• <dl id="8emuq"><menu id="8emuq"></menu></dl>
  • <progress id="8emuq"></progress>
  • <strong id="8emuq"><sup id="8emuq"></sup></strong><input id="8emuq"><label id="8emuq"></label></input>
  • <menu id="8emuq"><label id="8emuq"></label></menu>
  • <input id="8emuq"></input>
    关键信息基础设施保护的合作治理
    作者陈越峰  
        摘要:  关键信息基础设施保护是网络安全治理的重中之重和难点所在关键信息基础设施安全具有公共属性在无法完全通过市场机制由私主体独立提供的情况下政府规制具有正当性关键信息基础设施保护的治理对象需要系统分类指定和审慎动态调整在关键信息基础设施保护的主体架构上层级制与部门化的政府组织结构局限性明显合作是必然的选择这就需要在高效统一的领导和广泛深刻的政府协同基础上形成紧密的公私合作伙伴关系关键信息基础设施保护需要系统性的过程控制事前审批和事后处罚等传统行政活动方式的实效性不足为更好实现保护关键信息基础设施的目的需要综合运用规制担保给付等多元行政活动方式基于公私合作采取全过程风险治理措施
        关键词:  关键信息基础设施网络安全政府规制风险治理合作行政

    一关键信息基础设施的保护问题

    关键信息基础设施是互联网的基础层其安全?#20013;?#30340;运营是网络安全的基础关于如何实现网络安全的问题先后有两种代表性的主张一种主张认为网络安全问题是网络内生的问题无须刻意解决?#35789;?#38656;要解决也应当从技术角?#28909;?#25163;1996年发布的网络独立宣言宣称?#23433;?#25104;文的法典编码与任何强制性法?#19978;?#27604;能够使得网络社会更加?#34892;R?script>WriteZhu('1');莱斯格有关网络空间是代码之治的说法也是这一主张的集中体现随着现实空间中关键基础设施的信息化加之工业网络的互联互通虚拟空间互联互通的程度不断?#30001;?#29305;别是进入移动互联和互联网+阶段之后互联网再也不是那个与物理空间平行的宇宙?#20445;?#32593;络安全也不再只是虚拟空间的安全其所产生的影响向现实社会急剧渗透迅速扩展于是另一?#25351;?#26377;说服力的主张逐渐被广泛接受?#30784;?#23545;虚拟安全问题的有意义的回应将发生在制度层面如果说互联网已经成为了经济社会发展的基础设施那么网络安全就是这个以互联网为基础的时代的公共安全基于网络安全治理的现?#24213;?#20917;展开制度建设是对网络安全需求真正?#34892;?#30340;回应之道

    在实现和保障网络安全的多种机制中市场机制能够发挥的调节作用需要在互联网的基础层互联网服务的中间层和互联网信息的表层这三个层面分别考察有研究者根据目标的战略重要性和攻击者的能力建立了一个四象限的坐标体系在不同类别的目标所面临的不同攻击能力与偏好面前市场机制能够发挥的作用程度不一政府规制也就有着不同程度的必要性

    各国在法律层面对网络安全挑战的回应主要有两个方向一是充分运用传统法律以事后制裁为主要手段?#34892;?#25171;击危害网络空间安全的各?#27835;?#27861;犯罪行为二是通过专门立法设计?#34892;?#30340;过程监管制度最大限度地预防风险的发生传统回应方式集中体现在2001年?#21363;?#20329;斯网络犯罪公约引领下的各国刑法刑事诉讼法的修订但是通过传统法律针对网络犯罪进行诉讼所能解决的问题仅仅是冰山一角正如有学者所指出的网络安全太重要太复杂以致于不能完全交由刑法与武装冲突法调整因此指向过程监管的专门立法始终是法律回应的重要方向尤其是在2013年斯诺登事件后主张通过专门的网络安全立法确立政府规制体系以?#34892;?#24212;对网络安全问题的观点逐渐占据了上风

    我国属于?#26174;?#23558;网络安全专门立法提上立法议程的国家2014年国?#39029;?#31435;了中央网络安全和信息化领导小组要求抓紧制定立法规划加强互联网领域立法完善网络安全保护法律法规最终于2016年颁布了网络安全法网络安全法第三章专节规定了关键信息基础设施的运行安全第31条授权国务院制定关键信息基础设施的具体?#27573;?#21644;保护办法2017年7月10日国?#19968;?#32852;网信息办公室又发布了关键信息基础设施安全保护条例征求意见稿?#32602;?#20197;下简称保护条例征求意见稿?#32602;?#30446;前还在讨论和审议过程中尽管关键基础设施保护制度作为网络安全法中的重要制度已经得到确立但是对于关键信息基础设施的定义认定标准和程序等基础问题人们的认识?#20849;?#19968;致关于检测评估预警信息发布的具体制度也有待进一步明确

    针对关键信息基础设施的法律保护国内相关研究的主要成果是提出了框架性的制度设计在网络安全法研究起草期间有学者在总结国际立法经验的基础上指出立法的核心任务是使关键信息基础设施的所有者或者运营者承担相应的社会责任和法律义务通过组织保障风险预警公私伙伴关系?#28909;?#26041;位措施形成多元主体共同参与安全治理的格局更早时候有学者主张立足于预防和控?#21697;?#38505;以程序保障为重点设计过程控制的制?#21462;?script>WriteZhu('13');这些研究成果为关键信息基础设施的保护提供了制度框架确立了研究基础

    制度设计的具体研究主要集中在保护对象保护主体和保护方式三个方面第一在保护对象方面有学者提出对于是否属于经济社会运行神经中枢的关键信息基础设施应当以遭受攻击是否直接影响国家安全作为判断标准并建议授权国家网信部门对其加以认定有关政府部门的解读则认为关键信息基础设施保护关乎国家安全国计民生公共利益的信息系统和设施的安全与等级保护制?#35748;人?#28041;及的?#27573;?#30456;?#36234;?#23567;第二在保护主体上政府部门认为关键信息基础设施运营者应承担主体责任学者则主张应明确关键信息基础设施保护的部门分工明确关键信息基础设施的认定标准和程序明确相关主体的法律责任第三在保护方式上有学者认为网络安全法应授权国家网信部门和相关行业主管部门开展与私有关键信息基础设施运营者的合作建立网络安全信息共享制?#21462;?script>WriteZhu('18');有学者认为必须建立网络设施的进口审查制?#21462;?script>WriteZhu('19');有学者主张应实现国家网络安全审查制度的保障功能还有学者建议针对特别重要的关键信息基础设施建立应急备份和灾难?#25351;?#26426;制这些具体研究各有建树但仍需要结合当前立法的?#23548;市?#27714;围绕重点疑难法律问题继续展开研究

    总体而言关键信息基础设施的法律保护还处于立法初创阶段法政策研究仍是当前最需着力之处互联网由美国军方发明关键信息基础设施保护问题最早在美国发酵美国等主要西方国家有着较为系统的制度架构和丰富的规制?#23548;?#32463;验值得进行全面深入的?#27835;?#30740;究本文将在充分借鉴国外立法经验的基础上提出并论证通过合作治理保护关键信息基础设施的必要与可能具体?#27835;?#20026;何治理治理?#35009;础?#20026;何合作如何合作等问题

    二关键信息基础设施安全的公共属性

    一运营中断的?#23433;?#33021;承受之重

    网络安全问题与互联网的分布式结构存在内在关联20世纪90年代初互联网从军事用途向民用开放就民事用途而言早期其对安全性的要求更加不敏?#23567;?#20114;联网被大规模使用后安全问题浮出水面但对市场而言对于安全的?#24230;?#32570;少直接回报过高的安全要求还会抑制应用的便利性市场机制运行的结果是使得网络安全缺陷被更大?#27573;?#22320;暴露

    关键信息基础设施不同于一般设施与网络服务它是国家安全稳定的基础如果受到攻击可能导致网络运行发生障碍进而影响国家安全国计民生和公共利益关键信息基础设施也是工业化城?#34892;?#31038;会正常运转的根本所在任何现代国家都不能承受其运营中断的后果例如美国曾利用震网病毒入侵伊朗?#35828;?#31449;中的计算机网络系统掌握了?#35828;?#35774;备的关键控制权肆虐全球的勒索病毒事件曾导致我国高校网站和部分政府网站运营中断关键信息基础设施还是个人信息风险防控的基础一旦被入侵特别是那些行政管理公共服务网站被黑客攻击可能导致海量个人信息的泄露有调查显示承担世界各国的电力自?#27492;?#21644;其他关键基础设施功能的受访公司中有70%在受访的前一年中至少经历过一起非法侵入致使秘密信息被窃取或运营中断

    互联网的分布式结构决定了网络安全运行易攻难守的特点计算机通信技术与互联网知识技能的推广使用使得网络攻击技术和能力很容易被个体掌握攻击成本显著降低关键信息基础设施比以往任?#38382;?#20505;都更容?#36164;?#21040;不对称攻击攻击可能来自黑客?#20445;部?#33021;来自主权国家因此又很难以矛为盾?#20445;?#36890;过威慑平衡达致网络安全

    二市场机制的?#23433;?#25975;使用

    关键信息基础设施的安全似乎应由其所有者和运营者负责通过市场机制进行调节但是如果私主体的动力和压力不足市场机制就不能充分?#34892;?#22320;发挥作用在美国有研究指出由于存在外部性搭便车等问题很多运营关键基础设施的公司一般在网络安全上投资不足一是它们无须承担网络入侵所造成的所有损失一部分损害被外部化给?#35828;?#19977;方二是改善?#32422;?#30340;防御系统也会为其他人的系统安全作出贡献其收益将会有部分被外部化从而增加了搭便车的机会

    私主体?#24230;?#22312;网络安全方面的预算都严重不足因为这方面的?#24230;?#26080;法得到立竿见影的回报缺乏市场的充分激励这一点在其他领域也有表现例如放松规制之后由于竞争太激烈那些最需要安全保障的航空公司会削减飞机的保养费核动力发电厂会削减在安全方面的投资在一项涉及599家公用事业石油和?#35745;?#33021;源和制造业公司的安全运营调查中64%的受访者认为在未来一年中会受到一次或多次严重的攻击但是仅有28%的受访者将网络安全置于其机构的五大战略优先事务大多数将最小化停产时间作为最需要优先处理的事务加以?#28304;?script>WriteZhu('29');在另一项调查中分别有75%和68%的受访者指出了网络攻击的严重性和频繁性但是分别有64%和65%的受访者对没有预算或专家来消除威胁感到担忧很多机构?#23616;本?#32780;不是智?#29420;?#35780;估自身的网络安全级别导致最严重的风险得不到最充足的预算加以治理在诸多网络安全事务中合规被受访者?#24418;?#26368;高优先级这些数据和案例说明完全寄望于市场机制试图通过市场调节获得安全保障是不切?#23548;?#30340;导入政府规制十分必要

    绝大多数的关键信息基础设施处于非竞争性的市场环境中网络安全方面的?#24230;?#21450;成效不会显著影响其总体收益前已述及在网络空间代码就是法律是一种非常有影响力的观点然而?#35789;?#22914;此也需要有人愿意为追求安全之目的去写代码和应用程序成?#23613;?#25910;益的不对称性抑制了市场主体在关键信息基础设施保护上的?#24230;?#19968;方面公用事业市场是非竞争性的供给的替代性低消费者很难用脚投票?#20445;?#22240;此市场机制的约束能力?#31995;停?#21478;一方面由于潜在的网络攻击者具有很强的攻击能力提升网络安全保护水平是一项?#24230;?#24040;大但成效难以显著的事?#25285;?#24066;场机制能够提供的激励也是不足的如果没有法律上的合规要求?#35789;?#32593;络安全事件的后果严重鉴于其偶发性市场主体也往往缺乏风险意识或存有侥幸心理使得关键信息基础设施的脆弱性不断积聚

    在关键信息基础设施保护的问题上也存在着交易成本和搭便车效应在凯恩斯主义引发滞?#20572;?#20197;美国和英国为主的国家大力推行民营化后私主体提供公共品的现象大量出现关键信息基础设施保护在一定程度上就属于这种情形互联网全网开放?#19968;?#32852;互通因此存在集体行动的难题一旦某个主体在基础层进行安全?#24230;?#26356;多的主体将会选择搭便车?#20445;?#32780;市场机制向来难以?#34892;?#35299;决搭便车的问题经济学通?#31561;?#20026;当市场机制无法提供公共品政府规制作为一种多边合作机制能够提供社会所需的公共品特别是在网络空间与物理空间深?#28909;?#21512;之后行政任务随着市场和社会活动的?#27573;?#24310;展而扩展而关键信息基础设施保护就是诸多新型行政任务中的一项?#28304;?#20026;前提围绕关键信息基础设施安全的保护开展立法活动才有了现实基础而为实现这一任务赋予有关行政机关以特定职权课予私主体以特定义务也才具备正当性

    三行政任务的时代形态

    关键信息基础设施通常被界定为关键基础设施的信息部分和信息基础设施的关键部分随着关键基础设施普遍实现网络化和信息化上述分类中的两种关键基础设施已经不?#20808;?#21512;到较高的程度对二者进行刻意区分已无必要

    关键基础设施这一概念最早由美国提出后被各国普遍采纳由美国英国加?#20040;?#28595;大利亚和新西兰组成的关键五国达成共识关键基础设施是指为国家安全经济安全?#27604;?#20197;及他们各自国民的健康和安全提供不可或缺的服务的系?#22330;?#36164;产设施和网络

    ?#35775;?#32593;络与信息系统安全指令2016第5条采用了基础服务运营者的表述即依赖于网络与信息系统为关键的社会经济活动所必需一旦发生网络安全事故将对该服务的提供产生重大的破坏性影响的服务运营者这一指令还从消极的角度规定网络交?#36164;?#22330;网络搜索引擎和云计算之外的数字服务提供者和小微企业不在其规?#21697;段?#20869;

    我国网络安全法确立了关键信息基础设施安全保护制?#21462;?#32593;络安全法多份审议稿对关键信息基础设施的界定有不同表述?#28304;ˣ?#26377;学者提出关键信息基础设施的认定一方面应当进行肯定性的定性和界定以一旦遭受损坏或者丧失运作功能将会严重威胁国家安全经济安全公共健康以及社会稳定作为关键信息基础设施?#27573;?#30340;界定标准真正将管理重点落实在关键?#26041;ڣ?#21478;一方面应进行否定式排除明确规定任何商业信息技术产品或消费者信息技术服务不得被确定为关键基础设施有研究者持类似观点认为如果关键信息基础设施涵盖商业网络?#20445;段?#36807;宽可能使其关键性大打折扣

    网络安全法第31条最终确立了关键信息基础设施界定的肯定性标准?#30784;?#19968;旦遭到破坏丧失功能或者数据泄露可能严重危害国家安全国计民生公共利益的关键信息基础设施这一定义作为判断标准总体上是妥当的但是由于其中涉?#28595;?#28085;相对不确定的概念在后续立法和适用过程?#34892;?#35201;结合国际经验和我国?#23548;?#38656;求加以把握

    保护条例征求意见稿第18条对关键信息基础设施作了?#26696;?#25324;+列举的细化规定其中对关键信息基础设施的概括性表述是一旦遭到破坏丧失功能或者数据泄露可能严重危害国家安全国计民生公共利益的重点单位运行管理的网络设施和信息系?#22330;?#36825;一表述有进一步完善的必要和可能总结国外主要的立法经验和规制?#23548;?#20851;键信息基础设施一般从不可或缺性影响广泛和严重性威胁结构性保护整体性?#20154;?#20010;方面加以识别?#28304;?#23545;照条文中使用的数据泄露并不能体现不可或缺性遗漏?#20013;?#23433;全运营忽视了威胁结构性严重性不能替代广泛性使用重点单位不能充分体现保护的整体性结合上述四个特性或许可将关键信息基础设施界定为一旦遭到破坏丧失功能或无法?#20013;?#23433;全运营可能对国家安全国计民生公共利益造成广泛影响或严重损害的网络设施和信息系?#22330;?#36825;就使关键信息基础设施安全所具有的公共属性得到了凸显

    关键信息基础设施安全带有的公共属性对国家的?#28595;?#21644;任务提出了新要求在现代法治国家国?#39029;?#25285;分配与给付的任务自由主义传统所假定的个人在经济上的独立性很多情况下并不存在个人需要通过国家实现基本权利国家也要承担一定的担保任务传统上针对国家的防御?#20849;?#36275;以完全保障个人自由对于可能会遭受有实力的社会团体和社会势力的侵害者国家必须承担保护的义务因此从维护和保障人民利益的角度来看关键信息基础设施的安全具有对象上的无差别性公民的基本权利体系得以融入新的内容即获得关键信息基础设施安全运行所带来的福祉从而实现积极的自由和权利从维护和保障人民利益的角度界定关键信息基础设施也使得关键信息基础设施法律保护的正当性基础更为坚实

    三关键信息基础设施的系统动态指定

    一关键信息基础设施的系统分类指定

    关键信息基础设施保护作为一项行政任务一旦确立就需要进一步厘定治理对象关键信息基础设施的定义只能提供一个大致框架详细准确的保护?#27573;?#36824;需要进一步厘定就此美国最早进行了探索其他一些国家也结合各自国情作出了有针对性的界定总体?#29486;?#24490;的都是系?#22330;?#20998;类的思?#32602;合?#22522;于国家功能及其面临的风险系统确定关键信息基础设施部门在此基础上根据重要性程度指定具体设施为关键信息基础设施

    主要国家在系统的国家?#28595;?#36816;行中通过识别关键部门指定关键信息基础设施在美国关键信息基础设施的具体?#27573;?#20197;关键基础设施为基准确定20世纪90年代中期起日益严峻的国际恐怖主义威胁促使政策制定者基于国土安全的目的着眼于关键的重新定义全面扩展了基础设施部门的数量和重要资产的种类其后?#32902;?#39039;政府第13010号行政命令关键基础设施保护1996?#35775;?#36848;了8类关键基础设施美国国土安全国家战略2002详细列明了13类关键基础设施部门和?#30053;?#30340;一些重要资产等美国第7号国土安全总统指令关键基础设施的识别优先级和保护2003?#38450;?#23450;了17类关键基础设施部门和重要资产2008年3月3日美国国土安全部正式确定关键制造业为第18个关键基础设施和重要资产部门美国国土安全部认为关键制造业部门对美国经济的?#27604;?#21644;可?#20013;?#21457;展至关重要对其进行攻击或使其中?#26174;?#33829;将会中断国家层面和跨多个关键基础设施部门的重要功能

    2013年2月美国发布13636号行政命令提升关键基础设施的网络安全和第21号总统指令关键基础设施安全和弹性?#32602;?#21518;者替代了国土安全第7号总统指令确定了16个关键基础设施部门和重要资产具体包括?#28023;?化学制品2商业设施3通信4关键制造?#25285;?大坝6国防工业基地7应急服务8能源9金融服务10食品与农?#25285;?1政府设施12医疗与公共卫生13信息技术14?#35828;尽?#26680;材料和核废料15运输系统16自?#27492;?#19982;废水系?#22330;?script>WriteZhu('44');美国政府特朗普总统上任后发布的?#23545;?#24378;联邦政府与关键基础设施网络安全行政令?#28304;宋?#20316;调整

    在识别并指定关键信息基础设施部门之后被指定的每个关键部门内还需要继续根据重要性程度加以分类并指定例如美国早在2002年就认识到每一个关键基础设施部门内部的资产功能和系统的重要性不是可以等量齐观的运输部门非常重要但不是每一座桥梁对整个国家而言都是关键的因此要聚焦于最高优先级的事务在预算上重点保障保护关键基础设施所需资?#30784;?script>WriteZhu('46');澳大利亚新西兰反?#27835;?#21592;会2015年发布的保护关键基础设施免受恐怖袭击国家指南?#32602;?#26681;据关键性程度将具体设施具体?#27835;?#33267;关重要主要重要较不重要和无法估计5类其中至关重要是指全国?#27573;?#20869;无法提供替代服务或设施损失或损害将导致资产遗弃或长期停止?#20445;?script>WriteZhu('47');只有重要?#28304;?#21040;至关重要的具体设施才应被指定为关键信息基础设施

    保护条例征求意见稿第18条列举了关键信息基础设施保护?#27573;?#20294;是列举规定以重点单位作为指定关键信息基础设施的基础单元缺乏系统性列举的4类单位不在一个层面没有突出至关重要性?#20445;?#26377;必要在关键部门具体设施的结构中进行系统分类指定

    二关键信息基础设施的审慎动态调整

    ?#28304;?#22312;网络与信息化不同发展阶段的国家而言关键信息基础设施的识别和指定有着各自的特点国家安全的问题意识经济社会生活的发展阶段和特点都将对其产生影响一些国家的经验显示关键信息基础设施保护?#27573;?#30340;动态变迁由回应特定威胁的需求所引导由政经社文的制度结构所决定从根本上受一国关于安全与自由的理念影响具体而言更关注安全和更注重自由的理念在保护?#27573;?#19978;会形成?#35772;?#24444;长的效应政经社文的制度结构决定着权利义务的配置财富集中之地容易引发网络犯罪恐怖分子指向之处将导致恐怖袭击主权国家矛头所指可能引发战略监控与侵袭

    关键信息基础设施的指定应当相当审慎既不能过于宽泛导致有限的资源无法被充分高效地应用也不能存在疏漏致使重要的关键信息基础设施没有设防这就要求规定严格审慎的指定程序在美国85%的关键基础设施系私有或私营政府试图将它们也纳入保护?#27573;?script>WriteZhu('48');因此美国关键基础设施的保护?#27573;?#26159;逐渐扩大的但扩大的过程始终受到私主体财产权诉求的制约我国的关键信息基础设施指定应更加注意避免纳入过多设施的倾向正如不需要作为国家秘密的信息不应被纳入国家秘密从而导致真正的国家秘密保护力量被削弱一样此外还应特别注意防止给私主体造成过重负担

    关键信息基础设施的保护?#27573;?#20250;发生具体的动态的变迁这就要求应有相应的动态调整程序在911恐怖袭击之前关键基础设施保护的重点放在源发于网络空间且在很大程度上可能未知的风险上全球信息基础设施的出现既为每个黑客提供?#26031;?#20987;工具的来源也使从世界上任何地方发动匿名攻击?#24613;?#24471;极为便利和廉价其?#20445;?#32654;国政府制定的关键基础设施保护政策的?#34892;?#30446;标指向信息安全在911恐怖袭击之后关键基础设施保护中的传统威胁受到了越来越多的重视在美国表现得尤为突出美国政府在反恐战略框架下改革和完善了关键基础设施保护体系关键基础设施保护成为国土安全部工作的关键组成部分关键基础设施的物理安全保护得到了更多的关注网络安全的保护相对而言有所削弱在这一基于反?#27835;?#39064;意识形成的国土安全标准之下关键基础设施部门的?#27573;?#21576;现出?#20013;?#36866;度扩展之后基本维?#27835;?#23450;的状态最初关键基础设施部门和重要资产的?#27573;?#20005;格根据国土安全需求精准划定其后根据反恐和国土安全保护的需要逐步适当划定应当纳入的部门和资产最近几年又?#34892;?#30340;变化例如美国政府特朗普总统上任后发布的国家安全战略中开始强调保护其关键信息基础设施以保护选民投票不受外国势力干扰保卫其民主体制

    在我国网络安全法起草过程中有学者指出在程序性制度框架方面应规定确定关键基础设施行业?#27573;?#30340;基本制度及标准规定确定具体关键信息基础设施的标?#25216;?#31243;序并实行及时更新的原则和制?#21462;?script>WriteZhu('52');保护条例征求意见稿规定了制定关键信息基础设施识别指南按程序报送识别结果在认定中充分发挥有关专家作用等内容还规定了新建停运关键信息基础设施或关键信息基础设施发生重大变化时的报告和识别调整制度但是总体上还需要在制度上形成审慎动态调整的程序规定

    四关键信息基础设施保护的主体架构

    一层级制部门化政府组织的捉襟见肘

    层级制行政机关是行政组织最主要最典型的结构形式在权力制约平衡的宪法框架中层级制能够较为明确地配置权利义务权力和责任但是在运作中存在指挥僵化效?#23454;?#19979;的固有缺陷工业革命后层级制行政机关逐渐部门化部门的数量随着行政活动?#27573;?#30340;扩张而不?#26174;?#21152;部门化有助于提供专业化的管理与服务但是也容?#29366;?#26469;分割和壁垒我国的政府体制和行政组织由计划经济时代的全能行政转型而来部门化的表?#25351;?#20026;突出

    在现代行政国家随着公务?#27573;?#30340;扩展与种类的增多层级制的局限日益凸显分散化的公务组织改革在传统的层级制行政机关之外发展出了多?#20013;?#24577;的公务承担主体到20世纪七八十年代特别是美国政府里根总统任期和英国政府撒切尔首相任期内公用事?#24471;?#33829;化兴起由私主体提供的公共服务逐渐增多行政的分散化趋势愈发显著

    关键信息基础设施保护的行政任务与此前常规的行政任务形态有着较大差异其对行政的组织形式提出了挑战一方面在原先的行政组织中没有对应的部门能够充分胜任这一任务另一方面行政组织的既有部门之间也需要更多的协调更重要的是由于大量的关键信息基础设施的所有者或运营者系私主体要完成保护任务需要对原有分散化的结构进行整合

    国家由自由法治国转向积极干预的福利与预防法治国家国家任务在质和量上均有重大变化对信息与知识的要求大大提高传统的层级制组织不足以确保决策者能够掌握足够的信息至少在特定的变动剧烈的法律领域里应?#30431;?#32771;替代性的规整策略与组织形式?#29992;?#20027;原则的角度来看立法者对于行政组织类型的型塑重要的不再是遵守特定的行政组织原则而是取向于可调控可控制的标准因此行政层级体制并非唯一可能的调控手段

    网络安全监管与关键基础设施保护事务产生于信息化与网络化的过程之中在此之前关键基础设施与重要资产都配备有相应的行政主管部门只不过当时的行政主管部门不需要处理网络安全保障事务普遍的网络化形成之后每个关键基础设施部门的网络安全都需要管理涉及多个政府部门这就需要妥当配置各部门之间的监管职权在美国早期由隶属于商务部的关键基础设施保护办公室和隶属于联邦调查局的国家关键基础设施保护?#34892;?#36127;责国内关键基础设施的保护工作 911事件前负有网络信息监管职责的联邦政府机构多有重叠?#28595;?#20132;叉权责不清或者监管空白等问题都在一定程度上存在影响了关键基础设施保护与网络安全保障的效能

    为实现网络安全的政府规制目标需要更新与重组旧有的监管机构以适应现代社会对于网络安全的全新需求一般而言监管权过于分散是导致监管不力与市场秩序混乱的重要制度原因因此监管机构的改革应以加强监管权的统一性和执法力度为主要政策追求互联网有着分布式结构但是网络安全无法分散实现其监管职权应当统一

    二高效统一的领导和广泛深刻的政府协同

    从关键信息基础设施保护的组织形式看许多国家?#25216;?#20110;网络安全对国家安全的战略重要?#36234;?#31435;了统一体系又结合关键信息基础设施保护事务的特点和现行机构的?#28595;?#20998;工配置具体部门

    美国在总统之下整合了国土安全管理资源由国土安全部统领但是每一个关键基础设施部门又由相应的联邦政府组成部门或机构具体负责这就重新整合了政府体系以更好地回应国土安全保护需要国土安全部成立以后在其内部涉及关键基础设施网络安全保护的主要机构包括关键基础设施保护办公室网络安全与通信办公室网络安全和基础设施?#27835;?#21150;公室分别承担关键基础设施的协调保护网络安全保障?#27835;?#21644;决策支持等?#28595;ܡ?script>WriteZhu('57');网络空间安全由国土安全部协同司法部包括联邦调查局与中央情报局合作负责信息技术的发展则与商务部合作负责这就大大提升了美国联邦政府在关键基础设施保护事务方面的组织协调能力和行动能力2013年后国土安全部与相关联邦部门的分工被调整和细化国土安全部长负责对所有关键基础设施定期评估同时具体负责化学商业设施通讯关键制造业水坝应急服务信息技术核反应堆与核材料及核废料领域的保护工作并与总务管理局共同负责政府设施的保护与运输部共同负责交通运输系统的保护

    德国信息技术安全法2015规定联邦信息安全局被联邦政府指定为国家信息安全主管部门联邦信息安全局从属于德国联邦内政部负责国家层面的信息安全关键信息基础设施保护作为联邦信息安全的核心组成部分也是由联邦信息安全局担任主管机关德国政府认为需要在联邦政府信息技术官的职责?#27573;?#20869;建立并保持联邦政府内各部门之间公私关键基础设施部门之间的合作设立国家网络安全委员会作为重要的常态化跨部门机构协调预防?#28304;?#26045;与跨学科的网络安全联邦首相与外交部内政部国防部经济与技术部等部部长和各联邦州的代表参与其中商界代表被邀请作为准成?#20445;?#24517;要时学界代表也会加入

    我国网络安全法颁布前有学者指出我国网络安全监管采取的是一种分散化多头治理的体制基本上凡是业务?#27573;?#21516;网络存在联系的部门都享有部分监管权仅中央一级的网络监管机关就至少包括国家网信办公安部工业与信息化部国家安全部新闻出版广播电视总局等这就容易导致主体多元与职责不清可能出现部门揽权或?#26399;ã?#20174;而引起监管冲突或形成监管漏?#30784;?script>WriteZhu('62');为此有学者主张应当通过立法设立专门的网络安全协调机构明文规定其他部门的具体管理和监督职责另有研究者主张建立一支成建制的体系化的覆盖全国?#27573;?#30340;队伍统一监管关键信息基础设施保护因为这样可以避免因多头管理重复工作职责分工不明而给运营者带来的极大困惑

    网络安全法的颁布未能完全解决问题中央网络安全与信息化领导小组的成立使网络安全的领导与议事协调能力显著增强但是在行政事务的日常处理上国家网信办还缺乏统一高效运作的组织基础和能力在关键信息基础设施保护体制上保护条例征求意见稿第4条确立的是分行业的指导监督网信部门统筹协调公安国家安全保密密码等管理部门各司其职的组织构造这一构造较难在关键信息基础设施保护上实?#25351;?#25928;统一的领导存在造成分割分散乃至形成壁垒的风险政府协同的?#35759;?#36739;大其实组织架构的顶层设计任务也很难由保护条例?#38450;?#23436;成因此有必要在新成立的中央网络安全与信息化委员会的领导下跟踪关键信息基础设施保护体制运作的?#23548;是?#20917;厘清政府在关键信息基础设施保护过程中的具体职责充分借鉴国际立法经验在组织规范上作出更为清晰明确的规定和限定形成既能实?#25351;?#25928;统一的领导又能促成广泛深刻的政府协同的组织架构

    三紧密的公私合作伙伴关系

    我国在加强统一领导方面具有体制优势但是网络的基因决定了有必要形成实质的紧密的公私合作伙伴关系公私合作是结构上的?#34892;?#24212;对而不是一时的策略政府规制虽能取得一定成效但它不是关键信息基础设施保护的灵丹妙药

    关键信息基础设施并不都是政府基础设施或公有设施有大量的所有者或运营者是私主体在美国对拥有或者运营关键基础设施的私主体课予义务的法律一直很难在国会获得通过美国政府的行政命令和总统指令可以规范政府部门机构的行为却无法为私主体设定义务目前美国政府基础设施与公有关键基础设施已经通过自?#32902;?#39039;总统时期到奥巴马总统时期的一系?#34892;?#25919;命令和总统指令得到?#31169;?#22909;的防护但是将私有私营的关键基础设施纳入防护体系一直是难题为此美国各届政府都倡导基于自?#28014;?#21512;作加入防护体系美国很早就认识到联邦政府只能通过与工?#21040;?#24030;与地方政府的?#34892;?#21512;作来完成保卫关键基础设施的任务有研究者指出在美国所有化工工厂和航空公司大部分的电力企业和电力运输资产以及许多港口装卸及核设施均为私主体拥有合作成为必然而非一种选择尽管合作的性质和条件可以在很大?#27573;?#20869;发生变化

    ?#35789;?#33021;够为关键信息基础设施的所有者和运营者设定法律义务使其在关键信息基础设施保护?#19979;?#34892;合规义务也仍然需要在公私合作伙伴关系中实现安全保护的目的通过公私合作完成行政任务其目的大多可以概括为追求更好的结果或是获得更多的资源或是两者兼而有之通过公私合作伙伴关系保护关键信息基础设施在信息能力和技术能力两个方面具备实质的正当性基础

    公私合作能够提供关键信息基础设施保护所需要的更充分的信息私主体往往对自身网络系统架构及其脆弱性更清楚早在1996年美国联邦调查局就与多达8300?#31227;到?#31435;公私合作伙伴关系对包括供电?#23613;?#26725;梁以及建筑物在内的所有国家关键基础设施进行防护共享有关网络与物理威胁的信息防范恐怖袭击美国国会也在关键基础设施信息保护法2001中指出拥有和运营着大部分关键基础设施的私营部门与具备与众不同的信息和?#27835;?#33021;力的联邦政府都能通过分享信息及其?#27835;?#32467;果极大地受益于合作应对关键基础设施的脆弱性受到的威胁和?#23548;使?#20987;在基础设施安全保护方面私营部门通常会有明显的信息优势政府可能缺乏对特定资产的精细化理解而这对于确定适当的保护级别或者安装最为牢靠?#39029;?#26412;最低的防护是必需的美国保卫网络空间安全的国家战略在优先事务中即鼓励私营部门共享网络安全状况信息

    公私合作能够充分整合关键信息基础设施保护所需要的技术能力政府对攻击能力强的网络犯罪者外国机构等侵入者及相关防卫技术更为熟悉私营部门也具有创造性的天?#24120;?#33021;够开发出信息系?#22330;?#20813;疫程序软件检测设备和创新技术以保卫国土安全政府与私营部门之间的紧密合作对于尽快识别和消除关键基础设施面对恐怖袭击时所表现出的脆弱性至关重要

    以信息和技术能力为基础美国在关键信息基础设施保护上的公私合作不断深化从信息共享与?#27835;z?#21040;共同识别确定优先级和合作保护共享物理与网络威?#30149;?#33030;弱性事件可能的防御措施和最佳?#23548;?script>WriteZhu('75');2013年美国政府第13636号行政命令提升关键基础设施网络安全要求国土安全部部长建立广泛吸纳关键基础设施网络安全相关主体参与保护的程序2013年的第21号总统指令关键基础设施安全与?#25351;?#21147;?#26041;?#19968;步要求政府内部和私有关键基础设施部门之间更好的信息共享能够而且必须在尊重隐私与人权的基础上进行2015年10月27日美国?#25105;和?#36807;网络安全信息共享法鼓励企业分享更多关于计算机攻击的信息

    在我国关键信息基础设施的所有者运营者中有很多属于政府机关或国有企?#25285;?#20256;?#31243;?#21046;有发挥作用的空间然而如果着眼于功能定位实质和紧密合作更有利于促进关键信息基础设施保护何况随着我国互联网及其产业的发展越来越多的私主体可能成为关键信息基础设施的所有者或运营者有研究者提出应注重运用行?#24213;?#24459;和自我规制因为企业通常比规制者更加?#31169;?#33258;身网络系统的漏洞何种安全应?#28304;?#26045;更加?#34892;?#35774;定何种安全标准最?#23460;ˡ?script>WriteZhu('79');但是完全的自我规制又缺乏激励或约束机制市场对网络安全?#24230;?#30340;激励较为间接且效果不明显外部约束不可或缺最为妥当的主体架构是建立一种实质性的紧密的公私合作伙伴关系这种合作不应是公权力对私主体的单向合作也不能是只注重形式而无权利义务配置的联合而应是受高权规制的社会自我规制它倾向于藉由国家与私人的分工共同具体化公共利益的内涵诱导私人发挥自主的创意行动以共同完成公共任务因此在倡导自愿的公私合作伙伴关系的同?#20445;?#26377;必要妥当设定权利义务形成政府规制框架内的公私合作伙伴关系实现充分?#34892;?#30340;合作治理

    五关键信息基础设施保护的过程控制

    一刻舟求剑的传统行政活动方式

    在基础设施广泛互联互通之前其保护任务主要表?#27835;?#29289;理防护需要处理的风险主要是物理风险关键基础设施的物理保护实质是一种秩序行政行政的活动方式主要是一?#25351;?#39044;行政在传统行政法框架中这一行政任务类型和活动方式应受到合法性控制其应当遵循依法行政原则对其在事后进行司法审查有着独特的不可替代的作用但是基础设施广泛互联互通之后网络空间和物理空间深?#28909;?#21512;单纯依靠政府为主导的命令控制方式可能无法?#34892;?#23436;成关键信息基础设施保护的行政任务如果不能实现立法目的形式上的合法也就失去了意义

    传统的行政活动方式以行为模式法律后果的规范结构为依据以事后处理方式进行消极防御维护基本的公共秩序和安全关键信息基础设施的安全无法仅通过政府的事后监管措施取得成效一旦发生了侵害网络安全的违法犯罪行为危害后果就已经形成事后的惩罚往往于事无补事后的行政处罚乃至刑罚也不一定能够起到吓阻作用现代行政法学普遍承认希望藉由令行禁止许可保留或处罚威吓的手段对受规范者产生一定影响的规制性法制作为古典秩序法制的特色面临危机?#20445;?#19968;是存在?#34892;?#30340;法制不能在实务上普遍落实的执行赤字问题二是在公私合作中寻求双方均可接受的问题解决方案?#20445;?#26080;法在?#28595;?#30340;手段关系中提供?#34892;?#30340;指引

    工业化和城市化发展到一定程度之后事前许可制度得到了广泛运用然而在关键信息基础设施保护上?#35789;?#35774;定事前的许可制度由于网络技术日?#30053;?#24322;许可意义上的合规也不一定能够带来安全例如在徐玉玉?#28014;?#20013;被入侵的网站就获得了合法许可可见?#37237;?#20107;前许可一劳永逸地带来网络安全无异于刻舟求剑

    关键信息基础设施的?#20013;?#23433;全运营既是社会和经济活动得以维系的秩序和安全事务也在很多情况下与福利和给付密切相关但是关键信息基础设施保护的活动单独运用秩序行政和给付行政的典型方式都未必能够达成目的关键信息基础设施保护的目的在于最大限度地保障和最及时地?#25351;?#20851;键基础设施的?#20013;?#23433;全运营因此保护措施就必须贯穿整个运营过程至于?#36234;?#34892;网络攻击和入侵的违法犯罪行为人进行行政处罚乃至追究其刑事责任?#23548;?#19978;并未脱离传统行政法和刑法的框架只不过增加了一种适?#20204;?#24418;而?#36873;?/span>

    保护关键信息基础设施需要充分的?#24613;?#21644;预防需要?#20013;?#30340;监测和?#35789;?#30340;响应需要果断而有针对性的处理和迅速的?#25351;?#36825;些都意味着需要对行政活动方式进行重新考量而不能削足?#20107;ġ?/span>

    二运营行政的多元活动方式

    与传统安全威胁不同美国?#26174;?#30340;研究发现关键信息基础设施的?#20013;?#23433;全运营可能面临一种结构性的威?#19981;?#33988;意?#34987;?#30340;攻击破?#25285;?#21069;者包括自然灾害事故灾难公共卫生事件社会安全事件和技术本身或技术人员本身的影响后者可能来自无聊滋事的青少年蓄意破坏的内部员工有组织的犯罪分子恐怖组织乃至有敌意的国家等可能受到攻击的?#27573;?#24456;广没有军用或民用的区别没有前线或后方的区别

    传统行政为实现安全主要采取消极防御的活动方式在自由法治国时期政府扮演的是守夜人的角色行政承担的是夜警国家的任务即基?#23616;?#24207;维护和基本安全保障的任务与关键基础设施保护类似的事务在我国政府的行政活动中有着特定的表?#20013;?#24577;在20世纪80年代被公安机关作为保卫重点的是要害当时的保卫制度建立在相对封闭环境中对物理性的重要设施采用严格的物理隔绝和保护措施是主要应?#28304;?#32479;国家安全威胁的制?#21462;?#25105;国的信息安全制度最初采取重要信息系统等级保护制?#21462;?#36825;一制度因计算机信息系统安全保护条例?#32602;?994的颁?#32423;?#22522;本确立并由一系列规章政策文件和标准细化等级保护制度措施的重点在于防护?#20445;?#20854;核心理念是分级别按需要重点保护重要信息系?#22330;?script>WriteZhu('85');这一制度不足以满足在网络互联互通结构中对日趋复杂又相互依赖的关键信息基础设施进行动态防护的需求

    行政的活动方式在20世纪上半叶经历了重要变迁在美国大萧条的发生催生了?#22885;?#26031;福新政富兰?#32902;?#32599;斯福总?#31243;?#20986;了包括免于匮乏的自由在内的四大自由通过将?#23433;?#20135;的解释扩展到获得福利?#20445;?#34892;政的活动?#27573;?#25193;展到福利行政在德国福斯多夫教授最早撰?#30784;?#20316;为生存?#23637;?#30340;行政?#32602;?#25552;出了生存?#23637;ˡ?#30340;概念魏玛宪法写入生存权条文德国进入社会法治国时期行政通过积极给付的方式来增益人民自由权利和公共福祉第二?#38382;?#30028;大战之后英国美国法国和德国等主要国家的行政活动还普遍纳入了城市规划行政这一类型这是一种由消极规制转向积极规划以实现秩序安全和公共福祉的行政活动方式到了20世纪六七十年代随着工业化的发展工业和科技风险日益?#30001;?#24503;国学者贝克提出了风险社会的概念为了更?#34892;?#22320;维护秩序保障安全一种预防性的风险行政活动方式被提出它也为行政法和行政法学提供了新的课题在回应的过程中行政法制和行政法学都有了新的发展

    关键信息基础设施保护的行政任务所要求的行政活动方式不能是表?#27835;?#20107;后追究为主的消极防御它不是传统的秩序行政也不是应申请的给付行政也不同于积极塑造社会空间的城市规划行政与秩序行政相比它由积极的防御行政而不是消极的秩序维护行政与福利行政相比它由行政机关采取措施与多方主体合作确保经济社会正常运行而不是基于申请给予生存?#23637;ˡ?#20174;总体上而言它既要通过对私主体加以规制以实现基本安全又要以担保行政的方式补充性地提供网络安全这一新型公共品有时甚至以给付的形式直接提供因此关键信息基础设施保护表?#27835;?#19968;种运营行政?#20445;?#25919;府成为守护者?#20445;?#21487;能采取包括规制担保给付在内的多元活动方式来完成行政任务

    三基于公私合作的全过程风险治理措施

    总体上关键信息基础设施保护是一种风险治理过程它是政府规制框架中的自我规制与合作治理的二?#36164;?#26045;机制归纳主要国家的立法和行政经验关键信息基础设施保护过程中的风险治理措施主要包括?#28023;?关键信息基础设施的识别与指定2脆弱性?#27835;?#19982;威胁评估3供应链安全审查4信息?#27835;?#20998;享和安全警示5事件?#27835;?#22788;理报告和?#30452;富指础?script>WriteZhu('89');以风险治理的框架来观察和界定这些措施分别是风险识别风险评估风险预防风险沟通和风险处理

    在识别和指定关键信息基础设施后各国立法和战略都要求进行相互依赖性脆弱性与风险?#27835;?#32654;国早在2000年就将脆弱性?#27835;?#19982;威胁评估?#24418;?#20851;键信息基础设施保护的第一项任务其后一直?#26377;?013年第21号总统行政指令要求所有联邦部门和机构负责人对其管辖?#27573;?#20869;的关键基础设施保护负有安全状况评估安全补救措施实施等责任?#35775;?#25351;令还对完成的时间和频率作了规定在脆弱性?#27835;?#19982;威胁评估的基础上?#34892;?#22269;?#19968;?#35268;定应制定多层次的网络安全保护计划设定最低安全标准我国网络安全法第39条第1项规定了关键信息基础设施安全风险抽查检测评估制?#21462;?#20445;护条例征求意见稿第40条第1款同样规定了抽查检测评估制?#21462;?#20294;是抽查检测和评估的内容应当加以明?#32602;?#38656;要集中于全网关键信息基础设施的相互依赖性脆弱性?#27835;?#21644;威胁评估保护条例征求意见稿第40条第2款做了避免交叉重复检测评估的规定但是这种倡导性的规定对约束和规范公权力作用不大应当对公权力的行政检查作出明确限定有研究者认为网络安全执法中各主管部门从不同角度进行网络安全检查其中不可避免地存在一定的交叉给企业造成不必要的监管负担公民法人和其他组织作为相对人其受检查需合规的义务不应当是多头多重的否则既不利于提升管理效能也不当加重了私主体的义务

    关键信息基础设施的?#20013;?#23433;全运营高度依赖于广泛部署的网络技术产品和服务在全球化的经济格局中供应链之复杂?#19978;?#32780;知对其进行审查是风险预防的重点主要国家往往通过合规遵从?#34987;R?#23433;全保障等方式确立供应链审查制?#21462;?script>WriteZhu('93');我国网络安全法第23条规定了网络关键设备和网络安全专用产品的安全?#29616;?#21644;检测制度同时规定应避免重复?#29616;?#26816;测保护条例征求意见稿在此基础上规定了运营者采购网络产品和服务的网络安全审查制度要求运营者与提供者签订安全保密协议网络安全法规定的网络安全审查制度的适用?#27573;?#20165;限于关键设备和专用产品保护条例征求意见稿则从是否影响国家安全的角度进行规定但是将对象扩展到网络产品和服务值得充分关注的是审查的?#27573;?#22914;果过于宽泛将会不当加重市场主体的负担影响市场效率与非常复杂的供应链相比审查机构的能力终究有限因此需要确立合规标准加强供应商自我规制引导关键信息基础设施所有者和运营者建立标准化审查体系

    网络安全风险信息的共享对于应对网络安全挑战至关重要在美国第13636号总统行政命令要求建立将针对美国境内特定目标的网络威胁迅速传达给目标实体的机制第21号总统令要求评价优化公私合作和信息交流方式促进信息?#34892;?#20132;换为了促进共享信息规定?#31169;?#20026;全面的使用限制和责任豁免制度一是信息分享需进行适当的匿名化处理二是分享在最小限度内进行三是分享信息的用途仅用于网络安全目的四是分享信息不得被用于取得不公平的竞争优势五是基于善意分享和为了网络安全目的使用网络威胁信息可获得民事与刑事责任豁免等此后美国网络安全信息共享法2015进一步建立了完善的网络威胁信息共享制?#21462;?#25105;国网络安全法第39条第3项规定了网络安全信息共享制?#21462;?#20445;护条例征求意见稿第36条规定了关键信息基础设施网络安全监测预警体系和信息通报制?#21462;?#20026;了规范有关行政机关的行为限度需要对其收集?#27835;?#20351;用信息的权力义务作出更为明确的规定和限定当然更重要的是?#23433;?#26159;授权一个?#34892;?#35268;制者来监控互联网免受恶意代码的攻入而是建立一个分布式的监测网络?#36816;?#38598;和?#27835;?#20851;于网络威胁的信息主要国家政府普遍重视风险沟通和交流强调通过对共享信息的保密信息共享后的免责制?#21462;?#21442;与政府采购提高公众信赖等方式激励私营组织共享敏感的安全信息我国立法应当对网络安全风险信息共享制度有更为全面的规定

    任何国家?#35789;?#26159;保护能力最强防范严密的美国也承认不可能完全不受网络攻击因此重点在于防止对关键基础设施的网络攻击降低国家对于网络攻击的脆弱性在出现网络攻击时尽?#32771;?#23569;损失并缩短?#25351;词?#38388;各国的立法和战略都规定了网络事件调查报告记录保存?#27835;?#30340;内容美国最早提出建立响应重建和?#25351;?#33021;力关键基础设施?#24615;?#30340;关键功能遭到的任何破坏或操纵必须控制在历时短频?#24066;?#21487;控地域上可隔离以及对国家利益损害最小的规模上此后又提出由于没有任?#25105;?#20010;网络安全计划能够防止所有智能化有组织的攻击因此必须确保信息系统在受到攻击?#27604;?#33021;正常工作并可快速?#25351;?#25152;有功能2013年美国专题发布了国家基础设施保护计划为了安全性和?#25351;?#21147;而构建伙伴关系美国第21号总统行政指令也把主题集中为提升关键基础设施的安全性和?#25351;?#21147;2015年2月6日美国发布国家安全战略报告强调要增强关键基础设施的?#25351;?#21147;?#35775;?#21017;将获得网络的?#25351;?#21147;作为首要战略优先事务?#28304;?script>WriteZhu('98');澳大利亚也规定关键基础设施应当具有?#25351;?#21147;?#20445;?#21363;在中断紧急和灾难时有能力提供最低水平的服务并快速?#25351;?#33267;全面运营的灵活而及时的能力?#28304;?#23545;照保护条例征求意见稿?#35775;?#26377;规定从整体上形成提升安全性和?#25351;?#21147;的制度架构有待加以重视和?#34892;?#35299;决

    以上述关键步骤为要点关键信息基础设施保护的全过程风险治理措施得以构建这些风险治理措施不一定能够与传统行政法上的类型化行政行为一一对应总体上属于风险行政的全过程控制措施这些措施的规定和采取需要基于公私合作伙伴关?#21040;?#34892;综合考虑形成实质上的合作治理才能更好地实现关键信息基础设施的保护目的

    六关键信息基础设施风险合作治理的意义和影响

    关键信息基础设施保护是市场机?#21697;?#25381;空间较小需要引入政府规制的事务关键信息基础设施保护需要同时处理传统威胁与现代风险的问题从行政的任务组织形式到活动方式都面临着结构性挑战不能简单?#23376;们?#32593;络时代的法律框架

    关键信息基础设施安全具有公共属性这就使关键信息基础设施保护成为网络时代行政的重要任务其要处理的对象是网络风险性质是风险行政目的在于保持和?#25351;?#20851;键信息基础设施的?#20013;?#23433;全稳定运营主要途径是通过权利义务配置提升安全保护能力关键信息基础设施的识别和指定旨在确定治理对象是确定行政任务?#27573;?#30340;首要工作需要明?#20998;?#23450;标准规定指定程序以实现对关键信息基础设施的系统分类指定和审慎动态调整

    互联网是分布式的互联合作结构层级制部门化封闭型的组织形式局限性明显需要转向平面化开?#21028;?#30340;组织形式在提升统一行动能力的基础上形成实质的紧密公私合作伙伴关系在活动方式上传统的行政活动方式实效性不足需要通过受规制的社会自我规制?#20445;?#37319;取分享信息合作应对?#28909;?#36807;程风险治理措施应对网络威?#30149;?#23454;现保护目的总之应通过合作治理完成保护关键信息基础设施的任务

    关键信息基础设施保护的合作治理固然需要受到合法性评价和控制但是更重要的是对其保护关键信息基础设施的效果及其成?#23613;?#25910;益进行适当评价由此行政的正当性证成方式将从合法性转向合目的性行政法也需要从?#36816;?#27861;过程为?#34892;?#36880;渐向以行政过程为?#34892;那?#31227;当然要最终确保一国关键信息基础设施的安全还必须引入国际化的维度需要在全球?#27573;?#25512;动新型组织安排重建商业政府和公民社会的关系

    完成保护关键信息基础设施的行政任务需要平衡安全与发展秩序与自由等重要价值如何妥当配置各方主体的权利义务需要深入研究也需要?#23548;?#25506;索与验证网络及其引发的科技风险等新问题给行政带来的挑战给行政法带来的变革才刚刚开始有关课题还需要后续跟踪和深入研究

    注释:
    [美]约?#30149;P.巴洛网络独立宣言?#32602;?#26446;旭李小武译载高鸿钧主编清华法治论衡第四辑清华大学出版社2004年版第510页
    [美]劳伦斯莱斯格代码2.0网络空间中的法律?#32602;?#26446;旭沈伟伟译清华大学出版社2009年版
    参见[美]Eric D.Knapp工业网络安全智能电网SCADA和其他工业控制系统等关键基础设施的网络安全?#32602;?#21608;秦等译国防工业出版社2014年版译者序
    [美]弥尔顿L.穆勒网络与国家互联网治理的全球政治学?#32602;?#21608;程等译上海交通大学出版社2015年版第195页
    关于互联网的三层结构及其立法框架的详细研究参见周汉华论互联网法?#32602;?#20013;国法学2015年第3期
    See Nathan Alexander Sales, Regulating Cyber-Security,107 Nw.U.L.Rev.1503,1513-1516(2013).
    参见前引周汉华文第21页以下
    参见前引穆勒书第206页
    参见前引Sales文
    参见龙卫球我国网络安全管制的基础架构和限定问题兼论我国网络安全法的正当化基础和适用界限?#32602;?#26280;南学报哲学社会科学版2017年第5期第2页以下
    参见王胜俊全国人民代表大会常务委员会执法检查组关于检查中华人民共和国网络安全法全国人民代表大会常务委员会关于加强网络信息保护的决定实施情况的报告2017年12月24日在第十二届全国人民代表大会常务委员会第三十一次会议上?#32602;?#20013;国人大2018年第5期第14页
    参见前引周汉华文第22页
    参见马民虎网络安全法律的困惑与对策?#32602;?#20013;国人民公安大学学报(社会科学版)2007年第1期第57页以下
    参见刘金瑞我国网络关键基础设施立法的基本思路和制度建构?#32602;?#29615;球法律评论2016年第5期第116页以下
    参见张晓娜网络安全法强化关键信息基础设施保护国?#19968;?#32852;网信息办公室网络安全协调?#25351;?#36131;人就网络安全法实施答记者问?#32602;?#27665;主与法制时报2017年6月4日第9版
    同上
    参见?#23435;?#20851;键信息基础设施保护制度的国?#24335;?#36712;与中国特色网络安全法亮点解读?#32602;?#20449;息安全与通信保密2016年第11期第51页以下
    参见前引刘金瑞文第116页刘金瑞美国网络安全立法近期进展及对我国的启?#23613;罚?#26280;南学报哲学社会科学版2014年第2期第74页以下
    参见孙佑海我国网络信息安全立法急需解决的若干重大问题?#32602;?#20013;国信息安全2014年第9期
    参见马宁国家网络安全审查制度的保障功能及其实现路径?#32602;?#29615;球法律评论2016年第5期第134页以下
    参见张?#24452;?#32593;络安全立法中的关键信息基础设施保护问题?#32602;?#20013;国信息安全2015年第8期第86页
    参见前引周汉华文第21页
    参见前引Knapp书译者序
    参见方兴东陈帅辨析美国网络安全战略的错误抉择从勒索病毒?#27492;济?#22269;网络安全战略?#32602;?#27733;头大学学报人文社会科学版2017年第5期第12页以下
    在我国在引发广泛关注的?#21363;?#23398;生徐玉玉遭电信诈骗身故案中高考网上报名信息系统被植入木马病毒包括徐玉玉在内的大量考生报名信息被窃取参见徐玉玉案信息泄露源头公布嫌疑人攻破报名系?#22330;罚?#26032;京报2016年9月10日爱德华斯诺登披露的美国政府棱?#23548;?#21010;?#20445;?#23454;施全球全息全面的监控肆无忌惮地窃取从外国领导人到其本国普通民众的广泛信息参见[美]格伦格?#27835;?#23572;德无处可藏斯诺登美国国安局与全球监控?#32602;?#31859;拉王?#20081;?#20013;信出版社2014年版第1页以下
    Help Net Security, Nearly 70% of Critical Infrastructure Providers Suffered a Breach, https://www.helpnetsecurity.com/2014/07/10/nearly-70-of-critical-infrastructure-providers-suffered-a-breach/2018年11月13日最后访问
    参见前引Sales文
    参见[美]保罗萨?#35759;?#26862;威廉诺德豪斯经济学第17版萧琛主译人民?#23454;?#20986;版社2004年版第285页
    参见前引
    Help Net Security, Cyber Readiness Across Government and Critical Infrastructure Industries, https://www.helpnetsecurity.com/2015/02/20/cyber-readiness-across-government-and-critical-infrastructure-industries/2018年11月13日最后访问
    参见前引Sales文
    See Stephen G.Breyer, Richard B.Stewart, Cass R.Sunstein & Adrian Vermeule, Administrative Law and Regulatory Policy: Problems, Text, and Cases, Aspen Publishers,2011, p.6.
    Forging a Common Understanding for Critical Infrastructure, available at http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/2016-frgng-cmmn-ndrstndng-crtcalnfrstrctr/2016-frgng-cmmn-ndrstndng-crtcalnfrstrctr-en.pdf2018年11月16日最后访问
    Directive (EU)2016/1148 of the European Parliament and of the Council of 6 July 2016 Concerning Measures for a High Common Level of Security of Network and Information Systems Across the Union, available at https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive2018年11月16日最后访问
    参见周汉华网络安全法的调整?#27573;罚?#31532;六届中国信息安全法律大会会议西安交通大学主题报告2015年12月9日陕西西安
    参见李海英网络安全法的价?#24213;?#27714;与制度选择?#32602;?#20449;息安全与通信保密2015年第9期第85页
    参见陈爱娥行政法学作为调控科学以行政组织与行政程序为观察重心?#32602;?#36733;台湾行政法学会主编行政法学作为调控科学?#32602;?#21488;湾元照出版公司2018年版第5页
    Congressional Research Service, Critical Infrastructure and Key Assets: Definition and Identification, available at http://congressionalresearch.com/RL32631/document.php2018年11月16日最后访问
    National Strategy for Homeland Security (2002), available at https://www.dhs.gov/sites/default/files/publications/nat-strat-hls-2002.pdf2018年11月16日最后访问
    Homeland Security Presidential Directive 7: Critical Infrastructure Identification, Prioritization, and Protection, available at https://www.dhs.gov/homeland-security-presidential-directive-72018年11月16日最后访问
    DHS Recognizes Critical Manufacturing Sector, available at http://www.hstoday.us/industry-news/general/single-article/dhs-recognizes-critical-manufacturing-sector/dae8f940a1f1604fdb588d3a1e3e3f47.html2018年11月16日最后访问
    National Infrastructure Protection Plan 2007/2008 Update, available at https://www.dhs.gov/xlibrary/assets/nipp_update_2007_2008.pdf, Nov.16,2018; Critical Manufacturing Sector, available at https://www.dhs.gov/critical-manufacturing-sector2018年11月16日最后访问
    Critical Infrastructure Sectors, available at https://www.dhs.gov/critical-infrastructure-sectors2018年11月16日最后访问
    Presidential Policy Directive-Critical Infrastructure Security and Resilience (PPD-21), available at https://www.whitehouse.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil2018年11月16日最后访问
    Executive Order 13800 of May 11,2017: Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure, https://www.federalregister.gov/documents/2017/05/16/2017-10004/strengthening-the-cybersecurity-of-federal-networks-and-critical-infrastructure2018年11月16日最后访问
    参见前引
    National Guidelines for Protecting Critical Infrastructure from Terrorism, available at https://www.nationalsecurity.gov.au/Media-and-publications/Publications/Documents/national-guidelines-protection-critical-infrastructure-from-terrorism.pdf2018年11月16日最后访问
    参见前引Todd A.Brown, Legal Propriety of Protecting Defense Industrial Base Information Infrastructure,64A.F.L.Rev.211,220(2009).
    美国早在20世纪60年代出现?#34384;?#23548;弹危机期间就认识到?#35828;?#35805;系统的重要性当时肯尼?#29486;?#32479;设立了国家通信系统NCS为应急期间关键政府?#28595;?#25552;供更好的通信支持See National Academy of Engineering National Research Council of the National Academies, Critical Information Infrastructure Protection and the Law: An Overview of Key Issues, the National Academies Press,2003, pp.8-9.
    同上
    See Michael Sulmeyer, Cybersecurity in the 2017 National Security Strategy, https://www.lawfareblog.com/cybersecurity-2017-national-security-strategy2018年11月16日最后访问
    参见前引周汉华文
    参见前引陈爱娥文第8页
    同上文第13页
    参见刘红美国对关键基础设施的技术保护?#32602;?#22269;际技术经济研究2004年第4期第28页以下
    参见周汉华基础设施产业政府监管权的配置?#32602;?#22269;家行政学院学报2002年第2期第52页以下
    参见前引
    参见前引
    Gesetz zur Erh?hung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), available at http://www.bundesrat.de/SharedDocs/drucksachen/2015/0201-0300/284-15.pdf?__blob=publicationFile&v=12018年11月16日最后访问
    Cyber Security Strategy for Germany, available at https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CyberSecurity/Cyber_Security_Strategy_for_Germany.pdf?__blob=publicationFile&v=12018年11月16日最后访问
    参见陆冬华齐小力我国网络安全立法问题研究?#32602;?#20013;国人民公安大学学报(社会科学版)2014年第3期第58页以下
    参见尹建国美国网络信息安全治理机制及其对我国之启?#23613;罚?#27861;商研究2013年第2期第138页以下
    参见龙卫球?#21482;?#27665;我国网络安全立法的基本思路和制度建构?#32602;?#21335;昌大学学报人文社会科学版2016年第2期第45页以下
    参见黄道丽方婷我国关键信息基础设施保护的立法思考?#32602;?#32593;络与信息安全学报2016年第3期第12页以下
    Mirko Zorz , Protecting the Critical Infrastructure: Strategies, Challenges and Regulation, https://www.helpnetsecurity.com/2015/03/23/protecting-the-critical-infrastructure-strategies-challenges-and-regulation/2018年11月16日最后访问
    Presidential Decision Directive/NSC-63(PDD-63), available at http://fas.org/irp/offdocs/pdd/pdd-63.pdf2018年11月16日最后访问
    Defending Americas Cyberspace: National Plan for Information Systems Protection Version 1.0, available at http://fas.org/irp/offdocs/pdd/CIP-plan.pdf2018年11月16日最后访问
    参见[美]约?#30149;D.多纳休理查德J.泽克豪泽合作激变时代的合作治理?#32602;?#24464;维译中国政法大学出版社2015年版第122页以下
    同上书第40页以下
    参见前引刘红文第28页以下
    Critical Infrastructure Information Security Act of 2001, available at https://www.congress.gov/bill/107th-congress/senate-bill/1456/text2018年11月16日最后访问
    参见前引多纳休等书
    The National Strategy to Secure Cyberspace, available at https://www.us-cert.gov/sites/default/files/publications/cyberspace_strategy.pdf2018年11月16日最后访问
    前引
    前引
    Executive Order-Improving Critical Infrastructure Cybersecurity, available at https://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity2018年11月16日最后访问
    前引
    美国网络安全信息共享法2015的中文译本参见美国网络安全法?#32602;?#38472;斌等译中国民主法制出版社2017年版第1页以下
    参见卢超深入推进网络安全法治化建设?#32602;?#20154;民法治2016年第8期第27页
    根据国家的作?#20204;?#20998;的三种规制基本类型包括国家高权?#28966;?#21046;受高权规制之社会自我规制社会自我规制?#20445;?#20854;中受规制的社会自我规制属于折中方?#28014;?#21442;见前引陈爱娥文第9页第18页
    合作治理的理论阐述参见[美]朱迪弗里曼合作治理与新行政法?#32602;?#27605;洪海陈标冲译商务印书馆2010年版
    参见前引陈爱娥文第6页以下
    参见前引
    关于我国等级保护制度的发展参见?#23435;?#32654;国关键信息基础设施保护与中国等级保护制度的比较研究及启?#23613;罚?#30005;子政务2015年第7期第93页以下
    参见张敏我国关键基础设施保护立法定位与内容的思考?#32602;?#20449;息安全研究2015年第2期公安部的意图似乎是希望将关键信息基础设施保护和等级保护制度整合起来合二为一参见公安部召开关键信息基础设施等级保护研讨会?#32602;?#20449;息网络安全2016年第5期第90页
    参见朱芒陈越峰主编现代法中的城市规划都市法研究初步?#32602;?#27861;律出版社2012年版第1页以下
    参见[德]乌尔里希贝克风险社会?#32602;?#20309;博闻译译林出版社2004年版第1页以下
    有关研究参见金自宁编译风险规制与行政法?#32602;?#27861;律出版社2012年版第1页以下刘刚编译风险规制德国的理论与?#23548;罚?#27861;律出版社2012年版第1页以下[英]伊丽莎白费雪风险规制与行政宪政主义?#32602;?#27784;岿译法律出版社2013年版第1页以下
    前引
    National Plan for Information Systems Protection 2000, available at http://fas.org/irp/offdocs/pdd/CIP-plan.pdf2018年11月16日最后访问
    前引
    参见李海英处理好网络安全法实施中的三个关系?#32602;?#20013;国信息安全2017年第6期第68页
    详细讨论参见马民虎马宁网络安全法与国家网络安全审查制度的塑造?#32602;?#20013;国信息安全2016年第6期第31页以下
    前引
    前引Sales文
    See H.R.5005-Homeland Security Act of 2002,107th Congress (2001-2002), available at https://www.congress.gov/bill/107th-congress/house-bill/50052018年11月16日最后访问
    参见王?#30331;?#24352;绍武美国关键基础设施保护立法政策现状评析及发展趋势?#32602;?#20449;息网络安全2015年第9期第41页以下
    Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, available at https://www.enisa.europa.eu/news/enisa-news/new-eu-cybersecurity-strategy-directive-announced2018年11月16日最后访问
    Australian Government, Critical Infrastructure Resilience Strategy, available at http://www.tisn.gov.au/Documents/Australian+Government+s+Critical+Infrastructure+Resilience+Strategy.pdf2018年11月16日最后访问
    作者简介陈越峰法学博士华东政法大学法律学院副教授
    文章来源法学研究2018年第6期
    发布时间2019/1/23
     
    分享到 豆瓣 更多
    打印此文 收藏此文 关闭窗口
     
    ӱ11ѡ5ֳ