来源:中国法学会法治研究所作者:刘金瑞时间:2017-08-30
关键信息基础设施关系到国家命脉和社会运行,其保护涉及防范和应对网络黑客、网络间谍、网络盗窃甚至网络恐怖主义、网络战争等风险,已成为各国网络安全政策和立法的核心议题。无论是美国还是欧盟,都将关键信息基础设施保护上升到维护国家安全和公共安全的高度,域外制度设计包括建立政府和行业的协作机制、制订国家级保护计划、设立信息共享和分析中心、评估漏洞风险和确定优先防护措施以及制订网络安全框架等。
近年来,面对严峻的网络安全形势,我国高度重视关键信息基础设施保护。2015年7月1日起施行的《国家安全法》第25条明确规定:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。2017年6月1日起生效实施的《网络安全法》确立了关键信息基础设施保护制度的基本框架。2017年7月11日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《条例》征求意见稿”),进一步细化了相关制度设计。
落实《网络安全法》确立的关键信息基础设施制度是切实维护我国网络空间主权与网络空间安全的重大举措。《条例》征求意见稿力图全面落实《网络安全法》要求的努力值得肯定,但从制度设计的可操作性和实践需求的迫切性来看,还有较大的完善提升空间。针对我国信息基础设施制度实施的重点难点,提出以下主要完善建议。
一、进一步理清关键信息基础设施保护的领导体制
《网络安全法》第32条原则上规定了关键信息基础设施分行业、分领域主管部门负责制,《条例》征求意见稿第4条规定“国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作”。但“国家行业主管或监管部门”的表述还是比较原则,《条例》本身就是国务院的行政法规,建议在《条例》中直接把“按国务院规定的职责分工”规定下来,进一步明确领导不同行业关键信息基础设施保护的主管部门,明确国家网信部门、工信部门、公安机关等各自职责范围和执法权限。
鉴于关键信息基础设施是该行业和领域中事关国家安全的重要信息系统,确定主管部门不一定囿于国家对行业主管部门的分工安排,例如美国就规定国土安全部负责保护电信、信息技术、国防工业基地等多个领域的关键信息基础设施。建议考虑由国家网信部门主管多个领域的关键信息基础设施安全保护工作,比如可以规定其负责保护核设施、水坝、关键制造等领域的关键信息基础设施。
在明确关键信息基础设施分行业分领域主管部门的基础上,建议修改《条例》征求意见稿第19条,对于关键信息基础设施认定指南,规定由各主管部门分行业分领域分别制定。理由在于:不同行业不同领域有不同的特点,各主管部门在多年监管中也积累了不同的宝贵经验,例如我国能源等行业的监管就是例证;分行业分领域认定更有利于实现认定指南和监管清单的动态调整,更便于主管部门听取吸收行业企业的意见建议;从美国、欧盟监管经验来看,也基本是由各行业各领域主管部门分别提出认定意见。对于不同领域关键信息基础设施认定指南,建议规定由国家网信部门会同国务院电信主管部门、公安部门等负责审核并提出修改建议。
此外,《网络安全法》并没有对政府部门和私营部门的网络信息系统进行区分保护,政府网络信息系统需要遵循与私营部门一样的网络安全义务。但政府部门的系统比一般私营部门更加重要,这些系统被攻击所造成的危害更大,美国、欧盟都规定了比私营部门更严格的监管标准,美国还在政府系统专门部署“爱因斯坦”入侵检测系统和入侵防御系统以应对威胁。建议《条例》应针对政府部门和私营部门的关键信息基础设施设立不同的监管框架,对于政府部门要规定采用统一的技术规范、严格遵守统一的监管标准。
二、进一步明确关键信息基础设施范围的认定制度
《网络安全法》第31条采用了“列举+概括”的形式,将“关键信息基础设施”界定为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”,以及其他可能严重危害“国家安全、国计民生、公共利益”的信息基础设施,明确了所谓的“关键”是指事关国家安全、国计民生和公共利益。该定义虽然存在较大的解释空间,但从制度目的和实践需求看,关键信息基础设施保护应限定在较窄的范围为妥,如此便可处理好与覆盖一般网络信息系统的网络安全等级保护的关系,也可避免对产业界施加不当的监管负担。《条例》征求意见稿第18条重申了“危害国家安全、国计民生、公共利益”的表述,并细化列举了可能纳入关键信息基础设施保护的“单位”。
但是该条列举“单位”的各项表述,在逻辑层次上并不一致。第(一)、(三)项列举的“能源、金融、交通、水利、卫生医疗、教育、公用事业、国防科工、大型装备、化工”等侧重的是“行业领域”,第(二)项列举的“电信网、广播电视网、互联网”等侧重的是“网络设施”,第(四)项列举的“广播电台、电视台、通讯社”侧重的是“新闻单位”,第(五)项兜底规定了“其他重点单位”。《条例》征求意见稿在《网络安全法》基础上进一步细化保护范围的尝试值得肯定,但关键信息基础设施保护的具体范围,实际上是要确定纳入保护范围的具体的“网络信息系统”,征求意见稿规定到“单位”这个层面并没有解决根本问题。
考虑到《条例》不可能列举出纳入保护范围的具体“网络信息系统”,建议《条例》将细化保护范围的思路转向规定关键信息基础设施认定制度。从美国、欧盟的经验来看,国外认定关键信息基础设施有两种基本方式,一是从网络架构设施入手,二是从关键网络服务入手。从“网络架构设施”入手,是将国家网络设施看成整体,侧重认定保护其中的骨干网络和关键运行节点,上述第18条第(二)项的列举有这种方式的影子,但这种方式往往会忽视金融、能源、交通等很多行业领域的重要网络服务,因此各国大都并未以此作为主要认定方式。域外认定关键信息基础设施主要采用“从关键网络服务入手”的方式,这种方式的认定方法有三步:一是确定关键行业领域,二是确定关键行业领域中的关键网络服务,三是确定支撑这些关键网络服务的网络信息系统和设施。
基于域外经验,再加上前述关键信息基础设施的认定由各主管部门主导为妥,建议《条例》征求意见稿第18条修改到关键信息基础设施所涉及的“关键行业领域”这个层次,将该条的各项列举修改为“不同的关键行业领域所对应的不同主管部门”,例如规定“国防领域的关键信息基础设施具体范围由国防部负责认定”。同时,进一步完善《条例》征求意见稿第19条的规定:一是规定各领域关键信息基础设施认定指南由各主管部门分别制定;二是完善关键信息基础设施的认定程序,考虑到纳入保护范围的经营者应遵守强制性监管标准,应当规定相关运营者不认可主管部门行政认定时的复议等救济程序;三是规定认定的关键信息基础设施纳入秘密清单予以保护,从域外经验来看,关键信息基础设施虽然涉及的重要行业领域是公开的,但考虑到切实确保国家安全,其具体范围是秘密不公开的,建议我国也建立关键信息基础设施秘密清单制度。
三、进一步细化关键信息基础设施的特别保护制度
鉴于关键信息基础设施的重要性,《网络安全法》对其供应链安全和数据留存传输作出了特殊规定,但这些规定比较原则,《条例》征求意见稿基本上沿袭了《网络安全法》的相关规定,制度细化落实看似是要通过《条例》的配套行政规章予以解决。但《条例》作为《网络安全法》的配套行政法规,本来就是要解决上位法的具体实施问题,建议抓住此次立法时机通盘予以考虑,在《条例》中一揽子“批发”规定关键信息基础设施特别保护制度的细化落实,避免在《条例》之下再出现大量行政规章“零售”现象。
《网络安全法》第35条规定了关键信息基础设施采购网络产品和服务的国家安全审查制度,《条例》征求意见稿第31条规定了这一审查要按照“网络产品和服务安全审查办法”的要求。根据2017年6月1日起施行的《网络产品和服务安全审查办法(试行)》第10条规定,“产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定”,实际上并未明确审查的机制和程序。建议《条例》细化落实这一审查制度,进一步明确关键信息基础设施运营者采购网络产品和服务时安全审查的具体范围、程序标准以及不同行业领域的审查机制。此外,还要规定运营者纳入关键信息基础设施保护范围之前所采用的网络产品和服务如不符合安全审查要求时的处理机制。
《网络安全法》第37条规定了关键信息基础设施个人信息和重要数据境内留存和出境评估制度,《条例》征求意见稿第29条规定出境评估要按照“个人信息和重要数据出境安全评估办法”的规定。但从目前公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》来看,该办法适用于所有的“网络运营者”,规定需要出境安全评估的“数据”范围过于宽泛,部分条文强调个人信息出境时需经“主体同意”,在一定程度上与域外一般探讨的“个人数据跨境流通规制”相混淆。这种宽泛的数据出境安全评估要求不符合我国《国家安全法》、《网络安全法》的立法本意,会给国内外网络企业造成不必要的负担,也会引起国外政府和产业界不必要的误解。建议《条例》明确境内存储和出境安全评估义务仅适用于“关键信息基础设施运营者”,并进一步明确个人信息和重要数据的界定以及这些数据出境安全评估的程序。
《网络安全法》第38条规定了关键信息基础设施定期进行安全检测评估制度,《条例》征求意见稿第28条重申了这一制度,要求关键信息基础设施运营者可以自行或者委托网络安全服务机构对其设施每年至少进行一次安全检测评估。鉴于关键信息基础设施事关国家安全,建议《条例》规定关键信息基础设施检测评估服务机构许可准入制度,规范这些服务机构的资质要求、测评流程、测评标准、测评结果的运用和报告等。
鉴于上述关键基础设施特别保护义务多通过国家监管标准来落实,建议明确规定国家组织制定的关键信息基础设施监管标准具有强制效力,纳入保护范围的运营者应严格遵守有关强制性标准,否则要承担相应的法律责任。明确关键信息基础设施监管标准的强制性,可以与网络等级保护标准的自愿性区分开来,以国家强制力确保关键信息基础设施的有效保护。此外,应承认关键信息基础设施保护法制是一个多层次规范相互配合的法制体系,《条例》应着重解决其中事关国家安全的重点问题,有些主要不涉及国家安全的问题应该通过其他法律规范来解决,比如对网络信息系统非法侵入的规制,应主要遵循《刑法》第285条、第286条等的规定。
四、进一步构建政府和企业之间网络安全协作机制
保护关键信息基础设施的技术性较强,实现关键基础信息设施安全可控,离不开产业界的支持,政府不应该把企业只当作是被监管者,而是应该把企业当成是协作者,共同维护网络安全。《网络安全法》和《条例》征求意见稿都缺乏构建政府与企业之间协作机制的规定;对于网络安全信息共享,前者第39条和后者第38条只是强调促进有关部门、运营者以及有关研究机构、网络安全服务机构等之间的“网络安全信息共享”;前者第25条和后者第39条规定了运营者应按照规定报告网络安全事件;前者第51条和后者第36条规定了建立网络安全监测预 警和信息通报制度。
但这些规定相对简单,没有具体负责机构和实现机制,对企业的激励也不够充分。建议《条例》增加授权政府与企业建立协作机制的规定,并进一步完善网络安全信息共享制度和企业责任豁免制度。
一是授权国家网信部门、相关行业主管部门与关键信息基础设施运营者建立协作机制。在确定各行业领域政府主管部门的基础上,鼓励引导各个行业领域成立自身的行业协作委员会,授权政府主管部门和相应的行业协作委员会建立公私合作协作机制。私营部门通过这一机制反映自身面临的网络安全威胁,并协助主管部门制定行业关键基础设施保护和安全信息共享计划;国家网信部门等国家机关通过这一机制广泛征求产业界的意见,在制定关键基础设施保护政策和标准等过程中,充分反映行业的最佳实践。
二是完善网络安全信息共享制度,包括政府和企业的网络安全信息共享机制和行业内网络安全信息共享机制。目前,我国虽然已建立国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心等网络安全事件监测、通报和处置机构,但力量比较分散缺乏协调整合,与企业和行业组织的联系还不够充分。建议授权网信部门建立专门的国家级网络安全信息共享中心,负责发展相应的信息交换技术和共享标准,定期公布行业的最佳实践,为中小企业网络安全信息共享提供建议指南。还应授权政府各主管部门根据网络安全信息的分级,在国家级信息共享中心的支持下,积极发展多层次多渠道的信息共享机制,推动建立私营行业之间的网络安全信息交换组织。此外,建议规定与政府共享信息和政府使用共享信息时,不能侵害个人隐私、商业秘密、知识产权等合法权益,规定这些信息不适用信息公开的披露义务,以维护私主体的合法权益。
三是规定企业责任豁免制度以激励其与政府协作。即规定企业在遵循法定强制标准和按照法定要求共享网络安全信息的情况下,减轻或免除因此而产生的法律责任,以此激励企业主动与政府部门进行网络安全协作和共享网络安全信息。例如,对于遵守监管标准的关键基础设施运营者,可以考虑规定其信息系统被恶意攻击而导致大规模数据泄露时,可只向消费者承担补偿性赔偿责任,而非承担惩罚性赔偿责任。为了提升企业发现网络安全漏洞的能力和打消其因分享信息而承担责任的顾虑,建议规定企业有权监视其负责运营的网络信息系统以及系统内存储、处理和传输的数据,并规定不承担因此而产生的法律责任。除此之外,激励企业与政府实现网络安全协作的制度设计,还可以考虑规定政府购买相关信息或服务、给予有关企业一定税收减免等措施。