邮件系统:
用户名: 密码:
2024年12月23日 星期一
位置: 首页 》第十一届中国法学青年论坛 》专题报道 》图文实录
刘金瑞:我国关键基础设施立法的基本思路和制度建构

时间:2016-11-18   来源:  责任编辑:xzw

我国关键基础设施立法的基本思路和制度构建

刘金瑞 中国法学会法律信息部助理研究员

各位领导、各位嘉宾,大家下午好。

        随着信息通信技术的革命性进展,交通、电力、电信、供水、金融及政府服务等基础设施的运营越来越依靠网络信息系统,人类的日常行为和生活越来越转化成网络空间的信息数据流。然而,网络信息系统也极易因为攻击而整个陷入瘫痪,其中的数据也极易被拦截、窃取和破坏,从而引发了网络安全的问题。各国虽然界定不同,但基本强调网络安全就是要确保网络信息系统及其所存储和传输的数据的安全,而关键基础设施保护自然成为网络安全立法的核心问题。在我国,网络安全一般理解为系统安全和内容安全两个方面。

  域外制度设计以美国为代表,美国的政策和立法基本经历了从国内到国际,从政策到立法。其立法设想包括两个方面:一是私有关键基础设施的保护,二是网络安全信息共享。之所以是私有关键基础设施的保护,是因为美国已经在行政系统内部署“爱因斯坦”计划应对政府关键基础设施的威胁,而对私有关键基础设施,不能强制监管,只能谋求其他解决方案。主要立法思路就是,要划定关键基础设施的范围,并赋予这些设施以强制性的监管方案和安全标准。对于网络安全信息共享,主要立法思路是通过交换和共享安全信息,来预防和充分应对网络安全事件,以减少损害发生。这两方面都设想只要私营企业遵守强制标准和进行信息共享,就规定豁免其因此可能承担的法律责任。

  美国立法只有在第二方面通过了CISA(网络安全信息共享法),第一方面的立法设想并未实现,起主要作用的是一系列政策和法令,制度框架梳理为以下五个方面:一是建立政府和行业的协作机制。确立不同的联邦部门作为16种行业CI保护的领导部门,政府设“政府协作委员”,行业设“行业协作委员会”,行业协作委员会为国家保护计划(NIPP)和行业保护计划(SSP)制订提供支持。2006年3月,国土安全部设立“关键基础设施合作伙伴咨询委员会”,这个委员会大部分会议和文件不向公众公开,不公开的原因是只要保密才能确保安全。

  二是制订国家级保护计划。从1996年克林顿13010号命令开始,一直强调制订国家计划,但直到2006年6月,小布什政府第一次正式公布国家关键基础设施保护计划,并制订了特定行业计划,这些计划每四年更新一次。奥巴马政府时期,计划第二次更新,保留了之前基本的合作伙伴模式和风险管理框架。

  三是设立信息共享和分析中心。1998年克林顿63号总统指令规定FBI内部“国家关键基础设施保护中心”(NIPC)维持政府和私营部门之间的信息共享,与之相对,私营行业建立信息共享和分析中心(ISAC),促成政府和私营行业之间的信息交换。不同于行业协作委员会,该中心是24小时、365天全天候运行,通报、分析和共享安全事件和威胁信息。虽然最初将ISAC设想成信息交换的主要渠道,之后还是发展出了一系列其他机制,例如美国计算机应急中心(US-CERT)、国土安全信息网络(HSIN)、关键基础设施保护行政通知服务处等。《国土安全法》还规定要发展“信息共享和分析组织”(ISAO),和ISAC是行业导向的不同,ISAO没有这种要求。2014年,美国立法授权国土安全部设立国家网络安全和通信集成中心(NCCIC),试图协调整合这些情报交换渠道。

  四是认定关键设施、评估漏洞风险和确定优先防护措施。由国土安全部国家保护和计划司(NPPD)负责,其将关键基础设施资产分为国内或国外两类,分别纳入“国家关键基础设施优先保护计划”(NCIPP)和“关键海外依存行动计划”(CFDI),两种计划对应了两类秘密的列表。但政府对这些资产的所有者或运营者的建议不具有强制性。

  五是制订网络安全框架。奥巴马E.O. 13636及PPD-21要求要求过国家标准和技术研究院(NIST)负责制定网络安全技术标准,领导研发减少关键基础设施网络风险的“网络安全框架”,侧重行业最佳实践,这是国土安全部“自愿的关键基础设施网络安全计划”的基础。NIST于2014年2月发布了1.0版的《网络安全框架》,DHS鼓励关键基础设施列表上的企业采用上述“自愿保护计划”,但不是强制性的。

  对于关键基础设施保护的基本思路,可以从它面临的风险入手进行制度设计,主要包括三个方面预防威胁、填补漏洞、应对危害。根据这一思路,结合新通过的《网络安全法》,汇报以下思考要点:一是从国家安全高度把握关键基础设施范围和立法。网安法从国家安全的高度明确了以CI保护为核心,相对于一审稿25条的定义(重要行业、公共服务、军事、政务、用户数量众多)是重大进步,贯彻了习总书记4.19讲话。重要的不一定是关键的,并不是所有信息系统等同保护。扩大理解“关键信息基础设施”为“关键基础设施”,网安法界定的关键信息基础设施应理解为不只限于保护信息产业的关键基础设施,类似核电站等也需要保护。设计法律规范体系,避免重复规定,对于信息系统保护,网络安全法的侧重国家安全,刑法和其他法律侧重公共安全。

  二是坚持国内经验总结与国外经验借鉴相结合原则。一方面,处理好关键基础设施保护和信息安全等级保护的关系,明确对于关键基础设施具体范围,应采用秘密清单制度。另一方面,对第四章规定的商榷意见。现在网安法的结构是第3章 网络运行安全+ 第4章 网络信息安全,可我国对“网络安全”的理解是系统安全(包括数据安全)+内容安全,建议今后通过行政法规等充实第4章的规定,增加未成年人上网保护、网络内容管理(实名制、内容分级制度)等。

  三是设计监管框架时区分一般和关键、公共和私营。一方面,区分一般信息系统和关键基础设施。将第3章第一节“一般规定”理解为“信息系统的一般保护” ,规定了适用于所有信息系统的运营者的义务(漏洞报告、协助执法等)、监管部门的权限。将第3章第二节理解为“关键基础设施的特别保护”,对于第37条的适用,需要进一步探讨:数据留存的目的到底是什么?一般和关键的区别?另一方面,区分公共部门和私营部门设计不同的监管框架。借鉴美国《联邦信息安全管理法》和爱因斯坦计划的经验,政府部门应该实行更为严格的保护。

  四是监管私营部门要贯彻安全与发展并重的原则。增加惩戒所示等不是目的,要确保企业有效遵守,就需要规定监管标准的强制效力,未来条例应予明确。现有的网络安全信息共享规定过于简单,第39条(三)“促进”,没有具体负责机构和实现机制,只有第30条规定对于企业的鼓励还是不够。

  五是在相关条文拟定中为国际规则制定留下适当空间。一方面完善管辖权条款确认法律的域外效力。除了“属地管辖权”之外,还要规定“属人管辖权”、“保护管辖权”和“普遍管辖权”。二是原则上规定针对网络攻击的反制措施,网安法第75条已经予以规定。

全文
搜索

关注
微信

关注官方微信

关注
微博

关注官方微博

网络
信箱