落實我國關鍵信息基礎設施保護制度
來源:中國社會科學報 更新時間:2017-09-15


《網絡安全法》第31條采用了“列舉+概括”的形式,將“關鍵信息基礎設施”界定為“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域”以及其他可能嚴重危害“國家安全、國計民生、公共利益的”信息基礎設施。這一定義明確了所謂的“關鍵”就是指事關國家安全、國計民生和公共利益。對于關鍵信息基礎設施具體范圍的劃定,因“國家安全”存在較大的解釋空間,可能會出現寬泛界定和狹義界定兩種情形。本文建議主管部門根據我國面臨的網絡安全態勢采用狹義界定的方案較為妥當,至少應該將一般的商業性信息系統和技術產品排除在外,避免對產業界施加不當的監管負擔。

《網絡安全法》第32條原則上規定了關鍵信息基礎設施分行業、分領域主管部門負責制,第39條規定了國家網信部門可以采取的保護措施。建議在《條例》中進一步明確領導不同行業關鍵信息基礎設施保護的主管部門,明確國家網信部門、工信部門、公安機關等各自職責范圍和執法權限。《網絡安全法》并沒有對政府部門和私營部門的網絡信息系統進行區分保護,政府網絡信息系統需要遵循與私營部門一樣的網絡安全義務。但政府部門的系統比一般私營部門更加重要,這些系統被攻擊所造成的危害更大,美國、歐盟都規定了比私營部門更嚴格的監管標準。建議《條例》應針對政府部門和私營部門的關鍵信息基礎設施設立不同的監管框架,對政府部門要規定采用統一的技術規范,嚴格遵守統一的監管標準。

關鍵信息基礎設施保護制度是我國借鑒域外經驗建立的新制度,其貫徹實施需要與我國已有的信息安全等級保護制度協調好。《網絡安全法》明確規定“在網絡安全等級保護制度的基礎上”,對關鍵信息基礎設施“實行重點保護”。從《網絡安全法》的規定看,兩部分的內容仍有很多重復之處,比如第21—23條和第34—36條,在日常安全管理和確保供應鏈安全等方面的規定近似。建議《條例》清楚界定二者的適用范圍和主要內容。根據《網絡安全法》的界定,關鍵信息基礎設施保護制度應適用事關國家安全和國家命脈的基礎設施,而等級保護管理制度應適用于所有一般網絡信息系統。建議將關鍵基礎設施規定為需要保護的最高等級的網絡信息系統或其中一部分,但關鍵基礎設施的保護范圍和強制性監管標準,應該授權國家網信部門進行制定。從域外經驗看,無論是美國還是歐盟,雖然公開關鍵信息基礎設施涉及重要行業領域,但考慮到切實確保國家安全,具體范圍是不公開的,建議我國也實行關鍵信息基礎設施具體范圍秘密清單制度。

《網絡安全法》對關鍵信息基礎設施供應鏈安全和數據留存傳輸作出了特殊規定,但這些規定比較原則,建議進一步細化相關制度設計。對于關鍵信息基礎設施所采用的網絡產品和服務的國家安全審查制度,需要明確:審查的具體范圍;審查的程序;不同行業的審查機制,尤其是網信部門會同有關部門建立的程序和分工。第37條規定的個人信息和重要數據境內留存制度,引起國內外的高度關注。此條需要進一步明確關鍵信息基礎設施個人信息和重要數據的界定以及這些數據境外傳輸的安全評估辦法。域外對此條的關切存在一定的誤讀,將我國關鍵信息基礎設施的個人信息和重要數據境內留存,理解為一般商業信息系統的數據境內留存,而與域外所探討的“個人數據跨境流通”議題相混淆。如果我國對“關鍵信息基礎設施”的具體范圍采用狹義界定的方案,大部分的商業信息系統和技術產品會被排除在外,域外和業界表達的憂慮基本不會存在。即便采用寬泛的標準界定關鍵信息基礎設施,只要不涉及這些設施的安全,正常的個人信息跨境傳輸原則上也不應限制。

從美國和歐盟的立法經驗看,確保安全離不開強制性的監管標準。《網絡安全法》規定“國家建立和完善網絡安全標準體系”,但并沒有規定這些標準的強制效力。建議規定國家組織制定的網絡安全標準具有強制效力,納入關鍵信息基礎設施范圍的運營者應嚴格遵循有關的強制性標準,否則要承擔相應的法律責任。保護關鍵信息基礎設施的技術性較強,離不開產業界的支持,政府與企業應該建立協作和信息共享機制,共同維護網絡安全。《網絡安全法》缺乏授權政府與企業協作的規定,對于網絡安全信息共享的規定也過于簡單。建議:一是增加授權政府與企業建立協作機制的規定,監管規定要充分反映行業的最佳實踐。二是完善網絡安全信息共享制度,建立政府和企業以及行業內的信息共享機制,建立國家信息共享中心;規定共享的網絡安全信息,免除信息公開的披露義務,不能侵害個人隱私、商業秘密和其他合法權益。三是建立企業責任豁免制度,規定企業在遵循法定強制標準和按照法定要求共享安全信息的情況下,免除因此而產生的法律責任。

(作者單位:中國法學會法治研究所)



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios