“互联网+”时代关键基础设施信息安全法律保护研究

王　玥，马民虎

(西安交通大学 法学院, 陕西 西安　710049)



【法学研究】

“互联网+”时代关键基础设施信息安全法律保护研究

王玥，马民虎

(西安交通大学 法学院, 陕西 西安710049)

在“互联网+”时代,关键基础设施的信息安全对维持社会正常运转,维护国家安全和社会稳定,保障公众实现生存权与发展权至关重要。而关键基础设施信息安全法律保护的立场和路径与一国的基本国情密切相关,但是也应当包含预防为主、协调统一与合作共享的基本共识。我国现行法律制度无法适应“互联网+”时代的关键基础设施信息安全保护需求,在法律理念和具体制度设计上存在诸多不足,亟待加强顶层设计,通过专项立法的方式,推动“互联网+”时代的关键基础设施法律保护。

互联网+;关键基础设施;信息安全;法律保护

我国目前正在积极推进“互联网+”行动计划[1],其本质是互联网与传统行业的跨界融合进而达到驱动创新、产业结构重塑和经济转型,我国关键基础设施与互联网的深度融合已成为必然趋势。然而,在促使关键基础设施更高效、更有弹性、更可靠的同时[2](P137-145),互联网本身的脆弱性与关键基础设施持续运转的需求却可能存在尖锐矛盾[3]。在“互联网+”时代,关键基础设施的信息安全可能存在严重的风险隐患,危及整个国家的正常运转。当前,借鉴域外经验,分析我国关键基础设施信息安全保护的现状及不足,开展全面涵盖“互联网+”时代的关键基础设施法律保护的战略需求、法律理念和原则、具体法律保护对策等内容的体系化研究,是我国当前网络与信息安全法治建设的一项重要使命。

一、我国“互联网+”时代关键基础设施信息安全法律保护的战略需求

“互联网+”是移动互联网、云计算、物联网、大数据等新一代信息技术广泛应用于传统的经济与社会生活各部门并深度融合的过程[4](P32-38)。 “互联网+”已经成为一项国家战略,将逐步渗透到我国各个领域的发展当中。关键基础设施则指那些“遭到破坏后会对国家安全、社会稳定、公共利益或者公民、法人和其他组织的正常生产和生活造成严重影响的资产或系统”[5]](P53-54)。关键基础设施的信息安全保护则是要确保关键基础设施网络与信息系统抵御意外事件或者恶意行为的能力,确保所存储或传输的数据不受这些事件和行为的影响,并确保经由这些网络和系统所提供服务的可用性、真实性、完整性和保密性。“互联网+”时代关键基础设施信息安全的法律保护则是我国一项战略需求：

第一,关键基础设施信息安全是维持“互联网+”时代社会正常运转的基础。关键基础设施最显著的特征是具有公共服务职能,其服务涵盖国家的社会生产与公民生活的基本需求。关键基础设施同时服务于物质生产和居民生活,在“互联网+”时代,随着各项基础设施通过互联网等新一代信息技术的联通,二者更加紧密结合,难以截然分开。由于目前新一代信息技术处于高速发展阶段,技术远未成熟,客观上存在很多难以克服的技术漏洞和安全缺陷,关键基础设施的信息系统可能暴露出极大的安全隐患,威胁社会正常运转。

第二,对关键基础设施的信息安全提供法律保护是“互联网+”时代维护国家安全和社会稳定的现实需要。关键基础设施是现代化社会的核心部门,是国家安全和社会稳定得以维系的最重要保障。随着“互联网+”行动的不断深入,将关键基础设施内部的各个组成部分联结在一起,而且增强了不同关键基础设施部门之间的依赖性。例如,“震网”病毒等攻击事件的出现，更为信息安全风险正在向各个关键基础设施领域蔓延敲响了警钟。可见,关键基础设施信息安全事件一旦发生,就会对国家安全和社会稳定造成灾难性的后果。

第三, 关键基础设施信息安全是“互联网+”时代公众实现生存权与发展权的基本保障。 “互联网+”时代,关键基础设施的信息安全与社会公众的生活息息相关,社会公众对于金融、电力、通讯、应急服务、能源、医疗服务、交通、供水等基础设施的依赖性要强于以往任何一个时代，任何关键基础设施因面临信息安全问题而无法正常运转时,个人的生存权与发展权无疑将受到威胁。

第四,对关键基础设施进行法律保护是顺应国际形势的必要举措。从世界范围来看,随着关键基础设施在国家安全、社会民生、经济发展和政府事务中的基础性作用日益凸显[6]](P4-5),美国、德国、巴西、法国、印度等国家均制定了与本国国情相适应的关键基础设施信息安全保护法律政策。

第五,“互联网+”时代我国具有以立法增强对关键基础设施信息安全保护的迫切需要。尽管十八届三中全会提出确保国家安全的战略与举措[7],然而,我国目前却面临着信息化程度和水平较低而信息安全风险与世界同步[8]](P57-63)、复杂的国内外环境与 “互联网+”行动建设背景下的特殊信息安全问题。因此,我国具有对关键基础设施信息安全进行法律保护的重大需求。

综上所述,“互联网+”时代的到来,使得这些互相存有依赖性的关键基础设施正面临一些共同的信息安全风险,因此存在统一协调、规范其信息安全防护的战略需求,迫切需要对关键基础设施信息安全法律保护进行通盘考虑和顶层设计的相关研究。

二、“互联网+”时代关键基础设施信息安全法律保护的域外经验

尽管“互联网+”是一个我国独创的概念,但是关键基础设施与新一代信息技术的深度跨界融合的实践却已经在全球范围内广泛开展，使其法律保护呈现出多元化的趋势。从目前各国和地区的立法实践来看,需要对各国和地区的信息安全立法状况和关键基础设施保护状况进行通盘分析,透析关键基础设施信息安全法律保护的基本原理,并为我国关键基础设施信息安全法律保护提供可借鉴的制度设计。

(一)美国:协同发展型

作为世界上互联网技术最为先进且应用最为广泛的国家,从1998年以来,美国通过持续发布战略、立法、计划、行政令、总统令等一系列制度已逐步形成一套较为完善的关键基础设施保护制度体系[9]](P3-6)，具体内容涉及关键基础设施的界定和脆弱性评估、保护和协调机构设置及其职能、信息安全保护、监测预警、信息共享、应急响应等方面。美国的关键基础设施信息安全保护整体呈现出保护对象不断发展进化、强调公私部门之间的协作与信息共享的特征,是“协同发展型”的保护体系。美国对于关键基础设施的法律保护范围根据社会发展和安全形势而逐渐扩大,从克林顿政府时期的8类扩展到现在的16类*克林顿政府时期关键基础设施部门主要包括：电信、电力系统、天然气及石油的存储和运输、银行和金融、交通运输、供水系统、紧急服务、政府连续性等8类。奥巴马政府确定了16类关键基础设施部门：化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆及材料和废弃物、运输系统、水及污水处理系统。[10]。在保护机制方面,美国重视多机构参与的关键基础设施管理工作的协调,强化对于关键基础设施信息安全风险的监测预警和应急响应,重视不同机构之间的信息共享,以实现关键基础设施信息安全保护需求[11]](P17-23)。美国的关键基础设施的信息安全保护和协调的核心机构是国土安全部基础设施保护办公室下设的国家基础设施协调中心(NICC)和“国家网络安全和通讯整合中心”(NCCIC)[12]](P35-41),并鼓励私营部门自愿加入 “信息共享和分析组织”(ISAOs)与政府进行网络威胁情报的信息共享。

(二)欧盟:风险控制型

欧盟已经建立了以“风险”为核心防控对象, 以风险进行事前评估预防和事中及时应对为途径, 以保障关键基础设施持续运转为目标的“风险控制型”关键基础设施信息安全保护体系。 欧盟2005年颁布了《保护关键基础设施的欧洲计划》, 明确了11个关键基础设施部门*具体包括:能源、信息和通信技术、水、食品、健康、金融系统、公共和法律秩序与安全、民事管理、交通、化学和核工业、太空和研究。， 力图建立一个在遭遇恐怖主义袭击时能够优先维持关键基础设施持续运转的保护计划。 这一计划鼓励各成员国制定关键基础设施保护政策, 并且提供了各成员国保护本国境内关键基础设施的具体方法: ①各成员国根据预设的国家标准确定关键基础设施的保护对象, 在设立标准时应当至少考虑特定的基础设施被中断或破坏时的定性和定量影响; ②根据“失去或不可利用该基础设施”导致地理区域产生的影响程度对关键基础设施进行风险评估; ③风险评估的影响因素有: 公共影响、 经济影响、 环境影响、 政策影响、 心理影响以及公共健康影响。 如果成员国尚未制定这种标准, 委员会将根据成员国的请求, 为其提供相关的方法策略, 帮助成员国建立标准[13](P51-60)]。 此外, 欧盟还对关键基础设施信息安全保护作出了加强国际合作的特别规定。

(三)日本:政府主导型

日本的关键基础设施保护体系呈现出“政府主导”的特色,强调政府与关键基础设施运营部门之间的信息共享,以强化多部门的联动,确保政府对其关键基础设施的业务连续性。日本关键基础设施保护的核心机构是内阁秘书处下设的信息安全政策中心和国家信息安全中心,其保护机制是以加强防护工程、技术操作、分析和响应能力(CEPTOAR)为核心,并强调政府部门与关键基础设施运营部门之间的信息共享。其主要制度是以巩固政府关键基础设施为核心,包含下列措施:①强化首席信息安全办公室的职能;②增强和巩固政府内部安全运营合作工作组;③高效并持续改进政府机构信息系统的信息安全措施;④在政府机构内部促进安全加密应用;⑤确保云计算信息安全;⑥评估中央政府计算机系统信息安全措施的标准;⑦在政府机构的信息系统构建能够彻底实施信息安全措施的装备;⑧为社会保险和税务的常用数字系统确立适当的信息安全防护;⑨为地方政府和独立行政机构实施信息安全措施。此外,用以巩固其他关键基础设施的措施则包括:①强化信息共享系统;②推动CEPTOAR委员会;③确定安全标准;④改进关键基础设施保护措施;⑤细化业务连续性计划;⑥在关键基础设施方面推动国际联盟。

通过归纳、比较上述国家和地区的保护模式可知,目前国际上关于关键基础设施信息安全法律保护的立场和路径取决于该国家和地区的信息化状况、法治现状和安全观等基本情况。但对于关键基础设施信息安全保护也已达成一些基本共识:首先,安全观从绝对安全转向相对安全,认为绝对的安全不可能实现,只能尽早发现风险、隔离风险、减小损失和应急恢复,尽最大可能保障关键基础设施的持续运转。其次,建立关键基础设施信息安全保护的统一协调机构。最后,通过深化公私部门合作的方式实现合作及信息共享。

三、我国“互联网+”时代关键基础设施信息安全保护的法律实践

(一)保护现状

目前，我国的关键基础设施信息安全法律保护呈现多头监管的状况:中央网络安全和信息化领导小组(以下简称“网信部门”)是信息化推进、网络信息安全协调的主管部门，工业和信息化部是信息化建设的主管部门,公安部是信息系统安全的主管部门,这三个部门是承担我国关键基础设施信息安全保护工作的主要机构,其职能侧重于制定宏观政策、提出措施建议、信息安全协调和监督管理。而具体的关键基础设施信息安全保护工作还主要依靠各行业的主管机构,各自制定和监督实施具体的信息安全保护办法或条例。

在立法方面,我国现行法律法规并没有直接对关键基础设施的信息安全保护作出规定,但是在我国各级立法机关制定发布的重要设施安全保护和信息安全立法中存在一定数量可适用于关键基础设施信息安全的规定,这些法律法规横跨刑事、民事、行政等多个领域,较为分散,尚未形成完整的法律体系。其中较为重要的立法包括:

1. 关键基础设施保护的相关制度我国立法当中没有关键基础设施的概念,因此,与关键基础设施相关的主要立法是《企业事业单位内部治安保卫条例》(以下简称《内保条例》),其中规定将关系全国或者所在地区国计民生、国家安全和公共安全的11类单位作为治安保卫重点单位*包括广播电台、电视台、通讯社等主要新闻单位;机场、港口、大型车站等重要交通枢纽;国防科技工业重要产品的研制、生产单位;电信、邮政、金融单位;大型能源动力设施、水利设施和城市水、电、燃气、热力供应设施;大型物资储备单位和大型商贸中心;教育、科研、医疗单位和大型文化、体育场所;博物馆、档案馆和重点文物保护单位;研制、生产、销售、储存危险物品或者实验、保藏传染性菌种、毒种的单位;国家重点建设工程;其他需要重点保卫的单位。，并规定各单位需要制定内部治安保卫制度、措施,建立必要的治安防范设施检查监督制度、隐患排查制度及应急处置制度。在规制范围上,《内保条例》涵盖范围涉及关键基础设施的大部分运营单位，但并未涉及对信息安全风险防范的具体规定。

此外,为了贯彻《内保条例》对重点单位的重点保护,不少行业针对某类重要基础设施的保护作出了规定,包括《电力设施保护条例》《金融机构计算机信息系统安全保护工作暂行规定》《水库大坝安全管理条例》《石油天然气管道保护条例》《广播电视设施保护条例》等,对本行业内的重要基础设施保护作出了制度安排,但几乎没有涉及信息安全的相关内容。

2. 信息安全保护的相关制度我国在信息安全保护领域的基本制度是等级保护制度,按照《计算机信息系统安全保护条例》的规定,其核心制度是将信息系统按标准分为五级并实施不同的保护标准,逐级加大保护力度;对涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全实施重点保护，保护范围包括信息系统的设备安全、网络安全、运行环境安全以及信息安全。2007年我国正式实施的《信息安全等级保护管理办法》明确规定信息系统的等级划分标准及其技术测评和风险评估等内容,为我国关键基础设施信息安全保护立法提供了思路。

此外,为了保障各行业的信息安全管理,防范计算机信息技术风险,各关键基础设施行业相继制定了相应的内部规范性文件,包括《工业和信息化部关于加强工业控制系统信息安全管理的通知》《电力行业网络与信息安全监督管理暂行规定》《基础电信企业信息安全责任管理办法(试行)》《国家安全监管总局网络运行和信息安全保密管理办法》《中国人民银行信息安全管理规定》等,对本行业内的信息安全保护作出了具体规定。

上述行业内部立法的制定与颁布,使得我国部分关键基础设施信息安全保护工作有法可依,也为完善我国“互联网+”时代关键基础设施的信息安全保护工作积累了一定的立法经验。

3. 突发事件的监测预警与应急恢复相关制度2007年颁布的《突发事件应对法》根据社会危害程度和影响范围的不同将突发事件分为四级,具体规定了突发事件的预防与应急准备制度、监测与预警制度、应急处置制度以及事后恢复与重建制度。但是,《突发事件应对法》主要适用于各种突然发生、并造成或者可能造成严重社会危害、需要采取应急处置措施予以应对的事件,没有考虑到关键基础设施信息安全保护的特殊性,在具体的应对措施上不能提供有效的指导。

(二)存在的问题

1.对“互联网+”时代关键基础设施信息安全保护的集中领导与统筹协调机制的需求缺乏回应我国当前关键基础设施信息安全相关立法,确立了“信息安全立法+行业内部立法”的多头监管且“条块分割”的保护体系:电信、电力、供水、金融、医疗卫生、交通运输、应急等相关主管部门都出台了各自保护信息系统安全的规范性文件,保护模式、标准各异,缺乏协调和信息共享机制。关键基础设施是一个有机的综合系统,这个系统内部和外界环境之间均需协调一致,才能持续运转。而在“条块分割”的现状下，缺乏对关键基础设施保护的集中领导、统筹协调和信息共享机制,既不利于国家从整体上防控关键基础设施的信息安全风险,也不利于关键基础设施遭受大规模攻击后的集中应急处置。

2. 缺乏对“互联网+”时代关键基础设施信息安全特殊性的把握“互联网+”时代,关键基础设施部门之间的依赖性进一步增强,随着信息化程度的加深,基础设施的脆弱性进一步加强,使得关键基础设施比传统时代更容易受到攻击和远程控制。因此,在“互联网+”时代,必须制定有针对性的专门保护制度,才能促进关键基础设施领域新一代信息技术应用的同时,切实保障关键基础设施的信息安全。从我国目前的关键基础设施信息安全保护机制上看，普遍存在“轻预防”的现象,未制定统一的风险评估标准,多数关键基础设施运营部门未能进行有效的脆弱性评估,同时又缺乏统一的安全计划与指南,无法确定需要加强安全评估并予以重点保护的关键环节,关键基础设施的信息安全存在极大隐患。

3. 立法缺乏系统性我国现行立法中并未形成对关键基础设施信息安全的有效保护体系,缺乏符合“互联网+”时代的保护理念与原则,制度之间缺乏有效衔接,可能导致关键基础设施信息安全风险的发生。具体来说,我国没有明确关键基础设施的概念和保护范围，缺乏统一的信息安全保护机构,对于关键基础设施信息安全事件的监测和预警能力较弱,信息安全保护能力参差不齐,应急措施不完备,无法对关键基础设施部门突发的信息安全事件进行有效的应急处置,缺乏对控制、应急、减灾、恢复能力的统一有效监管,对关键基础设施信息安全保护的财政和科研支持等制度也没有涉及。

四、完善我国“互联网+”时代关键基础设施信息安全保护的法律对策

尽管我国已经对关键基础设施信息安全问题有所认识,但是现行立法从保护理念原则和具体制度构建上都无法适应“互联网+”时代我国关键基础设施信息安全法律保护的需求，因此，应借鉴域外的相关经验，在革新立法理念和原则的基础上,制定在国家基本法律层面上的关键基础设施信息安全保护法。

(一)立法理念与原则

应当通过立法的顶层设计贯彻 “确保安全”的立法理念[14],坚持“积极防御和综合治理”“保安全促发展”和“预防为主与应急响应”三项立法原则,全面提高信息安全防护能力。

1.积极防御和综合治理原则基于信息安全风险“不可逆”的特点,在关键基础设施信息安全保护立法中,从发现信息安全风险、隔离风险、降低和控制风险的整个环节构建一整套包括预警、监测、响应、控制以及应急恢复等在内的关键基础设施信息安全保护立法体系。在关键基础设施信息系统规划、建设、投入运行使用的各个环节采取综合治理的方式,明确每个参与者的信息安全管理责任,将网络脆弱性引发的信息安全风险降至最低程度，以更好地保障关键基础设施的持续正常运转。

2.保安全促发展原则立法中应当更多地考虑安全的因素,但是,由于“互联网+”计划的目的通过将互联网与传统产业深度融合,发挥互联网的优势,进行产业升级,提升经济生产力并实现社会财富的增加[15]](P5-9),因此,在保障安全的同时,应当正确认识安全与发展之间的关系,以安全保发展,在发展中求安全[16]](P74-80)，使关键基础设施信息安全保护工作同经济建设和社会发展相协调,以实现促进国家经济和社会正常发展的目的。

3.预防为主与应急响应原则必须强化对关键基础设施信息安全风险的过程控制,围绕“安全保护—监测预警—应急响应”的防护理念，在关键基础设施信息安全事件的报告、应急处置、控制等各个环节贯穿“防护”这条主线。突出对关键基础设施信息安全事件的监测和预警,设立关键基础设施信息安全事件监测制度,提高监测预警能力。针对不同等级的关键基础设施信息安全事件的特点,制定相应的应急处置和恢复措施。

(二)制度目标

在“互联网+”时代,如果关键基础设施信息安全遭到破坏,将对国家安全、社会稳定和公民生活秩序造成严重破坏,因此,应当将 “保证关键基础设施的持续运转”作为关键基础设施信息安全保护法律制度的核心目标。

(三)保护范围

基于对世界各国确定的关键基础设施部门的分析,结合我国的实际情况可以得出,我国关键基础设施部门应当包括：能源、金融、社会应急和服务、医疗和社会保障、通信、政府服务、核设施、航空航天、先进制造、石油石化、油气管网、电力、交通运输、水利枢纽、城市设施、国防工业等部门。

(四)保护机构及机制

国家应当在网信部门内成立关键基础设施信息安全保护委员会,指导、协调和监督检查关键基础设施的信息安全保护工作。工信、公安、安全、保密以及各关键基础设施运营单位的行业主管部门,依法在其职权范围内对关键基础设施信息安全实施监督管理。省级人民政府制定本行政区域内的关键基础设施信息安全保护规划并组织实施,建立健全关键基础设施信息安全事件预防、控制和监督管理体系。

(五)具体制度

1.安全保护制度明确关键基础设施信息安全保护对象的认定标准和程序,建立关键基础设施信息安全保护对象清单,评估其依赖性和脆弱性,规定关键基础设施运营单位、主管部门的信息安全保护职责,分别建立关键基础设施建设的信息安全保护制度、运行中的信息安全保护制度、关键基础设施信息安全测评制度,并建立首席信息安全官制度。

2.监测预警制度设定关键基础设施信息安全事件监测制度,强化监测预警能力的建设;加强对关键基础设施信息安全事件的发现,防止信息安全事件扩散;强化关键基础设施运营单位主管部门在信息安全事件监测方面的责任,并在监测、预警、隔离、报告等各个环节防止信息安全事件的深化与扩大。

3.应急处置制度在《突发事件应对法》的框架下,针对不同等级的关键基础设施信息安全事件的特点,进一步完善应急处置和恢复措施,并根据各类关键基础设施运营单位及其有关主管部门的职责分工,分别规定应急处置和恢复的各种措施,并建立事后的总结报告制度。

4.监督管理制度通过对关键基础设施运营单位、主管部门以及关键基础设施信息安全保护委员会各自职责的规定,将行业主管与安全主管相分离,规范关键基础设施信息安全监督管理工作,防止出现监管职责重叠或“监管真空”。

5.保障促进制度为了保障关键基础设施运营单位信息安全保护工作的顺利进行,应当规定相关的保障措施,要求各级政府保障关键基础设施信息安全保护工作的经费、技术与物资储备。具体制度设计应当包括以下内容:第一,建立关键基础设施信息安全保护的技术能力与经费保障制度;第二,建立针对关键基础设施信息安全保护的科学研究和教学的支持计划。

[1] 李克强.2015 年政府工作报告[N].人民日报，2015-03-17(1).

[2] ALCARAZN C, LOPEZ J. Analysis of Requirements for Critical Control Systems[J]. International Journal of Critical Infrastructure Protection，2012, 5(3-4).

[3] 美国通信行业协会.保障网络安全:保障关键基础设施和全球供应链的建议[EB/OL].[2015-07-26]. http://www.usito.org/sites/default/files/tia-cybersecurity-white-paper-critical-infrastructure--global-supply-chain-chinese-201306.pdf.

[4] 宁家骏. “互联网+”行动计划的实施背景、内涵及主要内容[J].电子政务，2015,(6).

[5] COHEN F. What Makes Critical Infrastructures Critical [J]. International Journal of Critical Infrastructure Protection, 2010, (6).

[6] GEORGE R. Critical Infrastructure Protection[J]. International Journal of Critical Infrastructure Protection, 2008, (8).

[7] 中国共产党第十八届中央委员会第三次全体会议公报[N]. 人民日报,2013-11-13(1).

[8] 马民虎. 网络安全:法律的困惑与对策[J].中国人民公安大学学报：社会科学版, 2007, 23(1).

[9] 张莉.美国保护关键基础设施安全政策分析[J].信息安全与技术,2013,(7).

[10] THE WHITE HOUSE. Critical Infrastructure Security and Resilience[EB/OL].[2015-10-28]: http://www.whitehouse.gov/the-press-office/2013/02/12/presidential-policydirective-critical-infrastructure-security-and-resil.

[11] 王玥,方婷,马民虎,美国关键基础设施信息安全监测预警机制演进与启示[J].情报杂志，2016,35 (1).

[12] 袁春阳,杜跃进,周威.美国政府《国家网络应急响应计划》及其借鉴意义[J].保密科学技术，2012,(5).

[13] ADAM M， LEWIS, DAVID WARD. European Reference Network for Critical Infrastructure Protection [J]. International Journal of Critical Infrastructure Protection, 2013，(2).

[14] 中共中央关于全面深化改革若干重大问题的决定[N]. 人民日报, 2013-11-16(1).

[15] 黄楚新,王丹. “互联网+”意味着什么——对“互联网+ ”的深层认识[J].新闻与写作,2015，(5).

[16] 马民虎,李江鸿.我国信息安全法的法理念探析[J].西安交通大学学报：社会科学版, 2007, 27(3).

[责任编辑霍丽]

Study on Legal Protection of Critical Infrastructure Information Security in the “Internet+” Era

WANG Yue, MA Min-hu

(School of Law, Xi′an Jiaotong University, Xi′an 710049, China)

In the “Internet+” era, CI information security protection is crucial to the normal operation of our society, national security and human rights. Legal protection of CI information security is one of China′s strategic demands. Meanwhile, according to international legislative experience, the best legislative mode of CI information security should be chosen under China′s own situation, while with the concern to some international common practice, including prevention first, coordination and information sharing. With a complicated information security situation in “Internet+” era, regulations on information security protection is general and scattered and inadequate in regulation on CI, so CI information security legislation is in great need.

Internet+; critical infrastructure; information security; legal protection

2015-12-08

国家社科基金重大项目(15ZDA047)；国家社科基金青年项目(14CFX030)；陕西省社科基金项目(13F060)；陕西省软科学项目(2014KRM73)

王玥,女,陕西西安人,博士,西安交通大学副教授，主要从事信息安全法、基因法研究。

D922.1

ADOI：10.16152/j.cnki.xdxbsk.2016-05-024