《网络安全法》第31条采用了“列举+概括”的形式,将“关键信息基础设施”界定为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”以及其他可能严重危害“国家安全、国计民生、公共利益的”信息基础设施。这一定义明确了所谓的“关键”就是指事关国家安全、国计民生和公共利益。对于关键信息基础设施具体范围的划定,因“国家安全”存在较大的解释空间,可能会出现宽泛界定和狭义界定两种情形。本文建议主管部门根据我国面临的网络安全态势采用狭义界定的方案较为妥当,至少应该将一般的商业性信息系统和技术产品排除在外,避免对产业界施加不当的监管负担。
《网络安全法》第32条原则上规定了关键信息基础设施分行业、分领域主管部门负责制,第39条规定了国家网信部门可以采取的保护措施。建议在《条例》中进一步明确领导不同行业关键信息基础设施保护的主管部门,明确国家网信部门、工信部门、公安机关等各自职责范围和执法权限。《网络安全法》并没有对政府部门和私营部门的网络信息系统进行区分保护,政府网络信息系统需要遵循与私营部门一样的网络安全义务。但政府部门的系统比一般私营部门更加重要,这些系统被攻击所造成的危害更大,美国、欧盟都规定了比私营部门更严格的监管标准。建议《条例》应针对政府部门和私营部门的关键信息基础设施设立不同的监管框架,对政府部门要规定采用统一的技术规范,严格遵守统一的监管标准。
关键信息基础设施保护制度是我国借鉴域外经验建立的新制度,其贯彻实施需要与我国已有的信息安全等级保护制度协调好。《网络安全法》明确规定“在网络安全等级保护制度的基础上”,对关键信息基础设施“实行重点保护”。从《网络安全法》的规定看,两部分的内容仍有很多重复之处,比如第21—23条和第34—36条,在日常安全管理和确保供应链安全等方面的规定近似。建议《条例》清楚界定二者的适用范围和主要内容。根据《网络安全法》的界定,关键信息基础设施保护制度应适用事关国家安全和国家命脉的基础设施,而等级保护管理制度应适用于所有一般网络信息系统。建议将关键基础设施规定为需要保护的最高等级的网络信息系统或其中一部分,但关键基础设施的保护范围和强制性监管标准,应该授权国家网信部门进行制定。从域外经验看,无论是美国还是欧盟,虽然公开关键信息基础设施涉及重要行业领域,但考虑到切实确保国家安全,具体范围是不公开的,建议我国也实行关键信息基础设施具体范围秘密清单制度。
《网络安全法》对关键信息基础设施供应链安全和数据留存传输作出了特殊规定,但这些规定比较原则,建议进一步细化相关制度设计。对于关键信息基础设施所采用的网络产品和服务的国家安全审查制度,需要明确:审查的具体范围;审查的程序;不同行业的审查机制,尤其是网信部门会同有关部门建立的程序和分工。第37条规定的个人信息和重要数据境内留存制度,引起国内外的高度关注。此条需要进一步明确关键信息基础设施个人信息和重要数据的界定以及这些数据境外传输的安全评估办法。域外对此条的关切存在一定的误读,将我国关键信息基础设施的个人信息和重要数据境内留存,理解为一般商业信息系统的数据境内留存,而与域外所探讨的“个人数据跨境流通”议题相混淆。如果我国对“关键信息基础设施”的具体范围采用狭义界定的方案,大部分的商业信息系统和技术产品会被排除在外,域外和业界表达的忧虑基本不会存在。即便采用宽泛的标准界定关键信息基础设施,只要不涉及这些设施的安全,正常的个人信息跨境传输原则上也不应限制。
从美国和欧盟的立法经验看,确保安全离不开强制性的监管标准。《网络安全法》规定“国家建立和完善网络安全标准体系”,但并没有规定这些标准的强制效力。建议规定国家组织制定的网络安全标准具有强制效力,纳入关键信息基础设施范围的运营者应严格遵循有关的强制性标准,否则要承担相应的法律责任。保护关键信息基础设施的技术性较强,离不开产业界的支持,政府与企业应该建立协作和信息共享机制,共同维护网络安全。《网络安全法》缺乏授权政府与企业协作的规定,对于网络安全信息共享的规定也过于简单。建议:一是增加授权政府与企业建立协作机制的规定,监管规定要充分反映行业的最佳实践。二是完善网络安全信息共享制度,建立政府和企业以及行业内的信息共享机制,建立国家信息共享中心;规定共享的网络安全信息,免除信息公开的披露义务,不能侵害个人隐私、商业秘密和其他合法权益。三是建立企业责任豁免制度,规定企业在遵循法定强制标准和按照法定要求共享安全信息的情况下,免除因此而产生的法律责任。
(作者单位:中国法学会法治研究所)