨較大風險隱患，網絡安全防控能力薄弱”，因此《網絡安全法》還對關鍵信息基礎設施保護的若干重點環節，專門提出具有中國特色的管理要求。主要體現在：

一是在《國家安全法》確立的信息網絡產品與服務的國家安全審查制度基礎上，進一步提出了關鍵信息基礎設施運營者采購網絡產品和服務的網絡安全審查制度。西方國家對關系國家安全的信息技術軟硬件產品、服務，也會進行檢測、評估以確定是否符合既定安全標準或安全需求的行為，但只是在具體使用中，基本不直接采用“網絡安全審查”（Cyber Security

Review）或類似的表述，多數國家通過法律、政策或標準等多元方式，對涉及政府采購等國家安全領域的信息技術產品和服務，進行安全測評或者認證。

當然，《網絡安全法》對網絡安全審查只是進行了原則性規定，在實施細則出臺之前，還談不上與西方相關制度之間存在本質不同。并且，西方國家并不反對那些不具歧視性的正常網絡安全政策。2015年初，美國貿易代表發言人稱：“我們認為各國必須采取措施以改善IT軟件和硬件的網絡安全性，但是不應利用這種政策來歧視美國企業，阻止他們向中國市場提供產品和服務。”[4]

二是確立了關鍵信息基礎設施的重要數據跨境安全評估制度。《網絡安全法》要求，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的公民個人信息和重要業務數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。西方國家基本不會在法律中或者政策中明確對關鍵信息基礎設施的數據跨境轉移提出法律要求，類似外商投資安全審查、政府采購、重要信息系統安全等領域中，通過安全協議、安全評估等非顯性法律要求的形式，對數據存儲提出或非公開的、或基于政策的、或基于標準的具體約束性要求。

比較而言，我國的《網絡安全法》在關鍵信息基礎設施數據跨境安全評估方面與西方國家的最大不同之處，在于其將個人信息和重要業務數據的跨境轉移安全評估，從非顯性的、偏碎片化要求明確提升到制度化的高度，相關數據的評估不再是具體事項中的國家安全考慮。因此，從某種程度上說，若嚴格執行《網絡安全法》中的數據跨境安全轉移，或許會在關鍵信息基礎設施保護的力度和范圍上強于西方國家。但值得注意的是，如前述，西方國家相關重要數據的安全評估，其是不專門針對關鍵信息基礎設施的，而是國家安全相關領域。

三是確立在網絡安全等級保護制度的基礎上，實行關鍵信息基礎設施的重點保護。我國已自主發育形成了具有中國特色的信息網絡安全制度。我國等級保護制度始于1994年發布的《計算機信息系統安全保護條例》（國務院第147號令），單純從時間而言，我國等級保護制度正式出現甚至早于美國等國關鍵信息基礎設施保護制度[5]，只是在基礎標準上，借鑒參考了國外相關實踐。例如，1999年發布的《計算機信息系統安全等級保護劃分準則》即源自1983年美國國家計算機安全中心（NCSC）制定的可信計算機系統評估準則（TCSEC）。TCSEC與CCPECT、FC以及歐洲四國標準ITSEC共同轉化為國際通用標準CC，最終被國際標準化組織ISO吸納成為ISO15408，我國等級保護相關標準也多參照ISO15408。

然而，西方國家的關鍵信息基礎設施保護并未將前述標準作為關鍵信息基礎設施保護的基礎標準。例如，美國國家標準技術研究院（NIST）發布的《提升美國關鍵基礎設施網絡安全的框架規范》[6]提出美國的關鍵基礎設施信息安全防護體系框架分為識別、保護、偵測、響應和恢復五個層面，是一種基于生命周期和流程的風險防控體系，主要標準是ISO/IEA27001和聯邦政府信息和組織的安全控制措施NIST SP800-53

等。因此，我國等級保護制度與關鍵信息基礎設施保護制度也是可以從管理機制上加以區分的，適用不同的評價標準。當然，同一機構可能會面臨既已適用等級保護，也要適用關鍵信息基礎設施保護要求的沖突，這一矛盾需要國家有關部門抓緊出臺具體的實施辦法予以化解。

建議考慮等級保護制度比信息系統安全技術要求規定相對完備的現實情況，將對關鍵信息基礎設施的規范重點，轉向信息系統全生命周期的管理要求。

3 對關鍵信息基礎設施保護具體辦法的展望

縱觀國外關鍵信息基礎保護設施制度，我們發現相關政策法律不僅是對認定范圍、管理體系和保護程序作出規定，還重點引入信息共享、風險評估、應急處置以及公私合作等具體保護機制。鑒于我國關鍵信息基礎設施保護的制度基礎，可以預見《網絡安全法》后續的實施規定中，勢必也需要對相關重點問題予以回應。包括：

一是進一步明確關鍵信息基礎設施保護的部門分工。國外通過法律確定頂層設計后，重視通過配套規則明確部門分工。例如，美國《2002年國土安全法》（Homeland Security Act of 2002）要求國土安全部統籌負責關鍵基礎設施保護等工作，2013年發布的《保護關鍵基礎設施之安全和可恢復的總統令》，又進一步調整細化了國土安全部與相關聯邦部門的分工，明確了國土安全部統籌評估認定與若干領域單獨負責、協同負責，以及金融、環保、農業、能源等專業行政領域相應行業主管部門負責的管理體制。[1]鑒于《網絡安全法》對部門分工的模糊表述，明確分工將是必要選擇。

二是明確關鍵信息基礎設施的認定標準和程序。國外法律傾向在高位階法律明確關鍵信息基礎設施保護的同時，通過行政立法的方式規定關鍵信息基礎設施的認定標準及程序。美國國土安全部于2003年12月發布第7號令《關鍵基礎設施識別、優先級和保護》[7]，明確關鍵基礎設施的認定標準、相關部門工作分工等；2015年7月德國聯邦參議院新通過的《聯邦信息技術安全法》（IT Security Act ，ITSG），授權聯邦內政部征詢具體主管部門及產學研代表后認定關鍵基礎設施，為此聯邦內政部需要制定關鍵基礎設施的具體認定標準和程序。我國《網絡安全法》的后續實施，最受關注的重點之一，也將是如何認定關鍵信息基礎設施，包括認定程序等。

三是對網絡安全信息共享等關鍵信息基礎設施保護的核心要求予以制度化。廣義上，信息共享機制包括聯絡機構設置、安全風險預警、安全信息共享等系列制度。因為關鍵信息基礎設施多為私營組織控制，所以信息共享機制的重點是是推動私營部門自愿參與共享。除前文中的美國做法外，歐盟2004年也開始通過網絡與信息安全局（ENISA）建設歐洲信息共享和預警系統（EISAS），2016年歐洲通過的《網絡與信息安全指令》將會以更大范圍推動信息共享的標準化與自愿報告機制形成。[8]當前我國除漏洞等領域，網絡安全威脅共享機制還遠未成熟，社會參與度并不高。有必要對關鍵信息基礎設施安全信息共享的主體與內容、范圍與程序、信息脫敏與公開等問題予以進一步規定。

四是進一步明確關鍵信息基礎設施的風險

評估與應急響應機制。評估關鍵信息基礎設施的風險，同時建立相應的應急響應機制是預防和化解風險的有效措施。前述美國的關鍵基礎設施保護的核心內容是通過政府提供的多種風險評估方法，來識別風險和威脅，進而確定組織的信息安全需求，選擇風險控制措施。加拿大于2014年推出的全風險安全管理機制，包括關鍵基礎設施的風險評估、行業性工作計劃和國家示范方案等。我國已在等級保護實施中積累較多評估標準和經驗，但主要側重于信息安全產品評估和信息系統技術構建，因此有必要通過立法推動體系化、重管理的風險評估及響應機制的形成。

需要明確的是，評估過程中的信息安全問題需要格外重視。美國2013年發布的《提高關鍵基礎設施網絡安全的行政令》即在“識別關鍵基礎設施的最大風險”時指出“不得依據本規定識別任何商業信息技術產品或消費者信息技術服務”。[9]

最后有必要明確關鍵信息基礎設施保護過程中，相關主體的法律責任。政府有責任嚴格落實關鍵信息基礎設施保護。這里的“政府”可參考國際慣例，將相關國有企事業單位囊括進入。例如《美國法典》第44章第3502條所規定的聯邦政府機構（Agency），是指“任何行政部門、軍事部門、政府公司、政府控股的公司，或者政府行政部門內設其他機構，或者任何獨立的監管機構等”。我國關鍵信息基礎設施保護與國外的一重大差別在于，國外關鍵信息基礎設施多數為私營組織控制，而我國則有很大一部分屬于國有企事業單位。所以，法律應當尤為重視相關國有企事業單位的法律責任。

此外，相關私營組織的法律責任也需要明確。國外對此一般按照是否為政府提供商業產品或服務區分不同的責任。建議我國也作符合國際慣例的分類管理，對明確被認定為典型關鍵信息基礎設施的，適用強安全保障責任；對不參與政府采購的，且不在典型關鍵信息基礎設施范圍的，在自愿參與基礎上，進一步確立免責機制，并以公私伙伴關系和一定激勵機制的形式推出。

4 結語

綜上，我國已經通過《網絡安全法》初步建立起既接軌國際也具中國特色的關鍵信息基礎設施保護制度。這既是我國加強網絡安全保護的客觀需要，也是我國網絡安全保護主動融入全球治理的必然選擇，對形成中國特色且符合國際慣例的網絡空間治理體系至關重要。在后續立法過程中，建議進一步考慮到關鍵信息基礎設施保護與相關制度的銜接；考慮到政府（包括國有企事業單位）與私營組織分別控制的關鍵信息基礎設施保護制度差異，在充分調動私營組織參與的同時，避免對一般商業信息安全產品和服務提出超出WTO規則和國際慣例以外的法律要求；考慮在通過頂層設計對各負責部門明確授權的同時，通過規范的認定標準等程序性設計，劃清權力與市場邊界，明確分工，落實責任。

[1] The White House, Presidential Policy Directive, Critical Infrastructure Security and Resilience [S]. 2013.2.12.

[2] Council of the European Union, Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection [S]. 2008.8.12.

[3] The White House, Presidential Decision Directive 63, The Clinton Administration's Policy on Critical Infrastructure Protection [S]. 1998.5.22.

[4] 侯雪蘋. 美國對中國IT行業監管規定表示關切[EB/OL]. （2015-01-30）[2016-11-03]. http://cn.reuters.com/article/china-techsecurity-ustr-idCNKBS0L30C320150130.

[5] 顧偉. 美國關鍵信息基礎設施保護與中國等級保護制度的比較研究及啟示[J]. 電子政務，2015（7）：93-95.

[6] National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity[S]. 2014.2.12.

[7] DHS. Homeland Security Presidential Directive 7, Critical Infrastructure Identification, Prioritization, and Protection [S]. 2015.9. 22.

[8] European Parliament and of the Council, Directive (EU) 2016/1148 of concerning measures for a high common level of security of network and information systems across the Union [S]. 2016.7.19.

[9] The White House, Executive Order 13636, Improving Critical Infrastructure Cybersecurity [S]. 2013.2.12.

顧偉，阿里巴巴集團法務部法律研究中心副主任，中國社科院研究生院法學博士，主要研究方向為數據保護與網絡安全法。

International Practice and Chinese Characteristics Integrated in Newly Critical Information Infrastructure Protection——The Perspective of China Cybersecurity Law

GU Wei
(Alibaba Group ，Center for Law Studies, Beijing 100102,China)

Since the end of the 20th century, with the rapid development of information and communication technology and increasing risk of critical information system and network, China and Western countries are constantly exploring and improving their own cyber security management system. In view of the network interconnection and market mechanism, countries not only have the localization choice in the top-level design and the concrete measure, but also formed a number of international characteristics. The paper explains the duality of the critical information infrastructure protection in China's "Cyber Security Act", and makes a preliminary exploration of the system construction on this basis.

Cybersecurity ;Critical Information Infrastructure ;Cyber Security Review

D99

A

1009-8054(2016)11-0048-06

2016-07-06