关键信息基础设施保护的立法对策

李营辉　毕颖

【摘要】我国的关键信息基础设施保护面临着建设起步较晚、专业技术落后、安全威胁严峻等形势。目前我国关键信息基础设施保护的法律法规尚未正式出台。文章结合我国具体情况，阐释了关键信息基础设施法律保护的必要性和现状，梳理立法保护理论原则，并总结归纳了我国关键信息基础设施法律保护的建议。

【关键词】关键信息基础设施 网络安全 立法

【中图分类号】DF 【文献标识码】A

伴随着信息通信技术的革命性进展，云计算、大数据等新思维极大地改变着人类的生活方式，政务、经济、金融、电信等基础设施的正常运转越来越依靠信息基础设施。关键信息基础设施作为关键基础设施的衍生概念应运而生。近年来，党和国家高度重视网络安全工作，在总体国家安全观的大背景下，2015年7月，《中华人民共和国网络安全法（草案）》（以下简称网络安全法草案）向社会公开征求意见，这将促进关键信息基础设施网络安全架构的完善。目前，明确定义，划定保护范围，梳理关键信息基础设施立法重点问题显得尤为重要。

关键信息基础设施的定义和特征

作为域外定义，关键信息基础设施是关键基础设施的衍生定义。目前域外对于关键基础设施定义的侧重点有所不同，但多是指整合电力、交通、金融、公共卫生、通信与应急服务等部门支撑，并对社会及国家的正常运行其关键作用的设施。关键信息基础设施是指支持关键基础设施运作的网络信息系统。在我国网络安全法草案中关键信息基础设施主要划分为以公共通信为代表的基础信息网络、重点行业为代表的重要信息网络、军事网络、政务网络、互联网运营商网络等五大系统。作为衍生定义，关键信息基础设施的定义应当随着关键基础设施的定义变化而动态调整。关键信息基础设施是在信息化浪潮下应运而生的，结合域外理论实践，其具有功能关联性、系统关联性、信息安全关联性三大特征。

功能关联性。作为关键基础设施的衍生体，关键信息基础设施正常运行直接关联着关键基础设施功能的发挥。信息通信技术的快速发展使越来越多的信息系统进入人们的生活，从生活中的手机APP到工作中的OA系统，信息通信技术不仅改变着人类的生活，也将国家行为和人类生活转化为网络空间的信息数据流。①随着互联网+模式的引入，以往被人所认知相对独立的核电、金融、甚至是保密管理领域也相继与信息通信技术相融合。一方面，正常运行的关键信息基础设施可以最大限度避免人为干扰。另一方面，如果关键信息基础设施受到侵害，这对国家安全、社会稳定将造成极大的隐患。

系统关联性。近年来关键基础设施正在面临着越来越严峻的自然灾害、人为事故、蓄意攻击等外部威胁，例如2011年日本大地震直接导致了福岛核电站的瘫痪和核泄漏。但是，关键基础设施往往互通性不强，某一设施遭到某一对象的损坏，对其他设施大多影响有限，即使有受损的潜在风险，人们往往可以通过应急保障措施加以防护。然而，关键信息基础设施依靠网络通信为媒介，其设计大多辐射某一区域甚至全球。高度依赖连接的信息基础设施极易由于个体受损而整体瘫痪，信息数据也极易被拦截盗窃。系统关联性让不法分子有了可乘之机，近年来，对于关键信息基础设施的攻击愈演愈烈，传统恐怖主义也逐渐向网络恐怖主义转变。不难看出，关键信息基础设施的系统关联性决定了其必须具有较高的安全系数和防护等级。

信息安全关联性。目前各国涉密信息已从传统的纸质材料逐渐向电子加密信息演变，涉密管理系统也渐趋完善，信息化保密管理手段与关键信息基础设施关系日益紧密。在信息安全关联性方面，由于关键信息基础设施的功能性，大量关涉国家社会安全的关键信息蕴含其中，使其成为信息载体。因此关键基础设施的损坏不仅会破坏信息的完整和传递，危及经济发展、社会稳定和国家安全。近年来出现的针对关键信息基础设施的APT（Advanced Persistent Threa）侵袭则是其表现方式之一。②

我国关键信息基础设施立法保护的必要性

我国关键信息基础设施建设相较发达国家起步较晚，立法及实践中存在一些现实问题，主要体现在：第一，顶层设计欠缺，管理体制不畅。信息技术的突破带动了以互联网行业为首的新兴领域的发展，关键信息基础设施与信息技术领域紧密相连，其保护也越来越受到关注。但由于顶层设计缺陷，我国对其防护的滞后性日益凸显。十八大以来，党和国家高度重视网络安全工作，特别提出要重点保障基础网络信息系统的安全，但在政策制定、措施完善等方面仍有不足，对关键信息基础设施领域保护的管理机制尚待完善。第二，现行法律保护力度薄弱，专门立法空白。虽然我国制定了数部法规和规章，但立法位阶较低，不成体系，至今也没有一部关于信息安全或关键信息基础设施保护的专门立法。第三，技术保护落后，应急保障不足。发达国家在信息网络中拥有核心技术和垄断地位。美国拥有对于全球互联网资源的绝对控制，而我国互联网实际上是美国互联网的一个分支，国内不少重要信息资源服务器均设立境外，关键信息基础设施保护技术的落后，加之网络资源和控制权受制于人，势必会留下诸多安全隐患。因此，在依法治国背景下，要对关键信息基础设施进行有效的保护，就需要完善立法，完善保护体系。

我国关键信息基础设施保护立法渊源

公共治理理论。20世纪90年代，世界政治和格局的动荡不安促使西方统治者开始理性反思，面对日趋多元化的社会，单纯的政府治理能否面对流动化的社会发展。政府开始意识到自身存在的局限性，转而与社会、企业、公民等合作，制定公共政策。近年来在法律出台尤其是制定过程中，公共治理越来越多扮演基础性角色，尤其是在与社会发展和公民权益紧密相关领域，民声民意至关重要。公共治理指的是一种由共同目标支持的管理活动，是各种公共或私人机构共同管理事物的诸多方式，是政府与民间、私人部门与公共部门之间的合作与互动的总和。特别要指出的是，治理不同于统治，在公共利益的实现方式上，多元、民主、合作、协调是基调和方向。③公共治理理论应当作为关键信息基础设施的立法基础。关键信息基础设施的治理需要政府与企业、公民、技术部门合作，通过制定法律、政策、技术，以保障其自身安全。关键信息基础设施的“共治”，即形成治理的预期效果和合力效应，多种主体共同参与治理并发挥各自的角色功能。在治理主体上，强调不同主体的差异化共同参与，各主体的治理权限、治理效力和治理责任存在差异。在治理方式上，公共治理理论为关键信息基础设施的保护提供了相对客观的法学视角，它既包括行为主体间的民主协商，也有正式的行政管理，既包括行为主体自愿接受的自律性原则，又实行法律制度等他律性原则。

虚拟社会治理理论。我国对于虚拟社会的研究可追溯到20世纪末，曼纽尔·卡斯特的“信息时代三部曲”尤其是《网络社会的崛起》中文版的面世，进一步强化该命题的合理性，并用其来指称互联网作为人类生存新方式的社会性功能。伴随着信息时代的发展，虚拟社会治理在关键信息基础设施上的应用得以彰显。④关键信息基础设施保护客体有二，一为基础设施本身，二为设施内所存储、记录、连接的关键信息。虚拟社会治理可为其关键信息的保护提供指南。近年来，法律作为虚拟社会治理的诸多方式之一，具有积极的意义。在关键信息基础设施领域，法律不仅可以通过技术创新和教育引导等方式间接提高关键信息基础设施的安全系数，而且可以通过调整主体的权利义务关系直接影响关键信息基础设施的秩序和规则。

比例原则。立法实践中，关键信息基础设施保护要遵循比例原则，具体为适应性原则、必要性原则和均衡原则三分原则。

首先，行政主体拟实施行政行为，必须对其可能对于行政目标达成之助益进行利益的权衡，以期实施该行政行为有助于公益之增加，而尽少私益之削减。在关键信息基础设施领域，无论是作为管理关键信息基础设施运行的部门单位或是监督关键信息基础设施运行的行政机关，其保护、预防、公开的手段必须是为履行其行政职责而为之，不得出于其他目的。其次，行政主体所欲实施的行政行为必须是在为了达到一定的行政目的或者行政目标而必需实施的情况下才能实施，尤其是在实施该行政行为将会对行政相对人权益不利的情况下。关键信息基础设施中，金融机构、水电煤厂等多涉及民生领域，其最小侵害的方式则是以安全防护最大化为准则而实现，行政机关及其他公共职能部门要积极履行行政职责保护的范围，但要注意应以必要性为条件，不得任意扩大或缩小关键信息基础设施范围、内容。最后，系指行政主体所欲实施的行政行为与实施该行政行为所欲达到的行政目标之间必须相对称，二者构成合理的比例。在关键信息基础设施保护领域分布广，层级多，可能会损害公民个人知情权或其他利益，那么行政机关必须权衡确认其行为是以维护最广大的公共利益或国家安全利益为目的，且大于个人知情利益方可行使。行政机关作为防护主体，行政自由裁量权应谨慎使用，对于国家利益、公共利益、个人利益及其他利益等要相较权衡与选择。

安全保护原则。关键信息基础设施作为国家正常运转的重要组成部门，有关部门有义务采取措施，维护其正常运转，最大限度杜绝不法侵害。在实践中，安全保护这一原则由来已久，但在保障效果上不显著，这与没有强制性的法律责任和义务规定有着密切的联系，尤其体现在行政机关缺乏必要的指导意见或法律规范。本原则明晰了行政机关保障关键信息基础设施的义务，有利于促进其有序运转。要指出的是，关键信息基础设施防护主体中的非行政主体主要是指互联网运营商。但是非行政主体与行政主体相较而言，其安全防护的手段方式力度上看都不尽相同，且主体性质和所承担的社会责任也有根本性的差异。因此，对非行政主体的规制应较行政主体部门宽松。在行政主体指导下，鼓励非行政主体树立安全意识，或采取必要的技术管理手段等较为可行。

完善我国关键信息基础设施立法保护的建议

近年来，我国先后起草出台了《计算机信息系统安全保护条例》等法规规章，关键信息基础设施应用密集领域或地区也出台一些部门性或地方性法规，但位阶较低，体系性差。作为第一部拟出台综合性立法，网络安全法草案中明确了关键信息基础设施定义，划定了关键信息基础设施基本范围，提出了普遍性的安全运营规范，将会对关键信息基础设施的保护起到基础性作用。但是相较广义的网络安全领域，关键信息基础设施有其特殊的存在形式和安全地位。为了更好地维系关键信息基础设施的安全，应当在网络安全综合性立法的基础上，进一步制定《关键信息基础设施防护条例》（以下简称条例），形成合理的法律防护体系。条例要重点关注以下几方面内容：

基本原则。与域外不同，我国的关键信息基础设施大多由国家掌握，运营方多以国有企业单位为主，政府与企业信息共享程度高，合作基础好。但是随着我国全面深化改革步伐的加快，市场构成必然向多样化发展。例如，在通信领域，越来越多的关键信息掌握在互联网等私企手中，政府与私企信息共享的重要性日益凸显。我国可借鉴公共治理理论，采取相关措施，激励关键信息基础设施的运营方自愿分享安全威胁信息，确保运营方所分享的信息免除我国《政府信息公开条例》的披露义务以及行政法上单方面解除的限制，制定严格的程序和限定条件保护包括涉密信息在内的关键信息，注重安全，突出信息共享，以平衡维护信息公开与国家安全的二者关系。

调整范围。目前，我国对于重点信息基础设施保护主要依靠信息安全等级保护制度。由公安局、国家保密局联合下发的《信息安全等级保护管理办法》（以下简称办法）将信息系统的安全保护等级分为五级。⑤办法中信息系统的五级划分标准可与关键信息基础设施的定义相结合。考虑到我国实际，我国关键信息基础设施的范围不宜过广，受到侵害后有危害国家安全之可能的信息系统可划定为关键信息基础设施。因此，我国的关键信息基础设施可规定为“关涉国家安全、经济发展、社会安定的基础设施，并符合办法中三级以上防护等级的信息系统，可列为关键信息基础设施调整主体。”

对于“关键信息资源”，“关键数据资源”是否应被纳入关键信息基础设施范围目前尚存争议。支持者认为某些重要性、战略性数据，一旦泄露将危害国家安全，如涉密测绘地理信息坐标等。但上述资源属性虽隶属于关键信息基础设施，仍可适用于《保守国家秘密法》的调整范围，其应当被作为国家秘密，在关键信息基础设施保护的范围中并不合适。

机构设置。目前，关键信息基础设施保护机构尚未立法确认，且现行机构繁冗复杂，不利于从国家整体上把握关键信息基础设施的安全状况，更不利于重拳出击解决难点问题。因此，立法部门可参考中央网络安全和信息化领导小组的机构设置模式，以法律形式明确在中央统筹下部门的职权和责任，建立起部门之间协调配合机制。我国的关键信息基础设施大多由国家所掌握，其中涉密信息、关键信息比例大、层级高，要牢牢坚持党的领导，政府主导，确保关键信息基础设施和信息万无一失。

网络空间设施保护。近年来，云计算、大数据的发展如火如荼，特别“互联网+”思维上升为国家战略以来，几乎全行业都在等待接入云端，或者与大数据应用产生关联。关联意味着机遇，同时对于关键信息基础设施的安全性也带来了挑战。专门立法要侧重网络空间设施保护问题，并加强关联所引发的新型安全问题，重视关键信息基础设施属性，使立法内容具有针对性、指导性和可操作性。

考虑到关键信息基础设施技术的重要性，有以下几点建议。首先，要建立常态机制排查隐患，采取切实可行的措施维护网络空间设施安全。第二，建立进口审查制度，审查内容包括建立服务器、路由器、交换机、存储器等关键网络设施。这对于关键信息和涉密信息的保护，鼓励民族软件在关键信息基础设施上的应用十分关键。第三，可结合《中华人民共和国科学技术进步法》，在立法中对于推动我国关键信息基础设施领域发展做出突出贡献的企业单位或个人在政策、资金等方面给予奖励。第四，我国可效仿国外立法引进智库制度，依托国务院参事等平台，开展专业领域咨询指导。第五，对于相关责任人定期开展培训，提高相关责任人和公民的安全防护意识。

（作者分别为北京交通大学博士研究生，北京交通大学教授、博导；本文系北京市社会科学基金资助重点项目“国家信息安全视角下的网络空间法治化研究”成果，项目编号：15FXA006）

【注释】

①刘金瑞：“网络安全立法近期进展及对我国的启示”，《暨南学报》（哲学社会科学版），2014年第2期。

②APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。

③张健：“浅析治理理论及其中国化的路径选择”，《市场论坛》，2006年第3期。

④徐晓林，陈强，曾润喜：“中国虚拟社会治理研究中需要关注的几个问题”，《中国行政管理》，2013年第11期。

⑤详见《信息安全等级保护管理办法》第7条。

责编 /张蕾