关键信息基础设施保护制度的国际接轨与中国特色（一）

　　通过对关键信息基础设施的认定标准、基本范围、管理机制等进行顶层设计，以及对关键基础设施的运营管理、数据存储、安全评估和安全保护提出要求，《网络安全法》初步搭建起关键信息基础设施保护的制度架构，并将其确立为我国信息网络安全保护的基础制度之一。这标志着我国网络安全治理正式迈入了法治化轨道，为加快推进法治中国和网络强国战略提供坚实保障。

一、与国际接轨的顶层设计与基本制度
　　从整体架构看，我国关键信息基础设施保护制度基本实现了与国际接轨。纵观互联网较为发达的国家和地区，多以关键信息基础设施保护为基础，建立信息网络安全保护制度，对基础信息网络和重要信息系统等的安全进行重点保护。我国与美国、欧洲国家等在关键信息基础设施方面的共通性比较明显。
　　一是将重要行业和关键领域纳入关键信息基础设施保护范畴。例如，美国2013年奥巴马政府第21号总统令确定了通信、金融服务、信息技术等16类关键基础设施部门；欧盟《2008/114/ EC号指令》确立了8大类的关键信息基础设施，欧洲议会2012年通过的关键信息基础设施保护决议中进一步提出将信息通信技术行业、金融服务等纳入关键基础设施范畴。我国《网络安全法》第三十一条则明确将“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”等确定为重要行业和领域。
　　二是将关键信息基础设施限定在对一国经济社会生活极其重要，若失效或破坏会对国家安全、经济安全、社会生活产生重大负面影响的信息系统和设施。这是发达国家立法的通行做法。例如，美国克林顿政府第63号总统令《对关键基础设施保护的政策》将关键基础设施定义为：“对国家至关重要的物理和网络系统与资产,它们失去能力或被破坏将使国家安全、国家经济安全和国家公共卫生与安全受到削弱。”欧盟《2008/114/EC号指令》亦采取类似定性。我国《网络安全法》第三十一条也明确将“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”纳入保护的范围。
　　三是将自愿参与作为关键信息基础设施保护的重要机制。美国《2002年关键基础设施信息保护法》规定关键基础设施机构可以自愿向国土安全部提交关键基础设施及其保护系统的网络安全威胁信息，以及时发现并处理关键基础设施信息系统的缺陷，为机构和公众提供预警和评估参考。美国2015年12月底通过的《网络安全信息共享法》则对私营机构向政府共享信息进行了制度化设计，进一步消除共享的法律障碍，鼓励各公私单位自愿分享网络安全信息。我国《网络安全法》明确提出，鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。可以预见，自愿性的网络安全信息共享将是一种自愿参与的主要形式。

二、具有中国特色的网络安全管理机制
　　我国自20世纪90年代起即开始推进信息网络等级保护制度，构建具有中国特色的基础网络和重要信息系统的保护制度。《网络安全法》在设计关键信息基础设施保护制度之时，尤为注意与我国传统信息网络安全管理制度的有序衔接。因此，《网络安全法》针对关键信息基础设施保护的若干重点环节，专门提出具有中国特色的管理要求。
　　一是在《国家安全法》确立的信息网络产品与服务的国家安全审查制度基础上，进一步提出关键信息基础设施运营者采购网络产品和服务的网络安全审查制度。对关系国家安全的信息技术软硬件产品、服务，西方国家会进行检测、评估以确定是否符合既定安全标准或安全需求的行为，但在具体使用中基本不直接采用“网络安全审查”（Cyber Security Review）或类似表述。多数国家通过法律、政策或标准等多元方式，对涉及政府采购等国家安全领域的信息技术产品和服务，进行安全测评或者认证。
　　当然，《网络安全法》对网络安全审查只是进行了原则性规定，在实施细则出台之前还谈不上与西方相关制度之间存在本质不同。西方国家并不反对那些不具歧视性的正常网络安全政策。2015年初，美国贸易代表发言人称：“各国必须采取措施以改善IT软件和硬件的网络安全性。”
　　二是确立了关键信息基础设施的重要数据跨境安全评估制度。根据《网络安全法》的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。西方国家基本不会在法律中或者政策中明确对关键信息基础设施的数据跨境转移提出法律要求，类似外商投资安全审查、政府采购、重要信息系统安全等领域中，通过安全协议、安全评估等非显性法律要求的形式，对数据存储提出非公开的、基于政策的、基于标准的具体约束性要求。
　　比较而言，我国的《网络安全法》在关键信息基础设施数据跨境安全评估方面与西方国家的最大不同之处，在于其将个人信息和重要业务数据的跨境转移安全评估，从非显性的、偏碎片化要求明确提升到制度化的高度，相关数据的评估不再是具体事项中的国家安全考虑。因此，从某种程度上说，若严格执行《网络安全法》中的数据跨境安全转移，或许会在关键信息基础设施保护的力度和范围上强于西方国家。值得注意的是，西方国家相关重要数据的安全评估不专门针对关键信息基础设施，而是国家安全相关领域。
　　三是确立在网络安全等级保护制度的基础上，实行关键信息基础设施的重点保护。我国已自主形成了具有中国特色的信息网络安全制度。我国网络安全等级保护制度始于1994年发布的《计算机信息系统安全保护条例》（国务院第147号令）。从时间而言，我国网络安全等级保护制度正式出现甚至早于美国等国关键信息基础设施保护制度，只是在基础标准上，借鉴参考了国外相关实践。美国关键信息基础设施保护制度（CIIP）形成标志是1996年7月15日发布的第13010号行政令和1998年第63号总统令（PDD63）《克林顿政府对关键基础设施保护的政策》。例如，1999年发布的《计算机信息系统安全等级保护划分准则》即源自1983年美国国家计算机安全中心（NCSC）制定的可信计算机系统评估准则（TCSEC）。TCSEC与CCPECT、FC以及欧洲四国标准ITSEC共同转化为国际通用标准CC，最终被国际标准化组织ISO吸纳成为ISO15408，我国等级保护相关标准多参照ISO15408。
　　然而，西方国家的关键信息基础设施保护并未将前述标准作为关键信息基础设施保护的基础标准。例如，美国国家标准技术研究院（NIST）发布的《提升美国关键基础设施网络安全的框架规范》提出，美国的关键基础设施信息安全防护体系框架分为识别、保护、侦测、响应和恢复五个层面，是一种基于生命周期和流程的风险防控体系，主要标准是ISO/IEA27001和联邦政府信息和组织的安全控制措施NIST SP800-53等。因此，我国网络安全等级保护制度与关键信息基础设施保护制度也可以从管理机制上加以区分，适用不同的评价标准。当然，同一机构可能面临既要适用网络安全等级保护，也要适用关键信息基础设施保护要求的冲突，这一矛盾需要国家有关部门抓紧出台具体的实施办法予以化解。
　　笔者建议考虑网络安全等级保护制度对信息系统安全技术要求规定相对完备的现实情况，将对关键信息基础设施的规范重点，转向信息系统全生命周期的管理要求。

□顾 伟