【網信普法】黃道麗 |《國家關鍵資訊基礎設施安全保護的法治進展》

保障關鍵資訊基礎設施安全是貫徹落實大陸《網絡安全法》的重點工作，也是《國家安全法》《密碼法》《資料安全法》《個人資訊保護法》的共同法律要求。作為落實基本法的專門性行政法規，《關鍵資訊基礎設施安全保護條例》（以下簡稱《條例》）已正式施行一周年。一年來，大陸堅持依法保護，強化責任落實，堅持問題導向和實戰引領，保護和震懾并舉，加強關鍵資訊基礎設施及其承載的重要資料與個人資訊的安全保護，強化網絡安全審查、重要資料保護、商用密碼應用安全性評估和供應鍊安全管理，嚴厲打擊針對和利用關鍵資訊基礎設施實施的境内外違法犯罪活動，國家關鍵資訊基礎設施安全保護、保衛和保障工作成效初顯。

一、關鍵資訊基礎設施安全保護制度設計及其落地實施

《條例》明确監管體制、關鍵資訊基礎設施範圍和認定程式、保護工作部門職責、營運者責任義務、保障和促進措施、法律責任等内容，為關鍵資訊基礎設施保護工作提供根本法制保障。同時，《條例》補足《密碼法》《資料安全法》《個人資訊保護法》等法律效能，建構完善并整體夯實國家關鍵資訊基礎設施保護制度。

1、關鍵資訊基礎設施保護責任格局

《條例》明确在國家網信部門統籌協調下，國務院公安部門負責指導監督，國務院電信主管部門和其他有關部門依職負責安全保護和監督管理。其中，統籌協調展現在政策制訂、總體規劃、資源協調、資訊共享等方面，指導是指引輔導，監督是監視督促，國務院公安部門的指導監督具有外部性，工信等行業領域主管、監管部門作為保護工作部門承擔主管責任，其監督管理具有行業屬性和内部限制力。

國務院公安部門負責指導監督。這一規定考慮到了公安機關是《網絡安全法》《人民警察法》《計算機資訊系統安全保護條例》授權的網絡安全監管機構，多年來圍繞國家事務、經濟建設、國防建設、尖端科學技術等重要領域計算機資訊系統安全開展大量探索與實踐。由國務院公安部門指導監督關鍵資訊基礎設施安全保護工作，有利于切實在網絡安全等級保護制度基礎上加強關鍵資訊基礎設施保護，確定不同行業領域保障水準協調一緻。《條例》施行一年來，公安機關組織指導保護工作部門制定關鍵資訊基礎設施認定規則并備案，指導開展關鍵資訊基礎設施認定工作；對關鍵資訊基礎設施重大網絡安全事件或者重大網絡安全威脅等情況進行監測處置，為保護工作部門提供技術支援和協助；依法對關鍵資訊基礎設施進行網絡安全檢查檢測，對漏洞探測、滲透性測試等可能影響或者危害關鍵資訊基礎設施安全的活動進行管理；加強關鍵資訊基礎設施安全保衛，防範打擊針對和利用關鍵資訊基礎設施實施的違法犯罪活動。接下來，公安機關還将在前期工作的基礎上深入貫徹實施《條例》，切實履行法定職責，保障關鍵資訊基礎設施安全。

保護工作部門負責安全保護和監督管理。鑒于重點行業、領域業務及安全需求的特殊性與專業性，按照“誰主管、誰負責”原則，重點行業、領域主管監管部門承擔十分關鍵的監督管理職能，《條例》為重點行業、領域的特别關鍵資訊基礎設施保護相關部門規章和規範性檔案預留了空間。《條例》施行一年以來，交通、能源、證券期貨業等行業和領域主管部門加快推動關保工作在本行業、本領域的落地實施。交通運輸部釋出《公路水路關鍵資訊基礎設施安全保護管理辦法（征求意見稿）》，就公路水路的關保工作進行專項規定；國家衛生健康委等部門釋出《醫療衛生機構網絡安全管理辦法》、中國證監會釋出《證券期貨業網絡安全管理辦法（征求意見稿）》、國家能源局釋出《電力行業網絡安全管理辦法（修訂征求意見稿）》，将關鍵資訊基礎設施運作安全作為重要内容之一。從具體内容來看，細化的制度設計主要圍繞深化組織機構設定及人員管理，增設專項評審要求、強調全天候态勢感覺能力，重視壓力測試、攻防演練、應急演練等在風險隐患發現方面的作用，加強供應鍊風險管理和網絡安全事件管理、強調經費保障及教育教育訓練等方面展開，突出行業特性，旨在保障關鍵資訊基礎設施的持續穩定運作。

同時，《條例》也明确了國家安全、保密行政管理、密碼管理等網絡安全專項管理部門的職責。國家安全機關依據職責加強關鍵資訊基礎設施安全保衛，2022年4月15日第七個全民國家安全教育日，國家安全機關就公布了一起“關鍵資訊基礎設施領域遭網絡攻擊竊密”的典型案件。《密碼法》對關鍵資訊基礎設施使用商用密碼提出明确要求,密碼管理部門負責管理密碼工作，也依法對關鍵資訊基礎設施使用商用密碼的情況實施監督檢查。

關鍵資訊基礎設施營運者承擔主體責任。《條例》強化主體責任，尤其重視“機關因素”和“人的因素”，強調機關和人員對關鍵資訊基礎設施保護的決定性作用，明确營運者主要負責人對關鍵資訊基礎設施安全保護負總責，承擔組織和上司責任，規定專門安全管理機構的十餘項安全保護職責，不履行保護義務可依法對機關和直接負責主管人員處以警告、罰款、處分乃至追究刑事責任，2021年8月4日解密的《黨委（黨組）網絡安全工作責任制實施辦法》，明确了關鍵資訊基礎設施營運者黨委（黨組）的主體責任，關鍵資訊基礎設施遭受網絡攻擊後不及時處置的，按後果問責；同時，《條例》重點強調人員的可信和能力建設，不僅明确專門安全管理機構負責人和關鍵崗位人員的安全背景審查要求，也強調人員教育、教育訓練、權限、獎勵等正面賦能。

2、網絡安全威脅和隐患防範

為加強關鍵資訊基礎設施領域的風險發現和防禦能力，調動各方力量共同消解網絡安全風險，《條例》建立了營運者、保護工作部門、公安機關和網信部門等多層風險威脅發現與合作體系。《條例》将開展網絡安全監測、檢測和風險評估，制定本機關應急預案，定期開展應急演練明确為營運者專門安全管理機構職責之一，要求營運者每年至少進行一次網絡安全檢測和風險評估。《條例》要求保護工作部門建立健全本行業、本領域的關鍵資訊基礎設施網絡安全監測預警制度，及時掌握本行業、本領域關鍵資訊基礎設施運作狀況、安全态勢，預警通報網絡安全威脅和隐患，指導做好安全防範工作。國家網信部門統籌協調有關部門建立網絡安全資訊共享機制，及時彙總、研判、共享、釋出網絡安全威脅、漏洞、事件等資訊，促進有關部門、保護工作部門、營運者以及網絡安全服務機構等之間的網絡安全資訊共享。

3、資料安全和個人資訊保護

資料是影響網絡安全等級保護制度中定級、關鍵資訊基礎設施認定的重要因素。包含個人資訊資料在内的資料安全保護已成為網絡安全等級保護2.0制度、關鍵資訊基礎設施保護制度的重要内容。2020年公安部《貫徹落實網絡安全等級保護制度和關鍵資訊基礎設施安全保護制度的指導意見》多處強調資料安全、重要資料和個人資訊保護。《條例》強化資料安全保護責任，明确營運者個人資訊和資料安全保護職責，确立重要資料洩露等特别重大網絡安全事件發生後營運者、保護工作部門、國家網信部門和國務院公安部門的三層報告機制。

國家總體安全保障工作中，重要資料與關鍵資訊基礎設施密不可分，2015年《國家安全法》強調“關鍵基礎設施和重要領域資訊系統及資料的安全可控”，《網絡安全法》第37條創設性規定關鍵資訊基礎設施營運者重要資料境記憶體儲與出境評估制度，2016年《國家網絡空間安全戰略》将“保護關鍵資訊基礎設施”作為9大戰略任務之一，明确要求“采取一切必要措施保護關鍵資訊基礎設施及其重要資料不受攻擊破壞”。《資料安全法》第27條明确利用網際網路等資訊網絡開展資料處理活動，應當在網絡安全等級保護制度的基礎上，履行資料安全保護義務。

4、關鍵資訊基礎設施供應鍊安全

《條例》明确營運者應當優先采購安全可信的網絡産品和服務，并應當按照國家有關規定與網絡産品和服務提供者簽訂安全保密協定，明确提供者的技術支援和安全保密義務與責任，并對義務與責任履行情況進行監督；專門安全管理機構應當對關鍵資訊基礎設施設計、建設、運作、維護等服務實施安全管理。采購網絡産品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。《網絡安全審查辦法》要求營運者采購網絡産品和服務時，應當預判該産品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。

5、充分的資源保障支援

《條例》展現重點保護思路，基本涵蓋了關鍵資訊基礎設施保護的整體戰略、技術要求、管理措施，以及如何評估和驗證其有效性的各個層面，在人、财、物各個方面給予充分的資源支援。《條例》施行一年以來，随着各個省市将關鍵資訊基礎設施保障工作納入“十四五”目标及規劃，保護工作部門和營運者開始圍繞“關鍵資訊基礎設施安全規劃”和“關鍵資訊基礎設施安全保護計劃”，逐層推進、具體落實，調配人财物等方面的資源，形成年度化、可量化、可評估的保障與核驗機制。

二、大陸關鍵資訊基礎設施立法保護的發展方向

1、研判國外法律政策新動向，探索關鍵基礎設施保護現代化新思路

近年來，Solarwinds供應鍊攻擊、Colonial Pipeline勒索攻擊、托管服務提供商Kaseya引發供應鍊攻擊等一系列事件持續檢驗關鍵資訊基礎設施防範能力和網絡攻擊防禦能力。2022年俄烏沖突再次印證對關鍵資訊基礎設施的外部攻擊仍是重大威脅來源。數字化轉型過程中的關鍵資訊基礎設施安全保護現代化成為各國亟待解決的現實難題，引發各界對既有政策立法的反思和調整。僅在《條例》施行後的一年多來，全球範圍内圍繞關鍵（資訊）基礎設施的強化保護、國産替代化、對象增強和事件報告等方面的政策立法在持續演進，展現出威脅攻擊與保障防禦兩端的新變化、新特點。

在強化關鍵資訊基礎設施保護措施方面。歐盟2022年5月釋出的《歐盟安全聯盟戰略》第四次進展報告對目前俄烏沖突國際環境下歐盟面臨的安全威脅進行梳理。報告指出，盡管目前俄烏沖突在很大程度上仍然是通過正常手段推進，溢出效應有限，但也充分說明網絡和關鍵基礎設施領域面臨的風險是真實存在的，進一步凸顯了落實作有立法及推動制定中立法的緊迫性。2022年5月13日，歐洲議會和歐盟成員國就《關于在歐盟範圍内實施高水準網絡安全措施的指令提案》（即NIS 2指令提案）達成政治協定，成為歐盟對目前國際局勢背景下強化自身安全的回應。NIS 2指令提案旨在取代2016年NIS指令。2016年NIS指令是歐盟範圍内關于網絡安全的第一部立法，對嚴重依賴ICT且對經濟社會至關重要的能源、運輸、銀行、金融市場基礎設施、飲用水、醫療保健、數字基礎設施這七個領域采取網絡安全措施。歐盟委員會定期審查NIS指令運作情況後，認為其存在不能全面反映所有為整個經濟社會提供關鍵服務的數字化行業，成員國落實安全要求和事件報告義務不到位，監督和執行機制不起作用，成員國之間不能有效共享資訊，影響歐盟整體層面的态勢感覺水準等問題。針對這些不足，NIS 2指令提案不再依據基本服務營運商和數字服務提供商對實體進行分類，而是根據實體重要性，分為十類基本實體和六類重要實體，采取不同的監管制度；同時NIS 2指令提案強化法律責任，規定違反網絡安全保護要求的最高行政罰款額不得低于1000萬歐元或上一财政年度全球總營業額的2%，以較高的為準。

在關鍵資訊基礎設施國産替代化方面。面對俄烏沖突背景下網絡安全領域不利形勢，2022年俄羅斯總統普京相繼簽發俄羅斯聯邦第166号總統令《確定俄羅斯聯邦關鍵資訊基礎設施技術獨立和安全的措施》和第250号總統令《保障俄羅斯聯邦資訊安全的補充措施》，設定國産替代化目标期限，禁止未經準許采購外國軟體和相關服務用于關鍵資訊基礎設施重要客體。兩個總統令内容及釋出速度均充分展現其出台的特殊現實背景，也反映了特殊時期俄羅斯對強化關鍵資訊基礎設施安全管控力度、保障資訊資源安全的緊迫需求。

在重點保護對象的限縮和增強方面。2022年6月28日，歐洲議會和理事會就《關于關鍵實體彈性指令的提案》（簡稱CER指令）提案達成政治協定。提案将關鍵實體中為三分之一以上成員國提供基本服務的實體明确為“歐洲具有特定重要性的關鍵實體”，在安全保護方面獲得額外建議，這與澳洲2022年4月正式生效的《2022年安全立法修正案（關鍵基礎設施保護）法》相類似。澳洲在立法中建立“具有國家意義的系統（SoNS）”制度，在現有關鍵基礎設施保護體系中将一小部分具有國家意義的關鍵基礎設施資産認定為SoNS，并對SoNS賦予更嚴苛的保護義務。此類立法舉措反映出部分國家在目前安全形勢下對關鍵基礎設施保護的新探索。

在強制性的網絡安全事件報告義務方面。美國《2022年關鍵基礎設施事件報告法》、歐盟2022年《關于在歐盟範圍内實施高水準網絡安全措施的指令提案》、澳洲《2022年安全立法修正案（關鍵基礎設施保護）法》、2022年印度《關于<2000年資訊技術法>第70B條第（6）款，可信網絡的資訊安全實踐、程式、預防、響應和網絡安全事件報告指令》等均建立強制性的網絡安全事件報告制度，明确關鍵基礎設施資産負責實體在發生事件後的報告期限和報告部門。印度對于時間要求最為緊迫，要求在6小時内報告，美國要求發生網絡安全事件後72小時或因勒索攻擊支付贖金後24小時内，歐盟要求實體發生重大網絡安全事件後24小時内向主管當局或 CSIRT送出初步報告；澳洲要求對關鍵基礎設施資産産生“重大影響”的應在12小時内，産生“其他影響”的在72小時内報告。未按照要求報告事件的實體可能面臨被發傳票、民事訴訟、罰款乃至最後手段“控制資産”等責任追究。

在關鍵基礎設施後量子密碼安全方面。量子計算對現實的加密算法形成挑戰，量子計算提供的強大計算能力将破解目前廣泛使用的公鑰密碼算法、降低對稱密碼算法和散列函數的安全性，在可預見的未來，部分算法的“難解性”幾乎不再産生任何時間成本和系統代價。美國網絡安全和基礎設施安全局（CISA）已意識到量子計算對美國國家關鍵功能（NCF）系統帶來的潛在風險，2022年8月24日，CISA釋出《為關鍵基礎設施做好後量子密碼術準備》專項檔案，為關鍵基礎設施及政府網絡的所有者、營運者向後量子密碼術轉型提供指引，強調政府和關鍵基礎設施實體必須共同努力，為新的後量子密碼标準做好準備。

國際社會對關鍵（資訊）基礎設施保護的法律政策發展為大陸下一步強化安全保障工作提出了新要求，也提供了新思路。可以預判，《條例》的施行中必然也會遇到類似新威脅、新攻擊等新問題，這些經驗教訓、政策和法律化展現，都是值得分析和參考借鑒的比較法資源。經過本地化改造，立足中國國情的關鍵資訊基礎設施保護實踐也将為世界貢獻中國方案。

2、強化關鍵資訊基礎設施安全漏洞管理

利用安全漏洞進行的攻擊已經成為影響大陸關鍵資訊基礎設施穩定運作的主要威脅。《條例》第31條專門強化對關鍵資訊基礎設施實施漏洞探測、滲透性測試等活動的限制，國家網信部門、國務院公安部門、國務院電信主管部門正協同加大涉關鍵資訊基礎設施安全漏洞的管理。2021年工信部、網信辦、公安部聯合釋出的《網絡産品安全漏洞管理規定》建構多部門多平台共享機制，細化披露和共享規定。但總體上，《條例》對安全漏洞的規定主要展現在安全漏洞的發現環節，而《網絡産品安全漏洞管理規定》“一視同仁”的安全漏洞“報告”“報送”和“修複”内容，缺少對涉關鍵資訊基礎設施的差別規定。實踐中，針對用于關鍵資訊基礎設施的産品和服務的優先驗證、修複，不僅已經是服務水準的協定約定，在一些國家也屬于強制性行政義務。如美國NIST的《提升關鍵基礎設施網絡安全架構》通過版本疊代，專門寫入對營運者的漏洞管理要求。關鍵資訊基礎設施安全漏洞管理是建構關鍵資訊基礎設施防禦體系不可或缺的關鍵環節，需要全方位的制度設計和全盤考量。

3、加大關鍵資訊基礎設施犯罪懲治

現行的《刑法》第285條第1款“非法侵入計算機資訊系統罪”規定可考慮适用于關鍵資訊基礎設施犯罪。但在司法實踐中本款的适用也存在模糊和不合理之處，“國家事務、國防建設、尖端科學技術領域”是否與《條例》的關鍵資訊基礎設施保護範圍完全對應，“三年以下有期徒刑或者拘役”的處罰量刑偏輕等問題，直接适用恐難以實作《條例》“懲治來自境内外的關鍵資訊基礎設施網絡違法犯罪活動”的立法目的。針對和利用關鍵資訊基礎設施實施的違法犯罪活動應大力提升處罰力度。2018年1月1日，俄羅斯正式實施《關鍵資訊基礎設施安全法》，就同步修改了與《關鍵資訊基礎設施安全法》通過相關的俄羅斯聯邦《刑法》和《刑事訴訟法》，加入了“非法影響俄羅斯聯邦關鍵資訊基礎設施”的章節，加大處罰力度，規定“給俄羅斯聯邦關鍵資訊基礎設施帶來損害，處以五年以下勞役，或并處剝奪三年以内擔任特定職務或者從事特定活動的權利；或者處以六年以下剝奪自由，或并處剝奪三年以内擔任特定職務或者從事特定活動的權利”。2021年6月，美國參議院也曾引入《國際網絡犯罪預防法案》，提出修訂《計算機欺詐與濫用法》（CFAA），拟針對故意損害控制關鍵基礎設施系統（如水壩、發電廠、醫院和選舉基礎設施）計算機的行為建立專門罪名，将其犯罪未完成形态也納入違法行為，同時加重處罰，并確定處罰實效。

此外，亦可研究制定《刑法》第134條和139條“重大責任事故罪”的司法解釋，明确關鍵資訊基礎設施保護責任事故中“其他嚴重後果”的認定标準，實作與《條例》第47條設計的關鍵資訊基礎設施重大網絡安全事件責任事故規定的刑法銜接。

三、展望

全球數字化轉型加速的當下，5G、區塊鍊、加密貨币等已實質進入商業化和産業化發展階段，人工智能、量子計算等新技術開始新一輪的創新催生和模式嘗試，會帶來何種颠覆性變化仍在試錯中觀察。這些複雜系統的複雜變化導緻傳統關鍵資訊基礎設施的邊界性逐漸模糊，以關鍵資訊基礎設施靜态識别為主、動态調整為輔為核心的保護觀念在面對全新内外威脅态勢時挑戰嚴峻，世界範圍内關鍵資訊基礎設施立法保護尋求現代化和适應性的趨勢明顯。

《條例》推動大陸關鍵資訊基礎設施保護工作邁出實質性步伐。展望未來，《條例》應在強化責任落實、加大執法力度、做足保障支撐等的同時保持對新技術新應用及其安全性的密切關注，持續研判國外關鍵基礎設施保護現代化新思路，深化推進強化關鍵資訊基礎設施保護措施、網絡産品和服務安全生态建構、網絡安全事件報告義務細化、關鍵資訊基礎設施後量子密碼遷移規劃與部署、關鍵資訊基礎設施安全漏洞管理、關鍵資訊基礎設施犯罪懲治完善等方面，持續提升國家關鍵資訊基礎設施安全适應性，確定大陸關鍵資訊基礎設施安全、資料安全和國家安全。

（本文發表于《中國資訊安全》2022年第9期）