顾 伟

(阿里巴巴集团法务部法律研究中心，北京 100102)

关键信息基础设施保护制度的国际接轨与中国特色
——《网络安全法》亮点解读

顾 伟

(阿里巴巴集团法务部法律研究中心，北京 100102)

20世纪末以来，随着信息通信技术迅速渗透，基础网络和重要信息系统安全风险大幅度增加，出于对基础设施重要信息系统安全保护重要性的认识，我国及西方国家都在不断探索完善本国的网络安全保护制度。鉴于网络的互联互通与市场机制，各国在制度的顶层设计与具体措施方面既有本地化选择，更形成了诸多国际性的特征。本文对我国《网络安全法》中关键信息基础设施保护制度的二元化现象进行了解读，并在此基础上对制度建构进行了初步探索。

网络安全;关键信息基础设施;安全审查

0 引言

2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《网络安全法》。正式发布的法律在整体维持二审稿关键信息基础设施保护制度顶层设计的基础上，对关键信息基础设施保护予以进一步完善，包括增加重要行业和领域的范围列举；增加对攻击、侵入、干扰、破坏我国关键信息基础设施的境外机构、组织、个人的惩戒措施等。

通过对关键信息基础设施的认定标准、基本范围、管理机制等进行顶层设计，以及对关键基础设施的运营管理、数据存储、安全评估和安全保护提出基本要求，《网络安全法》已初步搭建起关键信息基础设施保护的基本制度架构，并将其确立为我国信息网络安全保护的基础制度之一。这也标志着中国网络安全治理正式迈入了法治化轨道，为加快推进法治中国和网络强国战略提供坚实保障。

1 与国际接轨的顶层设计与基本制度

从整体架构看，我国关键信息基础设施保护制度基本实现了与国际接轨。纵观互联网较为发达的国家和地区，多以关键（信息）基础设施保护为基础，建立信息网络安全保护制度，对基础信息网络和重要信息系统等的安全进行重点保护。我国与美国、欧洲国家等在关键（信息）基础设施方面的共通性比较明显。主要体

现在：

一是将重要行业和关键领域纳入关键信息基础设施保护范畴，乃国际惯例。例如，美国2013年奥巴马政府第21号总统令确定了通讯、金融服务、信息技术等16类关键基础设施部门[1]；欧盟《2008/114/EC号指令》确立了8大类的关键信息基础设施，欧洲议会2012年通过的关键信息基础设施保护决议中，则进一步提出将信息通信技术行业、金融服务等纳入关键基础设施范畴。[2]我国《网络安全法》三审稿则明确将“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”等确定为重要行业和领域。

二是将关键信息基础设施限定在对一国经济社会生活极其重要，若失效或破坏会对国家安全、经济安全、社会生活产生重大负面影响的信息系统和设施，是发达国家立法的通行做法。例如美国克林顿政府第63号总统令《对关键基础设施保护的政策》将关键基础设施定义为：“对国家至关重要的物理和网络系统与资产,它们失去能力或被破坏将会使国家安全、国家经济安全和国家公共卫生与安全受到削弱。”[3]欧盟《2008/114/EC号指令》亦采取类似定性。我国《网络安全法》三审稿也明确将“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”纳入保护的范围。

三是将自愿参与作为关键信息基础设施保护的重要机制。美国《2002年关键基础设施信息保护法》（Critical Infrastructure Information Act of 2002）规定关键基础设施机构可以自愿向国土安全部提交关键基础设施及其保护系统的网络安全威胁信息，以及时发现并处理关键基础设施信息系统的缺陷，为机构和公众提供预警和评估参考。2015年12月底通过的《网络安全信息共享法》（Cybersecurity Information Sharing Act of 2015）则对私营机构向政府共享信息进行了制度化设计，进一步消除共享的法律障碍，鼓励各公私单位自愿分享网络安全信息。我国《网络安全法》在二审稿中就已经明确提出，国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。可以预见，自愿性的网络安全信息共享将是这种自愿参与的主形式之一。

2 具有中国特色的网络安全管理机制

我国自20世纪90年代起即开始推进信息网络等级保护制度，构建中国特色的基础网络和重要信息系统的保护制度，因此《网络安全法》在设计关键信息基础设施保护制度之时，尤为注意与我国传统信息网络安全管理制度的有序衔接。并且，正如习近平总书记在4.19讲话中指出的，“国家关键信息基础设施面临较大风险隐患，网络安全防控能力薄弱”，因此《网络安全法》还对关键信息基础设施保护的若干重点环节，专门提出具有中国特色的管理要求。主要体现在：

一是在《国家安全法》确立的信息网络产品与服务的国家安全审查制度基础上，进一步提出了关键信息基础设施运营者采购网络产品和服务的网络安全审查制度。西方国家对关系国家安全的信息技术软硬件产品、服务，也会进行检测、评估以确定是否符合既定安全标准或安全需求的行为，但只是在具体使用中，基本不直接采用“网络安全审查”（Cyber Security

Review）或类似的表述，多数国家通过法律、政策或标准等多元方式，对涉及政府采购等国家安全领域的信息技术产品和服务，进行安全测评或者认证。

当然，《网络安全法》对网络安全审查只是进行了原则性规定，在实施细则出台之前，还谈不上与西方相关制度之间存在本质不同。并且，西方国家并不反对那些不具歧视性的正常网络安全政策。2015年初，美国贸易代表发言人称：“我们认为各国必须采取措施以改善IT软件和硬件的网络安全性，但是不应利用这种政策来歧视美国企业，阻止他们向中国市场提供产品和服务。”[4]

二是确立了关键信息基础设施的重要数据跨境安全评估制度。《网络安全法》要求，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。西方国家基本不会在法律中或者政策中明确对关键信息基础设施的数据跨境转移提出法律要求，类似外商投资安全审查、政府采购、重要信息系统安全等领域中，通过安全协议、安全评估等非显性法律要求的形式，对数据存储提出或非公开的、或基于政策的、或基于标准的具体约束性要求。

比较而言，我国的《网络安全法》在关键信息基础设施数据跨境安全评估方面与西方国家的最大不同之处，在于其将个人信息和重要业务数据的跨境转移安全评估，从非显性的、偏碎片化要求明确提升到制度化的高度，相关数据的评估不再是具体事项中的国家安全考虑。因此，从某种程度上说，若严格执行《网络安全法》中的数据跨境安全转移，或许会在关键信息基础设施保护的力度和范围上强于西方国家。但值得注意的是，如前述，西方国家相关重要数据的安全评估，其是不专门针对关键信息基础设施的，而是国家安全相关领域。

三是确立在网络安全等级保护制度的基础上，实行关键信息基础设施的重点保护。我国已自主发育形成了具有中国特色的信息网络安全制度。我国等级保护制度始于1994年发布的《计算机信息系统安全保护条例》（国务院第147号令），单纯从时间而言，我国等级保护制度正式出现甚至早于美国等国关键信息基础设施保护制度[5]，只是在基础标准上，借鉴参考了国外相关实践。例如，1999年发布的《计算机信息系统安全等级保护划分准则》即源自1983年美国国家计算机安全中心（NCSC）制定的可信计算机系统评估准则（TCSEC）。TCSEC与CCPECT、FC以及欧洲四国标准ITSEC共同转化为国际通用标准CC，最终被国际标准化组织ISO吸纳成为ISO15408，我国等级保护相关标准也多参照ISO15408。

然而，西方国家的关键信息基础设施保护并未将前述标准作为关键信息基础设施保护的基础标准。例如，美国国家标准技术研究院（NIST）发布的《提升美国关键基础设施网络安全的框架规范》[6]提出美国的关键基础设施信息安全防护体系框架分为识别、保护、侦测、响应和恢复五个层面，是一种基于生命周期和流程的风险防控体系，主要标准是ISO/IEA27001和联邦政府信息和组织的安全控制措施NIST SP800-53

等。因此，我国等级保护制度与关键信息基础设施保护制度也是可以从管理机制上加以区分的，适用不同的评价标准。当然，同一机构可能会面临既已适用等级保护，也要适用关键信息基础设施保护要求的冲突，这一矛盾需要国家有关部门抓紧出台具体的实施办法予以化解。

建议考虑等级保护制度比信息系统安全技术要求规定相对完备的现实情况，将对关键信息基础设施的规范重点，转向信息系统全生命周期的管理要求。

3 对关键信息基础设施保护具体办法的展望

纵观国外关键信息基础保护设施制度，我们发现相关政策法律不仅是对认定范围、管理体系和保护程序作出规定，还重点引入信息共享、风险评估、应急处置以及公私合作等具体保护机制。鉴于我国关键信息基础设施保护的制度基础，可以预见《网络安全法》后续的实施规定中，势必也需要对相关重点问题予以回应。包括：

一是进一步明确关键信息基础设施保护的部门分工。国外通过法律确定顶层设计后，重视通过配套规则明确部门分工。例如，美国《2002年国土安全法》（Homeland Security Act of 2002）要求国土安全部统筹负责关键基础设施保护等工作，2013年发布的《保护关键基础设施之安全和可恢复的总统令》，又进一步调整细化了国土安全部与相关联邦部门的分工，明确了国土安全部统筹评估认定与若干领域单独负责、协同负责，以及金融、环保、农业、能源等专业行政领域相应行业主管部门负责的管理体制。[1]鉴于《网络安全法》对部门分工的模糊表述，明确分工将是必要选择。

二是明确关键信息基础设施的认定标准和程序。国外法律倾向在高位阶法律明确关键信息基础设施保护的同时，通过行政立法的方式规定关键信息基础设施的认定标准及程序。美国国土安全部于2003年12月发布第7号令《关键基础设施识别、优先级和保护》[7]，明确关键基础设施的认定标准、相关部门工作分工等；2015年7月德国联邦参议院新通过的《联邦信息技术安全法》（IT Security Act ，ITSG），授权联邦内政部征询具体主管部门及产学研代表后认定关键基础设施，为此联邦内政部需要制定关键基础设施的具体认定标准和程序。我国《网络安全法》的后续实施，最受关注的重点之一，也将是如何认定关键信息基础设施，包括认定程序等。

三是对网络安全信息共享等关键信息基础设施保护的核心要求予以制度化。广义上，信息共享机制包括联络机构设置、安全风险预警、安全信息共享等系列制度。因为关键信息基础设施多为私营组织控制，所以信息共享机制的重点是是推动私营部门自愿参与共享。除前文中的美国做法外，欧盟2004年也开始通过网络与信息安全局（ENISA）建设欧洲信息共享和预警系统（EISAS），2016年欧洲通过的《网络与信息安全指令》将会以更大范围推动信息共享的标准化与自愿报告机制形成。[8]当前我国除漏洞等领域，网络安全威胁共享机制还远未成熟，社会参与度并不高。有必要对关键信息基础设施安全信息共享的主体与内容、范围与程序、信息脱敏与公开等问题予以进一步规定。

四是进一步明确关键信息基础设施的风险

评估与应急响应机制。评估关键信息基础设施的风险，同时建立相应的应急响应机制是预防和化解风险的有效措施。前述美国的关键基础设施保护的核心内容是通过政府提供的多种风险评估方法，来识别风险和威胁，进而确定组织的信息安全需求，选择风险控制措施。加拿大于2014年推出的全风险安全管理机制，包括关键基础设施的风险评估、行业性工作计划和国家示范方案等。我国已在等级保护实施中积累较多评估标准和经验，但主要侧重于信息安全产品评估和信息系统技术构建，因此有必要通过立法推动体系化、重管理的风险评估及响应机制的形成。

需要明确的是，评估过程中的信息安全问题需要格外重视。美国2013年发布的《提高关键基础设施网络安全的行政令》即在“识别关键基础设施的最大风险”时指出“不得依据本规定识别任何商业信息技术产品或消费者信息技术服务”。[9]

最后有必要明确关键信息基础设施保护过程中，相关主体的法律责任。政府有责任严格落实关键信息基础设施保护。这里的“政府”可参考国际惯例，将相关国有企事业单位囊括进入。例如《美国法典》第44章第3502条所规定的联邦政府机构（Agency），是指“任何行政部门、军事部门、政府公司、政府控股的公司，或者政府行政部门内设其他机构，或者任何独立的监管机构等”。我国关键信息基础设施保护与国外的一重大差别在于，国外关键信息基础设施多数为私营组织控制，而我国则有很大一部分属于国有企事业单位。所以，法律应当尤为重视相关国有企事业单位的法律责任。

此外，相关私营组织的法律责任也需要明确。国外对此一般按照是否为政府提供商业产品或服务区分不同的责任。建议我国也作符合国际惯例的分类管理，对明确被认定为典型关键信息基础设施的，适用强安全保障责任；对不参与政府采购的，且不在典型关键信息基础设施范围的，在自愿参与基础上，进一步确立免责机制，并以公私伙伴关系和一定激励机制的形式推出。

4 结语

综上，我国已经通过《网络安全法》初步建立起既接轨国际也具中国特色的关键信息基础设施保护制度。这既是我国加强网络安全保护的客观需要，也是我国网络安全保护主动融入全球治理的必然选择，对形成中国特色且符合国际惯例的网络空间治理体系至关重要。在后续立法过程中，建议进一步考虑到关键信息基础设施保护与相关制度的衔接；考虑到政府（包括国有企事业单位）与私营组织分别控制的关键信息基础设施保护制度差异，在充分调动私营组织参与的同时，避免对一般商业信息安全产品和服务提出超出WTO规则和国际惯例以外的法律要求；考虑在通过顶层设计对各负责部门明确授权的同时，通过规范的认定标准等程序性设计，划清权力与市场边界，明确分工，落实责任。

[1] The White House, Presidential Policy Directive, Critical Infrastructure Security and Resilience [S]. 2013.2.12.

[2] Council of the European Union, Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection [S]. 2008.8.12.

[3] The White House, Presidential Decision Directive 63, The Clinton Administration's Policy on Critical Infrastructure Protection [S]. 1998.5.22.

[4] 侯雪苹. 美国对中国IT行业监管规定表示关切[EB/OL]. （2015-01-30）[2016-11-03]. http://cn.reuters.com/article/china-techsecurity-ustr-idCNKBS0L30C320150130.

[5] 顾伟. 美国关键信息基础设施保护与中国等级保护制度的比较研究及启示[J]. 电子政务，2015（7）：93-95.

[6] National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity[S]. 2014.2.12.

[7] DHS. Homeland Security Presidential Directive 7, Critical Infrastructure Identification, Prioritization, and Protection [S]. 2015.9. 22.

[8] European Parliament and of the Council, Directive (EU) 2016/1148 of concerning measures for a high common level of security of network and information systems across the Union [S]. 2016.7.19.

[9] The White House, Executive Order 13636, Improving Critical Infrastructure Cybersecurity [S]. 2013.2.12.

顾伟，阿里巴巴集团法务部法律研究中心副主任，中国社科院研究生院法学博士，主要研究方向为数据保护与网络安全法。

International Practice and Chinese Characteristics Integrated in Newly Critical Information Infrastructure Protection——The Perspective of China Cybersecurity Law

GU Wei
(Alibaba Group ，Center for Law Studies, Beijing 100102,China)

Since the end of the 20th century, with the rapid development of information and communication technology and increasing risk of critical information system and network, China and Western countries are constantly exploring and improving their own cyber security management system. In view of the network interconnection and market mechanism, countries not only have the localization choice in the top-level design and the concrete measure, but also formed a number of international characteristics. The paper explains the duality of the critical information infrastructure protection in China's "Cyber Security Act", and makes a preliminary exploration of the system construction on this basis.

Cybersecurity ;Critical Information Infrastructure ;Cyber Security Review

D99

A

1009-8054(2016)11-0048-06

2016-07-06