网络社会,国家安全、经济繁荣以及人民福祉严重地依赖“关键基础设施”这一复杂的动态巨系统。长久以来,关键信息基础设施一直是网络入侵的重要目标。近期,关键信息基础设施的威胁在急剧增加,针对关键信息基础设施的新型攻击技术手段层出不穷,金融、能源、关键制造、电力、交通等重要行业关键信息基础设施成为网络攻击的主要对象。网络关键信息基础设施的重要性及其所面临的严峻形势,使其成为各国网络安全立法的核心问题,各国纷纷出台网络空间安全战略、法律和政策,对关键基础设施保护进行制度安排。
一、关键信息基础设施面临的威胁
互联网本身的脆弱性与关键基础设施持续运转的需求却可能存在尖锐矛盾。关键基础设施间的相互关联与耦合,在提升社会整体协同与运作效率的同时,也面临着恶意攻击、自然灾害破坏引发的连锁反应,可能造成跨部门、跨区域的大面积基础设施受损或瘫痪并引发相应的服务中断与缺失。这种脆弱性已成为现代社会的一大新的脆弱源,这种新的脆弱性与传统的威胁交织在一起构成了现代社会的新型危机并在社会中处于主要地位和中心地位。
金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。高级网络攻击已经对基础设施、金融系统,乃至地缘政治造成重大影响。2015年末至2016年以来,一系列针对关键基础设施特别是工业系统和金融系统的破坏性攻击被曝光:乌克兰停电事件,沙特Shamoon2.0事件,孟加拉央行被窃事件,台湾第一银行及泰国邮政储蓄银行ATM被窃事件等。在未来几年中,针对能源、交通、制造、金融、通信等领域的关键基础设施破坏性攻击仍将持续加剧,安全生产事故,甚至是安全生产灾难,随时都有可能大规模爆发。
当前,我国关键信息基础设施面临的安全形势非常复杂,网络运营者安全防护能力十分欠缺,工控系统安全隐患非常突出,党政机关网站被不法分子攻击篡改严重,个人信息和数据泄露实践频繁发生,网络安全威胁的隐蔽性导致网络运营者遭受重大损害时才发现补救。为维护国家网络空间主权和国家安全、社会公共利益,全国人大常委会于2016年11月7日通过了《网络安全法》,专设关键信息基础设施运行安全一节,构建起以信息共享为基础,事前预防、事中控制、事后恢复与惩治的关键信息基础设施保护体系。
二、现行立法中关键信息基础设施范围
(一)《网络安全法》
科学确定关键信息基础设施的范围是对其进行保护的前提。《网络安全法(草案)》(以下简称草案)采用列举的方式将关键信息基础设施划分为以下几种类型:(1)基础信息网络,如公共通信、广播电视传输等服务所依赖的网络;(2)重要行业使用的网络系统,如能源、交通、水利、金融等;(3)公共服务领域的网络系统,如供电、供水、供气、医疗卫生、社会保障等;(4)党政军机关使用的网络系统;(5)涉及大量用户的网络服务提供者的网络和系统。《网络安全法(草案二次审议稿)》(以下简称二审稿)将关键信息基础设施界定为遭到破坏、功能损坏或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络和系统。《网络安全法》将关键信息基础设施界定为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络和系统。并授权国务院确定关键信息基础设施的具体范围。
(二)《国家网络空间安全战略》及管理实践
《国家网络空间安全战略》(以下简称战略)将关键信息基础设施界定为事关国家安全和国计民生,数据泄露、被攻击或者遭到破坏以及丧失功能可能严重危害国家安全、公共利益的网络信息系统,主要包括基础信息网络,重要行业和重要领域的信息系统,国家机关的重要信息系统以及重要的互联网应用系统等。在监督管理实践中,中央网信办基本采用了战略的规定,将关键信息基础设施界定为面向公众提供网络信息服务或支撑重要行业运行的信息系统以及工业控制系统,上述系统关涉国家安全或者公民的人身和财产安全。
(三)评述
从立法技术层面分析,草案采用列举方式界定关键信息基础设施的范围,具体包括以下四个层面:(1)基础信息网络;(2)重要行业和公共服务的重要信息系统;(3)军政网络;(4)用户数量众多的网络和系统。二审稿与草案截然相反,采用描述本质特征的方式界定关键信息基础设施的内涵和范围。最终通过的《网络安全法》采取折中方式,在列举重要行业和领域的基础上,采用描述本质特征的概括式条款界定关键信息基础设施的内涵与外延。
值得注意的是,二审稿删除了“用户数量众多的网络和系统”,最终通过的《网络安全法》亦没有出现上述表述。那么,被百度、腾讯和阿里巴巴等网络服务提供者关心的“用户数量众多的网络和系统”是否被明确排除在关键信息基础设施范围之外,“用户数量众多的网络和系统”能否解释为关涉“公共利益的网络和系统”,国务院在确定关键信息基础设施具体范围时应遵循什么样的原则和标准,亟待理论与立法予以澄清。战略沿袭《网络安全法》的规定,采取“列举+概括”方式界定关键信息基础设施的内涵和范围。需要指出的是,战略提到的“重要互联网应用系统”如何界定,能否涵盖用户数量众多的网络系统,亦需明确。
三、国外立法及启示
(一)国外主要国家和地区立法
1.美国
1998年5月,克林顿政府颁布《第63号总统决策指令》(PDD-63),将关键基础设施界定为“物理的或基于网络的、维持经济及政府最低程度运行所必需的系统”。2001年通过的《爱国者法》将关键基础设施界定为对美国来说至关重要的系统和资产,无论是物理的还是虚拟的,这些系统或资产一旦丧失能力或遭受破坏将削弱国家安全、国家经济安全或国家公共卫生或公共安全,或上述事项的任何组合。奥巴马《关于改善网络安全关键基础设施的行政命令》对关键基础设施的界定沿用了《爱国者法》的规定。2012年网络安全法(未生效)将关键基础设施界定为一旦被未经授权地损害或者访问,便很可能会导致生命维持服务中断的系统或资产,这种服务中断足以导致大规模伤亡事件、全国性长时间停工、灾难性经济损害或者国家安全严重恶化。“灾难性经济损害”是指美国金融市场、交通系统的崩溃或根本性破坏,或者对美国经济造成其他长期系统性的损害。但关键基础设施不包括“商业性信息技术产品”。
从上述规定可以看出,美国关键基础设施的内涵相对固定,但关键基础设施的范围即外延处于不断变化和调整之中。从1996年克林顿政府第13010号行政令确定的8类到2003 年布什政府发布的《关键基础设施和重要资产物理保护国家战略》确定的11类,再到2003年第7号总统令《关键基础设施标识、优先级和保护》确认的17类,2008年,国土安全部宣布“关键制造业”作为第18类需要保护的国家基础设施和关键资源,目前为2013年第21号总统令重新确定的16类关键基础设施部门,具体类别和主管部门如下:国土安全部(化工、商业设施、通讯、关键制造、水利、应急服务、信息技术、核反应堆材料及其废弃物)、国防部(国防工业基础)、能源部(能源)、财政部(金融服务)、农业部与卫生和公共服务部(食品和农业)、国土安全和总务局(政府设施)、卫生及公共服务部(医疗保健和公共健康)、国土安全部和交通部(交通运输系统)、环境保护局(水和污水处理系统)。
在确定关键基础设施部门的基础上,基于防范恐怖袭击等安全考虑,美国基础设施清单采用秘密清单的方式。根据《国土安全法》授权,国土安全部确定了关键基础设施的关键行业并发布了关键基础设施分类方法,关键基础设施清单依照以下程序确定:各州及联邦部门制作关键基础设施一级清单和二级清单提名;国土安全部对所有的提名进行审议,创建关键基础设施清单草案;各州和联邦部门进行复议,必要时提供进一步的资料;无异议后国土安全部通知各州和联邦机构最终的关键基础设施清单。
2.欧盟
为应对恐怖主义危机,欧盟于2004年启动了“关键基础设施保护规划”。同年10月,欧委会公布了《反恐怖主义中的关键基础设施保护通讯》,将关键基础设施界定为如果被中断或被破坏的话,将会对欧盟公民的健康、安全、经济安全和福利,以及欧盟政府发挥有效职能造成严重影响的物理和信息技术设施、网络、业务和资产,具体包括:能源装置和网络;通信和信息技术;金融(银行、证券和投资);卫生医疗、食品;自来水;运输(基建、码头、联合运输设施、铁路和公共交通网络、交通控制系统)六大类。根据《欧盟关键基础设施保护计划绿皮书》,关键信息基础设施(CII)指本身是关键基础设施或对于关键基础设施的运行非常关键的ICT系统(如电信、计算机/软件、互联网、卫星等)。
2016年7月通过的《网络与信息系统安全指令》并未采用关键信息基础设施概念,而是使用“基本服务运营商”概念。从后者的内涵看,“基本服务”等同于通常意义上的关键信息基础设施,具体而言,“基本服务运营商”是指通过网络和信息系统为关键的社会和/或经济活动提供基础服务的公共或私人实体,安全事件将对提供该服务产生显著破坏性影响。确定“显著破坏性影响”时,成员国应至少考虑以下跨部门因素:(1)接受服务的用户数量;(2)对服务提供者的依赖程度;(3)安全事件在程度和持续时间方面对经济和社会活动或公共安全可能产生的影响;(4)该实体的市场份额;(5)可能受事故影响的地区范围;(6)该实体对于维持服务的足够水平的重要性,同时成员国应该考虑到,在适当时机,考虑替代性手段。关键信息基础设施具体包括能源(电力、石油、天然气)、运输(航空运输、铁路运输、内陆水路运输、公路运输、远洋运输、短途海运以及港口)、银行、金融市场基础设施、卫生部门、饮用水的供给和分配、数字基础设施等7个领域。
3.德国
德国于2015年8月通过了《联邦信息技术安全法》修正案,将关键基础设施定义为对社会运行具有重要意义,其停运或受损将造成严重供应不足或危及公共安全的设施。关于关键信息基础设施的范围,由联邦内政部制定法律条例进行确定。哪些机构或部门被纳入关键信息基础设施的范围,联邦内政部从以下两个层面进行考量:一是因安全事件导致该设施停止运行或受损会造成供应瓶颈或者给公共安全造成重大危害;二是上述损害结果会影响相当数量的人口。依照上述标准,卫生与健康、信息与通信服务、供水、能源、交通运输、金融以及食品供应等应纳入关键信息基础设施的范畴。德国政府不会公布详细的企业和设施清单,但明确排除了这些领域中的小企业。
4.日本
早在2000年日本即制定了“关于重要基础设施的网络恐怖主义对策特别行动计划”,以保护重要基础设施信息网络免受恐怖主义的威胁。2004年制定了“关于重要基础设施的信息安全对策基本思路”,并于2005年制定了“重要基础设施信息安全行动计划”(目前已更新至第三版)。日本《网络安全战略》将关键信息基础设施界定为由提供高度不可替代且对人们日常生活和经济活动不可或缺的商业实体组成,如果其服务的职能中止,恶化或变得不可用,可能会对人们的日常生活或经济活动产生重大影响。日本《网络安全基本法》第3条将关键基础设施运营者界定为国民生活及经济活动的根基,其机能一旦停止或下降,将有可能给国民生活或社会经济活动带来影响的事业单位的从业者。
关于重要基础设施关键领域的划定,日本最初确定了信息通信、金融、航空、铁路、电力、燃气、政府及行政服务七个关键领域,2005年12月增加了医疗、供排水系统、物流三个领域,2014年5月又增加了化工、信贷、石油三个领域。具体主管部门、领域及其机构如表1所示。
表1 日本关键基础设施主管部门、领域及其机构
(二)启示
目前,国际社会对关键信息基础设施这一概念未形成广泛共识。究其原因,技术变革以及威胁变化势必带来安全观念的变革,关键基础设施的范畴也将处于动态变化之中。各国在开展关键信息设施保护或关键基础设施网络安全保护工作时,都研究提出了关键信息基础设施的范围,制定了关键信息基础设施识别认定的标准和流程。
对“关键”的理解,主要取决于各国的政策目的,但无论是美国还是欧盟,都将关键基础设施保护上升到维护国家安全和公共安全的高度,在界定“关键基础设施”及其范围时强调国家安全和公共安全。所谓的“关键”是指事关国家安全和公共安全,这既突出了保护的重点,也避免了将过多企业纳入监管而徒增企业负担。具体而言,关键性既可以解释为作为系统概念的关键性,即某个基础设施或其某个组件在整个基础设施系统中的地位非常重要,特别是其在其他基础设施或部门之间起着链接渠道的作用,也可以解释为其在社会中担任的角色或发挥的功能使其与生俱来就具有关键性意义。
四、中国立法建议
(一)“关键”的内涵
关键信息基础设施的内涵——“国家安全、国计民生和公共安全”,是确定关键信息基础设施的基础。所谓“国计民生”是指关键基础设施所具有的功能和提供的服务,对于一个国家的正常运转是最基本的、必要的,对社会公众而言是不可或缺的产品或服务,如供水、供电以及公共通信等,诸如游戏、音乐下载等娱乐服务,因对社会公众而言并非必不可少,所以不应纳入关键信息基础设施的范围。需要指出的是,《网络安全法》第三十一条的“公共利益”应做限缩解释为“公共安全”,公共利益的范围远远大于公共安全的范围,公共安全仅限于不特定的、多数人的健康、生命以及财产的安全,公共利益的范围不限于公共安全,如社会公众对公园的需求,可以界定为公共利益但不能认定为公共安全。从各国关键基础设施保护立法来看,所谓的“关键”就是指事关国家安全和公共安全,考虑到与国际接轨的需要以及范围过宽对企业造成的不利影响,关键信息基础设施的“关键”应理解为事关国家安全、国计民生和公共安全。
(二)“关键”的考量因素
就被重点保护的部分而言,关键信息基础设施一个层面是信息基础设施中的关键部分,如电信网络、广播电视网络等;另一个层面是关键基础设施中的信息部分,即重要信息系统。从损害后果看,“关键”应理解为这些关键信息基础设施因网络安全事件而遭到破坏或在一定时间内不能正常运转,将会对社会公众安全和信息安全产生影响,威胁国家经济安全,损害中国的国际竞争力以及阻碍政府和公共机构正常运行,或者影响中国的国防能力,具体应从以下几个方面考虑:(1)伤亡标准,即根据潜在伤亡人数进行评估;(2)经济影响标准,即根据经济损失和/或产品或服务退化的显著性评估,包括潜在的环境影响;(3)公共影响标准,即根据对社会公众信心、身体痛苦和日常生活妨害等方面的影响,包括基本服务的损失评估。
(三)用户数量
关键信息基础设施范围确定合理科学,既实现了关键信息基础设施进行特殊保护的立法目的,又不至于给企业增加不必要的负担。由于“用户数量众多”过于模糊,所以不宜将其列为界定关键信息基础设施的标准。美国、欧盟等将关键基础设施限定在影响国家安全、经济安全、公共安全的范围内,其中美国的网络服务提供者隶属于关键基础设施中的信息技术部门,具体是否纳入保护范畴,其没有采用用户数量众多作为判断标准,而是根据是否关键遴选企业,并鼓励其他企业自愿参与,建议借鉴国外经验,不将用户众多的商业网络强制纳入关键信息基础设施范围,而是鼓励用户数量众多的网络服务提供者参与关键信息基础设施保护,接受监督。
作者简介:
崔聪聪 (1978-),男,河北深州人,北京邮电大学互联网治理与法律研究中心副主任,副教授,法学博士。
| 
