李營輝　畢穎

【摘要】我國的關(guān)鍵信息基礎(chǔ)設(shè)施保護面臨著建設(shè)起步較晚、專業(yè)技術(shù)落后、安全威脅嚴峻等形勢。目前我國關(guān)鍵信息基礎(chǔ)設(shè)施保護的法律法規(guī)尚未正式出臺。文章結(jié)合我國具體情況，闡釋了關(guān)鍵信息基礎(chǔ)設(shè)施法律保護的必要性和現(xiàn)狀，梳理立法保護理論原則，并總結(jié)歸納了我國關(guān)鍵信息基礎(chǔ)設(shè)施法律保護的建議。

【關(guān)鍵詞】關(guān)鍵信息基礎(chǔ)設(shè)施 網(wǎng)絡(luò)安全 立法

【中圖分類號】DF 【文獻標識碼】A

伴隨著信息通信技術(shù)的革命性進展，云計算、大數(shù)據(jù)等新思維極大地改變著人類的生活方式，政務(wù)、經(jīng)濟、金融、電信等基礎(chǔ)設(shè)施的正常運轉(zhuǎn)越來越依靠信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施作為關(guān)鍵基礎(chǔ)設(shè)施的衍生概念應(yīng)運而生。近年來，黨和國家高度重視網(wǎng)絡(luò)安全工作，在總體國家安全觀的大背景下，2015年7月，《中華人民共和國網(wǎng)絡(luò)安全法（草案）》（以下簡稱網(wǎng)絡(luò)安全法草案）向社會公開征求意見，這將促進關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全架構(gòu)的完善。目前，明確定義，劃定保護范圍，梳理關(guān)鍵信息基礎(chǔ)設(shè)施立法重點問題顯得尤為重要。

關(guān)鍵信息基礎(chǔ)設(shè)施的定義和特征

作為域外定義，關(guān)鍵信息基礎(chǔ)設(shè)施是關(guān)鍵基礎(chǔ)設(shè)施的衍生定義。目前域外對于關(guān)鍵基礎(chǔ)設(shè)施定義的側(cè)重點有所不同，但多是指整合電力、交通、金融、公共衛(wèi)生、通信與應(yīng)急服務(wù)等部門支撐，并對社會及國家的正常運行其關(guān)鍵作用的設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施是指支持關(guān)鍵基礎(chǔ)設(shè)施運作的網(wǎng)絡(luò)信息系統(tǒng)。在我國網(wǎng)絡(luò)安全法草案中關(guān)鍵信息基礎(chǔ)設(shè)施主要劃分為以公共通信為代表的基礎(chǔ)信息網(wǎng)絡(luò)、重點行業(yè)為代表的重要信息網(wǎng)絡(luò)、軍事網(wǎng)絡(luò)、政務(wù)網(wǎng)絡(luò)、互聯(lián)網(wǎng)運營商網(wǎng)絡(luò)等五大系統(tǒng)。作為衍生定義，關(guān)鍵信息基礎(chǔ)設(shè)施的定義應(yīng)當隨著關(guān)鍵基礎(chǔ)設(shè)施的定義變化而動態(tài)調(diào)整。關(guān)鍵信息基礎(chǔ)設(shè)施是在信息化浪潮下應(yīng)運而生的，結(jié)合域外理論實踐，其具有功能關(guān)聯(lián)性、系統(tǒng)關(guān)聯(lián)性、信息安全關(guān)聯(lián)性三大特征。

功能關(guān)聯(lián)性。作為關(guān)鍵基礎(chǔ)設(shè)施的衍生體，關(guān)鍵信息基礎(chǔ)設(shè)施正常運行直接關(guān)聯(lián)著關(guān)鍵基礎(chǔ)設(shè)施功能的發(fā)揮。信息通信技術(shù)的快速發(fā)展使越來越多的信息系統(tǒng)進入人們的生活，從生活中的手機APP到工作中的OA系統(tǒng)，信息通信技術(shù)不僅改變著人類的生活，也將國家行為和人類生活轉(zhuǎn)化為網(wǎng)絡(luò)空間的信息數(shù)據(jù)流。①隨著互聯(lián)網(wǎng)+模式的引入，以往被人所認知相對獨立的核電、金融、甚至是保密管理領(lǐng)域也相繼與信息通信技術(shù)相融合。一方面，正常運行的關(guān)鍵信息基礎(chǔ)設(shè)施可以最大限度避免人為干擾。另一方面，如果關(guān)鍵信息基礎(chǔ)設(shè)施受到侵害，這對國家安全、社會穩(wěn)定將造成極大的隱患。

系統(tǒng)關(guān)聯(lián)性。近年來關(guān)鍵基礎(chǔ)設(shè)施正在面臨著越來越嚴峻的自然災(zāi)害、人為事故、蓄意攻擊等外部威脅，例如2011年日本大地震直接導(dǎo)致了福島核電站的癱瘓和核泄漏。但是，關(guān)鍵基礎(chǔ)設(shè)施往往互通性不強，某一設(shè)施遭到某一對象的損壞，對其他設(shè)施大多影響有限，即使有受損的潛在風(fēng)險，人們往往可以通過應(yīng)急保障措施加以防護。然而，關(guān)鍵信息基礎(chǔ)設(shè)施依靠網(wǎng)絡(luò)通信為媒介，其設(shè)計大多輻射某一區(qū)域甚至全球。高度依賴連接的信息基礎(chǔ)設(shè)施極易由于個體受損而整體癱瘓，信息數(shù)據(jù)也極易被攔截盜竊。系統(tǒng)關(guān)聯(lián)性讓不法分子有了可乘之機，近年來，對于關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊愈演愈烈，傳統(tǒng)恐怖主義也逐漸向網(wǎng)絡(luò)恐怖主義轉(zhuǎn)變。不難看出，關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)關(guān)聯(lián)性決定了其必須具有較高的安全系數(shù)和防護等級。

信息安全關(guān)聯(lián)性。目前各國涉密信息已從傳統(tǒng)的紙質(zhì)材料逐漸向電子加密信息演變，涉密管理系統(tǒng)也漸趨完善，信息化保密管理手段與關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系日益緊密。在信息安全關(guān)聯(lián)性方面，由于關(guān)鍵信息基礎(chǔ)設(shè)施的功能性，大量關(guān)涉國家社會安全的關(guān)鍵信息蘊含其中，使其成為信息載體。因此關(guān)鍵基礎(chǔ)設(shè)施的損壞不僅會破壞信息的完整和傳遞，危及經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全。近年來出現(xiàn)的針對關(guān)鍵信息基礎(chǔ)設(shè)施的APT（Advanced Persistent Threa）侵襲則是其表現(xiàn)方式之一。②

我國關(guān)鍵信息基礎(chǔ)設(shè)施立法保護的必要性

我國關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)相較發(fā)達國家起步較晚，立法及實踐中存在一些現(xiàn)實問題，主要體現(xiàn)在：第一，頂層設(shè)計欠缺，管理體制不暢。信息技術(shù)的突破帶動了以互聯(lián)網(wǎng)行業(yè)為首的新興領(lǐng)域的發(fā)展，關(guān)鍵信息基礎(chǔ)設(shè)施與信息技術(shù)領(lǐng)域緊密相連，其保護也越來越受到關(guān)注。但由于頂層設(shè)計缺陷，我國對其防護的滯后性日益凸顯。十八大以來，黨和國家高度重視網(wǎng)絡(luò)安全工作，特別提出要重點保障基礎(chǔ)網(wǎng)絡(luò)信息系統(tǒng)的安全，但在政策制定、措施完善等方面仍有不足，對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域保護的管理機制尚待完善。第二，現(xiàn)行法律保護力度薄弱，專門立法空白。雖然我國制定了數(shù)部法規(guī)和規(guī)章，但立法位階較低，不成體系，至今也沒有一部關(guān)于信息安全或關(guān)鍵信息基礎(chǔ)設(shè)施保護的專門立法。第三，技術(shù)保護落后，應(yīng)急保障不足。發(fā)達國家在信息網(wǎng)絡(luò)中擁有核心技術(shù)和壟斷地位。美國擁有對于全球互聯(lián)網(wǎng)資源的絕對控制，而我國互聯(lián)網(wǎng)實際上是美國互聯(lián)網(wǎng)的一個分支，國內(nèi)不少重要信息資源服務(wù)器均設(shè)立境外，關(guān)鍵信息基礎(chǔ)設(shè)施保護技術(shù)的落后，加之網(wǎng)絡(luò)資源和控制權(quán)受制于人，勢必會留下諸多安全隱患。因此，在依法治國背景下，要對關(guān)鍵信息基礎(chǔ)設(shè)施進行有效的保護，就需要完善立法，完善保護體系。

我國關(guān)鍵信息基礎(chǔ)設(shè)施保護立法淵源

公共治理理論。20世紀90年代，世界政治和格局的動蕩不安促使西方統(tǒng)治者開始理性反思，面對日趨多元化的社會，單純的政府治理能否面對流動化的社會發(fā)展。政府開始意識到自身存在的局限性，轉(zhuǎn)而與社會、企業(yè)、公民等合作，制定公共政策。近年來在法律出臺尤其是制定過程中，公共治理越來越多扮演基礎(chǔ)性角色，尤其是在與社會發(fā)展和公民權(quán)益緊密相關(guān)領(lǐng)域，民聲民意至關(guān)重要。公共治理指的是一種由共同目標支持的管理活動，是各種公共或私人機構(gòu)共同管理事物的諸多方式，是政府與民間、私人部門與公共部門之間的合作與互動的總和。特別要指出的是，治理不同于統(tǒng)治，在公共利益的實現(xiàn)方式上，多元、民主、合作、協(xié)調(diào)是基調(diào)和方向。③公共治理理論應(yīng)當作為關(guān)鍵信息基礎(chǔ)設(shè)施的立法基礎(chǔ)。關(guān)鍵信息基礎(chǔ)設(shè)施的治理需要政府與企業(yè)、公民、技術(shù)部門合作，通過制定法律、政策、技術(shù)，以保障其自身安全。關(guān)鍵信息基礎(chǔ)設(shè)施的“共治”，即形成治理的預(yù)期效果和合力效應(yīng)，多種主體共同參與治理并發(fā)揮各自的角色功能。在治理主體上，強調(diào)不同主體的差異化共同參與，各主體的治理權(quán)限、治理效力和治理責(zé)任存在差異。在治理方式上，公共治理理論為關(guān)鍵信息基礎(chǔ)設(shè)施的保護提供了相對客觀的法學(xué)視角，它既包括行為主體間的民主協(xié)商，也有正式的行政管理，既包括行為主體自愿接受的自律性原則，又實行法律制度等他律性原則。

虛擬社會治理理論。我國對于虛擬社會的研究可追溯到20世紀末，曼紐爾·卡斯特的“信息時代三部曲”尤其是《網(wǎng)絡(luò)社會的崛起》中文版的面世，進一步強化該命題的合理性，并用其來指稱互聯(lián)網(wǎng)作為人類生存新方式的社會性功能。伴隨著信息時代的發(fā)展，虛擬社會治理在關(guān)鍵信息基礎(chǔ)設(shè)施上的應(yīng)用得以彰顯。④關(guān)鍵信息基礎(chǔ)設(shè)施保護客體有二，一為基礎(chǔ)設(shè)施本身，二為設(shè)施內(nèi)所存儲、記錄、連接的關(guān)鍵信息。虛擬社會治理可為其關(guān)鍵信息的保護提供指南。近年來，法律作為虛擬社會治理的諸多方式之一，具有積極的意義。在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，法律不僅可以通過技術(shù)創(chuàng)新和教育引導(dǎo)等方式間接提高關(guān)鍵信息基礎(chǔ)設(shè)施的安全系數(shù)，而且可以通過調(diào)整主體的權(quán)利義務(wù)關(guān)系直接影響關(guān)鍵信息基礎(chǔ)設(shè)施的秩序和規(guī)則。

比例原則。立法實踐中，關(guān)鍵信息基礎(chǔ)設(shè)施保護要遵循比例原則，具體為適應(yīng)性原則、必要性原則和均衡原則三分原則。

首先，行政主體擬實施行政行為，必須對其可能對于行政目標達成之助益進行利益的權(quán)衡，以期實施該行政行為有助于公益之增加，而盡少私益之削減。在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，無論是作為管理關(guān)鍵信息基礎(chǔ)設(shè)施運行的部門單位或是監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運行的行政機關(guān)，其保護、預(yù)防、公開的手段必須是為履行其行政職責(zé)而為之，不得出于其他目的。其次，行政主體所欲實施的行政行為必須是在為了達到一定的行政目的或者行政目標而必需實施的情況下才能實施，尤其是在實施該行政行為將會對行政相對人權(quán)益不利的情況下。關(guān)鍵信息基礎(chǔ)設(shè)施中，金融機構(gòu)、水電煤廠等多涉及民生領(lǐng)域，其最小侵害的方式則是以安全防護最大化為準則而實現(xiàn)，行政機關(guān)及其他公共職能部門要積極履行行政職責(zé)保護的范圍，但要注意應(yīng)以必要性為條件，不得任意擴大或縮小關(guān)鍵信息基礎(chǔ)設(shè)施范圍、內(nèi)容。最后，系指行政主體所欲實施的行政行為與實施該行政行為所欲達到的行政目標之間必須相對稱，二者構(gòu)成合理的比例。在關(guān)鍵信息基礎(chǔ)設(shè)施保護領(lǐng)域分布廣，層級多，可能會損害公民個人知情權(quán)或其他利益，那么行政機關(guān)必須權(quán)衡確認其行為是以維護最廣大的公共利益或國家安全利益為目的，且大于個人知情利益方可行使。行政機關(guān)作為防護主體，行政自由裁量權(quán)應(yīng)謹慎使用，對于國家利益、公共利益、個人利益及其他利益等要相較權(quán)衡與選擇。

安全保護原則。關(guān)鍵信息基礎(chǔ)設(shè)施作為國家正常運轉(zhuǎn)的重要組成部門，有關(guān)部門有義務(wù)采取措施，維護其正常運轉(zhuǎn)，最大限度杜絕不法侵害。在實踐中，安全保護這一原則由來已久，但在保障效果上不顯著，這與沒有強制性的法律責(zé)任和義務(wù)規(guī)定有著密切的聯(lián)系，尤其體現(xiàn)在行政機關(guān)缺乏必要的指導(dǎo)意見或法律規(guī)范。本原則明晰了行政機關(guān)保障關(guān)鍵信息基礎(chǔ)設(shè)施的義務(wù)，有利于促進其有序運轉(zhuǎn)。要指出的是，關(guān)鍵信息基礎(chǔ)設(shè)施防護主體中的非行政主體主要是指互聯(lián)網(wǎng)運營商。但是非行政主體與行政主體相較而言，其安全防護的手段方式力度上看都不盡相同，且主體性質(zhì)和所承擔的社會責(zé)任也有根本性的差異。因此，對非行政主體的規(guī)制應(yīng)較行政主體部門寬松。在行政主體指導(dǎo)下，鼓勵非行政主體樹立安全意識，或采取必要的技術(shù)管理手段等較為可行。

完善我國關(guān)鍵信息基礎(chǔ)設(shè)施立法保護的建議

近年來，我國先后起草出臺了《計算機信息系統(tǒng)安全保護條例》等法規(guī)規(guī)章，關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)用密集領(lǐng)域或地區(qū)也出臺一些部門性或地方性法規(guī)，但位階較低，體系性差。作為第一部擬出臺綜合性立法，網(wǎng)絡(luò)安全法草案中明確了關(guān)鍵信息基礎(chǔ)設(shè)施定義，劃定了關(guān)鍵信息基礎(chǔ)設(shè)施基本范圍，提出了普遍性的安全運營規(guī)范，將會對關(guān)鍵信息基礎(chǔ)設(shè)施的保護起到基礎(chǔ)性作用。但是相較廣義的網(wǎng)絡(luò)安全領(lǐng)域，關(guān)鍵信息基礎(chǔ)設(shè)施有其特殊的存在形式和安全地位。為了更好地維系關(guān)鍵信息基礎(chǔ)設(shè)施的安全，應(yīng)當在網(wǎng)絡(luò)安全綜合性立法的基礎(chǔ)上，進一步制定《關(guān)鍵信息基礎(chǔ)設(shè)施防護條例》（以下簡稱條例），形成合理的法律防護體系。條例要重點關(guān)注以下幾方面內(nèi)容：

基本原則。與域外不同，我國的關(guān)鍵信息基礎(chǔ)設(shè)施大多由國家掌握，運營方多以國有企業(yè)單位為主，政府與企業(yè)信息共享程度高，合作基礎(chǔ)好。但是隨著我國全面深化改革步伐的加快，市場構(gòu)成必然向多樣化發(fā)展。例如，在通信領(lǐng)域，越來越多的關(guān)鍵信息掌握在互聯(lián)網(wǎng)等私企手中，政府與私企信息共享的重要性日益凸顯。我國可借鑒公共治理理論，采取相關(guān)措施，激勵關(guān)鍵信息基礎(chǔ)設(shè)施的運營方自愿分享安全威脅信息，確保運營方所分享的信息免除我國《政府信息公開條例》的披露義務(wù)以及行政法上單方面解除的限制，制定嚴格的程序和限定條件保護包括涉密信息在內(nèi)的關(guān)鍵信息，注重安全，突出信息共享，以平衡維護信息公開與國家安全的二者關(guān)系。

調(diào)整范圍。目前，我國對于重點信息基礎(chǔ)設(shè)施保護主要依靠信息安全等級保護制度。由公安局、國家保密局聯(lián)合下發(fā)的《信息安全等級保護管理辦法》（以下簡稱辦法）將信息系統(tǒng)的安全保護等級分為五級。⑤辦法中信息系統(tǒng)的五級劃分標準可與關(guān)鍵信息基礎(chǔ)設(shè)施的定義相結(jié)合?？紤]到我國實際，我國關(guān)鍵信息基礎(chǔ)設(shè)施的范圍不宜過廣，受到侵害后有危害國家安全之可能的信息系統(tǒng)可劃定為關(guān)鍵信息基礎(chǔ)設(shè)施。因此，我國的關(guān)鍵信息基礎(chǔ)設(shè)施可規(guī)定為“關(guān)涉國家安全、經(jīng)濟發(fā)展、社會安定的基礎(chǔ)設(shè)施，并符合辦法中三級以上防護等級的信息系統(tǒng)，可列為關(guān)鍵信息基礎(chǔ)設(shè)施調(diào)整主體?！?/p>

對于“關(guān)鍵信息資源”，“關(guān)鍵數(shù)據(jù)資源”是否應(yīng)被納入關(guān)鍵信息基礎(chǔ)設(shè)施范圍目前尚存爭議。支持者認為某些重要性、戰(zhàn)略性數(shù)據(jù)，一旦泄露將危害國家安全，如涉密測繪地理信息坐標等。但上述資源屬性雖隸屬于關(guān)鍵信息基礎(chǔ)設(shè)施，仍可適用于《保守國家秘密法》的調(diào)整范圍，其應(yīng)當被作為國家秘密，在關(guān)鍵信息基礎(chǔ)設(shè)施保護的范圍中并不合適。

機構(gòu)設(shè)置。目前，關(guān)鍵信息基礎(chǔ)設(shè)施保護機構(gòu)尚未立法確認，且現(xiàn)行機構(gòu)繁冗復(fù)雜，不利于從國家整體上把握關(guān)鍵信息基礎(chǔ)設(shè)施的安全狀況，更不利于重拳出擊解決難點問題。因此，立法部門可參考中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的機構(gòu)設(shè)置模式，以法律形式明確在中央統(tǒng)籌下部門的職權(quán)和責(zé)任，建立起部門之間協(xié)調(diào)配合機制。我國的關(guān)鍵信息基礎(chǔ)設(shè)施大多由國家所掌握，其中涉密信息、關(guān)鍵信息比例大、層級高，要牢牢堅持黨的領(lǐng)導(dǎo)，政府主導(dǎo)，確保關(guān)鍵信息基礎(chǔ)設(shè)施和信息萬無一失。

網(wǎng)絡(luò)空間設(shè)施保護。近年來，云計算、大數(shù)據(jù)的發(fā)展如火如荼，特別“互聯(lián)網(wǎng)+”思維上升為國家戰(zhàn)略以來，幾乎全行業(yè)都在等待接入云端，或者與大數(shù)據(jù)應(yīng)用產(chǎn)生關(guān)聯(lián)。關(guān)聯(lián)意味著機遇，同時對于關(guān)鍵信息基礎(chǔ)設(shè)施的安全性也帶來了挑戰(zhàn)。專門立法要側(cè)重網(wǎng)絡(luò)空間設(shè)施保護問題，并加強關(guān)聯(lián)所引發(fā)的新型安全問題，重視關(guān)鍵信息基礎(chǔ)設(shè)施屬性，使立法內(nèi)容具有針對性、指導(dǎo)性和可操作性。

考慮到關(guān)鍵信息基礎(chǔ)設(shè)施技術(shù)的重要性，有以下幾點建議。首先，要建立常態(tài)機制排查隱患，采取切實可行的措施維護網(wǎng)絡(luò)空間設(shè)施安全。第二，建立進口審查制度，審查內(nèi)容包括建立服務(wù)器、路由器、交換機、存儲器等關(guān)鍵網(wǎng)絡(luò)設(shè)施。這對于關(guān)鍵信息和涉密信息的保護，鼓勵民族軟件在關(guān)鍵信息基礎(chǔ)設(shè)施上的應(yīng)用十分關(guān)鍵。第三，可結(jié)合《中華人民共和國科學(xué)技術(shù)進步法》，在立法中對于推動我國關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域發(fā)展做出突出貢獻的企業(yè)單位或個人在政策、資金等方面給予獎勵。第四，我國可效仿國外立法引進智庫制度，依托國務(wù)院參事等平臺，開展專業(yè)領(lǐng)域咨詢指導(dǎo)。第五，對于相關(guān)責(zé)任人定期開展培訓(xùn)，提高相關(guān)責(zé)任人和公民的安全防護意識。

（作者分別為北京交通大學(xué)博士研究生，北京交通大學(xué)教授、博導(dǎo)；本文系北京市社會科學(xué)基金資助重點項目“國家信息安全視角下的網(wǎng)絡(luò)空間法治化研究”成果，項目編號：15FXA006）

【注釋】

①劉金瑞：“網(wǎng)絡(luò)安全立法近期進展及對我國的啟示”，《暨南學(xué)報》（哲學(xué)社會科學(xué)版），2014年第2期。

②APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為。

③張?。骸皽\析治理理論及其中國化的路徑選擇”，《市場論壇》，2006年第3期。

④徐曉林，陳強，曾潤喜：“中國虛擬社會治理研究中需要關(guān)注的幾個問題”，《中國行政管理》，2013年第11期。

⑤詳見《信息安全等級保護管理辦法》第7條。

責(zé)編 /張蕾