关键词：关键信息基础设施;网络安全;政府规制;风险治理;合作行政;

关键信息基础设施是互联网的基础层, 其安全、持续的运营是网络安全的基础。关于如何实现网络安全的问题, 先后有两种代表性的主张。一种主张认为, 网络安全问题是网络内生的问题, 无须刻意解决;即使需要解决, 也应当从技术角度入手。1996年发布的《网络独立宣言》宣称:“不成文的‘法典’ (编码) , 与任何强制性法律相比, 能够使得网络社会更加有序。”1)莱斯格有关“网络空间是代码之治”的说法,2也是这一主张的集中体现。随着现实空间中关键基础设施的信息化, 加之工业网络的互联互通,3虚拟空间互联互通的程度不断加深。特别是进入移动互联和“互联网+”阶段之后, 互联网再也不是那个与物理空间平行的“宇宙”, 网络安全也不再只是虚拟空间的安全, 其所产生的影响向现实社会急剧渗透、迅速扩展。于是, 另一种更有说服力的主张逐渐被广泛接受, 即“对虚拟安全问题的有意义的回应将发生在制度层面”。4如果说互联网已经成为了经济社会发展的基础设施, 那么网络安全就是这个以互联网为基础的时代的公共安全。基于网络安全治理的现实状况展开制度建设, 是对网络安全需求真正有效的回应之道。

在实现和保障网络安全的多种机制中, 市场机制能够发挥的调节作用需要在互联网的基础层、互联网服务的中间层和互联网信息的表层这三个层面分别考察。5有研究者根据目标的战略重要性和攻击者的能力建立了一个四象限的坐标体系。在不同类别的目标所面临的不同攻击能力与偏好面前, 市场机制能够发挥的作用程度不一, 政府规制也就有着不同程度的必要性。(6)

各国在法律层面对网络安全挑战的回应主要有两个方向:一是充分运用传统法律, 以事后制裁为主要手段, 有效打击危害网络空间安全的各种违法犯罪行为;二是通过专门立法设计有效的过程监管制度, 最大限度地预防风险的发生。6传统回应方式集中体现在2001年《布达佩斯网络犯罪公约》引领下的各国刑法、刑事诉讼法的修订。但是, 通过传统法律针对网络犯罪进行诉讼所能解决的问题仅仅是冰山一角。7)正如有学者所指出的:“网络安全太重要、太复杂, 以致于不能完全交由刑法与武装冲突法调整。”(8)因此, 指向过程监管的专门立法始终是法律回应的重要方向, 尤其是在2013年“斯诺登事件”后, 主张通过专门的网络安全立法确立政府规制体系以有效应对网络安全问题的观点逐渐占据了上风。(10)

我国属于较早将网络安全专门立法提上立法议程的国家。2014年, 国家成立了中央网络安全和信息化领导小组, 要求抓紧制定立法规划, 加强互联网领域立法, 完善网络安全保护法律法规, 最终于2016年颁布了网络安全法。网络安全法第三章专节规定了关键信息基础设施的运行安全, 第31条授权国务院制定关键信息基础设施的具体范围和保护办法。2017年7月10日, 国家互联网信息办公室又发布了《关键信息基础设施安全保护条例 (征求意见稿) 》 (以下简称《保护条例 (征求意见稿) 》) , 目前还在讨论和审议过程中。尽管关键基础设施保护制度作为网络安全法中的重要制度已经得到确立, 但是对于关键信息基础设施的定义、认定标准和程序等基础问题, 人们的认识还不一致, 关于检测评估、预警信息发布的具体制度也有待进一步明确。9

针对关键信息基础设施的法律保护, 国内相关研究的主要成果是提出了框架性的制度设计。在网络安全法研究起草期间, 有学者在总结国际立法经验的基础上指出, 立法的核心任务是使关键信息基础设施的所有者或者运营者承担相应的社会责任和法律义务, 通过组织保障、风险预警、公私伙伴关系等全方位措施, 形成多元主体共同参与安全治理的格局。10更早时候, 有学者主张立足于预防和控制风险, 以程序保障为重点, 设计过程控制的制度。11这些研究成果为关键信息基础设施的保护提供了制度框架, 确立了研究基础。

制度设计的具体研究主要集中在保护对象、保护主体和保护方式三个方面。第一, 在保护对象方面, 有学者提出, 对于是否属于“经济社会运行神经中枢”的关键信息基础设施, 应当以遭受攻击是否直接影响国家安全作为判断标准, 并建议授权国家网信部门对其加以认定。(12)有关政府部门的解读则认为, 关键信息基础设施保护关乎国家安全、国计民生、公共利益的信息系统和设施的安全, 与等级保护制度相比所涉及的范围相对较小。13第二, 在保护主体上, 政府部门认为关键信息基础设施运营者应承担主体责任。14学者则主张应明确关键信息基础设施保护的部门分工, 明确关键信息基础设施的认定标准和程序, 明确相关主体的法律责任。15第三, 在保护方式上, 有学者认为, 网络安全法应授权国家网信部门和相关行业主管部门开展与私有关键信息基础设施运营者的合作, 建立网络安全信息共享制度。16有学者认为必须建立网络设施的进口审查制度。17有学者主张, 应实现国家网络安全审查制度的保障功能。18还有学者建议, 针对特别重要的关键信息基础设施建立应急备份和灾难恢复机制。19这些具体研究各有建树, 但仍需要结合当前立法的实际需求, 围绕重点疑难法律问题继续展开研究。

总体而言, 关键信息基础设施的法律保护还处于立法初创阶段, 法政策研究仍是当前最需着力之处。互联网由美国军方发明, 关键信息基础设施保护问题最早在美国发酵, 美国等主要西方国家有着较为系统的制度架构和丰富的规制实践经验, 值得进行全面深入的分析研究。本文将在充分借鉴国外立法经验的基础上, 提出并论证通过合作治理保护关键信息基础设施的必要与可能, 具体分析为何治理、治理什么、为何合作、如何合作等问题。

网络安全问题与互联网的分布式结构存在内在关联。20世纪90年代初, 互联网从军事用途向民用开放。就民事用途而言, 早期其对安全性的要求更加不敏感。互联网被大规模使用后, 安全问题浮出水面。但对市场而言, 对于安全的投入缺少直接回报, 过高的安全要求还会抑制应用的便利性, 市场机制运行的结果是使得网络安全缺陷被更大范围地暴露。20

关键信息基础设施不同于一般设施与网络服务, 它是国家安全、稳定的基础, 如果受到攻击, 可能导致网络运行发生障碍, 进而影响国家安全、国计民生和公共利益。关键信息基础设施也是工业化、城市型社会正常运转的根本所在, 任何现代国家都不能承受其运营中断的后果。例如, 美国曾利用“震网”病毒入侵伊朗核电站中的计算机网络系统, 掌握了核电设备的关键控制权;21肆虐全球的“勒索病毒事件”曾导致我国高校网站和部分政府网站运营中断。22关键信息基础设施还是个人信息风险防控的基础, 一旦被入侵, 特别是那些行政管理、公共服务网站被黑客攻击, 可能导致海量个人信息的泄露。23有调查显示, 承担世界各国的电力、自来水和其他关键基础设施功能的受访公司中, 有70%在受访的前一年中至少经历过一起非法侵入, 致使秘密信息被窃取或运营中断。24

互联网的分布式结构决定了网络安全运行“易攻难守”的特点。计算机、通信技术与互联网知识技能的推广使用, 使得网络攻击技术和能力很容易被个体掌握, 攻击成本显著降低。关键信息基础设施比以往任何时候都更容易受到不对称攻击。攻击可能来自“黑客”, 也可能来自主权国家, 因此又很难“以矛为盾”, 通过威慑平衡达致网络安全。

关键信息基础设施的安全似乎应由其所有者和运营者负责, 通过市场机制进行调节。但是, 如果私主体的动力和压力不足, 市场机制就不能充分有效地发挥作用。在美国, 有研究指出, 由于存在外部性、搭便车等问题, 很多运营关键基础设施的公司一般在网络安全上投资不足。一是它们无须承担网络入侵所造成的所有损失, 一部分损害被外部化给了第三方;二是改善自己的防御系统也会为其他人的系统安全作出贡献, 其收益将会有部分被外部化, 从而增加了“搭便车”的机会。25

私主体投入在网络安全方面的预算都严重不足, 因为这方面的投入无法得到立竿见影的回报, 缺乏市场的充分激励。这一点在其他领域也有表现, 例如, 放松规制之后, 由于竞争太激烈, 那些最需要安全保障的航空公司会削减飞机的保养费, 核动力发电厂会削减在安全方面的投资。26在一项涉及599家公用事业、石油和燃气、能源和制造业公司的安全运营调查中, 64%的受访者认为在未来一年中会受到一次或多次严重的攻击, 但是仅有28%的受访者将网络安全置于其机构的五大战略优先事务, 大多数将最小化停产时间作为最需要优先处理的事务加以对待。27在另一项调查中, 分别有75%和68%的受访者指出了网络攻击的严重性和频繁性, 但是分别有64%和65%的受访者对没有预算或专家来消除威胁感到担忧。很多机构凭直觉而不是智识来评估自身的网络安全级别, 导致最严重的风险得不到最充足的预算加以治理。在诸多网络安全事务中, 合规被受访者列为最高优先级。28这些数据和案例说明, 完全寄望于市场机制, 试图通过市场调节获得安全保障是不切实际的, 导入政府规制十分必要。

绝大多数的关键信息基础设施处于非竞争性的市场环境中, 网络安全方面的投入及成效不会显著影响其总体收益。前已述及, 在网络空间, “代码, 就是法律”是一种非常有影响力的观点。然而, 即使如此, 也需要有人愿意为追求安全之目的去写代码和应用程序。“成本—收益”的不对称性抑制了市场主体在关键信息基础设施保护上的投入。一方面, 公用事业市场是非竞争性的, 供给的替代性低, 消费者很难“用脚投票”, 因此市场机制的约束能力较低;另一方面, 由于潜在的网络攻击者具有很强的攻击能力, 提升网络安全保护水平是一项投入巨大但成效难以显著的事业, 市场机制能够提供的激励也是不足的。29如果没有法律上的合规要求, 即使网络安全事件的后果严重, 鉴于其偶发性, 市场主体也往往缺乏风险意识或存有侥幸心理, 使得关键信息基础设施的脆弱性不断积聚。

在关键信息基础设施保护的问题上, 也存在着交易成本和“搭便车”效应。在“凯恩斯主义”引发滞胀, 以美国和英国为主的国家大力推行“民营化”后, 私主体提供“公共品”的现象大量出现。关键信息基础设施保护在一定程度上就属于这种情形。互联网全网开放且互联互通, 因此存在集体行动的难题。一旦某个主体在基础层进行安全投入, 更多的主体将会选择“搭便车”, 而市场机制向来难以有效解决“搭便车”的问题。经济学通说认为, 当市场机制无法提供公共品, 政府规制作为一种多边合作机制, 能够提供社会所需的公共品。30特别是在网络空间与物理空间深度融合之后, 行政任务随着市场和社会活动的范围延展而扩展, 而关键信息基础设施保护就是诸多新型行政任务中的一项。以此为前提, 围绕关键信息基础设施安全的保护开展立法活动才有了现实基础, 而为实现这一任务, 赋予有关行政机关以特定职权、课予私主体以特定义务也才具备正当性。

关键信息基础设施通常被界定为关键基础设施的信息部分和信息基础设施的关键部分。随着关键基础设施普遍实现网络化和信息化, 上述分类中的两种关键基础设施已经不断融合到较高的程度, 对二者进行刻意区分已无必要。

“关键基础设施”这一概念最早由美国提出, 后被各国普遍采纳。由美国、英国、加拿大、澳大利亚和新西兰组成的“关键五国”达成共识, 关键基础设施是指为国家安全、经济安全、繁荣以及他们各自国民的健康和安全, 提供不可或缺的服务的系统、资产、设施和网络。(33)

《欧盟网络与信息系统安全指令 (2016) 》第5条采用了“基础服务运营者”的表述, 即依赖于网络与信息系统, 为关键的社会、经济活动所必需, 一旦发生网络安全事故, 将对该服务的提供产生重大的破坏性影响的服务运营者。这一指令还从消极的角度规定, 网络交易市场、网络搜索引擎和云计算之外的数字服务提供者和小微企业不在其规制范围内。31

我国网络安全法确立了关键信息基础设施安全保护制度。网络安全法多份审议稿对关键信息基础设施的界定有不同表述。对此, 有学者提出, 关键信息基础设施的认定, 一方面应当进行肯定性的定性和界定, 以“一旦遭受损坏或者丧失运作功能, 将会严重威胁国家安全、经济安全、公共健康以及社会稳定”作为关键信息基础设施范围的界定标准, 真正将管理重点落实在关键环节;另一方面应进行否定式排除, 明确规定任何商业信息技术产品或消费者信息技术服务不得被确定为关键基础设施。32有研究者持类似观点, 认为如果关键信息基础设施涵盖“商业网络”, 范围过宽, 可能使其“关键性”大打折扣。33

网络安全法第31条最终确立了关键信息基础设施界定的肯定性标准, 即“一旦遭到破坏、丧失功能或者数据泄露, 可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。这一定义作为判断标准, 总体上是妥当的, 但是由于其中涉及内涵相对不确定的概念, 在后续立法和适用过程中需要结合国际经验和我国实践需求加以把握。

《保护条例 (征求意见稿) 》第18条对关键信息基础设施作了“概括+列举”的细化规定。其中, 对关键信息基础设施的概括性表述是:“一旦遭到破坏、丧失功能或者数据泄露, 可能严重危害国家安全、国计民生、公共利益的重点单位运行、管理的网络设施和信息系统。”这一表述有进一步完善的必要和可能。总结国外主要的立法经验和规制实践, 关键信息基础设施一般从不可或缺性、影响广泛和严重性、威胁结构性、保护整体性等四个方面加以识别。以此对照, 条文中使用的“数据泄露”并不能体现不可或缺性, 遗漏“持续安全运营”忽视了威胁结构性, “严重”性不能替代“广泛”性, 使用“重点单位”不能充分体现保护的整体性。结合上述四个特性, 或许可将关键信息基础设施界定为:“一旦遭到破坏、丧失功能或无法持续安全运营, 可能对国家安全、国计民生、公共利益造成广泛影响或严重损害的网络设施和信息系统。”这就使关键信息基础设施安全所具有的公共属性得到了凸显。

关键信息基础设施安全带有的公共属性对国家的职能和任务提出了新要求。在现代法治国家, 国家承担分配与给付的任务。自由主义传统所假定的个人在经济上的独立性, 很多情况下并不存在。个人需要通过国家实现基本权利, 国家也要承担一定的担保任务。传统上针对国家的防御还不足以完全保障个人自由, 对于可能会遭受有实力的社会团体和社会势力的侵害者, 国家必须承担保护的义务。34因此, 从维护和保障人民利益的角度来看, 关键信息基础设施的安全具有对象上的无差别性。公民的基本权利体系得以融入新的内容, 即获得关键信息基础设施安全运行所带来的福祉, 从而实现积极的自由和权利。从维护和保障人民利益的角度界定关键信息基础设施, 也使得关键信息基础设施法律保护的正当性基础更为坚实。

关键信息基础设施保护作为一项行政任务, 一旦确立就需要进一步厘定治理对象。关键信息基础设施的定义只能提供一个大致框架, 详细准确的保护范围还需要进一步厘定。就此, 美国最早进行了探索, 其他一些国家也结合各自国情作出了有针对性的界定, 总体上遵循的都是“系统—分类”的思路:先基于国家功能及其面临的风险, 系统确定关键信息基础设施部门;在此基础上, 根据重要性程度指定具体设施为关键信息基础设施。

主要国家在系统的国家职能运行中, 通过识别关键部门指定关键信息基础设施。在美国, 关键信息基础设施的具体范围以“关键基础设施”为基准确定。20世纪90年代中期起, 日益严峻的国际恐怖主义威胁促使政策制定者基于国土安全的目的、着眼于“关键”的重新定义, 全面扩展了“基础设施”部门的数量和“重要资产”的种类。35其后, 克林顿政府第13010号行政命令《关键基础设施保护 (1996) 》描述了8类关键基础设施;美国《国土安全国家战略 (2002) 》详细列明了13类关键基础设施部门和新增的一些重要资产等;36美国第7号国土安全总统指令《关键基础设施的识别、优先级和保护 (2003) 》厘定了17类关键基础设施部门和重要资产。372008年3月3日, 美国国土安全部正式确定关键制造业为第18个关键基础设施和重要资产部门。38美国国土安全部认为, 关键制造业部门对美国经济的繁荣和可持续发展至关重要, 对其进行攻击或使其中断运营将会中断国家层面和跨多个关键基础设施部门的重要功能。39

2013年2月, 美国发布13636号行政命令《提升关键基础设施的网络安全》和第21号总统指令《关键基础设施安全和弹性》, 后者替代了国土安全第7号总统指令,40确定了16个关键基础设施部门和重要资产, 具体包括: (1) 化学制品; (2) 商业设施; (3) 通信; (4) 关键制造业; (5) 大坝; (6) 国防工业基地; (7) 应急服务; (8) 能源; (9) 金融服务; (10) 食品与农业; (11) 政府设施; (12) 医疗与公共卫生; (13) 信息技术; (14) 核电站、核材料和核废料; (15) 运输系统; (16) 自来水与废水系统。(41)美国政府特朗普总统上任后发布的《增强联邦政府与关键基础设施网络安全》行政令对此未作调整。42

在识别并指定关键信息基础设施部门之后, 被指定的每个关键部门内还需要继续根据重要性程度加以分类并指定。例如, 美国早在2002年就认识到, 每一个关键基础设施部门内部的资产、功能和系统的重要性不是可以等量齐观的。运输部门非常重要, 但不是每一座桥梁对整个国家而言都是关键的, 因此要聚焦于最高优先级的事务, 在预算上重点保障保护关键基础设施所需资源。43澳大利亚—新西兰反恐委员会2015年发布的《保护关键基础设施免受恐怖袭击国家指南》, 根据关键性程度将具体设施具体分为至关重要、主要、重要、较不重要和无法估计5类, 其中“至关重要”是指“全国范围内无法提供替代服务或设施, 损失或损害将导致资产遗弃或长期停止”,44只有重要性达到“至关重要”的具体设施, 才应被指定为关键信息基础设施。

《保护条例 (征求意见稿) 》第18条列举了关键信息基础设施保护范围, 但是列举规定以“重点单位”作为指定关键信息基础设施的基础单元, 缺乏系统性;列举的4类单位不在一个层面, 没有突出“至关重要性”, 有必要在“关键部门—具体设施”的结构中进行系统分类指定。

对处在网络与信息化不同发展阶段的国家而言, 关键信息基础设施的识别和指定有着各自的特点。国家安全的问题意识、经济社会生活的发展阶段和特点都将对其产生影响。一些国家的经验显示, 关键信息基础设施保护范围的动态变迁由回应特定威胁的需求所引导, 由政经社文的制度结构所决定, 从根本上受一国关于安全与自由的理念影响。具体而言, 更关注安全和更注重自由的理念在保护范围上会形成此消彼长的效应;政经社文的制度结构决定着权利义务的配置;财富集中之地容易引发网络犯罪, 恐怖分子指向之处将导致恐怖袭击, 主权国家矛头所指可能引发战略监控与侵袭。

关键信息基础设施的指定应当相当审慎, 既不能过于宽泛, 导致有限的资源无法被充分高效地应用;也不能存在疏漏, 致使重要的关键信息基础设施没有设防。这就要求规定严格审慎的指定程序。在美国, 85%的关键基础设施系私有或私营, 政府试图将它们也纳入保护范围。45因此, 美国关键基础设施的保护范围是逐渐扩大的, 但扩大的过程始终受到私主体财产权诉求的制约。我国的关键信息基础设施指定应更加注意避免纳入过多设施的倾向, 正如不需要作为国家秘密的信息不应被纳入国家秘密, 从而导致真正的国家秘密保护力量被削弱一样。此外, 还应特别注意防止给私主体造成过重负担。

关键信息基础设施的保护范围会发生具体的、动态的变迁, 这就要求应有相应的动态调整程序。在“9·11”恐怖袭击之前, 关键基础设施保护的重点放在源发于网络空间且在很大程度上可能未知的风险上。46全球信息基础设施的出现既为每个黑客提供了攻击工具的来源, 也使从世界上任何地方发动匿名攻击都变得极为便利和廉价。其时, 美国政府制定的关键基础设施保护政策的中心目标指向信息安全。在“9·11”恐怖袭击之后, 关键基础设施保护中的传统威胁受到了越来越多的重视, 在美国表现得尤为突出。美国政府在反恐战略框架下改革和完善了关键基础设施保护体系。关键基础设施保护成为国土安全部工作的关键组成部分。关键基础设施的物理安全保护得到了更多的关注, 网络安全的保护相对而言有所削弱。47在这一基于反恐问题意识形成的国土安全标准之下, 关键基础设施部门的范围呈现出持续适度扩展之后基本维持稳定的状态。最初, 关键基础设施部门和重要资产的范围严格根据国土安全需求精准划定, 其后根据反恐和国土安全保护的需要逐步适当划定应当纳入的部门和资产。最近几年又有新的变化, 例如, 美国政府特朗普总统上任后发布的国家安全战略中, 开始强调保护其关键信息基础设施, 以保护选民投票不受外国势力干扰, 保卫其民主体制。48

在我国网络安全法起草过程中, 有学者指出, 在程序性制度框架方面, 应规定确定关键基础设施行业范围的基本制度及标准, 规定确定具体关键信息基础设施的标准及程序并实行及时更新的原则和制度。49《保护条例 (征求意见稿) 》规定了制定关键信息基础设施识别指南、按程序报送识别结果、在认定中充分发挥有关专家作用等内容, 还规定了新建、停运关键信息基础设施或关键信息基础设施发生重大变化时的报告和识别调整制度, 但是, 总体上还需要在制度上形成审慎动态调整的程序规定。

层级制行政机关是行政组织最主要、最典型的结构形式。在权力制约平衡的宪法框架中, 层级制能够较为明确地配置权利义务、权力和责任, 但是在运作中存在指挥僵化、效率低下的固有缺陷。工业革命后, 层级制行政机关逐渐部门化。部门的数量随着行政活动范围的扩张而不断增加。“部门化”有助于提供专业化的管理与服务, 但是也容易带来分割和壁垒。我国的政府体制和行政组织由计划经济时代的“全能行政”转型而来, “部门化”的表现更为突出。

在现代行政国家, 随着公务范围的扩展与种类的增多, 层级制的局限日益凸显。“分散化”的公务组织改革在传统的层级制行政机关之外发展出了多种形态的公务承担主体。到20世纪七八十年代, 特别是美国政府里根总统任期和英国政府撒切尔首相任期内, 公用事业民营化兴起, 由私主体提供的公共服务逐渐增多, 行政的“分散化”趋势愈发显著。

关键信息基础设施保护的行政任务与此前常规的行政任务形态有着较大差异, 其对行政的组织形式提出了挑战。一方面, 在原先的行政组织中, 没有对应的部门能够充分胜任这一任务;另一方面, 行政组织的既有部门之间也需要更多的协调。更重要的是, 由于大量的关键信息基础设施的所有者或运营者系私主体, 要完成保护任务, 需要对原有“分散化”的结构进行整合。

国家由自由法治国转向积极干预的福利与预防法治国家, 国家任务在质和量上均有重大变化, 对信息与知识的要求大大提高。传统的层级制组织不足以确保决策者能够掌握足够的信息, 至少在特定的变动剧烈的法律领域里, 应该思考替代性的规整策略与组织形式。50从民主原则的角度来看, 立法者对于行政组织类型的型塑, 重要的不再是遵守特定的行政组织原则, 而是取向于可调控、可控制的标准。因此, 行政层级体制并非唯一可能的调控手段。(54)

网络安全监管与关键基础设施保护事务, 产生于信息化与网络化的过程之中。在此之前, 关键基础设施与重要资产都配备有相应的行政主管部门, 只不过当时的行政主管部门不需要处理网络安全保障事务。普遍的网络化形成之后, 每个关键基础设施部门的网络安全都需要管理, 涉及多个政府部门, 这就需要妥当配置各部门之间的监管职权。在美国, 早期由隶属于商务部的关键基础设施保护办公室和隶属于联邦调查局的国家关键基础设施保护中心负责国内关键基础设施的保护工作。51“9·11”事件前, 负有网络信息监管职责的联邦政府机构多有重叠, 职能交叉、权责不清或者监管空白等问题都在一定程度上存在, 影响了关键基础设施保护与网络安全保障的效能。

为实现网络安全的政府规制目标, 需要更新与重组旧有的监管机构, 以适应现代社会对于网络安全的全新需求。一般而言, 监管权过于分散是导致监管不力与市场秩序混乱的重要制度原因, 因此监管机构的改革应以加强监管权的统一性和执法力度为主要政策追求。52互联网有着分布式结构, 但是网络安全无法分散实现, 其监管职权应当统一。

从关键信息基础设施保护的组织形式看, 许多国家都鉴于网络安全对国家安全的战略重要性建立了统一体系, 又结合关键信息基础设施保护事务的特点和现行机构的职能分工配置具体部门。

美国在总统之下整合了国土安全管理资源, 由国土安全部统领, 但是每一个关键基础设施部门又由相应的联邦政府组成部门或机构具体负责。这就重新整合了政府体系, 以更好地回应国土安全保护需要。国土安全部成立以后, 在其内部涉及关键基础设施网络安全保护的主要机构包括:关键基础设施保护办公室、网络安全与通信办公室、网络安全和基础设施分析办公室, 分别承担关键基础设施的协调保护、网络安全保障、分析和决策支持等职能。53网络空间安全由国土安全部协同司法部 (包括联邦调查局) 与中央情报局合作负责, 信息技术的发展则与商务部合作负责。这就大大提升了美国联邦政府在关键基础设施保护事务方面的组织协调能力和行动能力。2013年后, 国土安全部与相关联邦部门的分工被调整和细化, 国土安全部长负责对所有关键基础设施定期评估, 同时具体负责化学、商业设施、通讯、关键制造业、水坝、应急服务、信息技术、核反应堆与核材料及核废料领域的保护工作, 并与总务管理局共同负责政府设施的保护, 与运输部共同负责交通运输系统的保护。54

德国信息技术安全法 (2015) 规定, 联邦信息安全局被联邦政府指定为国家信息安全主管部门。联邦信息安全局从属于德国联邦内政部, 负责国家层面的信息安全。关键信息基础设施保护作为联邦信息安全的核心组成部分, 也是由联邦信息安全局担任主管机关。55德国政府认为, 需要在联邦政府信息技术官的职责范围内建立并保持联邦政府内各部门之间、公私关键基础设施部门之间的合作;设立国家网络安全委员会作为重要的常态化跨部门机构协调预防性措施与跨学科的网络安全, 联邦首相与外交部、内政部、国防部、经济与技术部等部部长和各联邦州的代表参与其中, 商界代表被邀请作为准成员, 必要时学界代表也会加入。(60)

我国网络安全法颁布前, 有学者指出, 我国网络安全监管采取的是一种分散化、多头治理的体制, 基本上凡是业务范围同网络存在联系的部门, 都享有部分监管权, 仅中央一级的网络监管机关就至少包括国家网信办、公安部、工业和信息化部、国家安全部、新闻出版广播电视总局等。56这就容易导致主体多元与职责不清, 可能出现部门揽权或推诿, 从而引起监管冲突或形成监管漏洞。57为此, 有学者主张应当通过立法设立专门的网络安全协调机构, 明文规定其他部门的具体管理和监督职责;58另有研究者主张建立一支成建制的、体系化的、覆盖全国范围的队伍, 统一监管关键信息基础设施保护, 因为这样可以避免因多头管理、重复工作、职责分工不明而给运营者带来的极大困惑。59

网络安全法的颁布未能完全解决问题。中央网络安全与信息化领导小组的成立使网络安全的领导与议事协调能力显著增强, 但是在行政事务的日常处理上, 国家网信办还缺乏统一高效运作的组织基础和能力。在关键信息基础设施保护体制上, 《保护条例 (征求意见稿) 》第4条确立的是分行业的指导监督, 网信部门统筹协调, 公安、国家安全、保密、密码等管理部门各司其职的组织构造。这一构造较难在关键信息基础设施保护上实现高效统一的领导, 存在造成分割、分散乃至形成壁垒的风险, 政府协同的难度较大。其实, 组织架构的顶层设计任务也很难由《保护条例》来完成。因此, 有必要在新成立的中央网络安全与信息化委员会的领导下, 跟踪关键信息基础设施保护体制运作的实际情况, 厘清政府在关键信息基础设施保护过程中的具体职责, 充分借鉴国际立法经验, 在组织规范上作出更为清晰、明确的规定和限定, 形成既能实现高效统一的领导, 又能促成广泛深刻的政府协同的组织架构。

我国在加强统一领导方面具有体制优势, 但是网络的“基因”决定了有必要形成实质的、紧密的公私合作伙伴关系。公私合作是结构上的有效应对, 而不是一时的策略。政府规制虽能取得一定成效, 但它不是关键信息基础设施保护的“灵丹妙药”。60

关键信息基础设施并不都是政府基础设施或公有设施, 有大量的所有者或运营者是私主体。在美国, 对拥有或者运营关键基础设施的私主体课予义务的法律, 一直很难在国会获得通过。美国政府的行政命令和总统指令, 可以规范政府部门、机构的行为, 却无法为私主体设定义务。目前, 美国政府基础设施与公有关键基础设施已经通过自克林顿总统时期到奥巴马总统时期的一系列行政命令和总统指令得到了较好的防护。但是, 将私有私营的关键基础设施纳入防护体系一直是难题。为此, 美国各届政府都倡导基于“自愿—合作”加入防护体系。61美国很早就认识到, 联邦政府只能通过与工业界、州与地方政府的有效合作来完成保卫关键基础设施的任务。62有研究者指出, 在美国, 所有化工工厂和航空公司, 大部分的电力企业和电力运输资产, 以及许多港口装卸及核设施, 均为私主体拥有, 合作成为必然, 而非一种选择——尽管合作的性质和条件可以在很大范围内发生变化。(68)

即使能够为关键信息基础设施的所有者和运营者设定法律义务, 使其在关键信息基础设施保护上履行合规义务, 也仍然需要在公私合作伙伴关系中实现安全保护的目的。通过公私合作完成行政任务, 其目的大多可以概括为追求更好的结果, 或是获得更多的资源, 或是两者兼而有之。63通过公私合作伙伴关系保护关键信息基础设施, 在信息能力和技术能力两个方面具备实质的正当性基础。

公私合作能够提供关键信息基础设施保护所需要的更充分的信息。私主体往往对自身网络系统架构及其脆弱性更清楚。早在1996年, 美国联邦调查局就与多达8300家企业建立公私合作伙伴关系, 对包括供电站、桥梁以及建筑物在内的所有国家关键基础设施进行防护, 共享有关网络与物理威胁的信息, 防范恐怖袭击。64美国国会也在关键基础设施信息保护法 (2001) 中指出, 拥有和运营着大部分关键基础设施的私营部门与具备与众不同的信息和分析能力的联邦政府, 都能通过分享信息及其分析结果, 极大地受益于合作应对关键基础设施的脆弱性、受到的威胁和实际攻击。65在基础设施安全保护方面, 私营部门通常会有明显的信息优势。政府可能缺乏对特定资产的精细化理解, 而这对于确定适当的保护级别或者安装最为牢靠且成本最低的防护是必需的。66美国《保卫网络空间安全的国家战略》在优先事务中即鼓励私营部门共享网络安全状况信息。67

公私合作能够充分整合关键信息基础设施保护所需要的技术能力。政府对攻击能力强的网络犯罪者、外国机构等侵入者及相关防卫技术更为熟悉;私营部门也具有创造性的天赋, 能够开发出信息系统、免疫程序软件、检测设备和创新技术, 以保卫国土安全。政府与私营部门之间的紧密合作, 对于尽快识别和消除关键基础设施面对恐怖袭击时所表现出的脆弱性至关重要。68

以信息和技术能力为基础, 美国在关键信息基础设施保护上的公私合作不断深化, 从信息共享与分析, 到共同识别、确定优先级和合作保护, 共享物理与网络威胁、脆弱性、事件、可能的防御措施和最佳实践。692013年, 美国政府第13636号行政命令《提升关键基础设施网络安全》要求国土安全部部长建立广泛吸纳关键基础设施网络安全相关主体参与保护的程序。702013年的第21号总统指令《关键基础设施安全与恢复力》进一步要求, 政府内部和私有关键基础设施部门之间更好的信息共享能够而且必须在尊重隐私与人权的基础上进行。(77)2015年10月27日, 美国参议院通过网络安全信息共享法, 鼓励企业分享更多关于计算机攻击的信息。(78)

在我国, 关键信息基础设施的所有者、运营者中有很多属于政府机关或国有企业, 传统体制有发挥作用的空间。然而, 如果着眼于功能定位, 实质和紧密合作更有利于促进关键信息基础设施保护。何况, 随着我国互联网及其产业的发展, 越来越多的私主体可能成为关键信息基础设施的所有者或运营者。有研究者提出应注重运用行业自律和自我规制, “因为企业通常比规制者更加了解自身网络系统的漏洞, 何种安全应对措施更加有效, 设定何种安全标准最适宜”。71但是, 完全的自我规制又缺乏激励或约束机制。市场对网络安全投入的激励较为间接且效果不明显, 外部约束不可或缺。最为妥当的主体架构是建立一种实质性的、紧密的公私合作伙伴关系。这种合作不应是公权力对私主体的单向合作, 也不能是只注重形式而无权利义务配置的联合, 而应是“受高权规制的社会自我规制”。它倾向于藉由国家与私人的分工, 共同具体化公共利益的内涵, 诱导私人发挥自主的创意、行动, 以共同完成公共任务。72因此, 在倡导自愿的公私合作伙伴关系的同时, 有必要妥当设定权利义务, 形成政府规制框架内的公私合作伙伴关系, 实现充分有效的合作治理。73

在基础设施广泛互联互通之前, 其保护任务主要表现为物理防护, 需要处理的风险主要是物理风险。关键基础设施的物理保护, 实质是一种秩序行政, 行政的活动方式主要是一种干预行政。在传统行政法框架中, 这一行政任务类型和活动方式应受到合法性控制, 其应当遵循依法行政原则, 对其在事后进行司法审查有着独特的、不可替代的作用。但是, 基础设施广泛互联互通之后, 网络空间和物理空间深度融合, 单纯依靠政府为主导的“命令—控制”方式, 可能无法有效完成关键信息基础设施保护的行政任务。如果不能实现立法目的, 形式上的合法也就失去了意义。

传统的行政活动方式以“行为模式—法律后果”的规范结构为依据, 以事后处理方式进行消极防御, 维护基本的公共秩序和安全。关键信息基础设施的安全无法仅通过政府的事后监管措施取得成效。一旦发生了侵害网络安全的违法犯罪行为, 危害后果就已经形成, 事后的惩罚往往于事无补。事后的行政处罚乃至刑罚, 也不一定能够起到吓阻作用。现代行政法学普遍承认, 希望藉由令行禁止、许可保留或处罚威吓的手段对受规范者产生一定影响的规制性法制, 作为古典秩序法制的特色, 面临“危机”:一是存在有效的法制不能在实务上普遍落实的“执行赤字”问题;二是在公私合作中寻求双方均可接受的问题解决方案时, 无法在“目的—手段”关系中提供有效的指引。74

工业化和城市化发展到一定程度之后, 事前许可制度得到了广泛运用。然而, 在关键信息基础设施保护上, 即使设定事前的许可制度, 由于网络技术日新月异, 许可意义上的合规也不一定能够带来安全。例如, 在“徐玉玉案”中, 被入侵的网站就获得了合法许可。可见, 冀望事前许可“一劳永逸”地带来网络安全, 无异于“刻舟求剑”。

关键信息基础设施的持续安全运营既是社会和经济活动得以维系的秩序和安全事务, 也在很多情况下与福利和给付密切相关。但是, 关键信息基础设施保护的活动, 单独运用秩序行政和给付行政的典型方式都未必能够达成目的。关键信息基础设施保护的目的在于最大限度地保障和最及时地恢复关键基础设施的持续安全运营, 因此保护措施就必须贯穿整个运营过程。至于对进行网络攻击和入侵的违法犯罪行为人进行行政处罚, 乃至追究其刑事责任, 实际上并未脱离传统行政法和刑法的框架, 只不过增加了一种适用情形而已。

保护关键信息基础设施需要充分的准备和预防, 需要持续的监测和即时的响应, 需要果断而有针对性的处理和迅速的恢复, 这些都意味着需要对行政活动方式进行重新考量, 而不能“削足适履”。

与传统安全威胁不同, 美国较早的研究发现, 关键信息基础设施的持续安全运营可能面临一种结构性的威胁或蓄意谋划的攻击破坏:前者包括自然灾害、事故灾难、公共卫生事件、社会安全事件和技术本身或技术人员本身的影响;后者可能来自无聊滋事的青少年、蓄意破坏的内部员工、有组织的犯罪分子、恐怖组织, 乃至有敌意的国家等;可能受到攻击的范围很广, 没有军用或民用的区别, 没有前线或后方的区别。75

传统行政为实现安全主要采取消极防御的活动方式。在自由法治国时期, 政府扮演的是“守夜人”的角色, 行政承担的是“夜警国家”的任务, 即基本秩序维护和基本安全保障的任务。与关键基础设施保护类似的事务, 在我国政府的行政活动中有着特定的表现形态。在20世纪80年代, 被公安机关作为保卫重点的是“要害”。当时的保卫制度建立在相对封闭环境中, 对物理性的重要设施采用严格的物理隔绝和保护措施, 是主要应对传统国家安全威胁的制度。我国的信息安全制度, 最初采取重要信息系统等级保护制度。这一制度因《计算机信息系统安全保护条例》 (1994) 的颁布而基本确立, 并由一系列规章、政策文件和标准细化。76等级保护制度措施的重点在于“防护”, 其核心理念是分级别、按需要重点保护“重要信息系统”。77这一制度不足以满足在网络互联互通结构中对日趋复杂又相互依赖的关键信息基础设施进行动态防护的需求。

行政的活动方式在20世纪上半叶经历了重要变迁。在美国, 大萧条的发生催生了“罗斯福新政”。富兰克林·罗斯福总统提出了包括“免于匮乏的自由”在内的四大自由。通过将“财产”的解释扩展到“获得福利”, 行政的活动范围扩展到福利行政。在德国, 福斯多夫教授最早撰写《作为生存照顾的行政》, 提出了“生存照顾”的概念。魏玛宪法写入生存权条文, 德国进入社会法治国时期。行政通过积极给付的方式来增益人民自由、权利和公共福祉。第二次世界大战之后, 英国、美国、法国和德国等主要国家的行政活动, 还普遍纳入了城市规划行政这一类型。这是一种由消极规制转向积极规划以实现秩序、安全和公共福祉的行政活动方式。(86)到了20世纪六七十年代, 随着工业化的发展, 工业和科技风险日益加深。德国学者贝克提出了“风险社会”的概念。(87)为了更有效地维护秩序、保障安全, 一种预防性的风险行政活动方式被提出。它也为行政法和行政法学提供了新的课题, 在回应的过程中, 行政法制和行政法学都有了新的发展。(88)

关键信息基础设施保护的行政任务所要求的行政活动方式, 不能是表现为事后追究为主的消极防御, 它不是传统的秩序行政, 也不是应申请的给付行政, 也不同于积极塑造社会空间的城市规划行政。与秩序行政相比, 它由积极的防御行政, 而不是消极的秩序维护行政;与福利行政相比, 它由行政机关采取措施与多方主体合作确保经济社会正常运行, 而不是基于申请给予生存照顾。从总体上而言, 它既要通过对私主体加以规制以实现基本安全, 又要以担保行政的方式补充性地提供网络安全这一新型公共品, 有时甚至以给付的形式直接提供。因此, 关键信息基础设施保护表现为一种“运营行政”, 政府成为“守护者”, 可能采取包括“规制—担保—给付”在内的多元活动方式来完成行政任务。

总体上, 关键信息基础设施保护是一种风险治理过程, 它是政府规制框架中的自我规制与合作治理的二阶实施机制。归纳主要国家的立法和行政经验, 关键信息基础设施保护过程中的风险治理措施主要包括: (1) 关键信息基础设施的识别与指定; (2) 脆弱性分析与威胁评估; (3) 供应链安全审查; (4) 信息分析分享和安全警示; (5) 事件分析、处理、报告和灾备恢复。78以风险治理的框架来观察和界定, 这些措施分别是风险识别、风险评估、风险预防、风险沟通和风险处理。

在识别和指定关键信息基础设施后, 各国立法和战略都要求进行相互依赖性、脆弱性与风险分析。美国早在2000年就将脆弱性分析与威胁评估列为关键信息基础设施保护的第一项任务,79其后一直延续。2013年第21号总统行政指令要求, 所有联邦部门和机构负责人对其管辖范围内的关键基础设施保护负有安全状况评估、安全补救措施实施等责任。欧盟指令还对完成的时间和频率作了规定。80在脆弱性分析与威胁评估的基础上, 有些国家还规定应制定多层次的网络安全保护计划, 设定最低安全标准。我国网络安全法第39条第1项规定了关键信息基础设施安全风险抽查检测评估制度。《保护条例 (征求意见稿) 》第40条第1款同样规定了抽查检测评估制度。但是, 抽查、检测和评估的内容应当加以明确, 需要集中于全网关键信息基础设施的相互依赖性、脆弱性分析和威胁评估。《保护条例 (征求意见稿) 》第40条第2款做了避免交叉重复检测评估的规定。但是, 这种倡导性的规定对约束和规范公权力作用不大, 应当对公权力的行政检查作出明确限定。有研究者认为, 网络安全执法中, 各主管部门从不同角度进行网络安全检查, 其中不可避免地存在一定的交叉, 给企业造成不必要的监管负担。81公民、法人和其他组织作为相对人, 其受检查、需合规的义务不应当是多头、多重的, 否则既不利于提升管理效能, 也不当加重了私主体的义务。

关键信息基础设施的持续安全运营高度依赖于广泛部署的网络技术产品和服务。在全球化的经济格局中, 供应链之复杂可想而知, 对其进行审查是风险预防的重点。主要国家往往通过“合规遵从”或“安全保障”等方式确立供应链审查制度。82我国网络安全法第23条规定了网络关键设备和网络安全专用产品的安全认证和检测制度, 同时规定应避免重复认证、检测。《保护条例 (征求意见稿) 》在此基础上规定了运营者采购网络产品和服务的网络安全审查制度, 要求运营者与提供者签订安全保密协议。网络安全法规定的网络安全审查制度的适用范围仅限于关键设备和专用产品, 《保护条例 (征求意见稿) 》则从是否影响国家安全的角度进行规定, 但是将对象扩展到“网络产品和服务”。值得充分关注的是, 审查的范围如果过于宽泛, 将会不当加重市场主体的负担, 影响市场效率。与非常复杂的供应链相比, 审查机构的能力终究有限, 因此, 需要确立合规标准、加强供应商自我规制、引导关键信息基础设施所有者和运营者建立标准化审查体系。

网络安全风险信息的共享对于应对网络安全挑战至关重要。在美国, 第13636号总统行政命令要求建立将针对美国境内特定目标的网络威胁迅速传达给目标实体的机制。第21号总统令要求评价优化公私合作和信息交流方式, 促进信息有效交换。为了促进共享信息, 规定了较为全面的使用限制和责任豁免制度:一是信息分享需进行适当的匿名化处理;二是分享在最小限度内进行;三是分享信息的用途仅用于网络安全目的;四是分享信息不得被用于取得不公平的竞争优势;五是基于善意分享和为了网络安全目的使用网络威胁信息可获得民事与刑事责任豁免等。83此后, 美国网络安全信息共享法 (2015) 进一步建立了完善的网络威胁信息共享制度。我国网络安全法第39条第3项规定了网络安全信息共享制度。《保护条例 (征求意见稿) 》第36条规定了关键信息基础设施网络安全监测预警体系和信息通报制度。为了规范有关行政机关的行为限度, 需要对其收集、分析、使用信息的权力义务作出更为明确的规定和限定。当然, 更重要的是, “不是授权一个中心规制者来监控互联网免受恶意代码的攻入, 而是建立一个分布式的监测网络以搜集和分析关于网络威胁的信息”。(84)主要国家政府普遍重视风险沟通和交流, 强调通过对共享信息的保密、信息共享后的免责制度、参与政府采购、提高公众信赖等方式激励私营组织共享敏感的安全信息。我国立法应当对网络安全风险信息共享制度有更为全面的规定。

任何国家, 即使是保护能力最强、防范严密的美国也承认不可能完全不受网络攻击。因此, 重点在于防止对关键基础设施的网络攻击, 降低国家对于网络攻击的脆弱性, 在出现网络攻击时尽量减少损失并缩短恢复时间。各国的立法和战略都规定了网络事件调查、报告、记录保存、分析的内容。美国最早提出建立响应、重建和恢复能力, 关键基础设施承载的关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对国家利益损害最小的规模上。此后, 又提出由于没有任何一个网络安全计划能够防止所有智能化、有组织的攻击, 因此必须确保信息系统在受到攻击时仍能正常工作并可快速恢复所有功能。852013年, 美国专题发布了《国家基础设施保护计划:为了安全性和恢复力而构建伙伴关系》。美国第21号总统行政指令也把主题集中为提升关键基础设施的安全性和恢复力。2015年2月6日, 美国发布国家安全战略报告, 强调要增强关键基础设施的恢复力。86欧盟则将获得网络的恢复力作为首要战略优先事务对待。87澳大利亚也规定关键基础设施应当具有“恢复力”, 即在中断、紧急和灾难时有能力提供最低水平的服务, 并快速恢复至全面运营的灵活而及时的能力。88以此对照, 《保护条例 (征求意见稿) 》没有规定从整体上形成提升安全性和恢复力的制度架构, 有待加以重视和有效解决。

以上述关键步骤为要点, 关键信息基础设施保护的全过程风险治理措施得以构建。这些风险治理措施不一定能够与传统行政法上的类型化行政行为一一对应, 总体上属于风险行政的全过程控制措施。这些措施的规定和采取, 需要基于公私合作伙伴关系进行综合考虑, 形成实质上的合作治理, 才能更好地实现关键信息基础设施的保护目的。

关键信息基础设施保护, 是市场机制发挥空间较小、需要引入政府规制的事务。关键信息基础设施保护, 需要同时处理传统威胁与现代风险的问题。从行政的任务、组织形式到活动方式, 都面临着结构性挑战, 不能简单套用前网络时代的法律框架。

关键信息基础设施安全具有公共属性, 这就使关键信息基础设施保护成为网络时代行政的重要任务。其要处理的对象是网络风险, 性质是风险行政, 目的在于保持和恢复关键信息基础设施的持续安全稳定运营, 主要途径是通过权利义务配置提升安全保护能力。关键信息基础设施的识别和指定, 旨在确定治理对象, 是确定行政任务范围的首要工作, 需要明确指定标准、规定指定程序, 以实现对关键信息基础设施的系统分类指定和审慎动态调整。

互联网是分布式的“互联—合作”结构, 层级制、部门化、封闭型的组织形式局限性明显, 需要转向平面化、开放型的组织形式, 在提升统一行动能力的基础上形成实质的紧密公私合作伙伴关系。在活动方式上, 传统的行政活动方式实效性不足, 需要通过“受规制的社会自我规制”, 采取分享信息、合作应对等全过程风险治理措施应对网络威胁、实现保护目的。总之, 应通过合作治理完成保护关键信息基础设施的任务。

关键信息基础设施保护的合作治理, 固然需要受到合法性评价和控制。但是, 更重要的是对其保护关键信息基础设施的效果及其“成本—收益”进行适当评价。由此, 行政的正当性证成方式将从合法性转向合目的性。行政法也需要从以司法过程为中心逐渐向以行政过程为中心迁移。当然, 要最终确保一国关键信息基础设施的安全, 还必须引入国际化的维度, 需要在全球范围推动新型组织安排, 重建商业、政府和公民社会的关系。

完成保护关键信息基础设施的行政任务, 需要平衡安全与发展、秩序与自由等重要价值。如何妥当配置各方主体的权利义务, 需要深入研究, 也需要实践探索与验证。网络及其引发的科技风险等新问题给行政带来的挑战、给行政法带来的变革才刚刚开始, 有关课题还需要后续跟踪和深入研究。