随着人类进入数据全球化时代,关键信息基础设施安全问题日益重要。《关键信息基础设施安全保护条例》为处理此类安全问题提供了较为完善的法律依据。然而,目前我国关键信息基础设施安全保障的法律规范存在体系层次欠缺、内容完整性不足两大方面的问题,无法充分应对网络攻击、数据泄露、技术漏洞等外源性和内生性的威胁和风险。为此,我们应坚持总体国家安全观,以习法治思想为指导,坚持立体防护和主动塑造原则、统筹发展和安全原则、突出领导核心和合力共治的原则,以网络强国的战略高度构建适度、精准、高效的关键信息基础设施安全法律保障体系;在此基础上,通过补足关键信息基础设施具体领域立法、地方性立法和涉外立法,同时填补法律法规具体内容上的漏洞,构建系统性、层级性、衔接性的关键信息基础设施安全法律保障体系。
近些年来,数据全球化程度不断加深,国内外关键信息基础设施(Critical Information Infrastructures,CII)安全形势日益严峻,所面临的威胁和挑战日益增多。高等级网络攻击的威胁、黑客组织的威胁、新技术与新应用的双刃剑效应以及供应链安全的挑战成为维护CII安全不可回避的问题。除此之外,以金融掠夺、甚至政治颠覆为根本目的,利用后门程序、蠕虫病毒、勒索软件等手段实施严重危害CII行动的重大安全事件屡见不鲜。CII安全与国家安全和国家利益密切相关,维护CII安全的紧迫性不言而喻。CII安全一旦受到威胁,则可能对一国经济、社会和政治等领域安全产生极大影响。行为人通过提取和分析储存在CII中的信息和数据,例如通过分析国家银行网络系统中的交易流水等信息,可能推断出一国经济形态及其未来发展趋势等。据披露,2020年以来,境外间谍情报组织对我国电信运营商、航空公司等单位的核心业务系统服务器进行非法操作、数据外传,借此实现对我国CII进行战略控制的目的。2016年4月,习在网络安全和信息化工作座谈会上明确要求“加快构建关键信息基础设施安全保障体系”。2022年3月,中央决定加快信息基础设施、融合基础设施、创新基础设施建设。2022年12月,中央、国务院出台《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),指出数据基础制度建设事关国家发展和安全大局,并就如何建立健全基础制度体系提出全面系统的意见。随着上述政策文件的发布与我国国家新基建、“净网”等行动的启动,深入贯彻落实网络安全等级保护制度、建立并实施关键信息基础设施安全保护制度,已成为“健全国家安全体系、增强维护国家安全能力”的重要命题。
探索CII安全保障问题,首先需要厘清其保障对象的内涵及CII安全保障的对象是什么?是关键信息基础设施的物理外壳还是内核信息?单纯的外部物理结构的完整性是否被纳入保障范围之内?这个问题可以通过对国内外CII内涵界定结果的归纳进行解答。美国是第一个关注CII安全并致力于预防化解其风险的国家,在其法律规范中CII被界定为电子的信息和通信系统及其所包含的信息,其中所涉系统可大致划分为计算机信息系统、控制系统和网络。在我国,CII概念的雏形来自《网络安全法》,随后在《关键信息基础设施安全保护条例》(以下简称《保护条例》)中有了更为明确的界定。该界定也被2023年5月1日正式实施的《信息安全技术关键信息基础设施安全保护要求》(以下简称《保护要求》)沿用。综合国内外主流定义可知,CII安全保障主要针对特定的“系统和网络”。换言之,维护CII安全的关键不在于保障其物理设施的外在安全,而在于确保有关系统和网络的安全,即在于维护其中以数据形式储存的信息的安全。目前我国学界对CII安全保障特别是法律制度保障方面的研究仍处于起步阶段,研究成果较少。相关研究主要集中于考察国外法律制度保障的发展历程、主要特点与实施状况,以期为我国相关制度的建设提供借鉴经验,但缺乏站在积极开展涉外斗争和塑造安全态势的立场,探索构建中国式现代化法律保障体系。同时,受制于研究议题的学科交叉性和技术性,相关研究多未能站在国家安全战略的高度思考,尚待进一步深化有关法律保障体系结构系统性、法律规范衔接性、内容规定完整性和贯彻实施有效性等方面的研究。总的来看,国内既有CII安全法律制度保障相关研究难以为实践提供有力支撑。
良法是善治之前提,完备的法律体系是保障国家安全的重要屏障。维护CII安全离不开完善系统的法律体系的保障。新时代新征程,在深刻把握中国式现代化科学内涵和理解总体国家安全观理论伟力的基础上,按照科学完备、统一权威的中国特色社会主义法律体系的要求,推进我国CII安全法律体系能力现代化建设,是推进国家安全治理体系和能力现代化的重要一环。因此,本文立足新安全格局建立现实需求的基础上,全面梳理CII安全法律之发展现状,客观检视CII安全法律保障之不足,全面考察域外国家或地区法律制度,为构建兼具战略性、中国式、现代化和体系化的CII安全法律体系提供对策建议。
构建我国CII安全法律体系,增强网络安全风险制度保障能力,首先需要对我国既有CII安全法律的发展进程与立法现状进行全面检视,在形成系统认知的同时找到既有问题的症结所在。
目前我国已初步形成以《国家安全法》为基础规定(基本法律),以《网络安全法》为宏观规定(专门普通法律),以《关键信息基础设施安全保护条例》为核心规定(行政法规),以《信息安全技术关键信息基础设施安全保护要求》(国家标准)和《网络安全审查办法》(部门规章)等为配套规定,以《密码法》《刑法》《反间谍法》等相关条款为支撑规定(关涉性法律)的法律制度保障体系。我国网络安全领域立法发展历程是划分我国CII安全法律保障的发展阶段的重要参考。我国CII安全法律保障发展进程大致可以划分为萌芽阶段(1986-2011年)、探索阶段(2012-2016年)、集成阶段 (2017年-至今)三个阶段。1986年,863计划的制定标志着中国迈开了推进网络安全领域立法的第一步。在此之后,我国信息网络安全领域的立法工作不断发展。在萌芽阶段的二十多年中,我国虽没有法律法规明确涉及CII领域,但是在信息网络安全立法方面已经有了以1994年《计算机信息系统安全保护条例》为代表的初步成果,为之后《网络安全法》以及《保护条例》的制定奠定了基础。自2012年党的十八大召开以来,党中央高度重视国家安全问题,我国网络安全立法进入探索阶段。2015年出台《国家安全法》基本法,开启我国国家安全领域立法工作新阶段。以《网络安全法》为代表的安全领域保障法律的出现标志着我国开始重视和逐步探索CII安全领域的法律保障,CII的范围与有关主体的责任与义务被初步界定。
随着2017年《关键信息基础设施安全保护条例(征求意见稿)》发布,我国CII安全保障法律演进进入集成阶段。该条例历经了四年的修改完善,于2021年正式颁布实施。该条例以《网络安全法》为顶层设计并承接其部分内容,共有6章51个条款,对CII的认定和保障等内容进一步完善,成为CII安全保护领域专门的行政法规,进一步推动我国在该领域保护的立法进程。
此外,后续《网络安全审查办法》《信息安全技术关键信息基础设施安全保护要求》等相关配套法规和文件的陆续出台,以及《信息安全技术关键信息基础设施安全检查评估指南》《信息安全技术关键信息基础设施安全保障指标体系》《信息安全技术关键信息基础设施信息技术产品供应链安全要求》等国家标准逐步发布,CII安全保障领域的立法工作呈现出高度重视、重点推进的态势,取得了长足进步。
回顾我国CII法律保障演进的主要阶段,可以发现其建设进程的推进在很大程度上受到国际环境、技术发展和公众需求等多方面因素的影响。一开始,相关法律规范较为简单,仅作出一些基本的安全规定和要求。在此之后,CII安全问题随着网络技术的普及和发展变得愈发复杂,CII安全法律保障体系逐渐由简单、抽象的规则转向更全面、更具体的规范体系,行业领域覆盖面不断扩大。纵观法律保障整体演进的过程,CII安全面临的风险威胁始终是法律法规建设完善的现实依据和重要推动力。立法不仅在于解决眼前之困,还在于预防和阻断日益复杂的潜在风险。全面掌握我国CII安全保障可能面临的风险类型,有助于确定CII安全法律保障体系发展的正确航向。
我国CII安全风险既有外源性因素,也有内生性问题。外部层面,CII安全面临的风险主要来自黑客网络攻击、间谍网络活动、数据流转后失控、数据窃取等。从主体上看,其发动者可能是个人或社会组织的利益主体,也可能是国家层面的政治主体。从形式上看,其攻击手段多样,可能涉及各种工具和技术,如木马、病毒、恶意代码、勒索软件等,导致数据丢失、系统崩溃、服务中断等严重后果,给CII带来严重破坏。从影响上看,数据泄露往往导致敏感信息被窃取或滥用,这种风险的发生多是隐蔽而难以发现和追查的,将会对个人隐私乃至国民经济信息和政府核心信息造成威胁。此外,间谍活动也是一项潜在的外部风险,这种攻击往往是国家层面发起的政治行为,为此,新近修订的《反间谍法》还将间谍组织及相关机构、组织、人员的攻击行为纳入规制范围,其对CII安全乃至国家安全造成的威胁级别不言而喻。内部层面,CII安全面临的风险主要来源于系统漏洞和人为因素。一方面,新型技术开发运用带来的风险是当前CII安全保障面临的主要挑战之一。随着新型技术不断开发运用,网络攻击技术不断升级换代,CII潜在安全漏洞的数量也在不断增加。这些新型技术风险的涌出对CII安全构成了巨大威胁,同时也对法律保障的有效性提出了更高的要求。监管部门缺乏对云计算、物联网、工业控制大数据等领域安全保护的技术能力,无法实时动态感知安全威胁,缺乏主动防御和掌握威胁情报的机制,可能导致技术漏洞带来的安全风险指数式增大。特别是在资金和技术保障水平相对处于劣势的事业单位,其CII安全保障问题更值得关注。另一方面,人为因素也是CII安全保障面临的风险之一。部分单位网络安全管理人员缺乏专业安全知识,应对安全事件的能力薄弱,未能安全地配置和管理网络系统,无法及时发现已经存在的和随时可能出现的安全问题,人才配置与技术进步不相匹配可能引发内部安全风险的井喷。
全球数据化时代,新技术新应用带来新挑战,网络违法犯罪活动日益升级。CII面临的重大安全风险,亟需构建完备的法律体系予以保障。然而,我国针对CII安全法律体系能力现代化建设起步相对较晚,现行CII安全法律保障制度与维护国家安全的实际需要之间还存在一定差距。评判CII国家安全法律制度体系,可以基于立法技术和现实安全风险角度,从形式完备、内容科学两个基本评价准则展开。
一段时间以来,CII安全保障立法处于分散状态,《保护条例》的颁布使这种立法碎片化情况得到缓和。然而,现有CII安全保障立法仍存在下位阶法律简单照搬上位阶法律、法律法规之间衔接不足、地方性立法缺失、重点领域和行业规定针对性不足等问题,难以有效应对新兴威胁和攻击手段。换言之,我国CII安全法律保障存在体系结构不完整、层级衔接不充分的问题。
CII安全保障法律体系所涉层级众多,不同层级法律法规之间存在衔接问题,特别是面临着与技术型行业规范之间的规定适配难题,在实际操作中可能导致执行困难。首先,作为CII安全法律体系构建基础和前提的《国家安全法》,仅由全国人民代表大会常务委员会通过,虽然其基本法性质不可否认,但在学理层面上存在立法层次与实际地位不匹配的现状,使其在作为CII安全保障法律框架规定来源指导相关法律规范制定完善的过程中面临“形式上”的位阶效力的问题。其次,CII安全保障法律体系在核心规定与网络安全配套法律法规之间、关涉法律法规之间基于保护对象的相关性和差异性,在适用时仍存在诸多问题。例如CII数据在跨境传输时需要进行“出境安全评估”,对此,《网络安全法》《个人信息保护法》和《数据出境安全评估办法》都有相关规定,但三者在评估审查主体上存在细微出入。又如CII安全保护制度与网络等级保护制度的衔接问题,二者在保护对象上存在包含关系,但保护主体又有所差异,可能出现适用效果不佳的问题。虽然《保护条例》规定在采取技术保护等措施时应以网络安全等级保护为基础,却未明确二者在实践中具体如何衔接。在衔接办法模糊的情况下,主管机关出于执法成本或者保护难度的考虑,可能会选择将CII的保护作为网络安全等级保护的附属或者延伸,削弱保护力度。最后,各领域和行业关键信息基础设施规定亟待立法完善。CII定义明确了其涵盖的电信、金融、能源、交通等多个领域,每个领域都有其独特的行业特点和需求,其行业规范之间的安全标准和技术要求各异,需要通过制定针对性的管理办法和行为指南才能做到和CII安全法律保障体系的有机衔接。交通运输部制定的《公路水路关键信息基础设施安全保护管理办法》是该领域立法的有益探索,其他领域需要继续跟进。
自网络安全领域法律法规开始出台以来,相关领域的专门性、关涉性立法和行政法规以及部门规章均在逐步设立完善。地方立法作为国家法律与中央法规的延伸和补充,具有紧跟实务发挥落地功能、依循地方特性发挥补充功能和根据权限范围发挥创造性功能的基本属性。基于一些地方特色的地域环境、文化背景和CII行业分布发展状况,地方立法在衔接中央立法、发挥地方特色等方面的重要性不言而喻。纵观我国各省、自治区、直辖市层级的立法情况,CII安全保障地方立法总体上较为分散,大部分地区尚未出台整体性的条例规定,CII活动地方监管薄弱、追责不明而衍生的风险不言而喻。目前,只有新疆地区出台了《新疆尔自治区关键信息基础设施安全保护条例》,以及山东与天津等地出台了涉及电信、通信基础设施保护条例。总的来说,大部分地区对于CII安全问题的治理很大程度上依据各行业的内部规定,或者依赖已有的地方数据安全条例,但其往往因针对性的缺乏而不能达到全面及时保护CII的效果,甚至存在区域间数据安全管理牵头机关具体职责相互冲突的情形。
在全球化背景以及网络、信息、数据的超强流动特性的影响下,CII涉及的国家数据主权、个人信息安全等成为影响国际博弈走向的工具之一,涉外法律法规必然成为CII安全法律保障体系不可或缺的一环。制定和执行涉法立法,可以有效推动国际合作,打击网络犯罪,促进各国家主体共同维护CII的安全秩序。特别是当前我国很多大数据基础技术构建很大程度上依托于国际开源平台,美西方国家作为平台主导者对我国网络数据信息采取宽“进”窄“出”的措施,对其中流通的我国重要网络数据信息安全造成威胁,CII涉外立法不足可能导致国家安全风险进一步扩大。一方面,从国际的角度看,现有CII法律和细则指南中既缺少对CII重要数据可能面临的交易跨境问题的详细规定,也缺乏对CII安全保障国际协作标准的探索。另一方面,从本国的角度看,及时构建完善CII安全涉法立法,有利于避免陷入西方所谓的“人权”“民主”话语体系和他国“长臂管辖”和“信息壁垒”陷阱。当前我国CII安全保障领域的涉法立法仍存在空缺现象,相关政策的域外适用程序还未明确,这对我们促进CII安全保障制度的国际认可和实施程度,联合其他国家形成CII安全保障合力以及应对有国家背景的CII攻击窃密活动等十分不利。
CII法律制度保障在对象范围、机构权责、关涉主体义务、保障制度、国际合作和责任体系等方面均存在尚待修改、明确和细化的地方。具体而言:
虽然《国家网络安全检查操作指南》《网络安全法》以及《保护条例》等对CII定义进行了规定,但对CII范围划定仍然不明确:其一,除了定义明确列出的行业和领域外,还有哪些属于重要行业和领域?其二,如何对重要行业和领域进行认定?如果地方CII的认定名单直接采用中央给定的认定标准,那么中央能否完全把握地方特色做到因地制宜,并根据各行业发展进行名单的动态性更新?地方如何落实审核反馈的职能,除了单方面审核外,是否可以依据等级保护制度主动提出新的名单?如果发挥地方的主动性,又如何避免过度或者过窄纳入CII的范围?其三,重要行业和领域中哪些属于重要网络设施、信息系统?某一企业或机构所拥有的网络信息系统往往数量众多,粗略地将其全部归为CII保护范围可能导致资源浪费。为此,判断标准的设定是依循其中存储数据信息的体量大小、信息是否涉及国家机密及涉及程度还是二者的有机结合?其四,重要网络设施、信息系统的认定方式是什么?《保护条例》指出,保护工作部门结合本行业、本领域实际,制定CII认定规则,需要结合重要程度、危害程度、关联程度三点作为主要的考虑因素,但即便如此,其所涉及的内容实质上仍然比较宏大,在认定程序方面缺少一个各行业和领域统一的认定CII的具体步骤。
我国CII种类繁多,其社会分布存在点多面广、难成体系的特点,需要充分发挥运营者的监管职能,防止“行业运营者也是监管主体”的规划沦为空头支票。有学者指出,《网络安全法》和《保护条例》中的“网络运营者”是针对网络空间安全责任提出的广义概念,在实际中包含众多种类,但相关条文和解释中所提及的网络设施管理者、服务提供者等概念并没有具体的划分规范,也没有指出具体实现对象,缺少对其认定的具体法定步骤。除此之外,现有法律规范中缺乏对运营者义务的再分类。在实际治理过程中,相关企业机构的运营者首先根据其行业规范承担相应责任。但当出现的风险问题超出一定程度、危及网络安全乃至国家安全时,运营者可能受到政府部门和更高层级法律法规的处罚。何为超过“一定程度”尚未有具体规范予以明确,需要通过制定相应的实施细则予以廓清。因此,想要确保运营者义务的履行和责任追究的实际有效性,确立CII运营者的具体识别步骤,弥补有关法律界定的模糊性是亟需解决的问题。
首先,各部门间工作协调机制不完善。虽然参与保障CII安全的部门之间各有分工,但是具体职责的规定较为模糊。目前关于统筹协调机制、信息共享机制、跨部门会商制度、协同联通机制等的规定还有待完善,很难做到各司其职。一是缺少省、市等各地区下设部门对网信部门负责的制度。虽然国家网信部门是统筹协调相关安全责任的关键部门,但却不能事无巨细,也无法做到完全掌握各个地区独有的CII安全情况。因此,法律制度中应该明确各地区下级部门向上级国家网信部门定期汇报、在紧急情况下越级上报沟通的具体规定,防止因未及时传递信息导致的安全事件发生。二是法律条款中对CII的定义包含了许多的单位和行业,同一行业可能由多个部门进行监管,工作存在交叉重合。例如国家网信部门和中央国家安全领导机构分别依循《网络安全法》和《数据安全法》负担起网络安全和数据安全保障工作的“统筹协调”责任,相关法律法规却没有进一步明晰二者领导职责上的异同,CII安全保障工作是否关涉网络和数据安全两方面,在CII安全保障实践工作中二者可能出现具体职责的落实不足,两部门是否存在职责上的竞合?这类对部门职责划分不清晰的情况既可能导致有关部门统筹协调不到位,进而引发多个部门重复工作,或者导致部门之间不作为、互相推卸责任、工作效率过低的结果。
其次,信息共享机制尚未健全。一方面,CII分布在政府和不同行业领域企业单位之中,因此在开展相关安全保障工作时就需要政企之间的紧密联系与合作共享,同时也需要管理者和运营者的密切配合。我国CII安全法律保障体系中并没有详细规定网络安全信息共享机制。《保护条例》第23条仅仅提出建立网络安全信息共享机制,并没有具体的实施细节,难以践行。另一方面,信息共享不代表完全公开,更不能与信息交易混为一谈,数据公开的尺度如何划定,如何界定不同类型信息的共享对象、确保在共同利用信息的同时保证信息的安全和保密性,如何合理区分各领域CII机构信息面向个人和群体、国内和国外进行利益易与共享的差异,对其进行监督管理,也是我国信息共享机制建立时需要重点关注的问题。
再次,监管审查和监测预警体系不完善。《网络安全法》设立监测预警与应急处理专章对我国网络信息安全的监测预警体系进行分解构想,对有关部门在监测预警和应急处置方面的责任进行了规定,并提出了应对重大突发事件的临时限制性措施。《保护条例》第24条也规定了各有关部门的监测预警职责。然而,这些条例在内容上太过笼统,并没有明确预警信息的接收方仅限于运营者本人还是完全向社会面公开,也没有明确所涉各部门在该方面的职责划分。除此之外,这些相关条例主要是从某一层次对监测预警工作进行规定,相当于监测预警体系的部分枝节,形成了一个大致轮廓,却并没有构建出一个细致具体的监测预警机制,其完整性和可操作性仍有待进一步完善。相关风险预警、评估和监测机制以及危机管控机制,均是原则性规定,尚需有更为详细的规定。
最后,弹性恢复和事后处罚机制存在空缺。事前预防的关键性不言而喻,但安全风险的抵御无法确保万无一失,安全事件发生后的事后机制确实可能导致损失危害的进一步扩大。一方面,相关法律规范侧重于对CII安全保障主体的事前职能落地的规定,缺乏对于主体在面对突发事件发生后的“恢复力”的明确指引,无法确保在遭受攻击后能够迅速恢复到正常状态。另一方面,相关罪名体系和处罚归责机制的不完善,将导致对违法行为处罚力度的缺失,难以形成有效威慑。CII安全领域的犯罪和责任归属于网络安全犯罪领域。在国际上,网络安全犯罪体系的意识早已形成,比如美国2001年《爱国者法》、欧盟2001年《欧洲网络犯罪公约》、新加坡2017年《计算机滥用和网络安全法》、澳大利亚2001年《反网络犯罪法》。欧盟相关法律规范就主要规定了五种类型的犯罪,就刑事犯罪的构成要素以及对未遂犯和教唆犯的认定和处罚等问题达成了共识。除此之外,域外相关法律制度中对于异地跨国类、自然人主体类和法人主体等类型的网络犯罪的责任追究都有涉及,为危害CII安全犯罪的法律责任认定提供了法律基础,值得我们基于自身情况予以适度借鉴。
立足中国式现代化的重大命题和两个大局的时代背景,考察CII安全的风险类型,我们发现,现有CII法律规范与现实保护需求之间存在差距需要缝合,亟待构建具备系统性、层次性、衔接性的CII安全法律制度保障体系。而不同的指导思想、目标追求、基本原则和构建思路将根源性地决定法律体系的最终形态,是具体构建CII安全法律保障体系前必须厘清的基本问题。
网络空间是一种嵌入物理世界中国家法与国际法秩序的新空间,由于网络主体的复杂性、跨国性和多元性,使得其突破了我国现有的国家立法体系的内在脉络,要求跨界融合,构建新的规范。在构建CII安全法律保障体系时,不应局限在实现技术先进、行业稳定的传统视野内,要站在国家安全全局的高度,以总体国家安全观和习法治思想为指导思想,系统地分析影响CII安全的各种风险因素,统筹CII安全与CII发展、涉内CII安全与涉外CII安全、传统CII安全与新型CII安全。我国CII安全保障法律体系构建以总体国家安全观为指导,运用战略性、统筹性、总体性思维,基于CII安全风险的生成机制、主要样态、发展趋势之独特性,以提升网络安全治理体系和能力现代化、建设网络强国为目标,全面探寻防范该领域风险的法律路径。习法治思想蕴含的核心理念在“十一个坚持”中,指导我们要以网络强国的战略高度思考CII安全法律保障问题,立足国内外网络信息安全风险变化和国家安全发展态势,分析西方话语体系陷阱,探寻中国式现代化CII安全法律制度保障体系的构建理路。坚持中国式现代化思想,走中国国家安全法治道路,有利于我们破解西式话语陷阱,也有利于跳脱传统立法思维的限制,去构建适度、精准、高效的保卫、保护、保障制度,以完备的法律制度体系为CII提供充分坚实的安全保障,同时防范美西方国家恶意揣度我国法律制度,积极塑造国际安全态势。
在正确指导思想的引领下,清晰的目标追求有助于法律体系构建进程的高效推进。在这一点上,域外许多国家都已在相关法律法规中有所体现,例如对于CII的安全保障,美国以“在发生基于人为的灾难或自然灾害时继续发挥政府职能、提供经济帮扶和公共服务”为目标;荷兰旨在“确保重要的国家利益并防止社会动荡”;英国的目标是“为国家利益而服务,使公民能够在一个更安全、更稳定、更公正的世界中自由和自信地生活”;德国越来越清楚地意识到“网络安全几乎面临国家安全战略中概述的所有挑战”。本文认为,CII法律体系能力现代化构建应当旨在推进治理范式向法治化转型,治理定位向网络强国提升,治理体系向立体高效看齐。党的二十大报告对完善国家安全体系作出一系列战略部署,提出“强化国家安全工作协调机制,完善国家安全法治体系、战略体系、政策体系、风险监测预警体系、国家应急管理体系”。但统观我国网络安全法律发展史可以发现,CII安全保障工作长期以来偏重于依赖政策性而非制度化的表达和安排,其政策法律化程度仍难以满足维护CII安全的客观需求,亟需推动CII安全保障依据由技术型公共政策向体系化法律政策转型,将党的政策通过立法化进一步贯彻实施。
关键信息基础设施安全法律保障体系构建,需要遵循三大原则:一是立体防护和主动塑造原则。各方在做好传统重点领域、行业的监测、预警和处置,同时全方位关注新技术、新应用和新业态的网络安全,在云计算、物联网、大数据、人工智能时代积极构建规则体系,主动塑造网络强国建设的优势环境。二是统筹发展和安全原则。各方要提高内生安全、积极防御、主动作为能力,推动数据安全与数据流动、数据管理与权利保障、数据主权与国际合作的协同发展。三是突出领导核心和合力共治的原则。各方要充分发挥领导机构的统筹监管职能,同时要注重打造多元主体合作共治的安全治理模式,汇聚政府、企业和广大民众的力量共同塑造新时代CII安全。
体系化是提升我国现有CII安全法律保障水平的必然追求,CII法律保障必须做到体系完整、层次健全。回顾体系思想的起源发展,自耶林对概念法学的立场由推崇备至转向冷嘲热讽后,法律体系化思想便开始由形式化向实质化演进,由追求固定式的形式概念逐渐向看重开放式的价值概念过渡,即由“概念法学”转向“原则法学”。到了现代法学,体系化思想在原则法学的基础上同时吸收了概念法学的优点,强调在把握法律体系价值秩序的同时将其与法律素材的事实描述有效连接,构筑一个在“纵向”上,上位类型通过价值演绎可以区分出不同下位类型,在“横向”上,类型之间价值相异又脉络相连的完备法律体系。这种体系化思想体现在CII安全法律保障体系的构建上,其衡量标准则可以归纳为一方面基础法律和专门法律完备,另一方面以法律为主干,其相应的行政法规、地方立法、自治条例、单行条例、规章制度和涉外法律条款与之相辅相成。
内容结构要体系化,不仅体现包含多种立法渊源,而且涵盖不同阶段。在主要流程上,需从规划建设、过程管理、维护升级、风险处置和修复完善等全过程构建法律制度保障体系。首先,规划建设是基础,从全局视角出发,结合实际需求和资源状况,制定科学合理的配套法律规范,包括安全策略的制定、安全设施的配置等,同时充分考虑各种可能风险因素,如技术风险、人为风险、自然灾害等,并制定相应的应对措施。其次是过程管理,这是安全保障的关键环节,需要制定完善相应管理制度,明确责任分工,并严格按照制度执行,包括日常的安全检查、安全培训、应急响应等。再次是维护升级,为应对安全风险随技术发展而不断变化的现状,相关法律规范在制定过程中需要充分了解最新的威胁情报,合理规划维护和升级的优先级和时间。此外,风险处置也不可忽视,一旦发生安全事件,需要依据法律规范快速响应,准确定位和评估风险,采取有效的处置措施。最后是修复完善。安全是一个持续的过程,这要求在制定法律制度时不断地总结经验,持续优化相关安全策略和防护措施。
与美欧等发达国家相比,我国对于CII安全领域法律的研究开始较晚且力度不足,相关规定仍存在一定缺陷,还无法完全适应当前CII安全需求。为了做到CII安全保障有法可依,我国CII安全法律保障体系的构建完善工作必须立足国家安全现状,针对目前法律体系下现存的缺陷与不足进行条理化分析和梳理,在比较法视域下完成对域外发达国家相关立法的经验和优点的学习和借鉴,探索出符合我国具体国情和时代要求的合理优化路径。
确保CII安全保障各级法律规范之间的顺畅衔接是至关重要的,美国在这方面的经验值得借鉴。作为最早开始关注CII安全法律保障的国家,美国不断丰富法律层级体系和衔接指南,构建了一个全方位、预防性、动态性的CII安全法律保障体系。其覆盖面广、内容丰富,从相关网络犯罪的惩治到个人信息保护,再到数据安全,都有相应的法律条款予以保障,使得任何可能威胁CII安全的行为都将受到法律的约束。鉴于此,我国在贯彻实施网络安全保护相关配套制度和CII安全保护制度的过程中,从制定出台法律法规和政策、研究制定标准、采取重要措施等方面,制度之间应保持协调一致、有机衔接,以体现法律和中央政策对其定位和要求。一方面,考虑在条件成熟时由全国人大适时将《国家安全法》修订完善,以提升至由全国人大审议制定的地位,使其能够在更高的法律位阶上为CII安全法律保障体系构建提供更完善、更高效力指引的统领作用。另一方面,制定相应的法律规章和实施细则来明晰其中的衔接问题是十分必要的。以网络安全等级保护制度和CII安全保护制度之间的衔接问题为例,相较于等级保护制度广泛的调整范围,CII安全保障立法的技术要求更严格和范围层次更高。我们可以借鉴俄罗斯为CII安全保护建立的等级分类规则,在网络安全等级保护划分的规定基础上,将CII发生安全风险对国家经济社会可持续发展的影响程度分为不同的级别,以等级保护2.0与可信计算3.0构建主动防御保障体系。
近些年来,随着敌对势力、黑客组织对我国CII、重要网络和大数据平台大肆进行针对性地域性网络攻击、渗透、入侵和窃密活动,在中央赋予地方相应的地方CII安全监管权力与责任的基础上,大力推动地方围绕塑造和维护CII安全建立健全相关地方立法势在必行。在促进CII安全地方立法制定的过程中要注意将地方CII机构、业务纳入统一框架,明确审批、监管和责任等方面的主体责任,适度赋予地方主体职权并明晰其向中央的汇报制度。作为防控化解CII安全风险的重要制度安排,我国CII领域监管应当探索地方机构、央地双层监管体制,从传统上的中央事权向中央事权与地方授权结合的路径发展。
目前国际CII安全领域的涉法立法以国家间多边或双边合作为主,我国在国际法层面CII安全保障的专门条款较为欠缺。因此,我们可以通过借鉴美欧等CII领域先进国家及国际组织的优秀经验推动国际CII安全保障合作、涉外CII安全条款制度化。一方面,可以站在国际合作的角度,根据共同的威胁和合作需要,研究、比较和梳理合作方的相关国内法,就相互矛盾之处在司法方面谋求妥协和共识,为共同制定双边及区域CII安全合作的国家法律提供基础。另一方面,要站在国内维护的角度,加快推进CII安全领域涉外程序的法律化,准确把握国际相关立法动向,促使我国CII安全法律保障体系既能满足实际需求,又同时能够与国际接轨,在保障CII相关技术的国际交流与发展的同时更好地维护我国数据主权。
明确关键信息基础设施的范围和标准,确保法律的适用性和可操作性。大多数发达国家都以列举式方法来定义CII,欧盟还特别确定了CII保护的资产分类目录,并且随着时代和技术发展在相关法律制度中不断增减完善,这样既可以确定CII的范围,也可以防止其无限扩大。放眼我国,在范围界定上,因CII涉及的类型较多、范围较广,学界对其认定方式的观点不一。本文认为,对其范围的认定应采取“领域分类+内容属性”的模式,同时在认定过程中注重以等级保护制度为分级基础,实施“量级分类+质级分类”相结合的划分方式。首先以“对国家安全和国民生计的影响程度”为依据对CII中存储的数据进行重要性评估,将存有“质量”达标的国家关键数据划分为重点行业和领域,并在此基础上结合特定重点行业和领域CII安全等级要求、业务核心程度、危害大小等划分范围,对不同领域和行业以及同一领域和行业不同的信息系统采取区别保护。同时要注意的是,对于“质量”层级未达标的一般数据和敏感数据也不能轻易忽视,例如一些看似普通的交通设施运输数据积累到一定数量,就可能转化为推算出区域人口流量甚至其他更加敏感的关键数据的基础信息,因此,对于此类数据要通过制定相应法规细则科学规划其“定量判断”标准,以此完善CII范围划定的体系化。
一方面,厘清中央国家安全领导机构、国家网信部门、公安部门、国家安全部门、保护工作部门之间的关系,同时细化诸如公安部门中刑事侦查和网络安全保卫内设机构之间的分工,以部门职能分配的科学性和资源利用的最大化为法律法规制定目标,确保各层级政府部门职责的切实落地和有效发挥。同时推动各地区成立地方CII安全保护中心,并在法律规范中细化保护中心上传下达的职权,适时对有关单位发出安全要求和威胁通报,促使中央和地方部门在CII安全保护工作执行上的互通有无,确保CII安全保障工作向“同步规划、同步设计、同步建设”的目标推进。另一方面,在细化各工作部门职能分工的基础上,发挥《国家安全法》统领性和《网络安全法》指导性法律定位,系统构建CII安全保障机制制度。一是建立健全协调工作机制、跨部门会商工作机制、行业协同联动机制,贯彻落实网信部门、国安部门、公安局主导,有关运营者全程参与,其他政府部门各司其职的“3+犖+1”联动处置工作机制。二是完善督促检查和责任追究机制,其中包括但不限于制定完善信息情报制度,预防、评估和预警制度,供应链审查制度和危机管控制度,加快建设相应的网络平台统筹CII安全威胁和事件,将属地重要信息系统和重点网站纳入实时监测范围,确保对安全威胁线索的及时发现和处置。
CII的安全与否直接关系国家安全、国计民生与公共利益,基于利益平衡原则和风险治理理论,赋予运营者安全保护义务具有正当性,并应结合特定领域和行业设置具体的义务内容。运营者安全保障义务的体系内容涉及运营者内部网络安全保护制度的建设,专门安全管理机构的设置、具体职责,网络安全监测和风险评估,发生重大网络安全事件或威胁时的报告机制,网络产品和服务等方面的保护义务。与此同时,要注重网络安全服务机构、安全技术人员、信息处理人员的义务同步构建,明确其认定的具体步骤,重点强调运营者的弹性恢复和保障供应链安全义务,发挥运营者本身的技术特长,不断地进行技术研发和安全培训,增强运营者的网络安全意识,保证其定期开展供应链安全教育、安全评估、安全检测、采集软件建设。
一方面,对CII运营者及相关人员未履行安全保护义务及网信部门、公安机关、保护工作部门和其他有关部门及工作人员未能依法依规履行安全保护职责和保障监管职责的情况,设置更为合理的行政处罚。同时,从犯罪最新态势和危害程度考虑,完善罪名体系和配置刑事责任,在防范的基础上使用公益诉讼、行政处罚、刑事制裁等手段实现全方位有效性打击。事后处罚是一种更为深入、全面的解决方法。在这个过程中,我们需要建立一个完善的法律框架,明确各方的权利和义务。另一方面,对实施非法侵入、干扰、破坏CII的境内外组织、个人,应设置完善的责任承担机制,加大对CII违法行为的打击力度,加强对违法者的追责和处罚制度建设,以保障相关主体的合法权益,形成有效的法律威慑。同时,借鉴国际经验,加强与其他国家和地区的合作与交流,共同应对跨国网络攻击和威胁,共同提升CII的安全保障水平。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。银河官方官网