【摘要】现代国家运行高度依赖信息网络,没有网络安全就没有国家安全。许多国家通过关键信息基础设施保护制度加强网络安全保护。中国等级保护借鉴了国外关键信息基础设施保护制度,两者有相似的保护理念、对象、标准和措施。2016年制定的《网络安全法》同时规定了等级保护和关键信息基础设施保护制度,该两项制度存在竞合。竞合问题最重要的是解决重复监管,需要科学界定监管部门职责,同时要重视为网络运营者提供信息安全服务;制定《关键信息基础设施安全保护条例》《网络安全等级保护条例》等配套制度,要强调其拾遗补阙作用,重点完善法律适用程序方面的内容。
【关键词】网络安全法;等级保护;关键信息基础设施;竞合
引言
信息技术普遍应用为社会发展提供了巨大推动力,但同时也给信息安全带来日益严峻的挑战。20世纪90年代以来,各国不断通过立法加强信息安全保护。美国等国家建立了关键信息基础设施保护制度,我国建立了等级保护制度,学术界关于这两项制度的关系有许多研究。我国《网络安全法》制定过程中,就如何吸收借鉴国外关键信息基础设施保护制度以及如何处理其与等级保护制度的关系,有关方面存在不同意见。2016年《网络安全法》确立了等级保护和关键信息基础设施保护并存的网络安全制度架构,但要确保这两项制度协调发展、有机融合,还需要进一步完善相关配套制度。
2017年12月,全国人大常委会执法检查组关于检查“一法一决定”的报告建议,加快《关键信息基础设施安全保护条例》《网络安全等级保护条例》的立法进程,明确等级保护制度和关键信息基础设施保护制度落实过程中的部门职责。国家网信办2017年7月发布《关键信息基础设施安全保护条例(征求意见稿)》,《网络安全等级保护条例》目前尚未有公开的草案,但如何处理等级保护与关键信息基础设施保护制度的关系,需要认真研究。本文对该问题进行分析研究并提出初步解决方案,以期对完善相关制度有所裨益。
一、关键信息基础设施保护与等级保护制度的形成路径
信息安全问题属于社会风险的一部分,公众对商业系统的信任水平降低,社会复杂化、相互依赖性、高度技术化程度增加,技术风险控制成本和损害赔偿费用增加等都会加大政府直接介入的强度。1969年阿帕网诞生后的几十年间,网络互联互通程度低,甚至最初的电脑病毒也只局限在苹果Ⅱ型电脑范围内。在此阶段,“信息系统相对独立,还没有取得基础设施这样重要的地位。计算机安全或者信息系统安全的核心是‘财产安全’,而以机房为中心的信息系统概念成为人们的关注焦点,这就形成了当时主流的被动保护式的安全观”,国家对网络安全问题的介入远没有现在深入。
20世纪90年代以后,随着计算机和互联网的广泛应用,信息安全问题日益严峻:一是万物互联,网络空间成为命运共同体;二是网络攻击演变为有组织的犯罪行为甚至是带有战争性质的国家行为,网络安全直接关系国家安全;三是网络攻击造成的后果严重且不可逆,亟需加强网络安全态势感知能力,将防护端口前移。为应对新的网络安全形势,美国于20世纪末率先提出对关键信息基础设施实施重点保护。1995年,美国司法部成立关键基础设施工作组,研究美国关键基础设施面临的风险和威胁。1996年,克林顿签发13010号行政命令《关键基础设施保护》。截至目前,美国出台了大量保护关键信息基础设施的法律、总统令、行政令等,逐步完善关键信息基础设施保护制度,包括关键信息基础设施范围界定、政府及私营机构的作用、信息共享等内容。关键信息基础设施保护制度逐渐成为维护网络安全的普遍做法,许多国家如德国、俄罗斯、澳大利亚、日本、新加坡等都出台了关键信息基础设施保护法律。美国使用的是“关键基础设施”(Critical infrastructure,CI),比“关键信息基础设施”(Critical information infrastructure,CII)概念范围宽。国际社会中,CII也通常用于泛指那些需要进行网络安全保障的CI。可以认为“CI”和“CII”分别是传统安全领域和网络安全领域从各自领域内看待同一个保护对象的不同定义方法。
《网络安全法》之前,我国主要通过等级保护制度保护网络安全。等级保护制度的发展可以分为三个阶段:第一阶段是确立阶段(1994—2006年)。1994年国务院发布《计算机信息系统安全保护条例》,确立安全等级保护制度。1999年,国家出台《计算机信息系统安全保护等级划分准则》(GB17859—1999),为等级保护制度实施提供技术支持。第二阶段是完善阶段(2007—2016 年)。2007年《信息安全等级保护管理办法》进一步明确等级保护工作管理体制,信息系统分级制度和信息系统运营者义务。2008 年之后又出台一系列标准。第三阶段是等级保护与关键信息基础设施的并行阶段(2016年以后)。《网络安全法》将“信息安全等级保护制度”上升为“网络安全等级保护制度”,并将其作为网络运行安全的一般性制度,同时规定了关键信息基础设施保护制度。
二、我国等级保护与国外关键信息基础设施保护制度的异同
我国等级保护制度是由管理体制、信息系统等级划分标准和网络运营者的安全保护义务等内容构成的有机体系,其中等级划分是等级保护制度的核心。《计算机信息系统安全保护等级划分准则》是我国的等级划分依据,参照了美国《可信计算机系统评估准则》(TCSEC)。TCSEC将信息系统分为7个测评等级,我国等级划分标准取消了其中的D级和A1级,保留5个定级和安全功能点,并增加了少量有关数据完整性和网络信息传输的要求。
除此以外,还有一系列其他标准与等级划分标准共同支撑起等级保护制度。美国通过《提升关键基础设施网络安全框架》(Framework for Improving Critical Infrastructure Cybersecurity)确立了关键基础设施识别、防护、检测、响应和恢复的制度体系。该框架涉及的主要标准是信息安全管理标准ISO/IEA27001、推荐的联邦政府信息和组织的安全控制措施NISTSP800-53、工控信息安全标准ISA62443及国际上通用的信息系统审计标准COBIT。美国关键基础设施保护的标准侧重管理要求,倾向于提供可供选择的信息安全最佳实践和模型,虽然如ISO/IEC27001在改版后充分考虑了信息处理技术的发展,但没有涉及对系统和产品技术指标的评估。我国研究者提及的国外特别是美国的“等级保护制度”,主要是指其信息系统等级划分标准,并非我国法律意义上的“等级保护制度”。
关键信息基础设施保护制度强调提升态势感知能力、加强信息共享机制建设。我国等级保护在发展初期主要围绕等级划分开展,且较长一段时间没有得到全面实施,一定程度上影响了该制度紧跟网络安全形势发展的时机,缺乏对监测预警、信息共享等制度的充分关注和完善的顶层设计。另外,我国等级保护与国外关键信息基础设施保护在管理体制、保护范围等方面也存在差别。但上述差别是我国等级保护制度发展不充分导致的“实然”结果,并非其与关键基础设施保护制度的“应然”区分,可以通过制度自身完善进行弥补,近年来等级保护在借鉴国外关键信息基础设施保护制度的基础上,完善了一系列信息安全风险管理标准,在制度内容上与关键信息基础设施保护制度逐渐趋同。《网络安全法》之前,等级保护制度很大程度上被视作中国本土化的关键信息基础设施保护制度。
等级保护制度与国外关键信息基础设施保护制度在根本理念上是共通的,都是风险管理思想的体现,强调对重点系统的保护。由于美国关键基础设施信息系统大多由私人部门所有或运营,国家干预尤为审慎。美国关键信息基础设施制度中的大部分措施对私人机构没有约束力,主要是考虑到过多干预可能产生负面效应:一是会导致强迫企业不合理配置资源、增加企业运营成本;二是企业不得不按照要求采取一些很快就会过期和无效的措施,而非有效应对当前和将来的威胁;三是影响公权力和私营机构的关系;四是在政府本身不能有效打击网络违法行为的情况下,通过立法给企业施加义务并不能有效提升网络安全;五是信息系统种类复杂、数量众多,政府很难了解实际情况,国家给企业施加义务会阻碍市场创新,削弱企业竞争力,最终反而导致关键信息基础设施信息系统更加不安全。审慎干预还体现在将关键信息基础设施限定在较小的范围,仅包括特别重要的信息系统。美国强调关键基础设施对国家非常重要,其一旦丧失功能或遭到破坏将会给国防安全、经济安全、公共健康或安全带来削弱影响的实体或虚拟的系统和财产,目前包括16个领域。德国、日本和俄罗斯的关键信息基础设施范围分别包括8个、13个和12个领域。
三、我国等级保护和关键信息基础设施保护制度的竞合
由于等级保护和关键信息基础设施保护存在制度重叠,理想方案是择一而用。要么用等级保护吸收关键信息基础设施保护制度,通过完善等级保护中的态势感知、信息共享等制度,加强网络安全保护。要么用关键信息基础设施保护制度代替等级保护制度。但择一而用方案在实践中面临困难:一方面,我国等级保护制度确立多年,已经有比较完善的制度体系,《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)将等级保护确定为“保障和促进信息化建设健康发展的一项基本制度”,《2006—2020年国家信息化发展战略》《国家网络空间安全战略》等都对等级保护制度作了规定,摒弃该制度并不现实。另一方面,仅对等级保护制度的内部完善难以从根本上满足网络安全保护新形势的需要:一是在等级保护制度下,“我国重要信息系统的定级缺乏从基础设施重要性角度判断信息系统重要性的分析方法和判定依据”。二是网络安全新形势下对网络安全统筹协调机制要求较高,等级保护的执行以公安部门为主,难以有效解决监管和协调难题。在《网络安全法》制定之前,我国已明确提出加强关键信息基础设施保护。比如在2014年,习近平总书记在中央网络安全和信息化领导小组第一次会议上就强调:“要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规。”三是网络安全治理需要加强国际合作,等级保护不是国际通行概念,不利于国际合作交流。《网络安全法》保留等级保护的同时,借鉴一些国家的经验,规定了关键信息基础设施保护制度,加强了网络安全保护力度,但也带来制度竞合问题。
竞合是法律中的普遍现象,如民法请求权竞合、刑法犯罪竞合、宪法基本权利竞合等,本质上是同一行为或事实符合不同法律条款的构成的要件而导致的法律适用问题。例如,请求权竞合是指一项事实同时具备若干项请求权规范的构成要件。犯罪竞合“不管是实质竞合、想象竞合或法条竞合,如果没有两个以上的该当犯罪构成要件,就不会有所谓的竞争与竞合”。宪法基本权利竞合也是在某种行为符合几种基本权利构成要件时出现。
法律竞合的产生主要有以下原因:一是人类的有限理性。个人理性在理解它自身运作的能力方面有着一种逻辑上的局限,在认识社会生活的作用方面也存在着极大的限度。人类的有限理性在立法领域表现为不可能创造出完美的法律制度。没有漏洞的法律秩序是不存在的,在变化迅捷的社会中不断地出现亟待解决的新的法律问题,而其中有许多都是法律没有作出规定的。法律竞合也是这种不完美的体现。二是法律逻辑结构的内在紧张。社会生活纷繁复杂,法律规则不可能通过简练的概念和清晰的逻辑结构实现对社会生活无缝衔接式的涵摄,法律责任构成要件重叠难以避免。三是法律部门划分。法律制度随着社会发展衍生出不同的法律部门,不同法律部门之间的制度因为保护理念、保护方式的差异而产生竞合。例如侵权请求权与社会保险请求权竞合。四是法律对有关冲突有意搁置。德国学者将此原因导致的法律漏洞称为“计划安排的漏洞”:出于各种原因,立法者认为做出法律规定很棘手,所以他们有意识地容许法官造法。例如,在相互抵触的政治力量(如政府联盟)内部很难实现统一(例如劳动法和劳动斗争法),所以立法也可能无能力调整或者不愿意调整。
本文所称等级保护与关键信息基础设施保护竞合,是指由于二者在保护范围、监管措施、保护方式等方面的交叉重叠,造成同一信息系统同时受到多个相同或相似监管措施的监管,给运营者带来不必要的负担。具体体现在以下几个方面:第一,调整对象范围重叠。如上文所述,等级保护和关键信息基础设施保护都是对重点信息系统的保护。全国人大常委会执法检查组关于检查“一法一决定”的报告显示,截至2017年,我国已累计受理备案14万个信息系统,其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施。第二,认定标准重复。目前尚未出台关键信息基础设施认定标准,但考虑到技术共通性,其标准也极有可能与等级划分标准相似。另外,对关键信息基础设施也可以再分级,与等级保护的分级殊途同归。例如《俄罗斯联邦关键信息基础设施安全法》第7条规定,根据对社会、政治、经济、生态以及对国防、国家安全、法律秩序的影响,关键信息基础设施客体的重要性分为一级、二级和三级。第三,监管重叠。由于关键信息基础设施被涵盖在等级保护对象范围内,公安部门根据等级保护制度对关键信息基础设施拥有监管权,行业主管部门则根据关键信息基础设施保护制度进行监管,网信办负责统筹协调和相关内容监管,存在监管职能交叉、监管内容重复问题,例如多个部门都可有权要求对关键信息基础设施进行检测评估。尽管在《网络安全法》之前以等级保护为主的情况下也存在部门职能重叠,但等级保护的主导作用明显。在等级保护和关键信息基础设施保护制度并行的情况下,多个主导部门并行,关系处理难度增加。第四,保护方式趋同。目前等级保护不断发展,有关方面提出等级保2.0概念,等级保护中的定级、备案、建设整改、等级测评和监督检查等内容不断丰富,如建设整改中附加关注安全监测、通报预警、应急处置、安全可控等,等级测评阶段越来越重视渗透测试、攻防对抗和有效性评价等。而关键信息基础设施保护制度也基本是围绕应急演练、信息共享、监测预警、应急处置等。
法律竞合难以避免,但并非不能解决。《网络安全法》创立了我国网络安全法律制度的新格局,等级保护和关键信息基础设施不能固守前《网络安全法》时期的制度定位和格局,而是要在《网络安全法》框架下与时俱进地科学定位、有机融合。
四、等级保护与关键信息基础设施保护制度竞合的解决路径
(一)避免“评价不足”或“重复评价”
关于法律竞合的性质有不同学说。以民法请求权竞合为例,最典型的是请求权竞合说与请求权规范竞合说。无论哪种学说,都要面对不同法律规范的适用关系问题。竞合理论目的在于避免对同一行为的评价不足或重复评价。评价不足或重复评价是指适用某种竞合规则,导致行为人承担的法律后果不足以实现或已经超出了法律规定欲达到的惩罚、补偿等效果。“无论强调认定法条竞合是为了防止双重评价,还是声称肯定想象竞合是旨在避免重复处罚,都是为了对法益侵害事实进行既不重复,又无遗漏,既不过度,又无不足的刑法评价。”本文所称网络安全法律制度对网络系统的“评价不足”,是指相关制度难以满足保障安全的需要,包括监管对象覆盖不全、监管措施不力等;“重复评价”是指相关制度叠床架屋、监管职能重叠、各类监管措施同质化,给信息系统运营者带来过重负担。
判定“评价不足”或“重复评价”,首先需要判定法律所保护的法益的价值。有的法益如财产权的价值判定相对容易,但人身权、国家安全、社会公共利益等的价值难以判定,对这些法益的保护程度与法律(责任)的功能和对这些权利的重视程度有关。如果基于最大限度尊重与保障基本权利的宪法理念,当数个基本权利规范具有同等效力,或者案件事实可被数个基本权利规范,且每一个基本权利具有独立价值,彼此不可以取代,此时宜应采取同时保护的方法,适用所有的基本权利规范。民事责任强调赔偿损失的功能,在该原则指导下,由于强调损害须是实际发生,可能出现赔偿数额有限而导致对加害行为和受害损失“评价不足”。而如果突出民事责任的抑制和制裁违法的功能,即便较多适用惩罚性赔偿或大幅提高精神损害赔偿数额,也不会被认为是“重复评价”。判定“评价不足”或“重复评价”,与对权利价值的认识有关。刑法保护的法益涉及人身权、交通安全、公务员的不可贿赂性、符合宪法的秩序、公共秩序、国家安全等,这些法益的价值本身难以具体衡量,如果突出刑罚的抑制违法和惩罚功能,对犯罪竞合的处理将是重罚。刑法上存在累积主义、加重原则或吸收原则等多种处理原则,虽然目前已经没有国家纯粹采取累积原则,但仍然基于不同的价值衡量存在差异。
“评价不足”或“重复评价”根本上还是利益平衡问题,例如侵权行为法要平衡受害人法益保护与侵权人行为自由的关系,刑法要处理好刑事责任与对犯罪人相关权利保障的平衡,网络安全法律制度需要平衡安全与发展的关系。安全理念随着社会的发展不断面临着各种新的安全问题的冲击, 这种冲击甚至不局限于安全理念本身, 对于与其密切相关的其他理念(如发展)也同样产生影响。解决等级保护与关键信息基础设施的竞合,既要避免对信息系统“评价不足”导致监管真空,也要避免过度“重复评价”,影响信息技术创新和发展。网络安全法保护的网络空间主权、国家安全、社会公共利益、个人信息权等法益具有高度重要性,且难以量化,在无法精确计算相关措施效用的情况下,有效切入点是明确各项制度的功能,厘清部门职责。
(二)明确制度功能,厘清部门职责
等级保护制度的核心为技术标准、等级划分和测评,通过这些措施,促使具体的信息系统运营者加强内在安全防护能力建设,包括提高技术能力、健全管理体系等。关键信息基础设施保护侧重于从宏观上整合各运营主体的信息安全资源,形成监管者、运营者和第三方共同参与的机制,搭建一个交换安全风险信息、分析研判风险、共享技术和经验、处置网络安全事件的平台。在等级保护确保信息系统运营者的能力有了基本保障的基础上,出于特殊、重点保护的需要,关键信息基础设施可以有更高的要求,例如要求关键信息基础设施采取更高标准、强化各设施之间的协同配合等。这也符合《网络安全法》规定的“在网络安全等级保护制度的基础上对关键信息基础设施进行重点保护”的宗旨,有利于等级保护和关键信息基础设施保护制度在《网络安全法》框架下最大程度上实现优势互补、协调发展,有效提升我国网络安全保护水平和能力。
任何国家“出于政策上的合目的性理由或者客观上的关联性理由,属于同一类国家权力的任务不可能绝对地赋予该种国家权力的行使机构(机构群体)。职能的交叉和人事方面的重合实际上并不少见”。网络给以物理设施为基础确定的行政管理体制带来了更严峻的挑战,即便在相关制度比较完善的美国,关键基础设施保护相关机构不断调整,但“当前最缺失的,是对网络安全领域主管机构和职责的清晰定义,设置更加一致的标准和策略”。我国网络监管体制经过多次调整,随着网络新业态、新制度的不断涌现,需要坚持发挥各自优势、避免重复和冲突的原则,进一步完善职责分工和协调机制。
经过多年建设和实践,公安部门对等级划分和测评有较完备的技术和人力保障,等级保护可以围绕这些优势开展工作。为避免重复定级和多部门重复设立定级机构,实践中对关键信息基础设施的认定应当以等级测评机构对信息系统划定的等级为依据,考虑到关键信息基础设施是对“重中之重”的保护,将相关等级的信息系统归入关键信息基础设施的标准可以更严格,但应避免与等级划分相冲突,避免将等级保护中低级别系统纳入关键信息基础设施范围或将高级别系统排除在关键信息基础设施范围外 。
《网络安全法》规定关键信息基础设施保护工作由行业主管或监管部门负责,其他部门原来的监管职责应作相应调整,减少与行业主管或监管部门职责重复,同时做好衔接,避免多头检查、检测或处罚。网信部门的网络管理职责分为统筹协调和监督管理职责,关键信息基础设施保护方面,法律明确了网信部门的职责主要侧重于统筹协调。可以从以下几个方面加强网信部门的统筹协调职能:一是明确信息共享标准和操作流程,整合监测预警、信息共享系统等;二是统筹协调相关部门执法活动,避免重复执法;三是统筹协调相关法规、规章的制定、清理,避免制度冲突。
(三)加强国家对关键信息基础设施保护的支持保障
在许多网络安全威胁和攻击已经上升为国家之间对抗的背景下,仅靠网络运营者的力量很难有效应对。国家安全是典型的公共产品,国家在行使监管权的同时,还要增强为网络运营者提供网络安全服务的能力,与网络运营者共同应对网络安全问题。
美国《国家关键基础设施保护计划2013》指出,关键基础设施保护需要国防参与,为了让参与机制有效运行,必须完善相应的激励措施。美国国土安全部建立包括关键设施保护门、国家基础设施协调中心、网络和基础设施分析办公室等在内的机制和工具支持关键基础设施内部及相互之间的信息共享。国土安全部基础设施保护办公室为政府和私营部门免费提供大量培训项目,帮助政府官员和关键基础设施运营者获得确保关键基础设施安全可靠所需的知识和技能。国土安全部还向关键基础设施运营者提供资助,帮助它们增强网络安全能力。美国还通过网络安全部队保护关键基础设施。《俄罗斯联邦关键信息基础设施安全法》规定,关键信息基础设施主体有权从负责关键信息基础设施安全保障工作的联邦行政机关获得关键信息基础设施面临的安全威胁信息以及软件、设备、技术的薄性情况信息;当关键信息基础设施受到攻击时,有权从上述机关获得关于该攻击采用的备、方法以及查找、预防该攻击的方法的信息。
网络安全监管是权力,更是责任。监管部门要结合各自职责,加强相互协作,在履行监管职责的同时,还要加大对网络运营者的支持保障力度,包括向网络运营者提供网络威胁信息、通过财政税收政策鼓励企业加大网络安全投入等,激励网络营者积极加强网络安全保护能力。
(四)实体和程序并重,配套制度应当强调拾遗补阙
“在网络空间部门管辖权限尚不明确的情况下,少数部门会尽量快速跑马圈地,以规则全面覆盖的方式,扩大管辖范围,扩充部门权力边界。互联网立法全覆盖,既无必要,更不可行,不但导致互联网立法重点不突出,大量去简单重复现实社会的相关法律规定,还会面临适用上两套体系间的重叠与冲突。”《网络安全法》需要通过行政法规、规章进行细化,包括制定《关键信息基础设施保护条例》《网络安全等级保护条例》等。《关键信息基础设施保护条例》《网络安全等级保护条例》应侧重于对《网络安全法》的拾遗补缺,避免重复《网络安全法》现行规定,避免浪费立法资源。还要立足于关键基础设施保护与等级保护的差异有区别地规定相关制度,避免因追求大而全导致两个条例内容趋同。
《网络安全法》属于实体法范畴。《行政法规制定程序条例》《规章制定程序条例》规定,制定行政法规、规章,应当切实保障公民、法人和其他组织的合法权益,在规定其应当履行的义务的同时,应当规定其相应的权利和保障权利实现的途径。重视并严格遵守网络信息处理的正当法律程序,是网络治理走向法治化的客观要求和必然选择。《关键信息基础设施保护条例》《网络安全等级保护条例》应当注重完善程序保障。一是完善期限制度,网络安全应对具有紧急性的特征,因此期限制度的重要性更加突出。期限制度包括执法行为和当事人履行相关义务的期限。二是完善信息公开制度。具体信息系统的等级划分和关键信息基础设施的识别方式、过程应当向相对人公开,听取相对人意见;引入专家论证时应向相对人说明专家的基本情况、完善回避制度。三是完善救济制度。保障相对人在对等级划分和关键信息基础设施认定有异议的情况下有救济渠道。
五、结语
等级保护和关键信息基础设施保护制度是《网络安全法》的基础性、框架性制度。法律的生命在于实施,法律的权威也在于实施。二者是否能够有机融合,关系到《网络安全法》能否有效实施和发挥作用。二者的融合涉及网络安全制度中国家的功能定位、安全与发展的关系平衡,涉及政府部门职责划分、企业权利义务的界定等。只有在坚持法治精神和科学的安全理念的基础上,厘清制度功能和部门职责,增强服务意识,完善程序规则,才能确保法律有效实施,为国家安全提供有效的法治保障。
原文发表于《华体会体育学报(社会科学版)》2018年04期。