关键信息基础设施保护制度的国际接轨与中国特色（二）

　　三、对关键信息基础设施保护的展望
　　纵观国外关键信息基础保护设施制度，相关政策法律不仅对认定范围、管理体系和保护程序作出规定，还重点引入了信息共享、风险评估、应急处置以及公私合作等具体保护机制。
　　鉴于我国关键信息基础设施保护的制度基础，可以预见，《网络安全法》及后续实施规定势必对相关重点问题予以回应。
　　（一）进一步明确关键信息基础设施保护的部门分工国外通过法律确定顶层设计，重视通过配套规则明确部门分工。例如，美国《2002年国土安全法》要求国土安全部统筹负责关键基础设施保护等工作，2013年发布的保护关键基础设施安全和可恢复的总统令进一步细化国土安全部与相关联邦部门的分工，明确了国土安全部统筹评估认定与若干领域单独负责、协同负责，以及金融、环保、农业、能源等专业行政领域相应行业主管部门负责的管理体制。
　　（二）明确关键信息基础设施的认定标准和程序
　　国外法律倾向于在高位阶法律明确关键信息基础设施保护的同时，通过行政立法的方式规定关键信息基础设施的认定标准及程序。2002年美国《国土安全法》授权国土安全部负责关键基础设施保护工作，此后通过《关键基础设施识别、优先级和保护》明确关键基础设施的认定标准、相关部门工作分工。2015年7月德国联邦参议院新通过的《联邦信息技术安全法》授权联邦内政部征询具体主管部门及产学研代表后认定关键基础设施，为此联邦内政部需要制定关键基础设施的具体认定标准和程序。对于我国《网络安全法》的后续实施，最受关注的重点之一就是如何认定关键信息基础设施及其认定程序。
　　（三）对网络安全信息共享等关键信息基础设施保护的核心要求予以制度化
　　广义上，信息共享机制包括联络机构设置、安全风险预警、安全信息共享等系列制度。关键信息基础设施多为私营组织控制，所以信息共享机制的重点是推动私营部门自愿参与共享。欧盟2004年开始通过网络与信息安全局（ENISA）建设欧洲信息共享和预警系统（EISAS），2016年欧洲通过的《网络安全指令》在更大范围推动信息共享。当前，我国网络安全威胁共享机制还远未成熟，社会参与度不高，有必要对关键信息基础设施安全信息共享的主体与内容、范围与程序、信息脱敏与公开等问题作出进一步规定。
　　（四）进一步明确关键信息基础设施的风险评估与应急响应机制
　　评估关键信息基础设施的风险，同时建立相应的应急响应机制是预防和化解风险的有效措施。美国的关键基础设施保护的核心内容是通过政府提供的多种风险评估方法识别风险和威胁，进而确定组织的信息安全需求，选择风险控制措施。加拿大于2014年建立全风险安全管理机制，包括关键基础设施的风险评估、行业性工作计划和国家示范方案等。我国已在等级保护实施中积累较多评估标准和经验，但主要侧重于信息安全产品评估和信息系统技术构建，因此有必要通过立法推动体系化、重管理的风险评估及响应机制的形成。
　　笔者认为，评估过程中的信息安全问题需要格外重视。美国《提高关键基础设施网络安全的行政令》即在规定“识别关键基础设施的最大风险”时指出，不得依据本规定识别任何商业信息技术产品或消费者信息技术服务。同时，有必要明确关键信息基础设施保护过程中相关主体的法律责任，如政府有责任严格落实关键信息基础设施保护。这里的“政府”可参考国际惯例，将相关国有企事业单位纳入其中。例如，《美国法典》在第44章第3502条中规定联邦政府机构是指任何行政部门、军事部门、政府公司、政府控股的公司，或者政府行政部门内设其他机构，或者任何独立的监管机构等。
　　我国关键信息基础设施保护与国外的一个重大差别在于，国外关键信息基础设施多数为私营组织控制，在我国则很大一部分属于国有企事业单位。所以，应当尤为重视相关国有企事业单位的法律责任。此外，相关私营组织的法律责任也需要明确。国外对此一般按照是否为政府提供商业产品或服务区分不同的责任。笔者建议，我国参照国际惯例实施分类管理，对明确被认定为典型关键信息基础设施的，适用强安全保障责任；对不参与政府采购，且不在典型关键信息基础设施范围的，在自愿参与基础上进一步确立免责机制，并以公私伙伴关系和一定激励机制的形式推出。
　　我国已经通过《网络安全法》初步建立起既接轨国际也具中国特色的关键信息基础设施保护制度。这既是我国加强网络安全保护的客观需要，也是我国网络安全保护主动融入全球治理的必然选择，对形成中国特色且符合国际惯例的网络空间治理体系至关重要。在后续立法过程中，笔者建议进一步考虑关键信息基础设施保护与相关制度的衔接，政府（包括国有企事业单位）与私营组织分别控制的关键信息基础设施保护制度差异，在充分调动私营组织参与的同时，避免对一般商业信息安全产品和服务提出超出WTO规则和国际惯例的法律要求；在通过顶层设计对各负责部门明确授权的同时，通过规范的认定标准等程序性设计划清权力与市场边界，明确分工，落实责任。

□顾 伟