我国关键基础设施保护立法定位与内容的思考

张 敏

(西安交通大学法学院 西安 710049)(fish_law@163.com)



我国关键基础设施保护立法定位与内容的思考

张 敏

(西安交通大学法学院 西安 710049)(fish_law@163.com)

关键基础设施信息安全保护是保障国家安全、社会正常运转以及实现公民生存权和发展权的基本前提.提出关键基础设施的基本概念、认定标准，试图阐明关键基础设施保护立法与《国家安全法》、《网络安全法(草案)》、等级保护制度之间的关系，并提出了关键基础设施立法的法律定位——安全保障法.我国关键基础设施保护立法应以信息安全保障为重心，在立法内容的设定上即应着眼于对关键基础设施信息安全风险的预防与控制，还应提升对关键基础设施信息安全的技术保障能力、组织保障能力、执法保障能力，加强关键基础设施保护的国际合作.

关键基础设施；关键基础设施保护立法； 信息安全保障

1 关键基础设施的概念与认定

美国2001年《爱国者法案》认为，关键基础设施(critical infrastructure， CI)是指关系到美国生死存亡的，无论是物理还是虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响.欧盟委员会于2004年发布的通告《打击恐怖主义活动，加强关键基础设施保护》中指出，关键基础设施是指如果被破坏或摧毁，会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产.关键基础设施横跨经济的诸多部门和重要政府服务.

我国的政策与立法实践中未对关键基础设施的概念给予明确的界定，但对关键基础设施保护的实际工作却一直存在.我们认为关键基础设施具有服务职能的公共性①服务职能的“公共性”是指任何一项关键基础设施都不是为特定部门、单位、企业或居民服务的，而是为国家所有政府部门、企业、其他组织和居民提供服务的，是为社会整体、为整个国家提供社会化服务.从服务对象上看，关键基础设施既为物质生产服务，又为居民生活服务.两者难以截然分开.、服务职能的关键性②服务职能的“关键性”是指关键基础设施最显著的特征.通常，某基础设施的成分或整体被定义为“关键”是由该基础设施在整体基础设施系统中的战略地位决定的，尤其是该基础设施的成分或整体对其他基础设施或部门起着链接渠道的作用.由于不同国家的传统文化、地理、历史、社会发展现状以及社会政治因素的差异性，因此对关键基础设施服务职能的“关键性”认识各异.、运转的系统性和协调性③运转的“系统性”和“协调性”是指关键基础设施是一个有机的综合系统，该系统在其内部以及同外界环境之间均需协调一致才能正常良好地运转.关键基础设施必须与城市国民经济、人口规模、居民生活水平、城市规划建设等保持协调发展的关系.关键基础设施内部各分类设施系统之间联系也非常紧密而协调.例如如果排水设施不良或遇到雨水积水就会造成交通不畅，如果城市道路通畅就能提高城市的防火防灾能力，城市电话普及、通讯设备良好无疑也会减少交通流量，减轻城市道路压力等.这三大特征尽管各国在“关键”的定义上存在差异，但总体上都把其瘫痪或遭到破坏会对一个国家的安全、经济和社会福祉产生削弱性影响的部门视为关键基础设施部门[1].通常，基础设施的某个成分因其在整个基础设施系统中的战略地位，尤其由于该基础设施与其他基础设施之间的相互依赖性而被定义为“关键”[2].欧盟委员会认定国家关键基础设施时通常考虑3个因素：1)范围.根据国家关键基础设施要素的损失或停运所可能影响的地理区域(国际、全国、省州或地方)范围,评估国家关键基础设施要素的损失；2)量级.将影响或损失的程度划分为“无”、“微小”、“中度”或“重大”等类别，评估事件潜在量级的尺度包括社会影响(受波及的公民数量、生命损失、疾病、严重伤害、疏散等)、经济影响(GDP效应、经济损失和或产品或服务退化，相互依赖性与其他国家关键基础设施要素)以及政治影响；3)时效.这一尺度确定什么时间点的要素损失有可能造成严重影响(如即刻、24～48h内、1周内)④Communication from the Commission to the Council and the European Parliament Critical Infrastructure Protection in the Fight Against Terrorism[EB/OL]. [2015-03-02]. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=URISERV:l33259.

综上，我们认为国家关键基础设施是指那些遭到破坏后对国家安全、社会秩序、公共利益或公民、法人和其他组织的正常生产和生活造成严重影响的资产或系统.我国在认定关键基础设施时应该考虑2个因素：第一，该基础设施先天固有的重要特性，即该基础设施是维护国家安全与公民正常生活的基础保障；第二，后天环境赋予其具有重要特性，即是指该基础设施在建成之后由于其发展使得其他基础设施对它的依赖程度逐渐加强，重要程度显现出来.目前，可以按照国发2012年23号文《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》中的有关规定，将国家各级党政机关，银行、保险、证券等金融部门，邮政、电信、广播、电视部门，电力、热力、燃气、煤炭、油料等能源单位，航空、航天等尖端科技企业和研究单位，铁路、公路、水运、海运等交通运输部门，水利及水源供给部门，医疗、消防、紧急救援等社会应急服务部门，重要物资储备单位，国家、地方经济建设的重点工程建设单位纳入关键基础设施的保护范围.

2 关键基础设施保护立法的法律定位——安全保障法

2.1 关键基础设施保护立法与《国家安全法》

国家安全是任何国家存在与发展的基本前提和根本保障.与原来的国家安全法不同，新的《国家安全法》不再局限于反间谍工作，而一部国家安全领域的综合性法律旨在界定并保护国家安全.《国家安全法》规定要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，突显了立法对关键基础设施保护“安全与可控”的重视.从立法宗旨看，《国家安全法》旨在维护国家安全与保障人民的根本利益，是一部关切基础性与全局性安全的综合性立法，保护关键基础设施的信息安全是国家安全保障的应有之义.而关键基础设施保护立法宗旨应以加强其信息安全保护为立法轴心，在立法内容上应规制关键基础设施立项、建设、运行、使用、支持和维护等过程中保障计算机信息及其相关系统、环境、网络和操作安全的活动.从立法位阶看，关键基础设施保护立法应该定位为《国家安全法》的下位法，应遵循上位法优于下位法的基本原则.

2.2 关键基础设施保护立法与《网络安全法》(草案)

2015年7月，《网络安全法》(草案)在万众瞩目下出台，该草案明确了保障关键信息基础设施安全的战略地位和价值.草案第三章第二节对于关键信息基础设施的安全保障用了较多的篇幅去规制，涵盖了涉及国家安全、经济安全和保障民生等领域，具体范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等.尽管草案中所规定的关键信息基础设施与关键基础设施在内涵上并不完全一致，但两者在多数情况下已可以混用.《网络安全法》应调整一般网络用户、网站运营人、网络运营商、网络主管部门、网络设备生产者、网络行业组织者之间在网络空间安全保障中的权利与义务关系.而关键基础设施保护立法的调整范围应包括国家关键基础设施信息安全保护主管部门、国家关键基础设施的行业主管部门、运营单位和各级地方政府在实施国家关键基础设施信息安全保护工作的过程中所产生的各种社会关系，应突出对信息安全事件的监测和预警，在国家关键基础设施信息安全事件的报告、应急处置、控制等各个环节，贯穿“预防为主”这条主线，防止信息安全事件扩散.从立法定位看，网络安全法是网络空间的基本法，协调与平衡国家安全、社会稳定、产业发展及个人隐私是网络安全法的基本价值诉求.随着网络安全法律体系的成熟与健全，关键基础设施保护立法将成为网络安全立法体系的有机组成部分.

2.3 关键基础设施保护立法与信息安全等级保护制度

信息安全等级保护制度是国家信息安全保障的基本制度.自1994 年《中华人民共和国计算机信息系统安全保护条例》颁布以来，国家就在积极探索我国信息安全等级保护的思路、方法、途径.从立法目标看，信息安全等级保护制度的核心观念是保护重点、适度安全，即分级别、按需要重点保护“重要信息系统”.而关键基础设施保护立法在于有效应对自然灾害、人为事故、蓄意攻击等诸多信息安全风险，政府的目标是要将这种安全风险给国家造成的影响最小化，最重要的是要有行动协调且训练有素的快速反应能力，并建立一套完整的监测、评估、应急响应体系.关键基础设施保护立法应突出国家关键基础设施信息安全保护、监测和预警、应急处置与恢复、监督管理以及保障措施等制度.从防护思路看，信息安全等级保护主要是从如何保护重要信息系统免受不同程度威胁侵害的角度出发，因此各种保护措施主要围绕信息系统的“防护”展开，如身份鉴别、访问控制等安全机制，即通过不同层面的纵深防护达到保护信息系统的目的.而关键基础设施保护立法的核心思想不仅包括“防护”，而是仍绕围绕着 “防护—检测—响应”的全面防护思想.

2.4 关键基础设施保护法是保障法

保障能力是信息安全法律体系的逻辑起点与灵魂，也是判断法律实施效果的标准[3].关键基础设施保护立法是网络安全立法的有机组成部分.关键基础设施保护法应定位为安全保障法，即保障关键基础设施功能实现、持续化稳定运营，完整性地发现、消除和恢复信息安全威胁和风险的法律.从立法形式上应是实体性法律规范与程序性法律规范的结合，以更好地发挥关键基础设施安全保障法的作用.具体而言，关键基础设施保护法应具有以下特点：

第一，对信息安全威胁和风险的“发现”应含有侦查、预警及供应链安全审查.对信息安全威胁和风险的“发现”是指对信息安全事件的监测、通报与预警.随着关键基础设施之间的连通性不断增强，对潜在信息安全威胁与风险的实时监测、准确识别、及时通报、有效预警可极大提升我们对关键基础设施的信息安全保护能力，防止信息安全事件的扩散.我们认为“发现” 阶段应包括必要的侦查、预警及IT供应链安全审查.必要的侦查是指侦查机关自行直接执法与通信机构协助执法的有机结合；预警是指国家关键基础设施信息安全保护主管机构根据信息安全事件的发生、扩散趋势的预测，及时向相关国家关键基础设施运营单位及其主管部门发出紧急信号，报告危险情况，以避免信息安全事件发生或者扩散；关键基础设施供应链安全审查是指根据国际和国内相关安全标准，对IT供应链的安全产品的性能、研发过程、程序、步骤、方法、产品的交付方法等进行全方位审查，以确保IT供应链关键节点的安全性与完整性，提升我国对关键基础设施信息安全风险的可控性.

第二，对信息安全威胁和风险的“消除”应当包含对网络攻击的惩治.网络攻击具有匿名性、跨国性和非对城性特征，是各国关键基础设施面临的最主要的信息安全威胁之一.近年来，网络攻击的数量增加、攻击的范围不断扩大,攻击以系统失灵、拒绝服务、欺骗伪装、破坏或者盗取数据、物资失窃、传输延迟以及误导式的服务体现出来.攻击的损害后果可能被即使发现，也可能会在未来的某个时刻发生，并对关键基础设施的网络系统带来灾难性的影响.我们认为对关键基础设施信息安全风险的“消除”也应该包含对于网络攻击的惩治，应通过立法方式明确攻击关键基础设施行为的性质与责任承担方式.

第三，对关键基础设施稳定运行的“恢复” 应当包括公众对社会稳定的信心.网络攻击的隐蔽性和力量的不对称性使其先天就具备了恐怖主义的特质[4].针对关键基础设施的网络攻击不再仅仅是国家行为，而将成为恐怖组织播散恐怖、制造舆论的工具.针对关键基础设施及工业控制系统的网络攻击不仅会带来潜在的大规模毁损和瞬间的财政损失，还将会使公众的“安全感”遭受“攻击”.文明社会依赖于公众对社会稳定性和持久性的信心，表现这种属性的方式多种多样，其最简单的方式就是将公众信心定义为普遍期待明天与今天没有什么差别和各种事件都能为政府当局所预见，所控制①战略脆弱性：信息时代基础设施保护和国家安全(http://www.china.com.cn/military/txt/2010-04/09/content_19778737.htm).历史经验告诉我们，一旦公众对社会稳定的信心遭到破坏，则社会秩序将陷入混乱状态，法律的威慑力与约束力也将形同虚设.一旦关键基础设施的使用性能与公众对社会稳定的信心同时成为首攻击的目标，将对整个国家与民族带来灾难性后果.可见，对关键基础设施稳定运行的“恢复”不应忽视公众对社会稳定的信心的恢复.

3 我国关键基础设施保护立法内容思考—以信息安全保障为重心

3.1 强化关键基础设施信息安全风险防控

针对关键基础设施信息安全风险的预防和控制是关键基础设施信息安全保护的关键环节，应积极探索事先的监测预警与通报措施及事中应急响处置与恢复应急措施.

3.1.1 监测通报与预警

我国《突发事件应对法》中针对突发事件监测通报与预警制度作出了具体的规定，总体上要求突发事件应对工作实行预防为主、预防与应急相结合的原则.《突发事件应对法》中的突发事件监测通报与预警制度的规范内容框架基本可以适用于国家关键基础设施的信息安全保护，但是，由于其所适用的突发事件是指突然发生，造成或者可能造成严重社会危害，需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件，因此，针对国家关键基础设施信息安全保护，在监测通报与预警的组织管理机构和采取的应对措施上还应当作出具体的规定.我们认为应该包括以下几个方面：

第一，确立国家关键基础设施信息安全监测通报机制，明确关键基础设施安全管理部门和关键基础设施行业主管部门的基本职责.第二，建立国家关键基础设施信息安全事件的预警机制.国家关键基础设施安全主管部门应根据信息安全事件的发生、扩散趋势的预测，及时向相关国家关键基础设施运营单位及其主管部门发出国家关键基础设施信息安全事件预警.按照事件发生的紧急程度、发展势态和可能造成的危害程度分为一级、二级、三级和四级，分别用红色、橙色、黄色和蓝色标示.第三，建立国家关键基础设施预警解除机制.国家关键基础设施安全主管部门应当根据事态的发展，按照有关规定适时调整预警级别并重新发布.有事实证明不可能发生信息安全事件或者危险已经解除的，当立即宣布解除警报，终止预警期，并解除已经采取的有关措施.

3.1.2 应急处置与恢复

我国虽然没有制定专门的国家关键基础设施信息安全事件应急法律制度，但在现行的法律中已有一些关于应急法律规范的零散规定，如国务院147号令①国务院147号令第19条规定，公安部在紧急情况下，可以就涉及计算机信息安全的特定事项发布专项通令.、291号令②国务院291号令第53条规定，执行特殊通信、应急通信和抢修、抢险任务的电信车辆，经公安交通管理机关批准，在保障交通安全畅通的前提下可以不受各种禁止机动车通行标志的限制.、第27号文③国务院第27号文中规定，国家和社会各方面都要充分重视信息安全应急处理工作.要进一步完善国家信息安全应急处理协调机制，建立健全指挥调度机制和信息安全通报制度，加强信息安全事件的紧急处置工作.各基础信息网络和重要信息系统建设要充分考虑抗毁性和灾难恢复，制定并不断完善信息安全应急处置预案.灾难备份建设要从实际出发，提倡资源共享、互为备份.要加强信息安全应急支援服务队伍建设，鼓励社会力量参与灾难备份设施建设和提供技术服务，提高信息安全应急响应能力.中都有相关规定.行业内部已经有关于应急响应的相关规定.2007年颁布的《突发事件应对法》根据社会危害程度和影响范围的不同将突发事件分为特别重大、重大、较大和一般四级，确立了突发事件的预防与应急准备制度，监测与预警制度，应急处置制度以及事后恢复与重建制度.此外，金融与通信行业内部已经有关于应急响应的规定④我国人民银行于2002年出台的《商业银行内部控制指引》和《关于加强银行数据集中安全工作的指导意见》，对金融行业的应急管理作出了具体的规定.信息产业部还要求国内的10家骨干互联网运营企业(包括6家电信运营商和4个公共信息网)成立自己的应急响应中心..但我国网络信息安全应急制度中部门之间的协调缺乏法律保障、应急执法中责任的承担仍然有待明确、应急过程中信息共享机制缺乏.我们认为构建国家关键基础设施信息安全事件应急处置与恢复制度应当从以下几个方面考虑：

第一，建立国家关键基础设施信息安全事件的应急处置基本制度.首先建立信息安全事件分级应急处置、应急协调处置制度制度.信息安全事件应急处置的分级标准由国家关键基础设施安全管理机构会同有关部门制订.国家关键基础设施运营单位的行业主管部门应当负责制定信息安全事件应急处置预案，确定信息安全事件响应、处置的范围、程度以及处置措施等.第二，明确国家关键基础设施信息安全事件的应急处置措施，包括信息安全事件的检测、信息安全事件应急预案的启动以及特大、重大信息安全事件的紧急处置.第三，确立国家关键基础设施信息安全事件的信息发布机制；国家关键基础设施安全管理部门由国家关键基础设施信息安全保护委员会向社会发布.有关打击破坏国家关键基础设施信息安全违法犯罪活动的信息由公安机关按照国家相关法律法规的规定向社会发布.第四，明确信息安全事件后国家关键基础设施的恢复制度.国家关键基础设施信息安全事件应急处置工作结束后，国家关键基础设施运营主管部门应当立即组织对信息安全事件造成的损失进行评估，组织受影响国家关键基础设施运营单位尽快恢复正常运营，制定恢复重建计划，并向国家关键基础设施安全主管部门报告.

3.2 提升关键基础设施的技术保障能力、组织保障能力与执法保障能力

除了根据关键基础设施面临的信息安全风险建立风险监测通报与预警、应急处置与恢复制度之外，为保障我国关键基础设施的稳定运营，还应全面提升我国对关键基础设施信息安全的保障能力，重视对我国关键基础设施信息安全的技术保障能力、组织保障能力、执法保障能力的建设与提升.

3.2.1 技术保障能力

技术保障能力是应对关键基础设施信息安全风险的核心要素.技术保障能力的提升应包括：1)构建兼有监测、预警、响应与恢复能力建设的信息安全技术防护体系，为我国关键基础设施信息系统的保护提供具体的技术指导方案.关键基础设施的信息安全技术不是信息安全技术和产品的一次性简单堆积，大量安全技术的堆积不仅会造成资源浪费，还会降低关键基础设施技术系统抵御信息安全风险的能力.随着关键基础设施之间的连通性与依赖性不断增强，我们应从顶层设计的角度构建具备监测、预警、响应和恢复能力的动态纵深防御体系框架，从攻击、防范、检测、控制、评估等角度构建我国关键基础设施信息系统安全防护体系.2)建立和完善国家信息安全审查制度，从宏观战略和微观技术2个层面分别采取不同的措施.在技术层面应开展信息技术产品和服务安全测评技术的研究，分析信息技术和产品的漏洞，制定相关的测评标准.对于进入政府机构、交通、电力、金融等重要领域的产品需要建立更为全面、严苛的技术审查与企业背景审查.此外，应建立关键基础设施领域引入国外设备与项目的决策机制.3)强化对新兴技术的安全防范.加大对云计算、物联网、移动互联网、卫星互联网等新兴技术研发的资金投入，加强核心技术攻关，提高我国对新兴技术的掌控能力，形成拥有自主知识产权的安全产业链条.4)增强我国网络安全防御技术与反击技术的研发.在认为因素造成的信息安全事件面前，舆论谴责只是隔靴搔痒，外交的反击更为重要.

3.2.2 组织保障能力

组织保障能力是应对关键基础设施信息安全风险的前提要素.组织保障能力的提升应包括以下方面：1)完善信息安全人才培养体系.制定国家信息安全岗位和职责标准,完善信息安全人才培养和选拔渠道，制定信息安全人才储备计划，保障关键部门信息安全人才需求.2)加强信息安全防御力量建设.建立成建制的网络部队，成立专门的网络战司令部，全面负责我国网络空间的安全防御.3)加强公司的信息安全治理结构.公司是社会的主要组成部分，同时也是国家信息安全的最终受益者，因而这些实体对信息安全治理工作的积极主动参与，并将这一功能工作纳入公司或组织的内部管理活动中，将有助于在网络时代更好地保护信息系统和强化我国本土安全.我国应将公司的信息安全治理提升到法律义务层面，明确公司的组织机构模型中不同主体的信息安全义务.也就是说，除善良管理义务、忠实义务是现代公司治理结构下董事、经理对于公司的义务外，信息安全治理也应成为公司治理结构的重要组成部分，这也是网络空间赋予公司董事、经理对公司新的义务[5].

3.2.3 执法保障能力

执法保障能力是应对关键基础设施信息安全风险的有力后盾.执法保障能力的提升应包括：1)信息安全共享机制的建立.随着网络入侵和恶意攻击的目标性和有效性不断增强，政府或企业单方的治理能力凸显不足，迫切需要依赖双方通过信息共享、对话、建立伙伴关系等方式，共同参与网络安全保障能力建设的，以相互协调网络安全的风险识别、控制与防范活动. 网络安全信息共享能够在宏观层面引导信息技术企业，特别是关键基础设施运营企业快速识别所遭受网络入侵和恶意攻击的来源、特点等，及时共享预警和分析信息，降低突发网络攻击事件的爆发频率，提高企业应对网络安全风险和威胁的综合能力.2)通信协助执法制度的建立.网络安全风险与传统的侵权风险不同，具有隐蔽性强、危害结果严重、影响范围广阔等特点，这使得对其侦查难度加大，侦查难度加大使得侦查机关由自行直接执法转向通信机构协助执法转变的需求增加.通信协助执法制度已成为欧美各国应对网络信息安全风险的一种重要的法律制度.目前中国对通信服务商要求的协助执法只限于“针对违法犯罪活动进行的停止传输、保存和报告义务”.我们认为我国通信协助执法制度是保障关键基础设施信息安全的有力保障，我国应明确协助执法主体确定、义务，完善相关的技术标准和严格的程序，电信运营商协助执法和执法机关执法时，都应当共同遵守统一的技术标准，以平衡各种利益关系，减少对公民隐私权的侵犯.3)加强对数据存留的法律监督.应赋予公共通信网络运营商的通信数据存留义务，以确保该类数据能够用于协助重大犯罪的侦察和起诉.由于存留的数据涉及到公民的隐私，应采取适当的措施保护该数据，以避免数据被意外或非法损毁，或未经许可非法存留、处理、获取、披露.除已经获取存留的数据外，其他数据应该在届满存留期限后被销毁.通过加强数据存留的法律监督以同时满足维护国家安全、公共利益与个人隐私保护的需求.

3.3 加强国际合作

随着网络空间的无限延伸，原有的安全孤岛将不复存在，任何国家试图在网络空间谋求自身的绝对安全几乎是不可能的，加强各国之间的合作.制定共同适用的国际规则、形成有效的国际合作机制是应对信息安全问题的必然途径.随着各种网络信息安全事件的出现，各国已更加清醒地意识到信息安全的重要性，也积极采取各种应对措施和行动.斯诺登事件发生后，绝大多数国家对美国的网络监控、黑客攻击等行为表示了担忧.在此背景下，推动网络信息安全方面的国际合作正面临一个较好的契机.我们认为保障关键基础设施的信息安全急需在以下方面展开合作：

第一，加强法律协调与司法合作.在对外合作时根据共同的威胁和合作需要，研究、比较和梳理合作方的相关国内法，就相互矛盾之处在司法方面谋求妥协和共识，以共同制定双边及区域信息安全合作的国际法律基础.此外，应加强合作方警备合作及司法协助方面的协调，推动执法部门间签署合作协定.尤其是要研究在该领域出现紧急情况时相关国家的协作途径.

第二，明确运营商等非政府行为主体的协助执法义务.应对网络信息安全的严峻风险单靠政府的力量难以有效应对现有的危机，因此各国政府开始考虑寻求相关单位和个人的协助，通过立法确定强制性的协助执法义务——执法机构在进行侦查和刑事调查时，相关的单位和个人有义务提供执法便利.具体而言，在国际、国内有关网络犯罪的调查中，它们也都可以协助收集、记录并提交用户信息、实时的往来数据和内容数据，并对此负保密义务.此外，还涉及数据保护、公开、搜集、扣押、截取等的规定.与国外通信协助执法制度不同，中国目前通信服务提供商在执法活动中的角色是“被动式”的，技术侦查手段专属于侦查机关.可见明确运营商等非政府行为主体的协助执法义务对于推动我国关键基础设施信息安全保障的国际合作具有重要的现实意义.

第三，加强应对关键基础设施信息安全风险的国际演练.实施联合网络安全演习是网络领域最高水平的合作方式，可全方位提升网络危机事件的应对能力，通过联合网络演习可识别出我国在关键基础设施信息安全保障领域的薄弱环节，以及能够进行国际合作的具体内容，并将这些问题的应对策略纳入我国关键基础设施信息安全保障的实施策略中.

4 总 结

我国关键基础设施面临着技术固有缺陷带来的信息安全的威胁、信息技术的自主性不足引发的信息安全的威胁、病毒传播与黑客攻击等蓄意攻击活动引发的信息安全的威胁.保障能力是信息安全法律体系的逻辑起点与灵魂，也是判断法律实施效果的标准.我们认为关键基础保护法应当是一部综合性的，跨领域的调整物理与信息融合的安全保障法.关键基础设施保护立法需要明确其调整对象与立法的主要内容.关键基础设施在立法中应以信息安全风险管控为思路、信息安全保障为重心来引导立法内容的设置.此外，应加强各国在关键基础设施保护实践中的合作，制定共同适用的国际规则，形成有效的国际合作机制.

[1]曲洁, 朱建平. 等级保护与关键基础设施防护的融合研究[J]. 信息网络安全, 2011(12): 84-88

[2]Dunn M, Wigert I. 关键信息基础设施保护: 十四国安全保护政策陈述和分析[M]. 合肥: 中国科学技术大学出版社, 2007: 295-296

[3]马民虎. 信息安全法律体系: 灵魂与重心[J]. 信息网络与安全, 2007 (1): 13-15

[4]郎平. 网络空间安全: 一项新的全球议程[J]. 国际安全研究, 2013 (1): 128-141

[5]马民虎. 美国公司信息安全治理研究动态及凭荐[J]. 信息网络安全, 2006 (10): 57-61

张 敏

博士研究生，主要研究方向为信息安全法律与政策.

fish_law@163.com

The Reflection of Legal Position and Content of Critical Infrastructure Protection Legislation in China

Zhang Min

(SchoolofLaw,Xi’anJiaotongUnivercity,Xi’an710049)

Critical infrastructure information security is the precondition of national security andthe normal operation of society. It also ensure the civic right to live and development .The paper proposed the concept of critical infrastructure, the identified standard, and tried to elucidate the relationship between the legislation of critical infrastructure legislation andNationalSecurityLaw,NetworkSecurityLaw(Draft) and Hierarchical protection system, then proposed the legal position of critical infrastructure protection legislation—security safeguard law.China’s critical infrastructure protection legislation should focus on information security safeguarding, the contents of the legislation not only incloud the information security risk prevention and control, but also the promotion of the technical, organization’s and law enforcement’s safeguard abilities and international cooperation on critical infrastructure protection.

critical infrastructure protection; critical infrastructure protection legislation; information security safeguard

2015-08-27

2015年国家社科基金项目(15BFX050);信息网络安全公安部重点实验室开放课题项目(C13604)

TP309