時(shí)間:2016-11-19
來(lái)源: 責(zé)任編輯:elite
我國(guó)關(guān)鍵基礎(chǔ)設(shè)施立法的基本思路和制度構(gòu)建
劉金瑞 中國(guó)法學(xué)會(huì)法律信息部助理研究員
各位領(lǐng)導(dǎo)�����、各位嘉賓�����,大家下午好��。
????????隨著信息通信技術(shù)的革命性進(jìn)展�,交通�、電力、電信�、供水、金融及政府服務(wù)等基礎(chǔ)設(shè)施的運(yùn)營(yíng)越來(lái)越依靠網(wǎng)絡(luò)信息系統(tǒng),人類(lèi)的日常行為和生活越來(lái)越轉(zhuǎn)化成網(wǎng)絡(luò)空間的信息數(shù)據(jù)流�。然而,網(wǎng)絡(luò)信息系統(tǒng)也極易因?yàn)楣舳麄€(gè)陷入癱瘓�����,其中的數(shù)據(jù)也極易被攔截����、竊取和破壞��,從而引發(fā)了網(wǎng)絡(luò)安全的問(wèn)題����。各國(guó)雖然界定不同,但基本強(qiáng)調(diào)網(wǎng)絡(luò)安全就是要確保網(wǎng)絡(luò)信息系統(tǒng)及其所存儲(chǔ)和傳輸?shù)臄?shù)據(jù)的安全����,而關(guān)鍵基礎(chǔ)設(shè)施保護(hù)自然成為網(wǎng)絡(luò)安全立法的核心問(wèn)題。在我國(guó)��,網(wǎng)絡(luò)安全一般理解為系統(tǒng)安全和內(nèi)容安全兩個(gè)方面����。
域外制度設(shè)計(jì)以美國(guó)為代表,美國(guó)的政策和立法基本經(jīng)歷了從國(guó)內(nèi)到國(guó)際,從政策到立法�。其立法設(shè)想包括兩個(gè)方面:一是私有關(guān)鍵基礎(chǔ)設(shè)施的保護(hù),二是網(wǎng)絡(luò)安全信息共享��。之所以是私有關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)����,是因?yàn)槊绹?guó)已經(jīng)在行政系統(tǒng)內(nèi)部署“愛(ài)因斯坦”計(jì)劃應(yīng)對(duì)政府關(guān)鍵基礎(chǔ)設(shè)施的威脅,而對(duì)私有關(guān)鍵基礎(chǔ)設(shè)施�,不能強(qiáng)制監(jiān)管,只能謀求其他解決方案���。主要立法思路就是�,要?jiǎng)澏P(guān)鍵基礎(chǔ)設(shè)施的范圍����,并賦予這些設(shè)施以強(qiáng)制性的監(jiān)管方案和安全標(biāo)準(zhǔn)。對(duì)于網(wǎng)絡(luò)安全信息共享�����,主要立法思路是通過(guò)交換和共享安全信息���,來(lái)預(yù)防和充分應(yīng)對(duì)網(wǎng)絡(luò)安全事件��,以減少損害發(fā)生�����。這兩方面都設(shè)想只要私營(yíng)企業(yè)遵守強(qiáng)制標(biāo)準(zhǔn)和進(jìn)行信息共享����,就規(guī)定豁免其因此可能承擔(dān)的法律責(zé)任。
美國(guó)立法只有在第二方面通過(guò)了CISA(網(wǎng)絡(luò)安全信息共享法)����,第一方面的立法設(shè)想并未實(shí)現(xiàn)�����,起主要作用的是一系列政策和法令�,制度框架梳理為以下五個(gè)方面:一是建立政府和行業(yè)的協(xié)作機(jī)制。確立不同的聯(lián)邦部門(mén)作為16種行業(yè)CI保護(hù)的領(lǐng)導(dǎo)部門(mén)���,政府設(shè)“政府協(xié)作委員”����,行業(yè)設(shè)“行業(yè)協(xié)作委員會(huì)”��,行業(yè)協(xié)作委員會(huì)為國(guó)家保護(hù)計(jì)劃(NIPP)和行業(yè)保護(hù)計(jì)劃(SSP)制訂提供支持。2006年3月����,國(guó)土安全部設(shè)立“關(guān)鍵基礎(chǔ)設(shè)施合作伙伴咨詢(xún)委員會(huì)”,這個(gè)委員會(huì)大部分會(huì)議和文件不向公眾公開(kāi)�����,不公開(kāi)的原因是只要保密才能確保安全��。
二是制訂國(guó)家級(jí)保護(hù)計(jì)劃��。從1996年克林頓13010號(hào)命令開(kāi)始����,一直強(qiáng)調(diào)制訂國(guó)家計(jì)劃,但直到2006年6月��,小布什政府第一次正式公布國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃�,并制訂了特定行業(yè)計(jì)劃,這些計(jì)劃每四年更新一次����。奧巴馬政府時(shí)期,計(jì)劃第二次更新�,保留了之前基本的合作伙伴模式和風(fēng)險(xiǎn)管理框架���。
三是設(shè)立信息共享和分析中心。1998年克林頓63號(hào)總統(tǒng)指令規(guī)定FBI內(nèi)部“國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心”(NIPC)維持政府和私營(yíng)部門(mén)之間的信息共享�,與之相對(duì),私營(yíng)行業(yè)建立信息共享和分析中心(ISAC)���,促成政府和私營(yíng)行業(yè)之間的信息交換���。不同于行業(yè)協(xié)作委員會(huì),該中心是24小時(shí)���、365天全天候運(yùn)行��,通報(bào)、分析和共享安全事件和威脅信息�����。雖然最初將ISAC設(shè)想成信息交換的主要渠道��,之后還是發(fā)展出了一系列其他機(jī)制����,例如美國(guó)計(jì)算機(jī)應(yīng)急中心(US-CERT)����、國(guó)土安全信息網(wǎng)絡(luò)(HSIN)�、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行政通知服務(wù)處等?!秶?guó)土安全法》還規(guī)定要發(fā)展“信息共享和分析組織”(ISAO),和ISAC是行業(yè)導(dǎo)向的不同���,ISAO沒(méi)有這種要求��。2014年��,美國(guó)立法授權(quán)國(guó)土安全部設(shè)立國(guó)家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)�,試圖協(xié)調(diào)整合這些情報(bào)交換渠道���。
四是認(rèn)定關(guān)鍵設(shè)施�、評(píng)估漏洞風(fēng)險(xiǎn)和確定優(yōu)先防護(hù)措施��。由國(guó)土安全部國(guó)家保護(hù)和計(jì)劃司(NPPD)負(fù)責(zé)�����,其將關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)分為國(guó)內(nèi)或國(guó)外兩類(lèi)�,分別納入“國(guó)家關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先保護(hù)計(jì)劃”(NCIPP)和“關(guān)鍵海外依存行動(dòng)計(jì)劃”(CFDI)�,兩種計(jì)劃對(duì)應(yīng)了兩類(lèi)秘密的列表���。但政府對(duì)這些資產(chǎn)的所有者或運(yùn)營(yíng)者的建議不具有強(qiáng)制性�。
五是制訂網(wǎng)絡(luò)安全框架���。奧巴馬E.O. 13636及PPD-21要求要求過(guò)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)負(fù)責(zé)制定網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)���,領(lǐng)導(dǎo)研發(fā)減少關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)的“網(wǎng)絡(luò)安全框架”,側(cè)重行業(yè)最佳實(shí)踐����,這是國(guó)土安全部“自愿的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全計(jì)劃”的基礎(chǔ)。NIST于2014年2月發(fā)布了1.0版的《網(wǎng)絡(luò)安全框架》����,DHS鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施列表上的企業(yè)采用上述“自愿保護(hù)計(jì)劃”�����,但不是強(qiáng)制性的�。
對(duì)于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的基本思路,可以從它面臨的風(fēng)險(xiǎn)入手進(jìn)行制度設(shè)計(jì)��,主要包括三個(gè)方面預(yù)防威脅、填補(bǔ)漏洞���、應(yīng)對(duì)危害�����。根據(jù)這一思路���,結(jié)合新通過(guò)的《網(wǎng)絡(luò)安全法》,匯報(bào)以下思考要點(diǎn):一是從國(guó)家安全高度把握關(guān)鍵基礎(chǔ)設(shè)施范圍和立法�。網(wǎng)安法從國(guó)家安全的高度明確了以CI保護(hù)為核心,相對(duì)于一審稿25條的定義(重要行業(yè)���、公共服務(wù)�����、軍事��、政務(wù)�、用戶(hù)數(shù)量眾多)是重大進(jìn)步�����,貫徹了習(xí)總書(shū)記4.19講話(huà)。重要的不一定是關(guān)鍵的�����,并不是所有信息系統(tǒng)等同保護(hù)����。擴(kuò)大理解“關(guān)鍵信息基礎(chǔ)設(shè)施”為“關(guān)鍵基礎(chǔ)設(shè)施”,網(wǎng)安法界定的關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)理解為不只限于保護(hù)信息產(chǎn)業(yè)的關(guān)鍵基礎(chǔ)設(shè)施��,類(lèi)似核電站等也需要保護(hù)�����。設(shè)計(jì)法律規(guī)范體系�,避免重復(fù)規(guī)定,對(duì)于信息系統(tǒng)保護(hù)�����,網(wǎng)絡(luò)安全法的側(cè)重國(guó)家安全���,刑法和其他法律側(cè)重公共安全。
二是堅(jiān)持國(guó)內(nèi)經(jīng)驗(yàn)總結(jié)與國(guó)外經(jīng)驗(yàn)借鑒相結(jié)合原則�����。一方面,處理好關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和信息安全等級(jí)保護(hù)的關(guān)系�����,明確對(duì)于關(guān)鍵基礎(chǔ)設(shè)施具體范圍����,應(yīng)采用秘密清單制度。另一方面���,對(duì)第四章規(guī)定的商榷意見(jiàn)?���,F(xiàn)在網(wǎng)安法的結(jié)構(gòu)是第3章 網(wǎng)絡(luò)運(yùn)行安全+ 第4章 網(wǎng)絡(luò)信息安全�����,可我國(guó)對(duì)“網(wǎng)絡(luò)安全”的理解是系統(tǒng)安全(包括數(shù)據(jù)安全)+內(nèi)容安全�,建議今后通過(guò)行政法規(guī)等充實(shí)第4章的規(guī)定,增加未成年人上網(wǎng)保護(hù)��、網(wǎng)絡(luò)內(nèi)容管理(實(shí)名制、內(nèi)容分級(jí)制度)等�����。
三是設(shè)計(jì)監(jiān)管框架時(shí)區(qū)分一般和關(guān)鍵��、公共和私營(yíng)����。一方面,區(qū)分一般信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施����。將第3章第一節(jié)“一般規(guī)定”理解為“信息系統(tǒng)的一般保護(hù)” ,規(guī)定了適用于所有信息系統(tǒng)的運(yùn)營(yíng)者的義務(wù)(漏洞報(bào)告�、協(xié)助執(zhí)法等)、監(jiān)管部門(mén)的權(quán)限�。將第3章第二節(jié)理解為“關(guān)鍵基礎(chǔ)設(shè)施的特別保護(hù)”,對(duì)于第37條的適用�����,需要進(jìn)一步探討:數(shù)據(jù)留存的目的到底是什么?一般和關(guān)鍵的區(qū)別?另一方面��,區(qū)分公共部門(mén)和私營(yíng)部門(mén)設(shè)計(jì)不同的監(jiān)管框架��。借鑒美國(guó)《聯(lián)邦信息安全管理法》和愛(ài)因斯坦計(jì)劃的經(jīng)驗(yàn),政府部門(mén)應(yīng)該實(shí)行更為嚴(yán)格的保護(hù)�。
四是監(jiān)管私營(yíng)部門(mén)要貫徹安全與發(fā)展并重的原則���。增加懲戒所示等不是目的�����,要確保企業(yè)有效遵守��,就需要規(guī)定監(jiān)管標(biāo)準(zhǔn)的強(qiáng)制效力��,未來(lái)?xiàng)l例應(yīng)予明確?���,F(xiàn)有的網(wǎng)絡(luò)安全信息共享規(guī)定過(guò)于簡(jiǎn)單�,第39條(三)“促進(jìn)”,沒(méi)有具體負(fù)責(zé)機(jī)構(gòu)和實(shí)現(xiàn)機(jī)制���,只有第30條規(guī)定對(duì)于企業(yè)的鼓勵(lì)還是不夠�����。
五是在相關(guān)條文擬定中為國(guó)際規(guī)則制定留下適當(dāng)空間����。一方面完善管轄權(quán)條款確認(rèn)法律的域外效力。除了“屬地管轄權(quán)”之外��,還要規(guī)定“屬人管轄權(quán)”��、“保護(hù)管轄權(quán)”和“普遍管轄權(quán)”�����。二是原則上規(guī)定針對(duì)網(wǎng)絡(luò)攻擊的反制措施�,網(wǎng)安法第75條已經(jīng)予以規(guī)定。
專(zhuān)家點(diǎn)評(píng)
王四新 中國(guó)傳媒大學(xué)文法學(xué)部副學(xué)部長(zhǎng)
聽(tīng)了金瑞同學(xué)的報(bào)告以后�����,談一點(diǎn)自己的感受����。金瑞同學(xué)的文章和PPT我都看了,做得非常扎實(shí)���。我們國(guó)家11月7號(hào)通過(guò)的《網(wǎng)絡(luò)安全法》解決了我們國(guó)家網(wǎng)絡(luò)立法安全中存在的長(zhǎng)期被忽略�����,但是又非常重要的問(wèn)題�����,即怎么樣通過(guò)保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)確保我們應(yīng)用層和信息層的安全���。以前我們的立法實(shí)際上最多關(guān)注點(diǎn)是信息層的安全。這一次我們實(shí)際上把重點(diǎn)轉(zhuǎn)向了基礎(chǔ)層���,就是物理層的安全�����,這個(gè)也是全球現(xiàn)在普遍關(guān)注的一個(gè)問(wèn)題�����。
這個(gè)問(wèn)題在我們國(guó)家是第一次關(guān)注�,這種關(guān)注實(shí)際上也是帶有這個(gè)時(shí)候這個(gè)領(lǐng)域問(wèn)題的一些典型的特征�,就是不確定性,我們知道有這樣一個(gè)問(wèn)題����,我們也需要從立法上對(duì)它進(jìn)行界定�����,但是怎么界定?它的范圍在哪里?怎么樣說(shuō)清楚���,說(shuō)不清楚。研究《網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)信息�、網(wǎng)絡(luò)基礎(chǔ)設(shè)施是其中的主要問(wèn)題之一,還有數(shù)據(jù)的本地化�����。此外����,在實(shí)踐中實(shí)施可能會(huì)遇到什么樣的問(wèn)題,都是未知的���。
金瑞同志的文章主動(dòng)回應(yīng)了網(wǎng)絡(luò)立法領(lǐng)域一個(gè)非常重要����,但是又說(shuō)不清楚的問(wèn)題�。金瑞同學(xué)的問(wèn)題說(shuō)清楚了嗎?他努力在說(shuō)清楚,但確確實(shí)實(shí)也不是他的能力能夠說(shuō)清楚的�����,甚至也不是現(xiàn)在美國(guó)、中國(guó)都能說(shuō)清楚的���,歐盟都說(shuō)不清楚�����。所以這為這個(gè)問(wèn)題探討留下了很大空間�,這是一個(gè)很有挑戰(zhàn)性的問(wèn)題����。以后我們的研究可能要多做這方面的研究�����。
關(guān)注官方微信
關(guān)注官方微博
