時(shí)間:2016-11-19 來源: 責(zé)任編輯:elite
我國(guó)關(guān)鍵基礎(chǔ)設(shè)施立法的基本思路和制度構(gòu)建
劉金瑞 中國(guó)法學(xué)會(huì)法律信息部助理研究員
各位領(lǐng)導(dǎo)、各位嘉賓,大家下午好。
????????隨著信息通信技術(shù)的革命性進(jìn)展,交通、電力、電信、供水、金融及政府服務(wù)等基礎(chǔ)設(shè)施的運(yùn)營(yíng)越來越依靠網(wǎng)絡(luò)信息系統(tǒng),人類的日常行為和生活越來越轉(zhuǎn)化成網(wǎng)絡(luò)空間的信息數(shù)據(jù)流。然而,網(wǎng)絡(luò)信息系統(tǒng)也極易因?yàn)楣舳麄€(gè)陷入癱瘓,其中的數(shù)據(jù)也極易被攔截、竊取和破壞,從而引發(fā)了網(wǎng)絡(luò)安全的問題。各國(guó)雖然界定不同,但基本強(qiáng)調(diào)網(wǎng)絡(luò)安全就是要確保網(wǎng)絡(luò)信息系統(tǒng)及其所存儲(chǔ)和傳輸?shù)臄?shù)據(jù)的安全,而關(guān)鍵基礎(chǔ)設(shè)施保護(hù)自然成為網(wǎng)絡(luò)安全立法的核心問題。在我國(guó),網(wǎng)絡(luò)安全一般理解為系統(tǒng)安全和內(nèi)容安全兩個(gè)方面。
域外制度設(shè)計(jì)以美國(guó)為代表,美國(guó)的政策和立法基本經(jīng)歷了從國(guó)內(nèi)到國(guó)際,從政策到立法。其立法設(shè)想包括兩個(gè)方面:一是私有關(guān)鍵基礎(chǔ)設(shè)施的保護(hù),二是網(wǎng)絡(luò)安全信息共享。之所以是私有關(guān)鍵基礎(chǔ)設(shè)施的保護(hù),是因?yàn)槊绹?guó)已經(jīng)在行政系統(tǒng)內(nèi)部署“愛因斯坦”計(jì)劃應(yīng)對(duì)政府關(guān)鍵基礎(chǔ)設(shè)施的威脅,而對(duì)私有關(guān)鍵基礎(chǔ)設(shè)施,不能強(qiáng)制監(jiān)管,只能謀求其他解決方案。主要立法思路就是,要?jiǎng)澏P(guān)鍵基礎(chǔ)設(shè)施的范圍,并賦予這些設(shè)施以強(qiáng)制性的監(jiān)管方案和安全標(biāo)準(zhǔn)。對(duì)于網(wǎng)絡(luò)安全信息共享,主要立法思路是通過交換和共享安全信息,來預(yù)防和充分應(yīng)對(duì)網(wǎng)絡(luò)安全事件,以減少損害發(fā)生。這兩方面都設(shè)想只要私營(yíng)企業(yè)遵守強(qiáng)制標(biāo)準(zhǔn)和進(jìn)行信息共享,就規(guī)定豁免其因此可能承擔(dān)的法律責(zé)任。
美國(guó)立法只有在第二方面通過了CISA(網(wǎng)絡(luò)安全信息共享法),第一方面的立法設(shè)想并未實(shí)現(xiàn),起主要作用的是一系列政策和法令,制度框架梳理為以下五個(gè)方面:一是建立政府和行業(yè)的協(xié)作機(jī)制。確立不同的聯(lián)邦部門作為16種行業(yè)CI保護(hù)的領(lǐng)導(dǎo)部門,政府設(shè)“政府協(xié)作委員”,行業(yè)設(shè)“行業(yè)協(xié)作委員會(huì)”,行業(yè)協(xié)作委員會(huì)為國(guó)家保護(hù)計(jì)劃(NIPP)和行業(yè)保護(hù)計(jì)劃(SSP)制訂提供支持。2006年3月,國(guó)土安全部設(shè)立“關(guān)鍵基礎(chǔ)設(shè)施合作伙伴咨詢委員會(huì)”,這個(gè)委員會(huì)大部分會(huì)議和文件不向公眾公開,不公開的原因是只要保密才能確保安全。
二是制訂國(guó)家級(jí)保護(hù)計(jì)劃。從1996年克林頓13010號(hào)命令開始,一直強(qiáng)調(diào)制訂國(guó)家計(jì)劃,但直到2006年6月,小布什政府第一次正式公布國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃,并制訂了特定行業(yè)計(jì)劃,這些計(jì)劃每四年更新一次。奧巴馬政府時(shí)期,計(jì)劃第二次更新,保留了之前基本的合作伙伴模式和風(fēng)險(xiǎn)管理框架。
三是設(shè)立信息共享和分析中心。1998年克林頓63號(hào)總統(tǒng)指令規(guī)定FBI內(nèi)部“國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心”(NIPC)維持政府和私營(yíng)部門之間的信息共享,與之相對(duì),私營(yíng)行業(yè)建立信息共享和分析中心(ISAC),促成政府和私營(yíng)行業(yè)之間的信息交換。不同于行業(yè)協(xié)作委員會(huì),該中心是24小時(shí)、365天全天候運(yùn)行,通報(bào)、分析和共享安全事件和威脅信息。雖然最初將ISAC設(shè)想成信息交換的主要渠道,之后還是發(fā)展出了一系列其他機(jī)制,例如美國(guó)計(jì)算機(jī)應(yīng)急中心(US-CERT)、國(guó)土安全信息網(wǎng)絡(luò)(HSIN)、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行政通知服務(wù)處等。《國(guó)土安全法》還規(guī)定要發(fā)展“信息共享和分析組織”(ISAO),和ISAC是行業(yè)導(dǎo)向的不同,ISAO沒有這種要求。2014年,美國(guó)立法授權(quán)國(guó)土安全部設(shè)立國(guó)家網(wǎng)絡(luò)安全和通信集成中心(NCCIC),試圖協(xié)調(diào)整合這些情報(bào)交換渠道。
四是認(rèn)定關(guān)鍵設(shè)施、評(píng)估漏洞風(fēng)險(xiǎn)和確定優(yōu)先防護(hù)措施。由國(guó)土安全部國(guó)家保護(hù)和計(jì)劃司(NPPD)負(fù)責(zé),其將關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)分為國(guó)內(nèi)或國(guó)外兩類,分別納入“國(guó)家關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先保護(hù)計(jì)劃”(NCIPP)和“關(guān)鍵海外依存行動(dòng)計(jì)劃”(CFDI),兩種計(jì)劃對(duì)應(yīng)了兩類秘密的列表。但政府對(duì)這些資產(chǎn)的所有者或運(yùn)營(yíng)者的建議不具有強(qiáng)制性。
五是制訂網(wǎng)絡(luò)安全框架。奧巴馬E.O. 13636及PPD-21要求要求過國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)負(fù)責(zé)制定網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn),領(lǐng)導(dǎo)研發(fā)減少關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)的“網(wǎng)絡(luò)安全框架”,側(cè)重行業(yè)最佳實(shí)踐,這是國(guó)土安全部“自愿的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全計(jì)劃”的基礎(chǔ)。NIST于2014年2月發(fā)布了1.0版的《網(wǎng)絡(luò)安全框架》,DHS鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施列表上的企業(yè)采用上述“自愿保護(hù)計(jì)劃”,但不是強(qiáng)制性的。
對(duì)于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的基本思路,可以從它面臨的風(fēng)險(xiǎn)入手進(jìn)行制度設(shè)計(jì),主要包括三個(gè)方面預(yù)防威脅、填補(bǔ)漏洞、應(yīng)對(duì)危害。根據(jù)這一思路,結(jié)合新通過的《網(wǎng)絡(luò)安全法》,匯報(bào)以下思考要點(diǎn):一是從國(guó)家安全高度把握關(guān)鍵基礎(chǔ)設(shè)施范圍和立法。網(wǎng)安法從國(guó)家安全的高度明確了以CI保護(hù)為核心,相對(duì)于一審稿25條的定義(重要行業(yè)、公共服務(wù)、軍事、政務(wù)、用戶數(shù)量眾多)是重大進(jìn)步,貫徹了習(xí)總書記4.19講話。重要的不一定是關(guān)鍵的,并不是所有信息系統(tǒng)等同保護(hù)。擴(kuò)大理解“關(guān)鍵信息基礎(chǔ)設(shè)施”為“關(guān)鍵基礎(chǔ)設(shè)施”,網(wǎng)安法界定的關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)理解為不只限于保護(hù)信息產(chǎn)業(yè)的關(guān)鍵基礎(chǔ)設(shè)施,類似核電站等也需要保護(hù)。設(shè)計(jì)法律規(guī)范體系,避免重復(fù)規(guī)定,對(duì)于信息系統(tǒng)保護(hù),網(wǎng)絡(luò)安全法的側(cè)重國(guó)家安全,刑法和其他法律側(cè)重公共安全。
二是堅(jiān)持國(guó)內(nèi)經(jīng)驗(yàn)總結(jié)與國(guó)外經(jīng)驗(yàn)借鑒相結(jié)合原則。一方面,處理好關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和信息安全等級(jí)保護(hù)的關(guān)系,明確對(duì)于關(guān)鍵基礎(chǔ)設(shè)施具體范圍,應(yīng)采用秘密清單制度。另一方面,對(duì)第四章規(guī)定的商榷意見?,F(xiàn)在網(wǎng)安法的結(jié)構(gòu)是第3章 網(wǎng)絡(luò)運(yùn)行安全+ 第4章 網(wǎng)絡(luò)信息安全,可我國(guó)對(duì)“網(wǎng)絡(luò)安全”的理解是系統(tǒng)安全(包括數(shù)據(jù)安全)+內(nèi)容安全,建議今后通過行政法規(guī)等充實(shí)第4章的規(guī)定,增加未成年人上網(wǎng)保護(hù)、網(wǎng)絡(luò)內(nèi)容管理(實(shí)名制、內(nèi)容分級(jí)制度)等。
三是設(shè)計(jì)監(jiān)管框架時(shí)區(qū)分一般和關(guān)鍵、公共和私營(yíng)。一方面,區(qū)分一般信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施。將第3章第一節(jié)“一般規(guī)定”理解為“信息系統(tǒng)的一般保護(hù)” ,規(guī)定了適用于所有信息系統(tǒng)的運(yùn)營(yíng)者的義務(wù)(漏洞報(bào)告、協(xié)助執(zhí)法等)、監(jiān)管部門的權(quán)限。將第3章第二節(jié)理解為“關(guān)鍵基礎(chǔ)設(shè)施的特別保護(hù)”,對(duì)于第37條的適用,需要進(jìn)一步探討:數(shù)據(jù)留存的目的到底是什么?一般和關(guān)鍵的區(qū)別?另一方面,區(qū)分公共部門和私營(yíng)部門設(shè)計(jì)不同的監(jiān)管框架。借鑒美國(guó)《聯(lián)邦信息安全管理法》和愛因斯坦計(jì)劃的經(jīng)驗(yàn),政府部門應(yīng)該實(shí)行更為嚴(yán)格的保護(hù)。
四是監(jiān)管私營(yíng)部門要貫徹安全與發(fā)展并重的原則。增加懲戒所示等不是目的,要確保企業(yè)有效遵守,就需要規(guī)定監(jiān)管標(biāo)準(zhǔn)的強(qiáng)制效力,未來?xiàng)l例應(yīng)予明確?,F(xiàn)有的網(wǎng)絡(luò)安全信息共享規(guī)定過于簡(jiǎn)單,第39條(三)“促進(jìn)”,沒有具體負(fù)責(zé)機(jī)構(gòu)和實(shí)現(xiàn)機(jī)制,只有第30條規(guī)定對(duì)于企業(yè)的鼓勵(lì)還是不夠。
五是在相關(guān)條文擬定中為國(guó)際規(guī)則制定留下適當(dāng)空間。一方面完善管轄權(quán)條款確認(rèn)法律的域外效力。除了“屬地管轄權(quán)”之外,還要規(guī)定“屬人管轄權(quán)”、“保護(hù)管轄權(quán)”和“普遍管轄權(quán)”。二是原則上規(guī)定針對(duì)網(wǎng)絡(luò)攻擊的反制措施,網(wǎng)安法第75條已經(jīng)予以規(guī)定。
專家點(diǎn)評(píng)
王四新 中國(guó)傳媒大學(xué)文法學(xué)部副學(xué)部長(zhǎng)
聽了金瑞同學(xué)的報(bào)告以后,談一點(diǎn)自己的感受。金瑞同學(xué)的文章和PPT我都看了,做得非常扎實(shí)。我們國(guó)家11月7號(hào)通過的《網(wǎng)絡(luò)安全法》解決了我們國(guó)家網(wǎng)絡(luò)立法安全中存在的長(zhǎng)期被忽略,但是又非常重要的問題,即怎么樣通過保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施來確保我們應(yīng)用層和信息層的安全。以前我們的立法實(shí)際上最多關(guān)注點(diǎn)是信息層的安全。這一次我們實(shí)際上把重點(diǎn)轉(zhuǎn)向了基礎(chǔ)層,就是物理層的安全,這個(gè)也是全球現(xiàn)在普遍關(guān)注的一個(gè)問題。
這個(gè)問題在我們國(guó)家是第一次關(guān)注,這種關(guān)注實(shí)際上也是帶有這個(gè)時(shí)候這個(gè)領(lǐng)域問題的一些典型的特征,就是不確定性,我們知道有這樣一個(gè)問題,我們也需要從立法上對(duì)它進(jìn)行界定,但是怎么界定?它的范圍在哪里?怎么樣說清楚,說不清楚。研究《網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)信息、網(wǎng)絡(luò)基礎(chǔ)設(shè)施是其中的主要問題之一,還有數(shù)據(jù)的本地化。此外,在實(shí)踐中實(shí)施可能會(huì)遇到什么樣的問題,都是未知的。
金瑞同志的文章主動(dòng)回應(yīng)了網(wǎng)絡(luò)立法領(lǐng)域一個(gè)非常重要,但是又說不清楚的問題。金瑞同學(xué)的問題說清楚了嗎?他努力在說清楚,但確確實(shí)實(shí)也不是他的能力能夠說清楚的,甚至也不是現(xiàn)在美國(guó)、中國(guó)都能說清楚的,歐盟都說不清楚。所以這為這個(gè)問題探討留下了很大空間,這是一個(gè)很有挑戰(zhàn)性的問題。以后我們的研究可能要多做這方面的研究。
關(guān)注
微信
關(guān)注
微博