以立法形式保护国家关键基础设施的信息安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。我国信息化发展已使国家关键基础设施深入社会生产生活各领域,但在取得巨大建设成就的同时,却无一部一般性法律规范其中通行的基本实践和主要制度,已经成为长期、潜在威胁我国网络空间安全的内在因素。
因此,建议将《国家关键基础设施信息安全保护条例》(下称“《条例》”)纳入国务院立法计划,尽快启动相关立法程序,构建完善适用于我国各重要行业领域的国家关键基础设施信息安全保护基本法律制度。
(一)《条例》的定位
一是《条例》属于国家关键基础设施信息安全保护的一般性行政法规。即在中国的法域范围内,《条例》对一般的国家关键基础设施不分行业、部门、区域和时间均有法律效力。
二是《条例》属于国家关键基础设施信息安全保护方面最高效力层级的上位法行政法规。即在没有制定法律之前,《条例》的法律效力位于国家关键基础设施安全保护部门规章、规范性文件、标准规范或者地方或单位内部规定等之上,国家关键基础设施信息安全保护部门规章、规范性文件、标准规范或者地方或单位内部规定等不得抵触《条例》或者具有与《条例》内容相冲突的规范内容。
三是《条例》属于信息安全法的专门性行政法规。与《条例》调整对象、规范事项处于平行地位的,还包括计算机安全、个人信息安全、网络犯罪等诸多信息安全领域,国家关键基础设施安全保护仅是其中一项,调整这一事项的《条例》,构成了诸多信息安全领域的立法之一,因此,应当属于信息安全法的专门性行政法规。
(二)《条例》的立法原则
一是坚持统筹规划与部门协同并重的原则。在充分调研的基础上了解并掌握来自行业和部门一线的立法需求,既要做到规划先行、通盘统筹,又要充分调动部门的立法积极性,通过立法实践着实解决行业和部门执法依据不足的问题。
二要坚持突出重点与兼顾一般,国家立法与地方立法相结合的原则。既要从最基本、最关键的问题入手,又要在若干重点事项上取得重大立法突破;既要积极推进国家层面的立法进程,又要鼓励有条件的地方先行立法,为国家层面的统一立法提供实践依据和借鉴参考。
三是坚持政府监管和产业促进并重的原则。既要坚持安全是政府公共产品,来自政府的安全监管是安全保障必不可少的重要条件;又要坚持安全是市场供给,统筹推进信息安全产业稳健、持续发展,确保信息安全市场竞争充分且能提供质优价廉的信息安全产品和服务,促进商业领域的信息安全技术研发和推广应用,改善商业供应链的生态组织体系,引导信息安全新技术、新经验快速、顺畅和低成本地获得部署和应用。
四是坚持前瞻引领与务实创新相结合的原则。既要立足实际,充分借鉴和吸收已有立法成果和法律资源,又要保持对新技术新应用的适时跟进和适度超前,有效反映新技术新应用发展带来的社会关系和法律关系变化,及时赋予网络空间派生的新型社会生产关系以应有的权利和义务属性。五是坚持立足本土和博采全球相结合的原则。既要注重从我国已有立法成果和执法经验中充分汲取立法参照和制度规范内容,也要注意吸收国外相关领域已有立法、规划和战略中的重大制度设计和规范指引内容。
(三)《条例》与已有法律法规的关系和界限
一是《条例》和已有计算机安全保护和安全联网的一般性行政法规 之间,属于效力层级相同、分别调整不同领域的不同安全事项、但又相互补充和相互协同的关系。当计算机信息系统和国家关键基础设施之间不具有重合关系时,两者分别调整计算机安全保护和安全联网、国家关键基础设施安全保护两类不同事项;当计算机信息系统和国家关键基础设施之间具有重合关系时,两者变为专门法和一般法的关系,安全保护、安全联网优先适用计算机安全保护和安全联网的一般性行政法规,其他事项则优先适用国家关键基础设施安全保护的一般性行政法规(即指《条例》)。
二是《条例》和已有国家关键基础设施信息安全保护的专门性行政法规 之间,属于效力层级相同、调整对象和适用范围种属包容、但又相互补充和相互协同的关系。处理两者之间的关系,适用“专门法优于一般法”、“单行法优于法典法”的原则,其中国家关键基础设施安全保护的专门性行政法规属于专门法和单行法,《条例》属于一般法和法典法,针对特定国家关键基础设施制定有专门、单行行政法规的,应当优先适用国家关键基础设施安全保护的专门、单行行政法规,专门、单行行政法规没有规定或者规定不明确的,才能适用国家关键基础设施安全保护的一般性、法典化行政法规(即指《条例》)。
三是《条例》和已有国家关键基础设施信息安全保护的部门规章 、规范性文件、标准规范或者地方或单位内部规定之间,属于效力层级不同、调整对象和适用范围种属包容、但又相互补充和相互协同的关系。处理两者之间的关系,适用“上位法优于下位法”的原则,其中《条例》属于上位法,国家关键基础设施安全保护的部门规章、规范性文件、标准规范或者地方或单位内部规定等属于下位法,具体案件适用法律时,《条例》有规定的优先适用《条例》,没有规定或者规定不明确的,再选择适用国家关键基础设施安全保护的部门规章、规范性文件、标准规范或者地方或单位内部规定等。
四是《条例》和已有信息安全相关法律法规 中有关国家关键基础设施信息安全保护的具体规范内容之间,属于新法和旧法的关系。处理两者之间的关系,适用新法优于旧法的原则,《条例》施行前国家关键基础设施安全保护的有关规定,制定机关应当依照《条例》规定予以清理,不符合《条例》规定的,自《条例》施行之日起应当停止执行。
(四)《条例》的调整对象和适用范围
《条例》的调整对象和适用范围,应当是指关系国家安全、社会秩序和国民经济正常运行的基础信息网络、重要信息系统(含工业控制系统)和信息资源,具体包括银行、证券、保险、铁路、民航、广播电视、通信(电信网、互联网)、电力、石油天然气、石化、公路、医疗卫生、教育、水利、民用核设施、钢铁、有色金属、化工、装备制造、城市轨道交通、城市供水供热、国防军工行业等行业和部门建设、运行和使用的网络和信息系统。
理由在于,一是纵观各国立法通例,“国家关键基础设施”这一概念及其范围是确定的。如在美国,所谓“国家关键基础设施”(critical information infrastructure),乃指一旦中断运行或受到破坏,将对国家安全和经济安全构成严重影响的金融、电信、交通、能源、应急救援(emergency services)和政府核心事务(government essential services)等行业或业务信息系统的关键部位 。
二是国外称之为国家关键基础设施的网络和信息系统,我国统称之为基础信息网络和重要信息系统。2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)提出,要“重点保障基础信息网络和重要信息系统安全”,其中“基础信息网络”包括“公用电信网、广播电视传输网等”,而重要信息系统则指“铁路、银行、海关、税务、民航、电力、证券、保险”八大行业广泛使用的计算机信息系统。实践中,我国重要信息系统和国家关键基础设施大多依托互联网骨干网络,采用城市信息交换中心、城市信息交换中心节点延伸、自建直通直联路由或者第三方转接互联方式组建的全国性或国际性专用计算机信息系统 。除铁路和电力信息系统主要是生产调度指挥系统之外,其余均在本系统网络内开设、运行着相当规模的业务受理、操作和交易网点,面向全国提供各种形式的专业服务。其中中国银联股份有限公司建设、运行、维护并管理的“中国银联网络”最具代表性,目前已经形成覆盖城市、延伸农村的规模化银联卡受理网络,不仅将各个商业银行的行内业务操作系统联接了起来,并向全国延伸设置了规模庞大的银行卡业务受理网络,而且也将海关、税务、民航、证券、保险等重要信息系统的各种远程业务处理系统联接起来,为其提供网上支付和结算服务。
根据我们的研究,《条例》的调整对象和适用范围,宜于根据其在国家安全、经济建设、社会生活中的作用和地位,按照加权平均后的数值,分地域、分时间进行动态调整。
理由在于,一是不同国家的不同历史时期,对于国家关键基础设施的范围界定是不一样的。根据英国国家关键基础设施安全协调中心(NISCC)的定义,英国国家关键基础设施包括9个部门:通信、应急服务、能源、金融服务、食品、政府、健康、交通和水资源。其中,通信、电子技术等部门属于交叉领域,为其他部门关键业务提供技术支撑和传输服务 。美国最早的国家关键基础设施仅包括电信、电力、天然气石油储备和运输、银行与金融、交通、水供给、应急通信服务(包括医疗、警务、消防、急救)以及政府部门所使用的计算机信息系统 ,迄今为止,这一范围已经扩展到18个部门所使用的计算机信息系统。2003年11月7日美国白宫发布实施的《关于国家关键基础设施认定、优化和保护的国土安全总统令第7号(HSPD-7)》,指定食品和农业、银行和金融、化学、商业设施、通信、大坝、国防工业基地、应急服务、能源、政府设施、医疗保健和公共健康、信息技术、国家纪念碑和雕塑、核反应堆及核材料核废料、邮政运输、交通系统、水资源等17类国家关键基础设施部门(critical infrastructure sectors ),并为每类国家关键基础设施部门指定一个联邦职能部门(federal Sector-Specific Agency (SSA))负责安全保护的指导工作;2008年3月,国土安全部依据HSPD-7授权,将“关键制造部门(Critical Manufacturing Sector)”指定为第18个国家关键基础设施部门。
二是我国重要信息系统的范围也经历了一个不断发展变化的历史过程。重要信息系统在我国最早暗含了1993年底开始建设的“金桥”、“金关”、“金卡”、“金税”、“宏观经济管理”、“金财”、“金盾”、“金审”、“社会保障”、“金农”、“金质”、“金水”等十二个电子政务重要业务系统(“十二金”工程)。1994年《计算机信息系统安全保护条例》(国务院令第147号)认定重要信息系统包括“国家事务、经济建设、 国防建设、尖端科学技术” 等四个重要领域的计算机信息系统。1997年《刑法》第285条将重要信息系统界定为“国家事务、国防建设、尖端科学技术领域”等三类计算机信息系统。近些年,随着两化融合、四化同步的不断发展,工业控制系统在国民经济和社会发展中的作用和地位不断凸显,其面临的安全威胁也直接关系国计民生和国家安全,应当统筹考虑纳入国家关键基础设施信息安全保护的整体框架之内。
(五)《条例》的主要制度规范和内容
一是根据所有者及其承载业务的重要性程度,明确划定国家关键基础设施的类别和范围,确定《条例》的调整对象和适用范围。
二是明确国家关键基础设施安全保护职能部门,建立高效有力的网络空间协调指挥机制,负责国家关键基础设施的安全防护和管理工作,统筹协调网络与信息的安全保障工作。
三是明确规定一般性、综合性制度措施和实践做法,构建普遍适用于各种不同权属、技术架构和联网应用程度的不同国家关键基础设施的制度规范体系,覆盖包括评估、整治、预警、缓解、事件响应、重建等环节在内的全套保护流程。
第一,建立适用于不同国家关键基础设施中不同计算机信息系统、信息资产、网络和信息系统抗威胁能力、网络空间领域等不同对象的分类分级安全管理体系,形成国家关键基础设施分类分级的标准化组织实施体系,根据系统自身特征提供信息安全保护的独有方案;
第二,制定国家关键基础设施清单,开展国家关键基础设施的普查登记工作,建立针对网络单元、拓扑架构、网络边界、物理设施、软件环境、主要软硬件及型号、关键设施位置、数据资产等对象的资产认定和清查登记制度;
第三,明确规定各种国家关键基础设施所应具备的法定最低安全保护水平和要求,建立包括信息安全技术标准、信息安全保护计划、行业最佳实践、信息安全预案(包括信息安全评测和控制策略)、商业秘密及个人隐私安全保护措施等在内的网络空间安全基本实践框架体系;
第四,建立包括自评估、委托评估和检查评估等不同形式的信息安全风险评估制度;
第五,建立包括分类、优先级采购、测评认证、触发式调查和反调查等内容在内的供应链安全风险管理制度;
第六,建立不同部门主导、不同目的和技术实现手段、针对不同对象可以实施不同程度的信息安全监测预警活动的信息安全监测预警制度;
第七,建立包括安全信息收集、上报、通报、汇总、分析、发布、共享以及共享主体、共享内容、共享流程、共享的技术和政策保障措施等内容的信息安全合作共享制度;
第八,建立包括应急处理协调机制、指挥调度机制、安全信息通报机制、应急处置预案制度、灾难备份设施、信息安全应急支援服务机制在内的信息安全应急处置制度。
四是明确危害国家关键基础设施的禁止性行为及其法律责任。包括禁止网络病毒、窃用网络服务、破坏网络设备或配置、网络欺骗、网络滥用、网络非法访问、非授权的设备使用、未经授权进入他人网络、网络破坏和攻击、通过恶意软件对数据进行修改或破坏等安全危害行为,及其实施主体应当承担的法律责任。
(六)《条例》的主要地位和作用
一是《条例》可以有效解决我国信息安全立法现状中普遍存在的法律交叉和冲突问题。以《条例》作为上位法依据,有助于清理我国国家关键基础设施安全保护领域各种现行法律、行政法规以及部门规章中相互冲突、相互重复或不合时宜的规范内容。
二是《条例》是构建我国信息安全法律制度的基石。《条例》的制定有助于建立中央统一协调指导、各级行政机关分工负责相互配合的信息安全政府监督管理工作机制,构建法律救济手段完备、管理和保护并重的一系列信息安全制度规范,从而在较高的法律效力层级上理清信息安全领域已有民事、行政和刑事各种法律关系,有望成为我国信息安全法律制度的重要基石。
三是有助于健全完善我国社会主义法律体系。作为重要构成要素,《条例》与其他信息安全立法一起构成我国信息安全法律部门,信息安全法律部门和其他安全法律部门一起,又共同构成我国社会主义法律体系。《条例》的制定有望形成上位、下位逻辑结构合理,实体法、程序法相互结合,民事、行政和刑事法律关系相互渗透,民事、行政和刑事法律责任相为补充的信息安全法律体系,因此有助于健全完善我国社会主义法律体系。
作者简介
马志刚:中国信息通信研究院政策与经济研究所副总工,联系方式:mazhigang@caict.ac.cn。 
