第一节 关键信息基础设施的认定和范围
适用要点
1.我国关键信息基础设施概念的发展
2.关键信息基础设施保护与等级保护的关系
3.关键信息基础设施范围的界定
4.与《刑法》的衔接
对关键信息基础设施进行保护的逻辑起点是界定其范围,即哪些网络设施和系统应纳入被保护的范围。2001年的美国《爱国者法》将关键基础设施界定为“对美国来说至关重要的系统和资产,无论是物理的还是虚拟的,这些系统或资产一旦丧失能力或遭受破坏将削弱国家安全、国家经济安全、国家公共卫生或公共安全,或上述事项的任何组合”,其后颁布的《关于提高关键基础设施网络安全的行政命令》也沿用了该规定;欧委会于2004年10月公布的《反恐怖主义中的关键基础设施保护通讯》,将关键基础设施界定为“如果被中断或被破坏,将会对欧盟公民的健康、安全、经济安全和福利,以及欧盟政府发挥有效职能造成严重影响的物理和信息技术的设施、网络、业务和资产”,同时还通过列举的方式确定了关键基础设施的范围;德国于2015年8月通过的《联邦信息技术安全法修正案》,将关键基础设施定义为“对社会运行具有重要意义,其停运或受损将造成严重供应不足或危及公共安全的设施”。从上述各国对关键信息基础设施的定义来看,都意识到其对国家安全和社会稳定的重要意义。我国《网络安全法》第三十一条也强调了关键信息基础设施的重要性,即“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,同时也采用了列举的方式,确定了关键信息基础设施的范围包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。
一、我国关键信息基础设施概念的发展
关键信息基础设施概念始于国外,我国正式使用此概念较晚,但相关制度安排中也一直体现出对重要系统的重点保护理念。
1994年,《计算机信息系统安全保护条例》使用了“重要领域的计算机信息系统”概念,其第四条规定:“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》使用了“重要信息系统”概念,要求重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。
2014年2月,习近平总书记在中央网络安全和信息化领导小组第一次会议上的讲话中使用了“关键信息基础设施”概念,强调要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。
2016年,《网络安全法》首次在法律中确立了关键信息基础设施保护制度。其第三十一条第一款规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”
“重要领域的计算机信息系统”“重要信息系统”“关键信息基础设施”之间具有密切的关联关系,在范围上存在交叉。虽然“重要领域的计算机信息系统”“重要信息系统”概念提出时间较长,但缺乏明确的范围认定标准。关键信息基础设施上升为正式法律概念之后,应在《网络安全法》规定的基础上进一步明确其范围和保护办法,为各方面执行《网络安全法》提供清晰的指引。
二、关键信息基础设施保护与等级保护的关系
《网络安全法》第三十一条规定,在等级保护的基础上,对关键信息基础设施实行重点保护。理解上述规定,有如下两个要点。
一是关键信息基础设施保护需要以等级保护为基础。等级保护对我国网络信息系统保护发挥着重要作用,经过多年实践,构建了比较完善的制度体系和相关执行体系,积累了丰富的经验,成为我国网络信息系统保护的基础,《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度。《网络安全法》确立关键信息基础设施保护制度,不是将其从等级保护制度中分离出来形成独立的制度,而是在等级保护制度的基础上开展网络信息系统保护工作,等级保护制度对关键信息基础设施仍然适用。
二是与等级保护制度相比,关键信息基础设施保护制度更加突出“重点保护”。等级保护制度将信息系统分为五级,并提出“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”,本身已经体现了“重点保护”的思想,但从实践情况来看,即便是其中的“重要领域的计算机信息系统”,涵盖范围也仍然较宽。关键信息基础设施将重点保护范围进一步精确化,通过网络安全态势感知、信息共享、监测预警、应急处置等制度进一步提升安全保障能力,更侧重行业和领域的整体安全。在监管机构方面,等级保护由公安部门负责,关键信息基础设施保护由行业、领域的主管或者监管部门负责。
需要指出的是,等级保护与关键信息设施保护制度存在重叠,在执行中还有需要进一步协调的地方,例如,等级保护对信息系统的分级标准与关键信息基础设施范围的认定标准如何协调,等级保护主管部门和关键信息基础设施保护主管部门对信息系统的监督检查如何执行、协调等。
三、关键信息基础设施范围的界定
(一)《网络安全法》
《网络安全法(草案)》采用列举的方式将关键信息基础设施划分为以下几种类型:(1)基础信息网络,如公共通信、广播电视传输等服务所依赖的网络;(2)重要行业使用的网络系统,如能源、交通、水利、金融等;(3)公共服务领域的网络系统,如供电、供水、供气、医疗卫生、社会保障等;(4)党政军机关使用的网络系统;(5)涉及大量用户的网络服务提供者的网络和系统。《网络安全法(草案二次审议稿)》将关键信息基础设施界定为遭到破坏、功能损坏或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络和系统。
《网络安全法》最终将关键信息基础设施界定为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络和系统,并授权国务院确定关键信息基础设施的具体范围。
(二)《国家网络空间安全战略》及管理实践
《国家网络空间安全战略》将关键信息基础设施界定为事关国家安全和国计民生,数据泄露、被攻击或者遭到破坏以及丧失功能可能严重危害国家安全、公共利益的网络信息系统,主要包括基础信息网络,重要行业和重要领域的信息系统,国家机关的重要信息系统以及重要的互联网应用系统等。在监督管理实践中,中央网信办基本采用了战略的规定,将关键信息基础设施界定为面向公众提供网络信息服务或支撑重要行业运行的信息系统以及工业控制系统。
(三)《关键信息基础设施安全保护条例(征求意见稿)》
2017年7月10日,《关键信息基础设施安全保护条例(征求意见稿)》公开向社会征求意见。根据《关键信息基础设施安全保护条例(征求意见稿)》第十八条的规定,下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(1)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(2)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(3)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(4)广播电台、电视台、通讯社等新闻单位;(5)其他重点单位。
(四)关键信息基础设施范围的考量
关键信息基础设施的内涵——“国家安全、国计民生和公共安全”,是确定关键信息基础设施的基础。所谓“国计民生”,是指关键基础设施所具有的功能和提供的服务,对于一个国家的正常运转是最基本的、必要的,对社会公众而言是不可或缺的产品或服务,如供水、供电以及公共通信等。从各国关键基础设施保护立法来看,所谓的“关键”是指事关国家安全和公共安全,考虑到与国际接轨的需要以及范围过宽对企业造成的不利影响,关键信息基础设施的“关键”应理解为事关国家安全、国计民生和公共安全。实践中,还需要确定更详细的可操作性强的关键信息基础设施认定标准。《关键信息基础设施安全保护条例(征求意见稿)》规定,国家网信部门会同国务院电信主管部门、公安部门等制定关键信息基础设施识别指南。
具体来讲,认定关键信息基础设施可以考虑以下因素:一是行政级别标准。对于政府公共服务系统,可以将行政级别如县级、市级作为认定关键信息基础设施的因素。二是可能造成的损失标准。根据一旦发生网络安全事故可能导致信息泄露数量、经济损失、影响地域范围和人口数量等确定标准。三是信息系统涉及信息的重要性。根据是否涉及国家秘密以及其他重要信息确定标准。
《网络安全法(草案)》曾将“涉及大量用户的网络服务提供者的网络和系统”确定为关键信息基础设施,最终通过的《网络安全法》删除了该规定。从该立法过程来看,在实施过程中,可以将用户数量作为一个因素考虑,但不宜仅因为用户数量众多就将网络或系统认定为关键信息基础设施。
关键信息基础设施保护的核心要点是突出重点,如果认定的关键信息基础设施数量过多,反而不利于集中有限的资源对关键信息基础设施进行重点保护。识别指南采用的认定标准,如果涉及用户数量、泄露信息数量、影响人口范围等指标时,应预估根据这些指标可能纳入的关键信息基础设施数量,如果数量过多,可能需要评估指标的科学性,对认定指标作适当调整。
四、与《刑法》的衔接
关键信息基础设施的认定,不仅涉及国家机关监管职责的划分以及运营者义务的确定,还涉及对破坏关键信息基础设施行为如何处罚,特别是如何追究刑事责任的问题。
《刑法》第二百八十五条第一款规定了非法侵入计算机信息系统罪:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”第二款规定了非法获取计算机信息系统数据、非法控制计算机信息系统罪:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”第一款和第二款规定的区别在于,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,是行为犯;而侵入其他信息系统,需要情节严重才构成犯罪。这体现了对特殊信息系统重点保护的思想。根据《最高人民法院 最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十条的规定,“国家事务、国防建设、尖端科学技术领域的计算机信息系统难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。”
《刑法》第二百八十六条规定了破坏计算机信息系统罪,其中第一款规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”《最高人民法院 最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条规定,破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响的,应当认定为破坏计算机信息系统“后果特别严重”。
《刑法》第二百八十五条中规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”以及司法解释提及的“国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统”都涉及关键信息基础设施保护问题,但对它们的保护适用的《刑法》和司法解释的规定存在差异。关键信息基础设施范围的确定,对适用刑法和司法解释会产生一定影响。
法条链接目录
1.中华人民共和国网络安全法
2.国家网络空间安全战略
3.关键信息基础设施安全保护条例(征求意见稿)