我国运行并不久远的备案审查实践已经充分证明了这一点。
[79]但是,完全的自我规制又缺乏激励或约束机制。[36] 网络安全法第31条最终确立了关键信息基础设施界定的肯定性标准,即一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
美国早在2000年就将脆弱性分析与威胁评估列为关键信息基础设施保护的第一项任务,[90]其后一直延续。然而,在关键信息基础设施保护上,即使设定事前的许可制度,由于网络技术日新月异,许可意义上的合规也不一定能够带来安全。[6]See Nathan Alexander Sales, Regulating Cyber-Security,107 Nw.U.L.Rev.1503,1513-1516(2013). [7]参见前引[5],周汉华文,第21页以下。即使需要解决,也应当从技术角度入手。[71]在基础设施安全保护方面,私营部门通常会有明显的信息优势。
但是,基础设施广泛互联互通之后,网络空间和物理空间深度融合,单纯依靠政府为主导的命令—控制方式,可能无法有效完成关键信息基础设施保护的行政任务。四是分享信息不得被用于取得不公平的竞争优势。[53]参见前引[37],陈爱娥文,第8页。
[35]参见周汉华:《网络安全法的调整范围》,第六届中国信息安全法律大会会议(西安交通大学)主题报告,2015年12月9日,陕西西安。自由主义传统所假定的个人在经济上的独立性,很多情况下并不存在。[72]美国《保卫网络空间安全的国家战略》在优先事务中即鼓励私营部门共享网络安全状况信息。为了规范有关行政机关的行为限度,需要对其收集、分析、使用信息的权力义务作出更为明确的规定和限定。
至于对进行网络攻击和入侵的违法犯罪行为人进行行政处罚,乃至追究其刑事责任,实际上并未脱离传统行政法和刑法的框架,只不过增加了一种适用情形而已。See National Academy of Engineering National Research Council of the National Academies, Critical Information Infrastructure Protection and the Law: An Overview of Key Issues, the National Academies Press,2003, pp.8-9. [50]同上。
在现代行政国家,随着公务范围的扩展与种类的增多,层级制的局限日益凸显。这就大大提升了美国联邦政府在关键基础设施保护事务方面的组织协调能力和行动能力。一般而言,监管权过于分散是导致监管不力与市场秩序混乱的重要制度原因,因此监管机构的改革应以加强监管权的统一性和执法力度为主要政策追求。因此,行政层级体制并非唯一可能的调控手段。
如果不能实现立法目的,形式上的合法也就失去了意义。[69]同上书,第40页以下。在诸多网络安全事务中,合规被受访者列为最高优先级。第一,在保护对象方面,有学者提出,对于是否属于经济社会运行神经中枢的关键信息基础设施,应当以遭受攻击是否直接影响国家安全作为判断标准,并建议授权国家网信部门对其加以认定。
通过公私合作完成行政任务,其目的大多可以概括为追求更好的结果,或是获得更多的资源,或是两者兼而有之。为实现网络安全的政府规制目标,需要更新与重组旧有的监管机构,以适应现代社会对于网络安全的全新需求。
在网络安全法研究起草期间,有学者在总结国际立法经验的基础上指出,立法的核心任务是使关键信息基础设施的所有者或者运营者承担相应的社会责任和法律义务,通过组织保障、风险预警、公私伙伴关系等全方位措施,形成多元主体共同参与安全治理的格局。欧盟指令还对完成的时间和频率作了规定。
关键信息基础设施保护的治理对象需要系统分类指定和审慎动态调整。主要国家往往通过合规遵从或安全保障等方式确立供应链审查制度。当然,更重要的是,不是授权一个中心规制者来监控互联网免受恶意代码的攻入,而是建立一个分布式的监测网络以搜集和分析关于网络威胁的信息。政府对攻击能力强的网络犯罪者、外国机构等侵入者及相关防卫技术更为熟悉。[63]另有研究者主张建立一支成建制的、体系化的、覆盖全国范围的队伍,统一监管关键信息基础设施保护,因为这样可以避免因多头管理、重复工作、职责分工不明而给运营者带来的极大困惑。关键信息基础设施也是工业化、城市型社会正常运转的根本所在,任何现代国家都不能承受其运营中断的后果。
[98]澳大利亚也规定关键基础设施应当具有恢复力,即在中断、紧急和灾难时有能力提供最低水平的服务,并快速恢复至全面运营的灵活而及时的能力。[85]参见张敏:《我国关键基础设施保护立法定位与内容的思考》,《信息安全研究》2015年第2期。
运输部门非常重要,但不是每一座桥梁对整个国家而言都是关键的,因此要聚焦于最高优先级的事务,在预算上重点保障保护关键基础设施所需资源。关键信息基础设施的指定应当相当审慎,既不能过于宽泛,导致有限的资源无法被充分高效地应用。
关键信息基础设施保护的行政任务与此前常规的行政任务形态有着较大差异,其对行政的组织形式提出了挑战。[13]参见马民虎:《网络安全:法律的困惑与对策》,《中国人民公安大学学报(社会科学版)》2007年第1期,第57页以下。
2015年2月6日,美国发布国家安全战略报告,强调要增强关键基础设施的恢复力。[93]详细讨论,参见马民虎、马宁:《〈网络安全法〉与国家网络安全审查制度的塑造》,《中国信息安全》2016年第6期,第31页以下。[97]欧盟则将获得网络的恢复力作为首要战略优先事务对待。[93]我国网络安全法第23条规定了网络关键设备和网络安全专用产品的安全认证和检测制度,同时规定应避免重复认证、检测。
[13]这些研究成果为关键信息基础设施的保护提供了制度框架,确立了研究基础。政府可能缺乏对特定资产的精细化理解,而这对于确定适当的保护级别或者安装最为牢靠且成本最低的防护是必需的。
传统上针对国家的防御还不足以完全保障个人自由,对于可能会遭受有实力的社会团体和社会势力的侵害者,国家必须承担保护的义务。公民的基本权利体系得以融入新的内容,即获得关键信息基础设施安全运行所带来的福祉,从而实现积极的自由和权利。
[58] 德国信息技术安全法(2015)规定,联邦信息安全局被联邦政府指定为国家信息安全主管部门。部门化有助于提供专业化的管理与服务,但是也容易带来分割和壁垒。
六、关键信息基础设施风险合作治理的意义和影响 关键信息基础设施保护,是市场机制发挥空间较小、需要引入政府规制的事务。(二)关键信息基础设施的审慎动态调整 对处在网络与信息化不同发展阶段的国家而言,关键信息基础设施的识别和指定有着各自的特点。攻击可能来自黑客,也可能来自主权国家,因此又很难以矛为盾,通过威慑平衡达致网络安全。文章来源:《法学研究》2018年第6期。
[48]因此,美国关键基础设施的保护范围是逐渐扩大的,但扩大的过程始终受到私主体财产权诉求的制约。如何妥当配置各方主体的权利义务,需要深入研究,也需要实践探索与验证。
[25]在我国,在引发广泛关注的准大学生徐玉玉遭电信诈骗身故案中,高考网上报名信息系统被植入木马病毒,包括徐玉玉在内的大量考生报名信息被窃取(参见《徐玉玉案信息泄露源头公布,嫌疑人攻破报名系统》,《新京报》2016年9月10日)。在关键信息基础设施保护的问题上,也存在着交易成本和搭便车效应。
[66]美国很早就认识到,联邦政府只能通过与工业界、州与地方政府的有效合作来完成保卫关键基础设施的任务。结合上述四个特性,或许可将关键信息基础设施界定为:一旦遭到破坏、丧失功能或无法持续安全运营,可能对国家安全、国计民生、公共利益造成广泛影响或严重损害的网络设施和信息系统。
