祝高峰

（桂林電子科技大學(xué) 法學(xué)院/知識產(chǎn)權(quán)學(xué)院，廣西 桂林 541004）

引言

數(shù)智經(jīng)濟(jì)時代是數(shù)字經(jīng)濟(jì)更深層次的發(fā)展階段，即數(shù)字經(jīng)濟(jì)與人工智能的深度結(jié)合應(yīng)用時代，也可以概括為“數(shù)字經(jīng)濟(jì)+算法”的時代。伴隨著算法的深度應(yīng)用，數(shù)據(jù)洪流急劇涌向社會各個層面和領(lǐng)域，如何規(guī)制網(wǎng)絡(luò)空間中的數(shù)據(jù)信息安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)安全，保障重要數(shù)據(jù)安全，是各國所面臨的緊迫又亟待解決的問題。早期的關(guān)鍵基礎(chǔ)設(shè)施更多地應(yīng)當(dāng)是指物理空間中的關(guān)鍵基礎(chǔ)設(shè)施，但是隨著網(wǎng)絡(luò)空間的不斷擴(kuò)展和延伸，各國都更多的關(guān)注于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全，這也使得關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施之間的邊界變得越發(fā)模糊。在歐盟、澳大利亞、日本等國家，兩者的概念經(jīng)?；ハ嘟诲e使用。關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)逐漸與關(guān)鍵基礎(chǔ)設(shè)施的邊界趨同。國際社會中，國家關(guān)鍵信息基礎(chǔ)設(shè)施也通常用于泛指那些需要進(jìn)行網(wǎng)絡(luò)安全保障的國家關(guān)鍵基礎(chǔ)設(shè)施[1]?！癈I”（Critical Infrastructure，關(guān)鍵基礎(chǔ)設(shè)施）一詞在20世紀(jì)90年代之前不存在，對CIP（Critical Infrastructure Protection，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）的最早定義出現(xiàn)在1997年。然后，從1997年到2003年，對CI部門的確定從8個擴(kuò)大到13個部門加上5個關(guān)鍵資產(chǎn)（Key Assets），再次擴(kuò)展到18個部門和關(guān)鍵資源（Key Resources），然后在2013年合并為16個CIKR（Critical Infrastructure and Key Resources）部門[2]。文章論述中如無特殊說明主要采用“關(guān)鍵信息基礎(chǔ)設(shè)施”的表達(dá)，以便與我國《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》中的表達(dá)保持一致。

一、重要數(shù)據(jù)安全保護(hù)面臨的困境

（一）重要數(shù)據(jù)相關(guān)基本問題未能厘清

重要數(shù)據(jù)術(shù)語界定散見于不同規(guī)定之中，但是都比較分散且無具體的說明。2017年4月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱《評估辦法》），在《評估辦法》第17條①《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第17條中，將重要數(shù)據(jù)規(guī)定為：“重要數(shù)據(jù)，是指與國家安全、經(jīng)濟(jì)發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識別指南?！敝凶隽烁爬ㄐ缘囊?guī)定。2017年5月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織起草了國家標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》［以下簡稱《評估指南》（草案）］在征求意見稿中也做了基本的規(guī)定。在2017年8月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》［以下簡稱《評估指南》（征求意見稿）］中對重要數(shù)據(jù)的規(guī)定②《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》中3.5部分指出：“重要數(shù)據(jù)相關(guān)組織、機(jī)構(gòu)和個人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)（包括原始數(shù)據(jù)和衍生數(shù)據(jù)）”，經(jīng)政府信息公開渠道合法公開的，不再屬于重要數(shù)據(jù)。具體范圍參照附錄A重要數(shù)據(jù)識別指南部分內(nèi)容。進(jìn)行了例外的解釋，《評估指南》（征求意見稿）雖然對重要數(shù)據(jù)進(jìn)行了更進(jìn)一步的規(guī)定，但是不論從《評估指南》（征求意見稿）中對重要數(shù)據(jù)的規(guī)定還是在《評估指南》（草案）、《評估辦法》的規(guī)定中，都不能找到重要數(shù)據(jù)的明確界定，從《評估指南》（征求意見稿）中來看，目前有關(guān)重要數(shù)據(jù)規(guī)定對應(yīng)的領(lǐng)域則主要體現(xiàn)在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域。重要數(shù)據(jù)應(yīng)當(dāng)主要是指關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)財產(chǎn)資源，其有別于個人信息資源，這就是《評估辦法》里面為什么沒有提及個人信息也是屬于法律上的重要數(shù)據(jù)范圍的原因，兩者本質(zhì)上具有不同的法律屬性。

當(dāng)下有關(guān)重要數(shù)據(jù)的范疇既包括了個人信息、隱私數(shù)據(jù)，又包括商業(yè)信息、經(jīng)營管理數(shù)據(jù)信息等。一句話，重要數(shù)據(jù)的內(nèi)容幾乎囊括了數(shù)據(jù)信息的各個綜合方面。如果重要數(shù)據(jù)的概念、內(nèi)涵以及法律屬性不能明確的界定，那么對重要數(shù)據(jù)的規(guī)制必然缺失法理基礎(chǔ)。

（二）重要數(shù)據(jù)安全面臨的挑戰(zhàn)與危機(jī)

1.來自網(wǎng)絡(luò)入侵的威脅

物理空間的基礎(chǔ)設(shè)施與信息系統(tǒng)的融合程度不斷加深，在全球化融合的態(tài)勢下，重要數(shù)據(jù)安全在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域正受到前所未有的網(wǎng)絡(luò)威脅，主要威脅來自網(wǎng)絡(luò)恐怖主義、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)黑客、高級持續(xù)性威脅（Advanced Persistent Threat，APT）等方面。2021年5月7日，美國最大輸油管道運(yùn)營商Colonial Pipeline表示，該公司遭到了網(wǎng)絡(luò)攻擊，BBC援引多個信源報道稱，實施此次襲擊的是名為“黑暗面”（Dark Side）的網(wǎng)絡(luò)犯罪團(tuán)伙，通過對目標(biāo)系統(tǒng)植入惡意軟件，劫持了科洛尼爾管道運(yùn)輸公司將近100GB的數(shù)據(jù)[3]。此次網(wǎng)絡(luò)安全攻擊，讓美國的關(guān)鍵信息基礎(chǔ)設(shè)施的脆弱性充分顯現(xiàn)。然而此事不久后，又發(fā)生了針對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域重要數(shù)據(jù)安全進(jìn)行攻擊的網(wǎng)絡(luò)事件。2021年7月21日，據(jù)美聯(lián)社報道，全球最大石油公司沙特阿美的約1TB數(shù)據(jù)出現(xiàn)在暗網(wǎng)上。黑客表示，如果沙特阿美以加密貨幣支付5000萬美元，就把數(shù)據(jù)刪除。此前黑客組織ZeroX聲稱這些被盜取的數(shù)據(jù)時間跨度達(dá)27年，包括員工信息、項目規(guī)范和分析報告等[4]。

重要數(shù)據(jù)的安全對任何一國來說，其重要性都不言而喻，我國目前針對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)安全保護(hù)能力仍較弱，面對重要數(shù)據(jù)安全來自互聯(lián)網(wǎng)的非法入侵、惡意攻擊等行為仍然缺乏必要和有效應(yīng)對處理機(jī)制，重要數(shù)據(jù)安全的風(fēng)險抵御能力較弱，整個關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)安全治理都相對緩慢，缺乏有效的法律保障機(jī)制，尤其在重要數(shù)據(jù)安全的監(jiān)測預(yù)警機(jī)制、重要數(shù)據(jù)安全面臨突發(fā)威脅應(yīng)急響應(yīng)機(jī)制、對重要數(shù)據(jù)的處置恢復(fù)能力等方面仍缺乏有效的法律制度保障。

2.網(wǎng)絡(luò)產(chǎn)品自身存在的安全隱患

對于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)產(chǎn)品目前實現(xiàn)完全自主可控仍不現(xiàn)實，我國重要領(lǐng)域的重要數(shù)據(jù)安全存在極大的隱患，尤其在涉及政府、能源、通信、海關(guān)、金融、交通、醫(yī)療等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)產(chǎn)品仍主要依靠進(jìn)口，網(wǎng)絡(luò)產(chǎn)品自身安全性存在很大風(fēng)險，必然也會危及到重要數(shù)據(jù)安全。網(wǎng)絡(luò)產(chǎn)品的涵蓋范圍也比較廣泛，既有硬件方面的產(chǎn)品，也有軟件方面的產(chǎn)品，對于網(wǎng)絡(luò)產(chǎn)品自身存在的安全隱患，如果全部做到監(jiān)管、排查也是不現(xiàn)實的，但是對于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的涉及重要數(shù)據(jù)安全的網(wǎng)絡(luò)產(chǎn)品運(yùn)行和應(yīng)用，建立有效的重要數(shù)據(jù)安全檢測、評估、監(jiān)管等制度則是必要的。

3.重要數(shù)據(jù)具有極易遭受攻擊的屬性

重要數(shù)據(jù)安全不僅僅關(guān)系到政府、能源、通信、海關(guān)、金融、交通、醫(yī)療等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)資源安全，由于這些行業(yè)和領(lǐng)域都與各國的國家安全，社會穩(wěn)定緊密相連，因此，重要數(shù)據(jù)極易成為網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)間諜的攻擊目標(biāo)。大數(shù)據(jù)時代，數(shù)據(jù)的“爬取”能力也越來越強(qiáng)，僅僅通過技術(shù)層面對重要數(shù)據(jù)安全提供完善的保護(hù)，顯然是不夠的，在注重技術(shù)保護(hù)的同時，更應(yīng)當(dāng)設(shè)立有效的法律保障制度，從技術(shù)和制度上“雙管齊下”，才能為重要數(shù)據(jù)安全提供有效的保障。因此，針對重要數(shù)據(jù)安全極易受到威脅和攻擊的屬性，從法律層面規(guī)制重要數(shù)據(jù)安全不僅具有理論層面的意義，更具有現(xiàn)實的緊迫意義。

美國、歐盟等發(fā)達(dá)國家在網(wǎng)絡(luò)信息安全保護(hù)方面仍處于主導(dǎo)地位，美國網(wǎng)絡(luò)安全企業(yè)在技術(shù)創(chuàng)新方面的綜合實力仍處于遙遙領(lǐng)先的位置。2018年，美國有353家網(wǎng)絡(luò)安全企業(yè)上榜，約占據(jù)500強(qiáng)的71%，且在前10名中占據(jù)8個席位[5]。重要數(shù)據(jù)安全對各國的主權(quán)安全、政權(quán)安全、經(jīng)濟(jì)發(fā)展安全以及社會安全等方面都具有深刻的影響，各國都將不遺余力地保護(hù)本國的關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，維護(hù)本國的數(shù)據(jù)主權(quán)安全和重要數(shù)據(jù)安全。

二、重要數(shù)據(jù)安全法律保護(hù)的域外實踐模式

國外對重要數(shù)據(jù)安全的法律保護(hù)并未有明確的規(guī)定，對與重要數(shù)據(jù)安全相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域則采取了相應(yīng)的規(guī)定，這些規(guī)定主要體現(xiàn)在對整個關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的保護(hù)上、信息系統(tǒng)與物理設(shè)施同時進(jìn)行保護(hù)以及保障信息技術(shù)安全上。

（一）美國對關(guān)鍵基礎(chǔ)設(shè)施采取整體綜合保護(hù)的模式

早在1996年，克林頓政府第13010號行政令中就已經(jīng)對8類①關(guān)鍵基礎(chǔ)設(shè)施主要包括電信、電力系統(tǒng)、天然氣及石油的存儲和運(yùn)輸、銀行和金融、交通運(yùn)輸、供水系統(tǒng)、緊急服務(wù)（包括醫(yī)療，警察，消防，救援）、政府連續(xù)性等 8 類。張莉.美國保護(hù)關(guān)鍵基礎(chǔ)設(shè)施法律分析及啟示[EB/OL].http：//www.xinhuanet.com//world/2015-07/24/c＿128056543.htm，2015-07-24.關(guān)鍵基礎(chǔ)設(shè)施定義了范圍。2002年美國《國土安全法》（Homeland Security Act of 2002）將關(guān)鍵資源（Key Resources）定義為“對經(jīng)濟(jì)和政府的最低限度運(yùn)行至關(guān)重要的公共或私人控制的資源”。有趣的是，這項法案并沒有提供任何關(guān)鍵資源的具體例子，而是主要強(qiáng)調(diào)了理解關(guān)鍵資源的性質(zhì)，包括風(fēng)險、威脅和漏洞的重要性。在《國土安全法》頒布近一年后，美國總統(tǒng)提出了物理保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資產(chǎn)的國家戰(zhàn)略（National Strategy for the Physical Protection of Critical Infrastructures and Key Assets），該戰(zhàn)略引入了“關(guān)鍵資產(chǎn)”的概念。關(guān)鍵資產(chǎn)被定義為“單個目標(biāo)，其破壞不會危及重要系統(tǒng)，但可能造成局部災(zāi)難或嚴(yán)重?fù)p害我們國家的士氣或信心”?！瓣P(guān)鍵基礎(chǔ)設(shè)施”“關(guān)鍵資源”和“關(guān)鍵資產(chǎn)”的概念包括物理、“硬”系統(tǒng)（如道路和高速公路），以及控制硬系統(tǒng)的“軟”系統(tǒng)，因此，在解決不同利益相關(guān)者時，“關(guān)鍵”和非關(guān)鍵系統(tǒng)之間的區(qū)別是困難的[6]。

2013年奧巴馬政府制定的《提高關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》出臺后，同時要求關(guān)鍵基礎(chǔ)設(shè)施要具有恢復(fù)力的文件也隨之出臺。2014年第一個全面指導(dǎo)性文件“關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架規(guī)范”出臺[7]。2019年5月15日，美國總統(tǒng)特朗普簽署《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全》行政令，要求禁止交易、使用可能對美國國家安全、外交政策和經(jīng)濟(jì)構(gòu)成特殊威脅的外國信息技術(shù)和服務(wù)[8]。美國規(guī)定關(guān)鍵基礎(chǔ)設(shè)施是指一旦喪失功能或遭到破壞，將對國家安全、經(jīng)濟(jì)安全、公共健康，對美國至關(guān)重要的實際或虛擬的系統(tǒng)和資產(chǎn)產(chǎn)生嚴(yán)重?fù)p害的設(shè)施。美國確定了10個②它們分別為：國土安全部門負(fù)責(zé)通信和信息技術(shù)、化工、關(guān)鍵制造、應(yīng)急服務(wù)、水利、核反應(yīng)堆及其材料和廢棄物、商業(yè)設(shè)施等7個行業(yè)；國土安全部和聯(lián)邦事務(wù)管理總局共同負(fù)責(zé)政府設(shè)施的安全保護(hù)；國土安全部和運(yùn)輸部共同負(fù)責(zé)運(yùn)輸系統(tǒng)；能源部負(fù)責(zé)能源行業(yè)；財政部負(fù)責(zé)金融服務(wù)行業(yè)；環(huán)境保護(hù)署負(fù)責(zé)水及污水處理系統(tǒng)；衛(wèi)生與公眾健康部負(fù)責(zé)醫(yī)療保健和公共衛(wèi)生行業(yè)；國防部負(fù)責(zé)國防工業(yè)；農(nóng)業(yè)農(nóng)村部和衛(wèi)生與公眾健康部共同負(fù)責(zé)食品和農(nóng)業(yè)。楊合慶.中華人民共和國網(wǎng)絡(luò)安全法釋義[M].北京：中國民主法制出版社，2017：89-91.聯(lián)邦主管部門負(fù)責(zé)行業(yè)內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作，通過此種部門分工負(fù)責(zé)的機(jī)制實現(xiàn)對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，不僅可以節(jié)省保護(hù)重要數(shù)據(jù)資源的成本，更加有利于實現(xiàn)重要數(shù)據(jù)的高效保護(hù)。

從美國對關(guān)鍵信息基礎(chǔ)設(shè)施的立法保護(hù)中不難看出，美國對重要數(shù)據(jù)安全的保護(hù)，主要體現(xiàn)在其對整個關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的保護(hù)，而并未放在重要數(shù)據(jù)安全的保護(hù)規(guī)制上。美國定義的CI范圍比其他國家要廣，且會隨著社會的發(fā)展而不斷地進(jìn)行調(diào)整。

（二）英國設(shè)立國家基礎(chǔ)設(shè)施保護(hù)中心保護(hù)關(guān)鍵國家基礎(chǔ)設(shè)施

在英國，CNI（Critical National Infrastructure，關(guān)鍵國家基礎(chǔ)設(shè)施）由向國家提供不間斷基本服務(wù)的關(guān)鍵元素組成。沒有這些元素，基本服務(wù)就不能提供，英國將遭受嚴(yán)重的經(jīng)濟(jì)損害、巨大的社會破壞乃至嚴(yán)重的生命威脅[9]。其中有10個①它們分別是：通信（數(shù)字通信、固定語音通信、郵遞、政府信息、無線通信）；應(yīng)急服務(wù)（救護(hù)、消防和營救、海上急救、警察）；能源（電力、天然氣、石油）；金融（資產(chǎn)管理、金融設(shè)施、投資銀行、市場、小額銀行）；食品（生產(chǎn)、進(jìn)口、加工、配送、零售）；政府和公共服務(wù)（中央政府、地區(qū)政府、地方政府、議會和立法機(jī)關(guān)、司法、國家安全）；公共安全（化學(xué)、生物、輻射和核［CBRN］恐怖襲擊；危及百姓生活的事件）；健康（醫(yī)療保健、公共衛(wèi)生）；交通（航空、海運(yùn)、鐵路、公路）；水處理（飲用水、污水）。北京江南天安科技有限公司.英國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)概述[J].信息網(wǎng)絡(luò)安全，2009（08）：33.領(lǐng)域被認(rèn)為是在提供“基本服務(wù)”。CIIP（Critical Information Infrastructure Protection，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)）的保護(hù)責(zé)任主要由內(nèi)政大臣承擔(dān)。CPNI（Centre for the Protection of National Infrastructure，國家基礎(chǔ)設(shè)施保護(hù)中心）建立于2007年2月1日，由NISCC（National Infrastructure Security Coordination Centre，國家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心）和NSAC（National Security Advice Centre，國家安全咨詢中心）合并而來。其主要功能之一就是發(fā)揮政府機(jī)構(gòu)在保護(hù)各CNI部門的工作中的協(xié)調(diào)作用。同時CPNI一直承擔(dān)著保護(hù)英國CNI免受物理和電子攻擊侵?jǐn)_的責(zé)任。CPNI負(fù)責(zé)向構(gòu)成了國家基礎(chǔ)設(shè)施的企業(yè)和機(jī)構(gòu)提供一體化（信息、人員和物理形式的結(jié)合）安全建議[10]。

英國將關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的行業(yè)、企業(yè)看成為一種“基本服務(wù)”，對重要數(shù)據(jù)安全的保護(hù)也主要是體現(xiàn)在其對物理設(shè)施的保護(hù)以及信息系統(tǒng)的保護(hù)上，也并未有對重要數(shù)據(jù)安全明確規(guī)定的法律。

（三）德國通過完善法律制度保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施

德國聯(lián)邦參議院于2015年7月10日，通過了新的《聯(lián)邦信息技術(shù)安全法》，其中對能源、信息與通信、交通運(yùn)輸、衛(wèi)生保健、供水、食品以及金融保險等行業(yè)中被認(rèn)定為關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營者進(jìn)行重點保護(hù)。該法案從受保護(hù)資產(chǎn)的可用性、完整性、保密性和可靠性的角度，強(qiáng)化信息技術(shù)安全局的職能，以應(yīng)對信息技術(shù)系統(tǒng)面臨的現(xiàn)實和未來的威脅。新的《聯(lián)邦信息技術(shù)安全法》共有10個部分，堪稱系統(tǒng)完備的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度體系。明確了聯(lián)邦信息技術(shù)安全局作為國家信息安全主管機(jī)構(gòu)，除了原有的保障聯(lián)邦信息技術(shù)安全的職能外，它將作為個人、企業(yè)、行政機(jī)構(gòu)、政界之間有關(guān)信息技術(shù)安全對話溝通的主要職能部門。同時也明確了關(guān)鍵基礎(chǔ)設(shè)施的范圍[11]。為了進(jìn)一步提高網(wǎng)絡(luò)信息安全，德國聯(lián)邦政府于2020年12月16日通過了《信息技術(shù)安全法》的修訂草案，隸屬德國聯(lián)邦內(nèi)政部的聯(lián)邦信息安全辦公室的權(quán)限得到擴(kuò)大，除能源、供水等關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商外，將有更多企業(yè)需履行風(fēng)險報告義務(wù)，如國防工業(yè)和其他對國民經(jīng)濟(jì)具有特別重要意義的企業(yè)等[12]。

（四）日本采取維護(hù)信息系統(tǒng)安全的方式保障關(guān)鍵基礎(chǔ)設(shè)施

2005年，日本國家信息安全中心制定并頒布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動計劃》，其中對關(guān)鍵基礎(chǔ)設(shè)施的概念作出了明確的界定，即由提供高度不可代替且對人民社會生活和經(jīng)濟(jì)活動不可或缺的服務(wù)的商業(yè)實體組成，如果其功能被暫停、削弱或根本無法運(yùn)行，人們的社會生活和經(jīng)濟(jì)活動會遭受重大破壞。其中規(guī)定關(guān)鍵部門包括10類：電信、金融、民航、鐵路、電力、燃?xì)狻⒄?wù)、醫(yī)療、水利和物流。依照該行動計劃，組成關(guān)鍵基礎(chǔ)設(shè)施重要部分的基本信息系統(tǒng)統(tǒng)稱為“關(guān)鍵信息系統(tǒng)”[13]。日本政府于2010年5月頒布《保護(hù)國家信息安全戰(zhàn)略》，并再次強(qiáng)調(diào)現(xiàn)有的信息安全政策，確保物聯(lián)網(wǎng)（IoT）設(shè)備安全、醫(yī)療和教育領(lǐng)域信息安全的必要性，并推廣加密甚至“匿名”隱私保護(hù)技術(shù)的使用。2013年6月，日本發(fā)布首個《網(wǎng)絡(luò)安全戰(zhàn)略》，首次明確提出“在國外，針對交通信號設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施（如控制系統(tǒng)）的網(wǎng)絡(luò)攻擊，其復(fù)雜性和復(fù)雜程度都令人懷疑政府組織參與其中”。2014年，日本出臺《網(wǎng)絡(luò)安全基本法》，首次對“網(wǎng)絡(luò)安全”一詞進(jìn)行法律界定，并明確規(guī)定了日本政府、地方當(dāng)局、關(guān)鍵信息基礎(chǔ)設(shè)施提供商、網(wǎng)絡(luò)相關(guān)企業(yè)經(jīng)營者、教育/研究機(jī)構(gòu)等的相關(guān)職責(zé)[14]。從以上分析不難看出，日本主要是采取維護(hù)信息系統(tǒng)安全的方式保障關(guān)鍵基礎(chǔ)設(shè)施安全。

三、重要數(shù)據(jù)安全法律保障制度構(gòu)建

2019年5月，在2019中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上，2015年圖靈獎獲得者、世界著名密碼技術(shù)與安全技術(shù)專家惠特菲爾德·迪菲說，數(shù)據(jù)量越大，安全保障的重要性就越大，有太多案例已經(jīng)證明了這一點。5G、人工智能、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和云計算的協(xié)同融合，點燃了新的引擎，有數(shù)據(jù)安全才有數(shù)據(jù)未來[15]。由此可見，當(dāng)下數(shù)據(jù)安全的重要性已不言而喻，數(shù)據(jù)安全中的個人信息安全和重要數(shù)據(jù)安全更是重中之重。

（一）理論層面

1.重要數(shù)據(jù)的界定

不論是《評估辦法》對重要數(shù)據(jù)的一般性規(guī)定，還是2017年8月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在《評估指南》（征求意見稿）對重要數(shù)據(jù)的規(guī)定，都是更多地關(guān)注在重要數(shù)據(jù)的重要性層面上，在2017年8月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在《評估指南》（征求意見稿）中指出：“重要數(shù)據(jù)相關(guān)組織、機(jī)構(gòu)和個人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)（包括原始數(shù)據(jù)和衍生數(shù)據(jù)）”，經(jīng)政府信息公開渠道合法公開的，不再屬于重要數(shù)據(jù)。該條規(guī)定的重要數(shù)據(jù)應(yīng)當(dāng)滿足以下條件：（1）重要數(shù)據(jù)的搜集地域范圍限制在境內(nèi)；（2）重要數(shù)據(jù)來源主體的廣泛性；（3）不涉及國家秘密，同時也沒有經(jīng)過政府合法公開過的重要數(shù)據(jù)；（4）收集和產(chǎn)生的重要數(shù)據(jù)還要與國家利益和公共利益密切相關(guān)。與此對應(yīng)的領(lǐng)域則主要體現(xiàn)在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域。重要數(shù)據(jù)應(yīng)當(dāng)主要是關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)財產(chǎn)資源，有別于個人信息資源，個人信息也是屬于法律上的重要數(shù)據(jù)資源范疇，但與特指的重要數(shù)據(jù)概念不同。

文章將重要數(shù)據(jù)界定為：重要數(shù)據(jù)是指面向境內(nèi)收集的不為一般公眾所知悉的也未經(jīng)合法公開的與國家利益或者社會公共利益緊密相關(guān)的重要數(shù)據(jù)信息資源，該重要數(shù)據(jù)一旦遭受竊取、泄露或者非法公開等將會給國家利益和社會公共利益造成重大損失，嚴(yán)重的會影響到國家安全。

2.重要數(shù)據(jù)的特征及法律屬性厘定

重要數(shù)據(jù)具有重要的價值，重要數(shù)據(jù)作為數(shù)據(jù)資源的一部分，應(yīng)當(dāng)與數(shù)據(jù)、信息的特征，尤其是法律意義上的數(shù)據(jù)、信息特征具有同質(zhì)性，即重要數(shù)據(jù)應(yīng)滿足數(shù)據(jù)、信息的法律特征。重要數(shù)據(jù)或者信息成為財產(chǎn)的理由主要包括以下方面：（1）重要數(shù)據(jù)信息資源的稀缺性，具有價值性；（2）重要數(shù)據(jù)信息資源的可控性，重要數(shù)據(jù)信息資源有具體的或者相對的管控人；（3）重要數(shù)據(jù)信息資源可以交易。主要存在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的重要數(shù)據(jù)當(dāng)然具有稀缺性及巨大的經(jīng)濟(jì)價值，同時不論是在官方機(jī)構(gòu)掌控的重要數(shù)據(jù)，還是由企業(yè)、甚至是個人掌控下的重要數(shù)據(jù)，都是可以控制的，重要數(shù)據(jù)達(dá)到一定條件可以交易，因此，重要數(shù)據(jù)的本質(zhì)屬性具有財產(chǎn)性，重要數(shù)據(jù)安全則屬于數(shù)據(jù)安全的一部分。

（二）制度層面

重要數(shù)據(jù)安全的法律保護(hù)，在有法理支撐的條件下，再對重要數(shù)據(jù)安全的法律保障制度進(jìn)行構(gòu)建則必事半功倍，重要數(shù)據(jù)安全法律保障機(jī)制的內(nèi)容應(yīng)當(dāng)包括以下主要方面。

1.建立重要數(shù)據(jù)安全綜合保障制度

（1）建立分類、分級的重要數(shù)據(jù)安全管理制度。梳理對標(biāo)《國家安全法》《網(wǎng)絡(luò)安全法》《評估辦法》以及《評估指南》（征求意見稿）等法律法規(guī)要求，建立重要數(shù)據(jù)安全分類、分級保護(hù)，重要數(shù)據(jù)安全預(yù)警以及重要數(shù)據(jù)對外提供使用報告等制度，健全完善關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域個人信息安全和重要數(shù)據(jù)數(shù)據(jù)安全生命周期安全管理制度；（2）完善重要數(shù)據(jù)識別標(biāo)準(zhǔn)體系。推動出臺關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的《個人信息和重要數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》，加快完善關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系。盡快出臺行業(yè)重要數(shù)據(jù)識別指南、網(wǎng)絡(luò)重要數(shù)據(jù)安全防護(hù)等重點標(biāo)準(zhǔn)，遴選部分關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)或行業(yè)開展貫標(biāo)試點，加快推動網(wǎng)絡(luò)重要數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)制定工作；（3）建立重要數(shù)據(jù)安全風(fēng)險評估機(jī)制。出臺重要數(shù)據(jù)安全合規(guī)性評估要點，針對物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)新應(yīng)用帶來的重要數(shù)據(jù)安全問題，及時進(jìn)行風(fēng)險評估和監(jiān)測，積極推動建立重要數(shù)據(jù)安全風(fēng)險評估機(jī)制；（4）建立重要數(shù)據(jù)安全出境的監(jiān)管審查制度。重要數(shù)據(jù)安全關(guān)系國家安全，重要數(shù)據(jù)所涵蓋的數(shù)據(jù)信息價值巨大，重要數(shù)據(jù)一旦泄露將會導(dǎo)致嚴(yán)重后果，因此應(yīng)建立重要數(shù)據(jù)安全出境的監(jiān)管審查制度。

2.實施重要數(shù)據(jù)資源“清單式”管理制度

對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開展分門別類的重要數(shù)據(jù)資源調(diào)研摸底，依據(jù)重要數(shù)據(jù)的敏感程度和泄露濫用可能造成的危害，制定關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域重要數(shù)據(jù)安全保護(hù)目錄，并選取重點企業(yè)開展試點應(yīng)用。同時建立試點企業(yè)內(nèi)部重要數(shù)據(jù)清單和重要數(shù)據(jù)分類、分級管理制度，對列入的重要數(shù)據(jù)實施重點保護(hù)。工作是艱辛復(fù)雜的，但是長效來看是值得的。明確關(guān)鍵基礎(chǔ)實施領(lǐng)域重要數(shù)據(jù)安全的職能部門，設(shè)立重要數(shù)據(jù)安全管理責(zé)任部門和專職人員，承擔(dān)相關(guān)領(lǐng)域重要數(shù)據(jù)安全管理工作，明確各關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域內(nèi)部有重要數(shù)據(jù)安全的日志記錄、重要數(shù)據(jù)訪問控制、重要數(shù)據(jù)加密、重要數(shù)據(jù)脫敏、重要數(shù)據(jù)容災(zāi)備份等重要數(shù)據(jù)安全的保護(hù)措施，組織開展重要部門重要數(shù)據(jù)安全崗位人員相關(guān)的法律法規(guī)培訓(xùn)、知識技能等培訓(xùn)，落實重要數(shù)據(jù)安全事件報告、調(diào)查追責(zé)、向社會公告等要求。

3.加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域信息通信技術(shù)（ICT）供應(yīng)鏈的監(jiān)管

ICT供應(yīng)鏈安全應(yīng)從四個方面著手：針對關(guān)鍵軟硬件產(chǎn)品開展安全審查，管控供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險；統(tǒng)籌推進(jìn)開源代碼安全檢測工作，提升對ICT供應(yīng)鏈安全威脅的檢測能力；督促供應(yīng)商營造安全的供應(yīng)環(huán)境，強(qiáng)化對ICT供應(yīng)鏈網(wǎng)絡(luò)安全威脅的源頭管控；引導(dǎo)用戶企業(yè)加強(qiáng)安全管理，補(bǔ)齊ICT供應(yīng)鏈管理短板[16]。以上措施同樣也可以用于對重要數(shù)據(jù)安全的保護(hù)，統(tǒng)籌協(xié)調(diào)金融、電信、交通等行業(yè)主管部門，盡快啟動針對關(guān)鍵軟硬件產(chǎn)品的網(wǎng)絡(luò)安全審查工作，對進(jìn)入我國重要行業(yè)、領(lǐng)域的關(guān)鍵軟硬件產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全審查。盡快制定出臺網(wǎng)絡(luò)安全審查、評估配套方面的標(biāo)準(zhǔn)規(guī)范，加快推廣實施ICT供應(yīng)鏈重要數(shù)據(jù)安全風(fēng)險管理指南、信息技術(shù)產(chǎn)品安全可控評價指標(biāo)系列國家標(biāo)準(zhǔn)，為開展重要數(shù)據(jù)安全審查提供支撐。

四、結(jié)語

由于網(wǎng)絡(luò)空間數(shù)據(jù)信息自由流動的原則以及數(shù)據(jù)跨境交易業(yè)已成為常態(tài)，結(jié)合互聯(lián)網(wǎng)的特性，重要數(shù)據(jù)安全的保障在國際層面需要各國共同努力構(gòu)建良好的網(wǎng)絡(luò)空間治理環(huán)境，保障重要數(shù)據(jù)的保密性、可用性、可控性和完整性，各個國家應(yīng)順應(yīng)時代潮流，在“領(lǐng)網(wǎng)”①“領(lǐng)網(wǎng)”是指國家基于網(wǎng)絡(luò)信息技術(shù)和信息基礎(chǔ)設(shè)施而架構(gòu)起來的網(wǎng)絡(luò)空間，國家對在“領(lǐng)網(wǎng)”內(nèi)的信息數(shù)據(jù)享有主權(quán)權(quán)力和權(quán)利。祝高峰.大數(shù)據(jù)時代國家信息主權(quán)的確立及其立法建議[J].江西社會科學(xué)，2016，36（07）：194.的范圍內(nèi)勇?lián)鷶?shù)據(jù)安全發(fā)展的責(zé)任，共迎重要數(shù)據(jù)安全面臨的風(fēng)險挑戰(zhàn)，共同推進(jìn)網(wǎng)絡(luò)空間重要數(shù)據(jù)安全的治理，努力推動構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。重要數(shù)據(jù)安全是一個多維度的問題，重要數(shù)據(jù)安全不僅關(guān)系到關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)安全，更會危及社會安全和國家安全，因此在明確數(shù)據(jù)主權(quán)的前提下，界定重要數(shù)據(jù)的概念，厘清重要數(shù)據(jù)的法律屬性，構(gòu)建重要數(shù)據(jù)安全的法律保障機(jī)制既是現(xiàn)實保護(hù)數(shù)據(jù)安全的要求，也是完善數(shù)據(jù)安全法律保障制度的要求。