崔 聰 聰

(北京郵電大學(xué) 互聯(lián)網(wǎng)治理與法律研究中心，北京100876)

?

網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施范圍研究

崔 聰 聰

(北京郵電大學(xué) 互聯(lián)網(wǎng)治理與法律研究中心，北京100876)

關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵——“國(guó)家安全、國(guó)計(jì)民生和公共安全”，是確定關(guān)鍵信息基礎(chǔ)設(shè)施范圍的基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》第三十一條的“公共利益”應(yīng)限縮解釋為“公共安全”。關(guān)鍵信息基礎(chǔ)設(shè)施包括：信息基礎(chǔ)設(shè)施中的關(guān)鍵部分，如電信網(wǎng)絡(luò)、廣播電視網(wǎng)絡(luò)等；關(guān)鍵基礎(chǔ)設(shè)施中的信息部分，即重要信息系統(tǒng)。由于“用戶數(shù)量眾多”過(guò)于模糊，所以不宜將其列為界定關(guān)鍵信息基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)。

關(guān)鍵信息基礎(chǔ)設(shè)施；國(guó)家安全；公共安全

網(wǎng)絡(luò)社會(huì)，國(guó)家安全、經(jīng)濟(jì)繁榮以及人民福祉嚴(yán)重地依賴“關(guān)鍵基礎(chǔ)設(shè)施”這一復(fù)雜的動(dòng)態(tài)巨系統(tǒng)。長(zhǎng)久以來(lái)，關(guān)鍵信息基礎(chǔ)設(shè)施一直是網(wǎng)絡(luò)入侵的重要目標(biāo)。近期，關(guān)鍵信息基礎(chǔ)設(shè)施的威脅在急劇增加，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的新型攻擊技術(shù)手段層出不窮，金融、能源、關(guān)鍵制造、電力、交通等重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻擊的主要對(duì)象。網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施的重要性及其所面臨的嚴(yán)峻形勢(shì)，使其成為各國(guó)網(wǎng)絡(luò)安全立法的核心問(wèn)題，各國(guó)紛紛出臺(tái)網(wǎng)絡(luò)空間安全戰(zhàn)略、法律和政策，對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)進(jìn)行制度安排。

一、關(guān)鍵信息基礎(chǔ)設(shè)施面臨的威脅

互聯(lián)網(wǎng)本身的脆弱性與關(guān)鍵基礎(chǔ)設(shè)施持續(xù)運(yùn)轉(zhuǎn)的需求卻可能存在尖銳矛盾。關(guān)鍵基礎(chǔ)設(shè)施間的相互關(guān)聯(lián)與耦合，在提升社會(huì)整體協(xié)同與運(yùn)作效率的同時(shí)，也面臨著惡意攻擊、自然災(zāi)害破壞引發(fā)的連鎖反應(yīng)，可能造成跨部門(mén)、跨區(qū)域的大面積基礎(chǔ)設(shè)施受損或癱瘓并引發(fā)相應(yīng)的服務(wù)中斷與缺失。這種脆弱性已成為現(xiàn)代社會(huì)的一大新的脆弱源，這種新的脆弱性與傳統(tǒng)的威脅交織在一起構(gòu)成了現(xiàn)代社會(huì)的新型危機(jī)并在社會(huì)中處于主要地位和中心地位[1]87-92。

金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)[2]。高級(jí)網(wǎng)絡(luò)攻擊已經(jīng)對(duì)基礎(chǔ)設(shè)施、金融系統(tǒng)，乃至地緣政治造成重大影響。2015年末至2016年以來(lái)，一系列針對(duì)關(guān)鍵基礎(chǔ)設(shè)施特別是工業(yè)系統(tǒng)和金融系統(tǒng)的破壞性攻擊被曝光：烏克蘭停電事件，沙特Shamoon2.0事件，孟加拉央行被竊事件，臺(tái)灣第一銀行及泰國(guó)郵政儲(chǔ)蓄銀行ATM被竊事件等。在未來(lái)幾年中，針對(duì)能源、交通、制造、金融、通信等領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施破壞性攻擊仍將持續(xù)加劇，安全生產(chǎn)事故，甚至是安全生產(chǎn)災(zāi)難，隨時(shí)都有可能大規(guī)模爆發(fā)[3]。

當(dāng)前，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全形勢(shì)非常復(fù)雜，網(wǎng)絡(luò)運(yùn)營(yíng)者安全防護(hù)能力十分欠缺，工控系統(tǒng)安全隱患非常突出，黨政機(jī)關(guān)網(wǎng)站被不法分子攻擊篡改嚴(yán)重，個(gè)人信息和數(shù)據(jù)泄露實(shí)踐頻繁發(fā)生，網(wǎng)絡(luò)安全威脅的隱蔽性導(dǎo)致網(wǎng)絡(luò)運(yùn)營(yíng)者遭受重大損害時(shí)才發(fā)現(xiàn)補(bǔ)救。為維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，全國(guó)人大常委會(huì)于2016年11月7日通過(guò)了《網(wǎng)絡(luò)安全法》，專設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全一節(jié)，構(gòu)建起以信息共享為基礎(chǔ)，事前預(yù)防、事中控制、事后恢復(fù)與懲治的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。

二、現(xiàn)行立法中關(guān)鍵信息基礎(chǔ)設(shè)施范圍

(一)《網(wǎng)絡(luò)安全法》

科學(xué)確定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍是對(duì)其進(jìn)行保護(hù)的前提?！毒W(wǎng)絡(luò)安全法(草案)》(以下簡(jiǎn)稱草案)采用列舉的方式將關(guān)鍵信息基礎(chǔ)設(shè)施劃分為以下幾種類型：(1)基礎(chǔ)信息網(wǎng)絡(luò)，如公共通信、廣播電視傳輸?shù)确?wù)所依賴的網(wǎng)絡(luò)；(2)重要行業(yè)使用的網(wǎng)絡(luò)系統(tǒng)，如能源、交通、水利、金融等；(3)公共服務(wù)領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)，如供電、供水、供氣、醫(yī)療衛(wèi)生、社會(huì)保障等；(4)黨政軍機(jī)關(guān)使用的網(wǎng)絡(luò)系統(tǒng)；(5)涉及大量用戶的網(wǎng)絡(luò)服務(wù)提供者的網(wǎng)絡(luò)和系統(tǒng)。《網(wǎng)絡(luò)安全法(草案二次審議稿)》(以下簡(jiǎn)稱二審稿)將關(guān)鍵信息基礎(chǔ)設(shè)施界定為遭到破壞、功能損壞或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)和系統(tǒng)?！毒W(wǎng)絡(luò)安全法》將關(guān)鍵信息基礎(chǔ)設(shè)施界定為公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)和系統(tǒng)*《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第31條。。并授權(quán)國(guó)務(wù)院確定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。

(二)《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》及管理實(shí)踐

《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》(以下簡(jiǎn)稱戰(zhàn)略)將關(guān)鍵信息基礎(chǔ)設(shè)施界定為事關(guān)國(guó)家安全和國(guó)計(jì)民生，數(shù)據(jù)泄露、被攻擊或者遭到破壞以及喪失功能可能嚴(yán)重危害國(guó)家安全、公共利益的網(wǎng)絡(luò)信息系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)，重要行業(yè)和重要領(lǐng)域的信息系統(tǒng)，國(guó)家機(jī)關(guān)的重要信息系統(tǒng)以及重要的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等。在監(jiān)督管理實(shí)踐中，中央網(wǎng)信辦基本采用了戰(zhàn)略的規(guī)定，將關(guān)鍵信息基礎(chǔ)設(shè)施界定為面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐重要行業(yè)運(yùn)行的信息系統(tǒng)以及工業(yè)控制系統(tǒng)，上述系統(tǒng)關(guān)涉國(guó)家安全或者公民的人身和財(cái)產(chǎn)安全[4]。

(三)評(píng)述

從立法技術(shù)層面分析，草案采用列舉方式界定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，具體包括以下四個(gè)層面：(1)基礎(chǔ)信息網(wǎng)絡(luò)；(2)重要行業(yè)和公共服務(wù)的重要信息系統(tǒng)；(3)軍政網(wǎng)絡(luò)；(4)用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)。二審稿與草案截然相反，采用描述本質(zhì)特征的方式界定關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和范圍。最終通過(guò)的《網(wǎng)絡(luò)安全法》采取折中方式，在列舉重要行業(yè)和領(lǐng)域的基礎(chǔ)上，采用描述本質(zhì)特征的概括式條款界定關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵與外延。

值得注意的是，二審稿刪除了“用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)”，最終通過(guò)的《網(wǎng)絡(luò)安全法》亦沒(méi)有出現(xiàn)上述表述。那么，被百度、騰訊和阿里巴巴等網(wǎng)絡(luò)服務(wù)提供者關(guān)心的“用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)”是否被明確排除在關(guān)鍵信息基礎(chǔ)設(shè)施范圍之外，“用戶數(shù)量眾多的網(wǎng)絡(luò)和系統(tǒng)”能否解釋為關(guān)涉“公共利益的網(wǎng)絡(luò)和系統(tǒng)”，國(guó)務(wù)院在確定關(guān)鍵信息基礎(chǔ)設(shè)施具體范圍時(shí)應(yīng)遵循什么樣的原則和標(biāo)準(zhǔn)，亟待理論與立法予以澄清。戰(zhàn)略沿襲《網(wǎng)絡(luò)安全法》的規(guī)定，采取“列舉+概括”方式界定關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和范圍。需要指出的是，戰(zhàn)略提到的“重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)”如何界定，能否涵蓋用戶數(shù)量眾多的網(wǎng)絡(luò)系統(tǒng)，亦需明確。

三、國(guó)外立法及啟示

(一)國(guó)外主要國(guó)家和地區(qū)立法

1.美國(guó)

1998年5月，克林頓政府頒布《第63號(hào)總統(tǒng)決策指令》(PDD-63)，將關(guān)鍵基礎(chǔ)設(shè)施界定為“物理的或基于網(wǎng)絡(luò)的、維持經(jīng)濟(jì)及政府最低程度運(yùn)行所必需的系統(tǒng)”[5]116-133。2001年通過(guò)的《愛(ài)國(guó)者法》將關(guān)鍵基礎(chǔ)設(shè)施界定為對(duì)美國(guó)來(lái)說(shuō)至關(guān)重要的系統(tǒng)和資產(chǎn)，無(wú)論是物理的還是虛擬的，這些系統(tǒng)或資產(chǎn)一旦喪失能力或遭受破壞將削弱國(guó)家安全、國(guó)家經(jīng)濟(jì)安全或國(guó)家公共衛(wèi)生或公共安全，或上述事項(xiàng)的任何組合。奧巴馬《關(guān)于改善網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)設(shè)施的行政命令》對(duì)關(guān)鍵基礎(chǔ)設(shè)施的界定沿用了《愛(ài)國(guó)者法》的規(guī)定*關(guān)鍵基礎(chǔ)設(shè)施是指對(duì)于美國(guó)極其重要的系統(tǒng)和資產(chǎn)，它們包括了物理層面的和虛擬層面的，而這些系統(tǒng)和資產(chǎn)遭到破壞會(huì)對(duì)國(guó)家經(jīng)濟(jì)安全、國(guó)家公共健康及安全構(gòu)成威脅。。2012年網(wǎng)絡(luò)安全法(未生效)將關(guān)鍵基礎(chǔ)設(shè)施界定為一旦被未經(jīng)授權(quán)地?fù)p害或者訪問(wèn)，便很可能會(huì)導(dǎo)致生命維持服務(wù)中斷的系統(tǒng)或資產(chǎn)，這種服務(wù)中斷足以導(dǎo)致大規(guī)模傷亡事件、全國(guó)性長(zhǎng)時(shí)間停工、災(zāi)難性經(jīng)濟(jì)損害或者國(guó)家安全嚴(yán)重惡化?！盀?zāi)難性經(jīng)濟(jì)損害”是指美國(guó)金融市場(chǎng)、交通系統(tǒng)的崩潰或根本性破壞，或者對(duì)美國(guó)經(jīng)濟(jì)造成其他長(zhǎng)期系統(tǒng)性的損害。但關(guān)鍵基礎(chǔ)設(shè)施不包括“商業(yè)性信息技術(shù)產(chǎn)品”[5]116-133。

從上述規(guī)定可以看出，美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的內(nèi)涵相對(duì)固定，但關(guān)鍵基礎(chǔ)設(shè)施的范圍即外延處于不斷變化和調(diào)整之中。從1996年克林頓政府第13010號(hào)行政令確定的8類*關(guān)鍵基礎(chǔ)設(shè)施主要包括電信、電力系統(tǒng)、天然氣及石油的存儲(chǔ)和運(yùn)輸、銀行和金融、交通運(yùn)輸、供水系統(tǒng)、緊急服務(wù)(包括醫(yī)療，警察，消防，救援)、政府連續(xù)性等8類。到2003 年布什政府發(fā)布的《關(guān)鍵基礎(chǔ)設(shè)施和重要資產(chǎn)物理保護(hù)國(guó)家戰(zhàn)略》確定的11類*農(nóng)業(yè)與食品、水、公共衛(wèi)生、應(yīng)急服務(wù)、國(guó)防工業(yè)基地、通信、能源、交通運(yùn)輸、金融、化學(xué)工業(yè)與有害物質(zhì)、郵政與貨運(yùn)。同時(shí)，戰(zhàn)略還提出了“關(guān)鍵資產(chǎn)”的概念，主要包括核電站、水壩、有害物質(zhì)存儲(chǔ)設(shè)備，以及代表國(guó)家形象的肖像、紀(jì)念館、政府與商務(wù)中心等。，再到2003年第7號(hào)總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》確認(rèn)的17類*國(guó)家重要基礎(chǔ)設(shè)施和關(guān)鍵資源。主要包括：信息技術(shù)、電信、化學(xué)、運(yùn)輸系統(tǒng)、應(yīng)急服務(wù)、郵政、船運(yùn)、大壩、政府設(shè)施和商業(yè)設(shè)計(jì)、農(nóng)業(yè)、食品、公共衛(wèi)生及醫(yī)療、供水及污水處理系統(tǒng)、能源、銀行和金融業(yè)、國(guó)家紀(jì)念物和象征物、國(guó)防工業(yè)基地。，2008年，國(guó)土安全部宣布“關(guān)鍵制造業(yè)”作為第18類需要保護(hù)的國(guó)家基礎(chǔ)設(shè)施和關(guān)鍵資源，目前為2013年第21號(hào)總統(tǒng)令重新確定的16類關(guān)鍵基礎(chǔ)設(shè)施部門(mén)[6]106-108，具體類別和主管部門(mén)如下：國(guó)土安全部(化工、商業(yè)設(shè)施、通訊、關(guān)鍵制造、水利、應(yīng)急服務(wù)、信息技術(shù)、核反應(yīng)堆材料及其廢棄物)、國(guó)防部(國(guó)防工業(yè)基礎(chǔ))、能源部(能源)、財(cái)政部(金融服務(wù))、農(nóng)業(yè)部與衛(wèi)生和公共服務(wù)部(食品和農(nóng)業(yè))、國(guó)土安全和總務(wù)局(政府設(shè)施)、衛(wèi)生及公共服務(wù)部(醫(yī)療保健和公共健康)、國(guó)土安全部和交通部(交通運(yùn)輸系統(tǒng))、環(huán)境保護(hù)局(水和污水處理系統(tǒng))。

在確定關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的基礎(chǔ)上，基于防范恐怖襲擊等安全考慮，美國(guó)基礎(chǔ)設(shè)施清單采用秘密清單的方式。根據(jù)《國(guó)土安全法》授權(quán)，國(guó)土安全部確定了關(guān)鍵基礎(chǔ)設(shè)施的關(guān)鍵行業(yè)并發(fā)布了關(guān)鍵基礎(chǔ)設(shè)施分類方法，關(guān)鍵基礎(chǔ)設(shè)施清單依照以下程序確定：各州及聯(lián)邦部門(mén)制作關(guān)鍵基礎(chǔ)設(shè)施一級(jí)清單和二級(jí)清單提名；國(guó)土安全部對(duì)所有的提名進(jìn)行審議，創(chuàng)建關(guān)鍵基礎(chǔ)設(shè)施清單草案；各州和聯(lián)邦部門(mén)進(jìn)行復(fù)議，必要時(shí)提供進(jìn)一步的資料；無(wú)異議后國(guó)土安全部通知各州和聯(lián)邦機(jī)構(gòu)最終的關(guān)鍵基礎(chǔ)設(shè)施清單[7]36-38。

2.歐盟

為應(yīng)對(duì)恐怖主義危機(jī)，歐盟于2004年啟動(dòng)了“關(guān)鍵基礎(chǔ)設(shè)施保護(hù)規(guī)劃”。同年10月，歐委會(huì)公布了《反恐怖主義中的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)通訊》，將關(guān)鍵基礎(chǔ)設(shè)施界定為如果被中斷或被破壞的話，將會(huì)對(duì)歐盟公民的健康、安全、經(jīng)濟(jì)安全和福利，以及歐盟政府發(fā)揮有效職能造成嚴(yán)重影響的物理和信息技術(shù)設(shè)施、網(wǎng)絡(luò)、業(yè)務(wù)和資產(chǎn)，具體包括：能源裝置和網(wǎng)絡(luò)；通信和信息技術(shù)；金融(銀行、證券和投資)；衛(wèi)生醫(yī)療、食品；自來(lái)水；運(yùn)輸(基建、碼頭、聯(lián)合運(yùn)輸設(shè)施、鐵路和公共交通網(wǎng)絡(luò)、交通控制系統(tǒng))六大類[8]21-24。根據(jù)《歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃綠皮書(shū)》，關(guān)鍵信息基礎(chǔ)設(shè)施(CII)指本身是關(guān)鍵基礎(chǔ)設(shè)施或?qū)τ陉P(guān)鍵基礎(chǔ)設(shè)施的運(yùn)行非常關(guān)鍵的ICT系統(tǒng)(如電信、計(jì)算機(jī)/軟件、互聯(lián)網(wǎng)、衛(wèi)星等)[8]21-24。

2016年7月通過(guò)的《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》并未采用關(guān)鍵信息基礎(chǔ)設(shè)施概念，而是使用“基本服務(wù)運(yùn)營(yíng)商”概念。從后者的內(nèi)涵看，“基本服務(wù)”等同于通常意義上的關(guān)鍵信息基礎(chǔ)設(shè)施，具體而言，“基本服務(wù)運(yùn)營(yíng)商”是指通過(guò)網(wǎng)絡(luò)和信息系統(tǒng)為關(guān)鍵的社會(huì)和/或經(jīng)濟(jì)活動(dòng)提供基礎(chǔ)服務(wù)的公共或私人實(shí)體，安全事件將對(duì)提供該服務(wù)產(chǎn)生顯著破壞性影響。確定“顯著破壞性影響”時(shí)，成員國(guó)應(yīng)至少考慮以下跨部門(mén)因素：(1)接受服務(wù)的用戶數(shù)量；(2)對(duì)服務(wù)提供者的依賴程度；(3)安全事件在程度和持續(xù)時(shí)間方面對(duì)經(jīng)濟(jì)和社會(huì)活動(dòng)或公共安全可能產(chǎn)生的影響；(4)該實(shí)體的市場(chǎng)份額；(5)可能受事故影響的地區(qū)范圍；(6)該實(shí)體對(duì)于維持服務(wù)的足夠水平的重要性，同時(shí)成員國(guó)應(yīng)該考慮到，在適當(dāng)時(shí)機(jī)，考慮替代性手段。關(guān)鍵信息基礎(chǔ)設(shè)施具體包括能源(電力、石油、天然氣)、運(yùn)輸(航空運(yùn)輸、鐵路運(yùn)輸、內(nèi)陸水路運(yùn)輸、公路運(yùn)輸、遠(yuǎn)洋運(yùn)輸、短途海運(yùn)以及港口)、銀行、金融市場(chǎng)基礎(chǔ)設(shè)施、衛(wèi)生部門(mén)、飲用水的供給和分配、數(shù)字基礎(chǔ)設(shè)施等7個(gè)領(lǐng)域。

3.德國(guó)

德國(guó)于2015年8月通過(guò)了《聯(lián)邦信息技術(shù)安全法》修正案，將關(guān)鍵基礎(chǔ)設(shè)施定義為對(duì)社會(huì)運(yùn)行具有重要意義，其停運(yùn)或受損將造成嚴(yán)重供應(yīng)不足或危及公共安全的設(shè)施。關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，由聯(lián)邦內(nèi)政部制定法律條例進(jìn)行確定。哪些機(jī)構(gòu)或部門(mén)被納入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，聯(lián)邦內(nèi)政部從以下兩個(gè)層面進(jìn)行考量：一是因安全事件導(dǎo)致該設(shè)施停止運(yùn)行或受損會(huì)造成供應(yīng)瓶頸或者給公共安全造成重大危害；二是上述損害結(jié)果會(huì)影響相當(dāng)數(shù)量的人口。依照上述標(biāo)準(zhǔn)，衛(wèi)生與健康、信息與通信服務(wù)、供水、能源、交通運(yùn)輸、金融以及食品供應(yīng)等應(yīng)納入關(guān)鍵信息基礎(chǔ)設(shè)施的范疇。德國(guó)政府不會(huì)公布詳細(xì)的企業(yè)和設(shè)施清單，但明確排除了這些領(lǐng)域中的小企業(yè)[5]116-133。

4.日本

早在2000年日本即制定了“關(guān)于重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)恐怖主義對(duì)策特別行動(dòng)計(jì)劃”，以保護(hù)重要基礎(chǔ)設(shè)施信息網(wǎng)絡(luò)免受恐怖主義的威脅。2004年制定了“關(guān)于重要基礎(chǔ)設(shè)施的信息安全對(duì)策基本思路”，并于2005年制定了“重要基礎(chǔ)設(shè)施信息安全行動(dòng)計(jì)劃”(目前已更新至第三版)。日本《網(wǎng)絡(luò)安全戰(zhàn)略》將關(guān)鍵信息基礎(chǔ)設(shè)施界定為由提供高度不可替代且對(duì)人們?nèi)粘Ｉ詈徒?jīng)濟(jì)活動(dòng)不可或缺的商業(yè)實(shí)體組成，如果其服務(wù)的職能中止，惡化或變得不可用，可能會(huì)對(duì)人們的日常生活或經(jīng)濟(jì)活動(dòng)產(chǎn)生重大影響。日本《網(wǎng)絡(luò)安全基本法》第3條將關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者界定為國(guó)民生活及經(jīng)濟(jì)活動(dòng)的根基，其機(jī)能一旦停止或下降，將有可能給國(guó)民生活或社會(huì)經(jīng)濟(jì)活動(dòng)帶來(lái)影響的事業(yè)單位的從業(yè)者。

關(guān)于重要基礎(chǔ)設(shè)施關(guān)鍵領(lǐng)域的劃定，日本最初確定了信息通信、金融、航空、鐵路、電力、燃?xì)?、政府及行政服?wù)七個(gè)關(guān)鍵領(lǐng)域，2005年12月增加了醫(yī)療、供排水系統(tǒng)、物流三個(gè)領(lǐng)域，2014年5月又增加了化工、信貸、石油三個(gè)領(lǐng)域。具體主管部門(mén)、領(lǐng)域及其機(jī)構(gòu)如表1所示。

表1 日本關(guān)鍵基礎(chǔ)設(shè)施主管部門(mén)、領(lǐng)域及其機(jī)構(gòu)

(二)啟示

目前，國(guó)際社會(huì)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施這一概念未形成廣泛共識(shí)。究其原因，技術(shù)變革以及威脅變化勢(shì)必帶來(lái)安全觀念的變革，關(guān)鍵基礎(chǔ)設(shè)施的范疇也將處于動(dòng)態(tài)變化之中。各國(guó)在開(kāi)展關(guān)鍵信息設(shè)施保護(hù)或關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作時(shí)，都研究提出了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，制定了關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定的標(biāo)準(zhǔn)和流程。

對(duì)“關(guān)鍵”的理解，主要取決于各國(guó)的政策目的，但無(wú)論是美國(guó)還是歐盟，都將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上升到維護(hù)國(guó)家安全和公共安全的高度，在界定“關(guān)鍵基礎(chǔ)設(shè)施”及其范圍時(shí)強(qiáng)調(diào)國(guó)家安全和公共安全。所謂的“關(guān)鍵”是指事關(guān)國(guó)家安全和公共安全，這既突出了保護(hù)的重點(diǎn)，也避免了將過(guò)多企業(yè)納入監(jiān)管而徒增企業(yè)負(fù)擔(dān)[5]116-133。具體而言，關(guān)鍵性既可以解釋為作為系統(tǒng)概念的關(guān)鍵性，即某個(gè)基礎(chǔ)設(shè)施或其某個(gè)組件在整個(gè)基礎(chǔ)設(shè)施系統(tǒng)中的地位非常重要，特別是其在其他基礎(chǔ)設(shè)施或部門(mén)之間起著鏈接渠道的作用，也可以解釋為其在社會(huì)中擔(dān)任的角色或發(fā)揮的功能使其與生俱來(lái)就具有關(guān)鍵性意義。

四、中國(guó)立法建議

(一)“關(guān)鍵”的內(nèi)涵

關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵——“國(guó)家安全、國(guó)計(jì)民生和公共安全”，是確定關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ)。所謂“國(guó)計(jì)民生”是指關(guān)鍵基礎(chǔ)設(shè)施所具有的功能和提供的服務(wù)，對(duì)于一個(gè)國(guó)家的正常運(yùn)轉(zhuǎn)是最基本的、必要的，對(duì)社會(huì)公眾而言是不可或缺的產(chǎn)品或服務(wù)，如供水、供電以及公共通信等，諸如游戲、音樂(lè)下載等娛樂(lè)服務(wù)，因?qū)ι鐣?huì)公眾而言并非必不可少，所以不應(yīng)納入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。需要指出的是，《網(wǎng)絡(luò)安全法》第三十一條的“公共利益”應(yīng)做限縮解釋為“公共安全”，公共利益的范圍遠(yuǎn)遠(yuǎn)大于公共安全的范圍，公共安全僅限于不特定的、多數(shù)人的健康、生命以及財(cái)產(chǎn)的安全[9]160，公共利益的范圍不限于公共安全，如社會(huì)公眾對(duì)公園的需求，可以界定為公共利益但不能認(rèn)定為公共安全。從各國(guó)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)立法來(lái)看，所謂的“關(guān)鍵”就是指事關(guān)國(guó)家安全和公共安全，考慮到與國(guó)際接軌的需要以及范圍過(guò)寬對(duì)企業(yè)造成的不利影響，關(guān)鍵信息基礎(chǔ)設(shè)施的“關(guān)鍵”應(yīng)理解為事關(guān)國(guó)家安全、國(guó)計(jì)民生和公共安全。

(二)“關(guān)鍵”的考量因素

就被重點(diǎn)保護(hù)的部分而言，關(guān)鍵信息基礎(chǔ)設(shè)施一個(gè)層面是信息基礎(chǔ)設(shè)施中的關(guān)鍵部分，如電信網(wǎng)絡(luò)、廣播電視網(wǎng)絡(luò)等；另一個(gè)層面是關(guān)鍵基礎(chǔ)設(shè)施中的信息部分，即重要信息系統(tǒng)。從損害后果看，“關(guān)鍵”應(yīng)理解為這些關(guān)鍵信息基礎(chǔ)設(shè)施因網(wǎng)絡(luò)安全事件而遭到破壞或在一定時(shí)間內(nèi)不能正常運(yùn)轉(zhuǎn)，將會(huì)對(duì)社會(huì)公眾安全和信息安全產(chǎn)生影響，威脅國(guó)家經(jīng)濟(jì)安全，損害中國(guó)的國(guó)際競(jìng)爭(zhēng)力以及阻礙政府和公共機(jī)構(gòu)正常運(yùn)行，或者影響中國(guó)的國(guó)防能力，具體應(yīng)從以下幾個(gè)方面考慮：(1)傷亡標(biāo)準(zhǔn)，即根據(jù)潛在傷亡人數(shù)進(jìn)行評(píng)估；(2)經(jīng)濟(jì)影響標(biāo)準(zhǔn)，即根據(jù)經(jīng)濟(jì)損失和/或產(chǎn)品或服務(wù)退化的顯著性評(píng)估，包括潛在的環(huán)境影響；(3)公共影響標(biāo)準(zhǔn)，即根據(jù)對(duì)社會(huì)公眾信心、身體痛苦和日常生活妨害等方面的影響，包括基本服務(wù)的損失評(píng)估。

(三)用戶數(shù)量

關(guān)鍵信息基礎(chǔ)設(shè)施范圍確定合理科學(xué)，既實(shí)現(xiàn)了關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行特殊保護(hù)的立法目的，又不至于給企業(yè)增加不必要的負(fù)擔(dān)。由于“用戶數(shù)量眾多”過(guò)于模糊，所以不宜將其列為界定關(guān)鍵信息基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)。美國(guó)、歐盟等將關(guān)鍵基礎(chǔ)設(shè)施限定在影響國(guó)家安全、經(jīng)濟(jì)安全、公共安全的范圍內(nèi)，其中美國(guó)的網(wǎng)絡(luò)服務(wù)提供者隸屬于關(guān)鍵基礎(chǔ)設(shè)施中的信息技術(shù)部門(mén)，具體是否納入保護(hù)范疇，其沒(méi)有采用用戶數(shù)量眾多作為判斷標(biāo)準(zhǔn)，而是根據(jù)是否關(guān)鍵遴選企業(yè)，并鼓勵(lì)其他企業(yè)自愿參與，建議借鑒國(guó)外經(jīng)驗(yàn)，不將用戶眾多的商業(yè)網(wǎng)絡(luò)強(qiáng)制納入關(guān)鍵信息基礎(chǔ)設(shè)施范圍，而是鼓勵(lì)用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，接受監(jiān)督。

[1] 馬永馳，西寶.應(yīng)急響應(yīng)與關(guān)鍵基礎(chǔ)設(shè)施服務(wù)缺失的互鎖困境與對(duì)策[J].大連理工大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2012(2).

[2] 習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話[EB/OL].(2016-04-25)[2017-01-26].http://news.xinhuanet.com/politics/2016-04/25/c_1118731175.htm.

[3] 2016中國(guó)高級(jí)持續(xù)性威脅(APT)研究報(bào)告[EB/OL].[2017-02-26].https://b0bc60.lt.yunpan.cn/lk/c52SGHSni8gFm.

[4] 全國(guó)范圍關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作啟動(dòng)[EB/OL].[2017-02-26].http://www.cac.gov.cn/2016-07/08/c_1119185700.htm.

[5] 劉金瑞.我國(guó)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施立法的基本思路和制度建構(gòu)[J].環(huán)球法律評(píng)論，2016(5).

[6] 張莉.沿襲與變革：美國(guó)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施政策分析[J].中國(guó)信息安全，2014(7).

[7] 唐旺，寧華，陳星，等.美國(guó)關(guān)鍵基礎(chǔ)設(shè)施識(shí)別認(rèn)定研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2016(9).

[8] 王融.歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度研究[J].保密科學(xué)技術(shù)，2016(7).

[9] 喬曉陽(yáng).中華人民共和國(guó)國(guó)家安全法釋義[M].北京：法律出版社，2016.

[責(zé)任編輯：秦衛(wèi)波]

Research on Scope of Critical Information Infrastructure

CUI Cong-cong

(Institute of Internet Governance and Law，BUPT，Beijing 100876，China)

It should only focus on the connotation of critical information infrastructure(CII) including national security，national interest and public security to identify the range of it.The“ public interest” definded in the Article 31 of ‘cyber security laws’ should use the restrictive interpretation as “public security”.The CII includes the critical part of information infrastructure，such as telecommunication network and radio broadcasting and television network；and the information component of the critical infrastructure，which is the important information systems. At the same time，since the meaning of “the large number of users” is too vague，it should not be classified as a standard for defining CII.

Critical Information Infrastructure(CII)；National Security；Public Security

10.16164/j.cnki.22-1062/c.2017.04.021

2017-03-24

國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目(13&ZD181)。

崔聰聰(1978-)，男，河北深州人，北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心副主任，副教授，法學(xué)博士。

D922.8

A

1001-6201(2017)04-0121-05