赌球者-嫩模赌球白富美世界杯

　　引言：2017年6月1日，《網絡安全法》正式實施，作為我國網絡安全領域的首部基礎性法律，內容十分豐富，奠定了中國網絡安全保護和網絡空間治理的基本框架，是引導我國網信事業沿著健康安全軌道運行的指南針，具有里程碑意義。《網絡安全法》集中體現了網絡空間各利益相關方普遍關心的問題，確定了網絡建設、運營、維護和使用網絡，以及網絡安全監管等多項法律規范和制度，這些規范和制度相互影響、相互作用、相互協調，形成了一個維護網絡空間安全的閉環系統。

　　為了配合《網絡安全法》的宣傳與貫徹，普及我國首部網絡安全法，筆者將對《網絡安全法》中的重要法律制度進行系列解讀，本期解讀：國家關鍵信息基礎設施安全保護法律制度。

　　“關鍵信息基礎設施”（ Critical Information Infrastructure，CII）是網絡時代基于“關鍵基礎設施”（Critical Infrastructure CI）延展出的一個新概念。2001年10月，美國政府頒布了一項《美國愛國者法案》（USA PATRIOT Act），該法案全稱：Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001，中文譯文為“通過提供攔截和阻止恐怖活動所需要的適當手段統一和強化美國法案”，其中“Providing Appropriate Tools Required to Intercept and Obstruct Terrorism”的首個字母縮寫恰好是英語中 的“PATRIOT”（愛國者）的組合，因此被統一稱為“愛國者法案”。《美國愛國者法案》以法律的形式定義了“關鍵基礎設施”，即“對美國至關重要的系統和資產，不論實體的還是虛擬的，重要到如果這類系統或資產不運行或是遭到破壞將會對安全、國家經濟安全、國家公眾健康或安全，或這些事項的任何組合造成削弱影響。”該法案還特別明確了屬于國家關鍵基礎設施的經濟部門范疇，包括：電信、能源、金融服務、海洋、交通領域，以及“對維護國防、政府連續性、經濟繁榮以及在美生活質量至關重要的網絡和物理基礎設施服務”（參見USA PATRIOT Act SEC 1016 CRITICAL INFRASTRUCTURE PROTECTION）。我國政府于2007年曾發布《國務院辦公廳關于開展重大基礎設施安全隱患排查工作的通知》（國辦發〔2007〕58號），該通知最先在我國使用了“重大基礎設施”的概念，并列舉了公路、鐵路、水運交通設施、大型水利設施、大型煤礦、重要電力設施、石油天然氣設施、城市基礎設施等九種類別。

　　近十多年來，隨著信息通信技術(ICT)的飛速發展，越來越多的關鍵基礎設施（CI）接入互聯網，形成了基于信息通信網絡信息系統的“關鍵信息基礎設施”（CII），且涵蓋的范圍在不斷擴大。根據國際電信聯盟的定義，國家關鍵信息基礎設施是指支撐國家關鍵基礎設施的信息系統。網絡主權下的國家關鍵信息基礎設施（National Critical Information Infrastructure，NCII）是保障國家的軍事、電力、通信、能源、金融、水利以及國家機關等國家重要領域基礎設施正常、穩定及連續運營的信息通信網絡信息系統。保障關鍵信息基礎設施的安全，對于保障國家網絡安全，乃至整個國家安全都至關重要。習近平主席在中央網絡安全和信息化領導小組第一次會議中指出，建設網絡強國，要有良好的信息基礎設施，形成勢力雄厚的信息經濟，要完善關鍵信息基礎設施保護等法律法規等。我國“十三五”規劃綱要也提出，要建立關鍵信息基礎設施保護制度，完善涉及國家安全重要信息系統的設計、建設和運行監督機制。

　　《網絡安全法》在第三章第二節中用了相當的篇幅規范了關鍵信息基礎設施的安全與保護法律制度，范圍涵蓋了公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域。《網絡安全法》第三十一條規定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護，關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”這是我國首次在法律層面提出關鍵信息基礎設施的概念和重點保護范圍。同時，為了強化對關鍵信息基礎設施安全保護的責任，《網絡安全法》從國家主體和關鍵信息基礎設施運營者兩大層面，分別明確了對關鍵信息基礎設施安全保護的法律義務與責任。在國家層面，《網絡安全法》第三十二條規定，“按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作”；在關鍵信息基礎設施運營者方面，《網絡安全法》第三十四條專門設定了關鍵信息基礎設施的運營者應當履行的四大安全保護義務，一是設置專門安全管理機構和安全管理負責人；二是定期對從業人員進行網絡安全教育、技術培訓和技能考核；三是對重要系統和數據庫進行容災備份；四是制定網絡安全事件應急預案，并定期進行演練。另外設定了一項兜底性條款，即“以及法律、行政法規規定的其他義務。

　　根據國家網絡空間主權原則，國家不僅有權對其領土境內的關鍵基礎設施基、重要數據、網絡空間活動和信息通信網絡監管理行使主權，也可依法對境外個人或組織對我國境內的網絡破環活動行使司法管轄權，即具有域外的效力。《網絡安全法》第七十五條特別規定：“境外的個人或者組織從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重后果的，依法追求法律責任；國務院公安部門和有關部門并可以決定對該個人或者組織采取凍結財產或者其他必要的制裁措施。”國家關鍵信息基礎設施的保護屬于國家主權的范疇，早在2010年中國國務院新聞辦公室發布的《中國互聯網狀況》白皮書就明確指出，中國政府認為，互聯網是國家重要基礎設施，中華人民共和國境內的互聯網屬于中國主權管轄范圍，中國的互聯網主權應受到尊重和維護。

　　目前，以立法的形式將國家主權范圍內的關鍵信息基礎設施列為國家重要基礎性戰略資源加以保護，已經成為各主權國家網絡空間安全法治建設的核心內容和基本實踐。2001年，澳大利亞發布的《保護國家信息基礎設施政策》明確要求對澳大利亞關鍵信息基礎設施進行保護。2013年，美國總統奧巴馬簽署了第21號總統令，指出，“國家的關鍵基礎設施多樣化并具有復雜性，包括分布式網絡，不同的組織結構和運行模式，涵蓋在物理空間和網絡空間相互依存的系統、功能和治理結構，涉及多個部門及法律規范”。2013 年美國政府又發布了《提高關鍵基礎設施網絡安全的行政令》，即在“識別關鍵基礎設施的最大風險”時指出“不得依據本規定識別任何商業信息技術產品或消費者信息技術服務” 。同時，《提高關鍵基礎設施網絡安全的行政令》明確了網絡安全信息共享機制，要求建立網絡安全基礎框架結構，減少針對關鍵基礎設施網絡的威脅，而該網絡安全框架將盡可能的納入自愿共識標準和行業最佳實踐案例。2013 年 6 月，日本發布《網絡安全戰略——邁向世界領先的、彈性的、充滿活力的網絡空間》，其中指出，應當加強落實以下機制的具體實施，包括建立關鍵信息基礎設施保護的信息共享機制以及建立關鍵信息基礎設施評估認證機制。

　　縱觀美國、澳大利亞和日本等國的相關立法和戰略政策，明確關鍵信息基礎設施的范圍，構建科學的組織管理體系，建立關鍵信息基礎設施保護的信息共享機制是關鍵信息基礎設施保護的重要組成部分。事實上，我國早在2003年發布的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)中就提出：堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統安全，創建安全健康的網絡環境，保障和促進信息化發展，保護公眾利益，維護國家安全。但是上述意見并未就基礎信息網絡和重要信息系統安全保護的范圍做出明確界定，也未明確規定國家及關鍵信息基礎設施運營者對關鍵信息基礎設施安全保護的法律義務與責任。作為對中國網絡空間治理具有里程碑意義的網絡安全基本法律，《網絡安全法》明確了關鍵信息基礎設施涉及的主要行業和領域，為關鍵信息基礎設施安全保護規定了責任劃分和追責方式，并通過建立關鍵信息基礎設施運營者采購網絡產品、服務安全審查等一系列重要制度的要求，為關鍵信息基礎設施安全保護搭建了制度框架。

　　2017年7月11日，國家互聯網信息辦公室發布了《關鍵信息基礎設施安全保護條例（征求意見稿）》（“《保護條例》”）。作為《網絡安全法》的重要配套法規，《保護條例》對關鍵信息基礎設施（“CII”）的范圍、各監管部門的職責、運營者的安全保護義務以及安全檢測評估制度提出了更加具體、操作性也更強的要求，為開展關鍵信息基礎設施的安全保護工作提供了重要的法律支撐。《保護條例》第十八條沿用了《網絡安全法》第三十一條的規定，通過“非窮盡列舉行業和領域+危害后果”的方式，給出了應當納入關鍵信息基礎設施保護范圍：一是政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；二是電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位；三是國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；四是廣播電臺、電視臺、通訊社等新聞單位；五是其他重點單位。

　　《保護條例》要求，國家網信部門統籌建立關鍵信息基礎設施網絡安全監測預警體系和信息通報制度，組織指導有關機構開展網絡安全信息匯總、分析研判和通報工作，按照規定統一發布網絡安全監測預警信息。關于對關鍵信息基礎設施安全檢測評估，《條例》指出應本著“堅持客觀公正、高效透明的原則，采取科學的檢測評估方法，規范檢測評估流程，控制檢測評估風險。”有關部門依法實施的檢測評估，網絡運營者應當予以配合，對檢測評估發現的問題應當及時進行整改。

　　　　作者：王春暉