時間:2016-11-18
來源: 責任編輯:xzw
我國關鍵基礎設施立法的基本思路和制度構建
劉金瑞 中國法學會法律信息部助理研究員
各位領導、各位嘉賓��,大家下午好�。
????????隨著信息通信技術的革命性進展����,交通、電力�、電信、供水����、金融及政府服務等基礎設施的運營越來越依靠網絡信息系統���,人類的日常行為和生活越來越轉化成網絡空間的信息數據流。然而�����,網絡信息系統也極易因為攻擊而整個陷入癱瘓��,其中的數據也極易被攔截��、竊取和破壞�����,從而引發(fā)了網絡安全的問題��。各國雖然界定不同�,但基本強調網絡安全就是要確保網絡信息系統及其所存儲和傳輸的數據的安全,而關鍵基礎設施保護自然成為網絡安全立法的核心問題����。在我國,網絡安全一般理解為系統安全和內容安全兩個方面�。
域外制度設計以美國為代表,美國的政策和立法基本經歷了從國內到國際����,從政策到立法��。其立法設想包括兩個方面:一是私有關鍵基礎設施的保護�,二是網絡安全信息共享����。之所以是私有關鍵基礎設施的保護,是因為美國已經在行政系統內部署“愛因斯坦”計劃應對政府關鍵基礎設施的威脅�����,而對私有關鍵基礎設施�,不能強制監(jiān)管,只能謀求其他解決方案�。主要立法思路就是,要劃定關鍵基礎設施的范圍���,并賦予這些設施以強制性的監(jiān)管方案和安全標準����。對于網絡安全信息共享����,主要立法思路是通過交換和共享安全信息,來預防和充分應對網絡安全事件�����,以減少損害發(fā)生�����。這兩方面都設想只要私營企業(yè)遵守強制標準和進行信息共享�,就規(guī)定豁免其因此可能承擔的法律責任。
美國立法只有在第二方面通過了CISA(網絡安全信息共享法)���,第一方面的立法設想并未實現���,起主要作用的是一系列政策和法令,制度框架梳理為以下五個方面:一是建立政府和行業(yè)的協作機制�。確立不同的聯邦部門作為16種行業(yè)CI保護的領導部門,政府設“政府協作委員”�,行業(yè)設“行業(yè)協作委員會”,行業(yè)協作委員會為國家保護計劃(NIPP)和行業(yè)保護計劃(SSP)制訂提供支持���。2006年3月���,國土安全部設立“關鍵基礎設施合作伙伴咨詢委員會”���,這個委員會大部分會議和文件不向公眾公開,不公開的原因是只要保密才能確保安全�。
二是制訂國家級保護計劃。從1996年克林頓13010號命令開始,一直強調制訂國家計劃,但直到2006年6月�����,小布什政府第一次正式公布國家關鍵基礎設施保護計劃,并制訂了特定行業(yè)計劃��,這些計劃每四年更新一次�。奧巴馬政府時期,計劃第二次更新����,保留了之前基本的合作伙伴模式和風險管理框架。
三是設立信息共享和分析中心�����。1998年克林頓63號總統指令規(guī)定FBI內部“國家關鍵基礎設施保護中心”(NIPC)維持政府和私營部門之間的信息共享����,與之相對,私營行業(yè)建立信息共享和分析中心(ISAC)�����,促成政府和私營行業(yè)之間的信息交換�����。不同于行業(yè)協作委員會�,該中心是24小時、365天全天候運行�,通報、分析和共享安全事件和威脅信息�。雖然最初將ISAC設想成信息交換的主要渠道,之后還是發(fā)展出了一系列其他機制�����,例如美國計算機應急中心(US-CERT)�����、國土安全信息網絡(HSIN)�、關鍵基礎設施保護行政通知服務處等。《國土安全法》還規(guī)定要發(fā)展“信息共享和分析組織”(ISAO)��,和ISAC是行業(yè)導向的不同���,ISAO沒有這種要求�����。2014年���,美國立法授權國土安全部設立國家網絡安全和通信集成中心(NCCIC),試圖協調整合這些情報交換渠道�����。
四是認定關鍵設施�、評估漏洞風險和確定優(yōu)先防護措施。由國土安全部國家保護和計劃司(NPPD)負責�,其將關鍵基礎設施資產分為國內或國外兩類,分別納入“國家關鍵基礎設施優(yōu)先保護計劃”(NCIPP)和“關鍵海外依存行動計劃”(CFDI)�,兩種計劃對應了兩類秘密的列表。但政府對這些資產的所有者或運營者的建議不具有強制性����。
五是制訂網絡安全框架����。奧巴馬E.O. 13636及PPD-21要求要求過國家標準和技術研究院(NIST)負責制定網絡安全技術標準��,領導研發(fā)減少關鍵基礎設施網絡風險的“網絡安全框架”��,側重行業(yè)最佳實踐��,這是國土安全部“自愿的關鍵基礎設施網絡安全計劃”的基礎�����。NIST于2014年2月發(fā)布了1.0版的《網絡安全框架》�����,DHS鼓勵關鍵基礎設施列表上的企業(yè)采用上述“自愿保護計劃”�,但不是強制性的����。
對于關鍵基礎設施保護的基本思路,可以從它面臨的風險入手進行制度設計��,主要包括三個方面預防威脅���、填補漏洞��、應對危害���。根據這一思路�����,結合新通過的《網絡安全法》���,匯報以下思考要點:一是從國家安全高度把握關鍵基礎設施范圍和立法。網安法從國家安全的高度明確了以CI保護為核心�����,相對于一審稿25條的定義(重要行業(yè)���、公共服務�、軍事��、政務���、用戶數量眾多)是重大進步���,貫徹了習總書記4.19講話�����。重要的不一定是關鍵的��,并不是所有信息系統等同保護�。擴大理解“關鍵信息基礎設施”為“關鍵基礎設施”���,網安法界定的關鍵信息基礎設施應理解為不只限于保護信息產業(yè)的關鍵基礎設施,類似核電站等也需要保護�����。設計法律規(guī)范體系���,避免重復規(guī)定�����,對于信息系統保護��,網絡安全法的側重國家安全���,刑法和其他法律側重公共安全��。
二是堅持國內經驗總結與國外經驗借鑒相結合原則��。一方面����,處理好關鍵基礎設施保護和信息安全等級保護的關系�����,明確對于關鍵基礎設施具體范圍���,應采用秘密清單制度�����。另一方面���,對第四章規(guī)定的商榷意見。現在網安法的結構是第3章 網絡運行安全+ 第4章 網絡信息安全���,可我國對“網絡安全”的理解是系統安全(包括數據安全)+內容安全��,建議今后通過行政法規(guī)等充實第4章的規(guī)定�,增加未成年人上網保護、網絡內容管理(實名制����、內容分級制度)等。
三是設計監(jiān)管框架時區(qū)分一般和關鍵����、公共和私營。一方面����,區(qū)分一般信息系統和關鍵基礎設施�。將第3章第一節(jié)“一般規(guī)定”理解為“信息系統的一般保護” ,規(guī)定了適用于所有信息系統的運營者的義務(漏洞報告�����、協助執(zhí)法等)�、監(jiān)管部門的權限。將第3章第二節(jié)理解為“關鍵基礎設施的特別保護”�,對于第37條的適用,需要進一步探討:數據留存的目的到底是什么?一般和關鍵的區(qū)別?另一方面��,區(qū)分公共部門和私營部門設計不同的監(jiān)管框架。借鑒美國《聯邦信息安全管理法》和愛因斯坦計劃的經驗��,政府部門應該實行更為嚴格的保護��。
四是監(jiān)管私營部門要貫徹安全與發(fā)展并重的原則����。增加懲戒所示等不是目的,要確保企業(yè)有效遵守��,就需要規(guī)定監(jiān)管標準的強制效力��,未來條例應予明確?��,F有的網絡安全信息共享規(guī)定過于簡單��,第39條(三)“促進”��,沒有具體負責機構和實現機制��,只有第30條規(guī)定對于企業(yè)的鼓勵還是不夠�。
五是在相關條文擬定中為國際規(guī)則制定留下適當空間�����。一方面完善管轄權條款確認法律的域外效力。除了“屬地管轄權”之外�����,還要規(guī)定“屬人管轄權”�����、“保護管轄權”和“普遍管轄權”�。二是原則上規(guī)定針對網絡攻擊的反制措施,網安法第75條已經予以規(guī)定�����。
關注官方微信
關注官方微博
