網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施范圍研究

崔 聰 聰

(北京郵電大學 互聯(lián)網(wǎng)治理與法律研究中心，北京100876)

?

網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施范圍研究

崔 聰 聰

(北京郵電大學 互聯(lián)網(wǎng)治理與法律研究中心，北京100876)

關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵——“國家安全、國計民生和公共安全”，是確定關(guān)鍵信息基礎(chǔ)設(shè)施范圍的基礎(chǔ)。《網(wǎng)絡(luò)安全法》第三十一條的“公共利益”應限縮解釋為“公共安全”。關(guān)鍵信息基礎(chǔ)設(shè)施包括：信息基礎(chǔ)設(shè)施中的關(guān)鍵部分，如電信網(wǎng)絡(luò)、廣播電視網(wǎng)絡(luò)等；關(guān)鍵基礎(chǔ)設(shè)施中的信息部分，即重要信息系統(tǒng)。由于“用戶數(shù)量眾多”過于模糊，所以不宜將其列為界定關(guān)鍵信息基礎(chǔ)設(shè)施的標準。

關(guān)鍵信息基礎(chǔ)設(shè)施；國家安全；公共安全

網(wǎng)絡(luò)社會，國家安全、經(jīng)濟繁榮以及人民福祉嚴重地依賴“關(guān)鍵基礎(chǔ)設(shè)施”這一復雜的動態(tài)巨系統(tǒng)。長久以來，關(guān)鍵信息基礎(chǔ)設(shè)施一直是網(wǎng)絡(luò)入侵的重要目標。近期，關(guān)鍵信息基礎(chǔ)設(shè)施的威脅在急劇增加，針對關(guān)鍵信息基礎(chǔ)設(shè)施的新型攻擊技術(shù)手段層出不窮，金融、能源、關(guān)鍵制造、電力、交通等重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻擊的主要對象。網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施的重要性及其所面臨的嚴峻形勢，使其成為各國網(wǎng)絡(luò)安全立法的核心問題，各國紛紛出臺網(wǎng)絡(luò)空間安全戰(zhàn)略、法律和政策，對關(guān)鍵基礎(chǔ)設(shè)施保護進行制度安排。

一、關(guān)鍵信息基礎(chǔ)設(shè)施面臨的威脅

互聯(lián)網(wǎng)本身的脆弱性與關(guān)鍵基礎(chǔ)設(shè)施持續(xù)運轉(zhuǎn)的需求卻可能存在尖銳矛盾。關(guān)鍵基礎(chǔ)設(shè)施間的相互關(guān)聯(lián)與耦合，在提升社會整體協(xié)同與運作效率的同時，也面臨著惡意攻擊、自然災害破壞引發(fā)的連鎖反應，可能造成跨部門、跨區(qū)域的大面積基礎(chǔ)設(shè)施受損或癱瘓并引發(fā)相應的服務(wù)中斷與缺失。這種脆弱性已成為現(xiàn)代社會的一大新的脆弱源，這種新的脆弱性與傳統(tǒng)的威脅交織在一起構(gòu)成了現(xiàn)代社會的新型危機并在社會中處于主要地位和中心地位[1]87-92。

金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標[2]。高級網(wǎng)絡(luò)攻擊已經(jīng)對基礎(chǔ)設(shè)施、金融系統(tǒng)，乃至地緣政治造成重大影響。2015年末至2016年以來，一系列針對關(guān)鍵基礎(chǔ)設(shè)施特別是工業(yè)系統(tǒng)和金融系統(tǒng)的破壞性攻擊被曝光：烏克蘭停電事件，沙特Shamoon2.0事件，孟加拉央行被竊事件，臺灣第一銀行及泰國郵政儲蓄銀行ATM被竊事件等。在未來幾年中，針對能源、交通、制造、金融、通信等領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施破壞性攻擊仍將持續(xù)加劇，安全生產(chǎn)事故，甚至是安全生產(chǎn)災難，隨時都有可能大規(guī)模爆發(fā)[3]。

當前，我國關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全形勢非常復雜，網(wǎng)絡(luò)運營者安全防護能力十分欠缺，工控系統(tǒng)安全隱患非常突出，黨政機關(guān)網(wǎng)站被不法分子攻擊篡改嚴重，個人信息和數(shù)據(jù)泄露實踐頻繁發(fā)生，網(wǎng)絡(luò)安全威脅的隱蔽性導致網(wǎng)絡(luò)運營者遭受重大損害時才發(fā)現(xiàn)補救。為維護國家網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，全國人大常委會于2016年11月7日通過了《網(wǎng)絡(luò)安全法》，專設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施運行安全一節(jié)，構(gòu)建起以信息共享為基礎(chǔ)，事前預防、事中控制、事后恢復與懲治的關(guān)鍵信息基礎(chǔ)設(shè)施保護體系。

二、現(xiàn)行立法中關(guān)鍵信息基礎(chǔ)設(shè)施范圍

(一)《網(wǎng)絡(luò)安全法》

科學確定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍是對其進行保護的前提。《網(wǎng)絡(luò)安全法(草案)》(以下簡稱草案)采用列舉的方式將關(guān)鍵信息基礎(chǔ)設(shè)施劃分為以下幾種類型：(1)基礎(chǔ)信息網(wǎng)絡(luò)，如公共通信、廣播電視傳輸?shù)确?wù)所依賴的網(wǎng)絡(luò)；(2)重要行業(yè)使用的網(wǎng)絡(luò)系統(tǒng)，如能源、交通、水利、金融等；(3)公共服務(wù)領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)，如供電、供水、供氣、醫(yī)療衛(wèi)生、社會保障等；(4)黨政軍機關(guān)使用的網(wǎng)絡(luò)系統(tǒng)；(5)涉及大量用戶的網(wǎng)絡(luò)服務(wù)提供者的網(wǎng)絡(luò)和系統(tǒng)。《網(wǎng)絡(luò)安全法(草案二次審議稿)》(以下簡稱二審稿)將關(guān)鍵信息基礎(chǔ)設(shè)施界定為遭到破壞、功能損壞或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的網(wǎng)絡(luò)和系統(tǒng)。《網(wǎng)絡(luò)安全法》將關(guān)鍵信息基礎(chǔ)設(shè)施界定為公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的網(wǎng)絡(luò)和系統(tǒng)*《中華人民共和國網(wǎng)絡(luò)安全法》第31條。。并授權(quán)國務(wù)院確定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。

(二)《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》及管理實踐

《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》(以下簡稱戰(zhàn)略)將關(guān)鍵信息基礎(chǔ)設(shè)施界定為事關(guān)國家安全和國計民生，數(shù)據(jù)泄露、被攻擊或者遭到破壞以及喪失功能可能嚴重危害國家安全、公共利益的網(wǎng)絡(luò)信息系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)，重要行業(yè)和重要領(lǐng)域的信息系統(tǒng)，國家機關(guān)的重要信息系統(tǒng)以及重要的互聯(lián)網(wǎng)應用系統(tǒng)等。在監(jiān)督管理實踐中，中央網(wǎng)信辦基本采用了戰(zhàn)略的規(guī)定，將關(guān)鍵信息基礎(chǔ)設(shè)施界定為面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐重要行業(yè)運行的信息系統(tǒng)以及工業(yè)控制系統(tǒng)，上述系統(tǒng)關(guān)涉國家安全或者公民的人身和財產(chǎn)安全[4]。

(三)評述

從立法技術(shù)層面分析，草案采用列舉方式界定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，具體包括以下四個層面：(1)基礎(chǔ)信息網(wǎng)絡(luò)；(2)重要行業(yè)和公共服務(wù)的重要信息系統(tǒng)；(3)軍政網(wǎng)絡(luò)；(4)用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)。二審稿與草案截然相反，采用描述本質(zhì)特征的方式界定關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和范圍。最終通過的《網(wǎng)絡(luò)安全法》采取折中方式，在列舉重要行業(yè)和領(lǐng)域的基礎(chǔ)上，采用描述本質(zhì)特征的概括式條款界定關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵與外延。

值得注意的是，二審稿刪除了“用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)”，最終通過的《網(wǎng)絡(luò)安全法》亦沒有出現(xiàn)上述表述。那么，被百度、騰訊和阿里巴巴等網(wǎng)絡(luò)服務(wù)提供者關(guān)心的“用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)”是否被明確排除在關(guān)鍵信息基礎(chǔ)設(shè)施范圍之外，“用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)”能否解釋為關(guān)涉“公共利益的網(wǎng)絡(luò)和系統(tǒng)”，國務(wù)院在確定關(guān)鍵信息基礎(chǔ)設(shè)施具體范圍時應遵循什么樣的原則和標準，亟待理論與立法予以澄清。戰(zhàn)略沿襲《網(wǎng)絡(luò)安全法》的規(guī)定，采取“列舉+概括”方式界定關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和范圍。需要指出的是，戰(zhàn)略提到的“重要互聯(lián)網(wǎng)應用系統(tǒng)”如何界定，能否涵蓋用戶數(shù)量眾多的網(wǎng)絡(luò)系統(tǒng)，亦需明確。

三、國外立法及啟示

(一)國外主要國家和地區(qū)立法

1.美國

1998年5月，克林頓政府頒布《第63號總統(tǒng)決策指令》(PDD-63)，將關(guān)鍵基礎(chǔ)設(shè)施界定為“物理的或基于網(wǎng)絡(luò)的、維持經(jīng)濟及政府最低程度運行所必需的系統(tǒng)”[5]116-133。2001年通過的《愛國者法》將關(guān)鍵基礎(chǔ)設(shè)施界定為對美國來說至關(guān)重要的系統(tǒng)和資產(chǎn)，無論是物理的還是虛擬的，這些系統(tǒng)或資產(chǎn)一旦喪失能力或遭受破壞將削弱國家安全、國家經(jīng)濟安全或國家公共衛(wèi)生或公共安全，或上述事項的任何組合。奧巴馬《關(guān)于改善網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)設(shè)施的行政命令》對關(guān)鍵基礎(chǔ)設(shè)施的界定沿用了《愛國者法》的規(guī)定*關(guān)鍵基礎(chǔ)設(shè)施是指對于美國極其重要的系統(tǒng)和資產(chǎn)，它們包括了物理層面的和虛擬層面的，而這些系統(tǒng)和資產(chǎn)遭到破壞會對國家經(jīng)濟安全、國家公共健康及安全構(gòu)成威脅。。2012年網(wǎng)絡(luò)安全法(未生效)將關(guān)鍵基礎(chǔ)設(shè)施界定為一旦被未經(jīng)授權(quán)地損害或者訪問，便很可能會導致生命維持服務(wù)中斷的系統(tǒng)或資產(chǎn)，這種服務(wù)中斷足以導致大規(guī)模傷亡事件、全國性長時間停工、災難性經(jīng)濟損害或者國家安全嚴重惡化。“災難性經(jīng)濟損害”是指美國金融市場、交通系統(tǒng)的崩潰或根本性破壞，或者對美國經(jīng)濟造成其他長期系統(tǒng)性的損害。但關(guān)鍵基礎(chǔ)設(shè)施不包括“商業(yè)性信息技術(shù)產(chǎn)品”[5]116-133。

從上述規(guī)定可以看出，美國關(guān)鍵基礎(chǔ)設(shè)施的內(nèi)涵相對固定，但關(guān)鍵基礎(chǔ)設(shè)施的范圍即外延處于不斷變化和調(diào)整之中。從1996年克林頓政府第13010號行政令確定的8類*關(guān)鍵基礎(chǔ)設(shè)施主要包括電信、電力系統(tǒng)、天然氣及石油的存儲和運輸、銀行和金融、交通運輸、供水系統(tǒng)、緊急服務(wù)(包括醫(yī)療，警察，消防，救援)、政府連續(xù)性等8類。到2003 年布什政府發(fā)布的《關(guān)鍵基礎(chǔ)設(shè)施和重要資產(chǎn)物理保護國家戰(zhàn)略》確定的11類*農(nóng)業(yè)與食品、水、公共衛(wèi)生、應急服務(wù)、國防工業(yè)基地、通信、能源、交通運輸、金融、化學工業(yè)與有害物質(zhì)、郵政與貨運。同時，戰(zhàn)略還提出了“關(guān)鍵資產(chǎn)”的概念，主要包括核電站、水壩、有害物質(zhì)存儲設(shè)備，以及代表國家形象的肖像、紀念館、政府與商務(wù)中心等。，再到2003年第7號總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施標識、優(yōu)先級和保護》確認的17類*國家重要基礎(chǔ)設(shè)施和關(guān)鍵資源。主要包括：信息技術(shù)、電信、化學、運輸系統(tǒng)、應急服務(wù)、郵政、船運、大壩、政府設(shè)施和商業(yè)設(shè)計、農(nóng)業(yè)、食品、公共衛(wèi)生及醫(yī)療、供水及污水處理系統(tǒng)、能源、銀行和金融業(yè)、國家紀念物和象征物、國防工業(yè)基地。，2008年，國土安全部宣布“關(guān)鍵制造業(yè)”作為第18類需要保護的國家基礎(chǔ)設(shè)施和關(guān)鍵資源，目前為2013年第21號總統(tǒng)令重新確定的16類關(guān)鍵基礎(chǔ)設(shè)施部門[6]106-108，具體類別和主管部門如下：國土安全部(化工、商業(yè)設(shè)施、通訊、關(guān)鍵制造、水利、應急服務(wù)、信息技術(shù)、核反應堆材料及其廢棄物)、國防部(國防工業(yè)基礎(chǔ))、能源部(能源)、財政部(金融服務(wù))、農(nóng)業(yè)部與衛(wèi)生和公共服務(wù)部(食品和農(nóng)業(yè))、國土安全和總務(wù)局(政府設(shè)施)、衛(wèi)生及公共服務(wù)部(醫(yī)療保健和公共健康)、國土安全部和交通部(交通運輸系統(tǒng))、環(huán)境保護局(水和污水處理系統(tǒng))。

在確定關(guān)鍵基礎(chǔ)設(shè)施部門的基礎(chǔ)上，基于防范恐怖襲擊等安全考慮，美國基礎(chǔ)設(shè)施清單采用秘密清單的方式。根據(jù)《國土安全法》授權(quán)，國土安全部確定了關(guān)鍵基礎(chǔ)設(shè)施的關(guān)鍵行業(yè)并發(fā)布了關(guān)鍵基礎(chǔ)設(shè)施分類方法，關(guān)鍵基礎(chǔ)設(shè)施清單依照以下程序確定：各州及聯(lián)邦部門制作關(guān)鍵基礎(chǔ)設(shè)施一級清單和二級清單提名；國土安全部對所有的提名進行審議，創(chuàng)建關(guān)鍵基礎(chǔ)設(shè)施清單草案；各州和聯(lián)邦部門進行復議，必要時提供進一步的資料；無異議后國土安全部通知各州和聯(lián)邦機構(gòu)最終的關(guān)鍵基礎(chǔ)設(shè)施清單[7]36-38。

2.歐盟

為應對恐怖主義危機，歐盟于2004年啟動了“關(guān)鍵基礎(chǔ)設(shè)施保護規(guī)劃”。同年10月，歐委會公布了《反恐怖主義中的關(guān)鍵基礎(chǔ)設(shè)施保護通訊》，將關(guān)鍵基礎(chǔ)設(shè)施界定為如果被中斷或被破壞的話，將會對歐盟公民的健康、安全、經(jīng)濟安全和福利，以及歐盟政府發(fā)揮有效職能造成嚴重影響的物理和信息技術(shù)設(shè)施、網(wǎng)絡(luò)、業(yè)務(wù)和資產(chǎn)，具體包括：能源裝置和網(wǎng)絡(luò)；通信和信息技術(shù)；金融(銀行、證券和投資)；衛(wèi)生醫(yī)療、食品；自來水；運輸(基建、碼頭、聯(lián)合運輸設(shè)施、鐵路和公共交通網(wǎng)絡(luò)、交通控制系統(tǒng))六大類[8]21-24。根據(jù)《歐盟關(guān)鍵基礎(chǔ)設(shè)施保護計劃綠皮書》，關(guān)鍵信息基礎(chǔ)設(shè)施(CII)指本身是關(guān)鍵基礎(chǔ)設(shè)施或?qū)τ陉P(guān)鍵基礎(chǔ)設(shè)施的運行非常關(guān)鍵的ICT系統(tǒng)(如電信、計算機/軟件、互聯(lián)網(wǎng)、衛(wèi)星等)[8]21-24。

2016年7月通過的《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》并未采用關(guān)鍵信息基礎(chǔ)設(shè)施概念，而是使用“基本服務(wù)運營商”概念。從后者的內(nèi)涵看，“基本服務(wù)”等同于通常意義上的關(guān)鍵信息基礎(chǔ)設(shè)施，具體而言，“基本服務(wù)運營商”是指通過網(wǎng)絡(luò)和信息系統(tǒng)為關(guān)鍵的社會和/或經(jīng)濟活動提供基礎(chǔ)服務(wù)的公共或私人實體，安全事件將對提供該服務(wù)產(chǎn)生顯著破壞性影響。確定“顯著破壞性影響”時，成員國應至少考慮以下跨部門因素：(1)接受服務(wù)的用戶數(shù)量；(2)對服務(wù)提供者的依賴程度；(3)安全事件在程度和持續(xù)時間方面對經(jīng)濟和社會活動或公共安全可能產(chǎn)生的影響；(4)該實體的市場份額；(5)可能受事故影響的地區(qū)范圍；(6)該實體對于維持服務(wù)的足夠水平的重要性，同時成員國應該考慮到，在適當時機，考慮替代性手段。關(guān)鍵信息基礎(chǔ)設(shè)施具體包括能源(電力、石油、天然氣)、運輸(航空運輸、鐵路運輸、內(nèi)陸水路運輸、公路運輸、遠洋運輸、短途海運以及港口)、銀行、金融市場基礎(chǔ)設(shè)施、衛(wèi)生部門、飲用水的供給和分配、數(shù)字基礎(chǔ)設(shè)施等7個領(lǐng)域。

3.德國

德國于2015年8月通過了《聯(lián)邦信息技術(shù)安全法》修正案，將關(guān)鍵基礎(chǔ)設(shè)施定義為對社會運行具有重要意義，其停運或受損將造成嚴重供應不足或危及公共安全的設(shè)施。關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，由聯(lián)邦內(nèi)政部制定法律條例進行確定。哪些機構(gòu)或部門被納入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，聯(lián)邦內(nèi)政部從以下兩個層面進行考量：一是因安全事件導致該設(shè)施停止運行或受損會造成供應瓶頸或者給公共安全造成重大危害；二是上述損害結(jié)果會影響相當數(shù)量的人口。依照上述標準，衛(wèi)生與健康、信息與通信服務(wù)、供水、能源、交通運輸、金融以及食品供應等應納入關(guān)鍵信息基礎(chǔ)設(shè)施的范疇。德國政府不會公布詳細的企業(yè)和設(shè)施清單，但明確排除了這些領(lǐng)域中的小企業(yè)[5]116-133。

4.日本

早在2000年日本即制定了“關(guān)于重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)恐怖主義對策特別行動計劃”，以保護重要基礎(chǔ)設(shè)施信息網(wǎng)絡(luò)免受恐怖主義的威脅。2004年制定了“關(guān)于重要基礎(chǔ)設(shè)施的信息安全對策基本思路”，并于2005年制定了“重要基礎(chǔ)設(shè)施信息安全行動計劃”(目前已更新至第三版)。日本《網(wǎng)絡(luò)安全戰(zhàn)略》將關(guān)鍵信息基礎(chǔ)設(shè)施界定為由提供高度不可替代且對人們?nèi)粘Ｉ詈徒?jīng)濟活動不可或缺的商業(yè)實體組成，如果其服務(wù)的職能中止，惡化或變得不可用，可能會對人們的日常生活或經(jīng)濟活動產(chǎn)生重大影響。日本《網(wǎng)絡(luò)安全基本法》第3條將關(guān)鍵基礎(chǔ)設(shè)施運營者界定為國民生活及經(jīng)濟活動的根基，其機能一旦停止或下降，將有可能給國民生活或社會經(jīng)濟活動帶來影響的事業(yè)單位的從業(yè)者。

關(guān)于重要基礎(chǔ)設(shè)施關(guān)鍵領(lǐng)域的劃定，日本最初確定了信息通信、金融、航空、鐵路、電力、燃氣、政府及行政服務(wù)七個關(guān)鍵領(lǐng)域，2005年12月增加了醫(yī)療、供排水系統(tǒng)、物流三個領(lǐng)域，2014年5月又增加了化工、信貸、石油三個領(lǐng)域。具體主管部門、領(lǐng)域及其機構(gòu)如表1所示。

表1 日本關(guān)鍵基礎(chǔ)設(shè)施主管部門、領(lǐng)域及其機構(gòu)

(二)啟示

目前，國際社會對關(guān)鍵信息基礎(chǔ)設(shè)施這一概念未形成廣泛共識。究其原因，技術(shù)變革以及威脅變化勢必帶來安全觀念的變革，關(guān)鍵基礎(chǔ)設(shè)施的范疇也將處于動態(tài)變化之中。各國在開展關(guān)鍵信息設(shè)施保護或關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護工作時，都研究提出了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，制定了關(guān)鍵信息基礎(chǔ)設(shè)施識別認定的標準和流程。

對“關(guān)鍵”的理解，主要取決于各國的政策目的，但無論是美國還是歐盟，都將關(guān)鍵基礎(chǔ)設(shè)施保護上升到維護國家安全和公共安全的高度，在界定“關(guān)鍵基礎(chǔ)設(shè)施”及其范圍時強調(diào)國家安全和公共安全。所謂的“關(guān)鍵”是指事關(guān)國家安全和公共安全，這既突出了保護的重點，也避免了將過多企業(yè)納入監(jiān)管而徒增企業(yè)負擔[5]116-133。具體而言，關(guān)鍵性既可以解釋為作為系統(tǒng)概念的關(guān)鍵性，即某個基礎(chǔ)設(shè)施或其某個組件在整個基礎(chǔ)設(shè)施系統(tǒng)中的地位非常重要，特別是其在其他基礎(chǔ)設(shè)施或部門之間起著鏈接渠道的作用，也可以解釋為其在社會中擔任的角色或發(fā)揮的功能使其與生俱來就具有關(guān)鍵性意義。

四、中國立法建議

(一)“關(guān)鍵”的內(nèi)涵

關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵——“國家安全、國計民生和公共安全”，是確定關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ)。所謂“國計民生”是指關(guān)鍵基礎(chǔ)設(shè)施所具有的功能和提供的服務(wù)，對于一個國家的正常運轉(zhuǎn)是最基本的、必要的，對社會公眾而言是不可或缺的產(chǎn)品或服務(wù)，如供水、供電以及公共通信等，諸如游戲、音樂下載等娛樂服務(wù)，因?qū)ι鐣姸圆⒎潜夭豢缮伲圆粦{入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。需要指出的是，《網(wǎng)絡(luò)安全法》第三十一條的“公共利益”應做限縮解釋為“公共安全”，公共利益的范圍遠遠大于公共安全的范圍，公共安全僅限于不特定的、多數(shù)人的健康、生命以及財產(chǎn)的安全[9]160，公共利益的范圍不限于公共安全，如社會公眾對公園的需求，可以界定為公共利益但不能認定為公共安全。從各國關(guān)鍵基礎(chǔ)設(shè)施保護立法來看，所謂的“關(guān)鍵”就是指事關(guān)國家安全和公共安全，考慮到與國際接軌的需要以及范圍過寬對企業(yè)造成的不利影響，關(guān)鍵信息基礎(chǔ)設(shè)施的“關(guān)鍵”應理解為事關(guān)國家安全、國計民生和公共安全。

(二)“關(guān)鍵”的考量因素

就被重點保護的部分而言，關(guān)鍵信息基礎(chǔ)設(shè)施一個層面是信息基礎(chǔ)設(shè)施中的關(guān)鍵部分，如電信網(wǎng)絡(luò)、廣播電視網(wǎng)絡(luò)等；另一個層面是關(guān)鍵基礎(chǔ)設(shè)施中的信息部分，即重要信息系統(tǒng)。從損害后果看，“關(guān)鍵”應理解為這些關(guān)鍵信息基礎(chǔ)設(shè)施因網(wǎng)絡(luò)安全事件而遭到破壞或在一定時間內(nèi)不能正常運轉(zhuǎn)，將會對社會公眾安全和信息安全產(chǎn)生影響，威脅國家經(jīng)濟安全，損害中國的國際競爭力以及阻礙政府和公共機構(gòu)正常運行，或者影響中國的國防能力，具體應從以下幾個方面考慮：(1)傷亡標準，即根據(jù)潛在傷亡人數(shù)進行評估；(2)經(jīng)濟影響標準，即根據(jù)經(jīng)濟損失和/或產(chǎn)品或服務(wù)退化的顯著性評估，包括潛在的環(huán)境影響；(3)公共影響標準，即根據(jù)對社會公眾信心、身體痛苦和日常生活妨害等方面的影響，包括基本服務(wù)的損失評估。

(三)用戶數(shù)量

關(guān)鍵信息基礎(chǔ)設(shè)施范圍確定合理科學，既實現(xiàn)了關(guān)鍵信息基礎(chǔ)設(shè)施進行特殊保護的立法目的，又不至于給企業(yè)增加不必要的負擔。由于“用戶數(shù)量眾多”過于模糊，所以不宜將其列為界定關(guān)鍵信息基礎(chǔ)設(shè)施的標準。美國、歐盟等將關(guān)鍵基礎(chǔ)設(shè)施限定在影響國家安全、經(jīng)濟安全、公共安全的范圍內(nèi)，其中美國的網(wǎng)絡(luò)服務(wù)提供者隸屬于關(guān)鍵基礎(chǔ)設(shè)施中的信息技術(shù)部門，具體是否納入保護范疇，其沒有采用用戶數(shù)量眾多作為判斷標準，而是根據(jù)是否關(guān)鍵遴選企業(yè)，并鼓勵其他企業(yè)自愿參與，建議借鑒國外經(jīng)驗，不將用戶眾多的商業(yè)網(wǎng)絡(luò)強制納入關(guān)鍵信息基礎(chǔ)設(shè)施范圍，而是鼓勵用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者參與關(guān)鍵信息基礎(chǔ)設(shè)施保護，接受監(jiān)督。

[1] 馬永馳，西寶.應急響應與關(guān)鍵基礎(chǔ)設(shè)施服務(wù)缺失的互鎖困境與對策[J].大連理工大學學報(社會科學版)，2012(2).

[2] 習近平在網(wǎng)絡(luò)安全和信息化工作座談會上的講話[EB/OL].(2016-04-25)[2017-01-26].http://news.xinhuanet.com/politics/2016-04/25/c_1118731175.htm.

[3] 2016中國高級持續(xù)性威脅(APT)研究報告[EB/OL].[2017-02-26].https://b0bc60.lt.yunpan.cn/lk/c52SGHSni8gFm.

[4] 全國范圍關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作啟動[EB/OL].[2017-02-26].http://www.cac.gov.cn/2016-07/08/c_1119185700.htm.

[5] 劉金瑞.我國網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施立法的基本思路和制度建構(gòu)[J].環(huán)球法律評論，2016(5).

[6] 張莉.沿襲與變革：美國保護關(guān)鍵基礎(chǔ)設(shè)施政策分析[J].中國信息安全，2014(7).

[7] 唐旺，寧華，陳星，等.美國關(guān)鍵基礎(chǔ)設(shè)施識別認定研究[J].信息技術(shù)與標準化，2016(9).

[8] 王融.歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護制度研究[J].保密科學技術(shù)，2016(7).

[9] 喬曉陽.中華人民共和國國家安全法釋義[M].北京：法律出版社，2016.

[責任編輯：秦衛(wèi)波]

Research on Scope of Critical Information Infrastructure

CUI Cong-cong

(Institute of Internet Governance and Law，BUPT，Beijing 100876，China)

It should only focus on the connotation of critical information infrastructure(CII) including national security，national interest and public security to identify the range of it.The“ public interest” definded in the Article 31 of ‘cyber security laws’ should use the restrictive interpretation as “public security”.The CII includes the critical part of information infrastructure，such as telecommunication network and radio broadcasting and television network；and the information component of the critical infrastructure，which is the important information systems. At the same time，since the meaning of “the large number of users” is too vague，it should not be classified as a standard for defining CII.

Critical Information Infrastructure(CII)；National Security；Public Security

10.16164/j.cnki.22-1062/c.2017.04.021

2017-03-24

國家社會科學基金重大項目(13&ZD181)。

崔聰聰(1978-)，男，河北深州人，北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心副主任，副教授，法學博士。

D922.8

A

1001-6201(2017)04-0121-05