以立法形式保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的信息安全�����,已經(jīng)成為當(dāng)今世界各國(guó)網(wǎng)絡(luò)空間安全制度建設(shè)的核心內(nèi)容和基本實(shí)踐�����。我國(guó)信息化發(fā)展已使國(guó)家關(guān)鍵基礎(chǔ)設(shè)施深入社會(huì)生產(chǎn)生活各領(lǐng)域�����,但在取得巨大建設(shè)成就的同時(shí)���,卻無(wú)一部一般性法律規(guī)范其中通行的基本實(shí)踐和主要制度��,已經(jīng)成為長(zhǎng)期�����、潛在威脅我國(guó)網(wǎng)絡(luò)空間安全的內(nèi)在因素���。
本文對(duì)我國(guó)立法現(xiàn)狀進(jìn)行了分析總結(jié)�����,描繪出較為完整的我國(guó)立法現(xiàn)狀全景圖�����。
從法律層面來(lái)看�����,《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》��、《刑法》相關(guān)條款涉及重要信息系統(tǒng)信息安全的刑事保護(hù)���,但是,并無(wú)相關(guān)法律規(guī)定有國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全的行政保護(hù)問(wèn)題���。
行政法規(guī)層級(jí)���,我國(guó)曾經(jīng)制定發(fā)布過(guò)計(jì)算機(jī)安全保護(hù)和安全聯(lián)網(wǎng)方面的一般性行政法規(guī),但是從未制定發(fā)布過(guò)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)方面的一般性行政法規(guī)���。
1994年發(fā)布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院令第147號(hào))���、1996年發(fā)布的《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》(國(guó)務(wù)院令第195號(hào)),屬于適用于計(jì)算機(jī)安全保護(hù)和安全聯(lián)網(wǎng)方面的一般性行政法規(guī)�����;2000年發(fā)布的《廣播電視設(shè)施保護(hù)條例》(國(guó)務(wù)院令第295號(hào))�����,屬于適用于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)方面的專門(mén)性行政法規(guī)���。除這三部行政法規(guī)以外�����,國(guó)務(wù)院未曾制定施行過(guò)有關(guān)計(jì)算機(jī)信息系統(tǒng)��、國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)方面的其他行政法規(guī)��。這說(shuō)明���,我國(guó)至今尚未制定發(fā)布國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)方面的一般性行政法規(guī)。
部門(mén)規(guī)章層級(jí),基礎(chǔ)信息網(wǎng)絡(luò)信息安全保護(hù)方面的部門(mén)規(guī)章相對(duì)健全�����;重要信息系統(tǒng)�����、工業(yè)控制系統(tǒng)除電力系統(tǒng)以外��,尚未制定發(fā)布過(guò)信息安全保護(hù)方面的部門(mén)規(guī)章��。
基礎(chǔ)信息網(wǎng)絡(luò)安全保護(hù)方面的部門(mén)規(guī)章以電信���、廣電兩個(gè)行業(yè)為代表���,前者2009年發(fā)布有《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》(工信部令第11號(hào)),后者2002年發(fā)布有《有線廣播電視傳輸覆蓋網(wǎng)安全管理辦法》(廣電總局令第13號(hào))���、2009年發(fā)布有《廣播電視安全播出管理規(guī)定》(廣電總局令第62號(hào))等
�����。重要信息系統(tǒng)�����、工業(yè)控制系統(tǒng)中�����,電力行業(yè)發(fā)布有《電力二次系統(tǒng)安全防護(hù)規(guī)定》(電監(jiān)會(huì)令第5號(hào))等部門(mén)規(guī)章���,除此之外,各運(yùn)行使用單位及其上級(jí)主管部門(mén)���、監(jiān)管部門(mén)未曾發(fā)布施行過(guò)部門(mén)規(guī)章級(jí)別的信息安全保護(hù)管理規(guī)定���,說(shuō)明我國(guó)重要信息系統(tǒng)、工業(yè)控制系統(tǒng)信息安全保護(hù)部門(mén)規(guī)章立法存在較為明顯的空白和疏漏�����。
部門(mén)規(guī)章層級(jí)以下��,以20個(gè)重要行業(yè)為基數(shù)��,55%的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施未曾制定過(guò)信息安全保護(hù)方面的任何規(guī)定���,40%的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施制定并發(fā)布過(guò)信息安全保護(hù)規(guī)定�����,但都是以規(guī)范性文件�����、標(biāo)準(zhǔn)規(guī)范或者地方或單位內(nèi)部規(guī)定形式發(fā)布施行的�����。
由于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施最先從行業(yè)企業(yè)領(lǐng)域的建設(shè)和應(yīng)用開(kāi)始��,因此��,其信息安全保護(hù)立法也是以行業(yè)企業(yè)自我摸索為主���,主要表現(xiàn)為各行業(yè)企業(yè)的規(guī)范性文件���、標(biāo)準(zhǔn)規(guī)范以及地方或單位內(nèi)部規(guī)定等形式。迄今為止�����,我國(guó)各重點(diǎn)行業(yè)在國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)方面大約制定了10多部相關(guān)規(guī)范性文件
、20多部相關(guān)標(biāo)準(zhǔn)規(guī)范以及10多部地方或單位內(nèi)部規(guī)定��。其中���,石油天然氣���、石化、公路��、醫(yī)療衛(wèi)生���、教育、水利��、民用核設(shè)施�����、鋼鐵�����、有色金屬�����、化工、裝備制造等11個(gè)行業(yè)的上級(jí)主管監(jiān)管部門(mén)尚未制定并發(fā)布有全國(guó)性全行業(yè)適用的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)規(guī)定�����,占比55%��;電力���、銀行��、證券�����、保險(xiǎn)�����、鐵路���、民航、廣播電視���、通信(電信網(wǎng)���、互聯(lián)網(wǎng))等8個(gè)行業(yè)的上級(jí)主管監(jiān)管部門(mén)制定并發(fā)布有全國(guó)性全行業(yè)適用的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)規(guī)定��,占比40%���;國(guó)防軍工行業(yè)情況不詳,占比5%��。
此外���,我國(guó)還制定有大量信息安全相關(guān)法律法規(guī)�����,其中也曾廣泛涉及有關(guān)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的規(guī)則內(nèi)容。
除上述三種類(lèi)型的已有立法性文件之外���,我國(guó)還存在大量有關(guān)網(wǎng)絡(luò)與信息安全管理�����、網(wǎng)絡(luò)和信息系統(tǒng)安全保障的規(guī)范性文件以及法律�����、行政法規(guī)���、部門(mén)規(guī)章�����、地方性法規(guī)和地方政府規(guī)章(下稱“信息安全相關(guān)法律法規(guī)”)�����,據(jù)不完全統(tǒng)計(jì)�����,截至目前���,直接涉及網(wǎng)絡(luò)和信息系統(tǒng)安全保障的中央文件共有20多件,法律共有6多件�����,行政法規(guī)共有10多件 ,部門(mén)規(guī)章共有20多件
��,地方性法規(guī)和地方政府規(guī)章共有20多件��,其中零散�����、雜落地規(guī)定了有關(guān)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的個(gè)別或部分規(guī)范內(nèi)容�����。
我國(guó)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)立法存在的問(wèn)題在于���,從國(guó)家層面缺乏對(duì)關(guān)鍵基礎(chǔ)設(shè)施信息安全的立法保護(hù)��,現(xiàn)行相關(guān)政策和法規(guī)疏密不一���、保障水平差距較大,即便電信���、電力等安全保護(hù)水平較高的行業(yè),其現(xiàn)行部門(mén)規(guī)章也無(wú)法完全滿足安全保護(hù)的法律需求�����,無(wú)法有效保障關(guān)鍵基礎(chǔ)設(shè)施的信息安全。
一是已有的大多數(shù)立法文件發(fā)生于上世紀(jì)90年代���,早已不能準(zhǔn)確反映普遍聯(lián)網(wǎng)���、深化應(yīng)用后遍布于全網(wǎng)全系統(tǒng)的各類(lèi)超級(jí)持續(xù)威脅及其安全應(yīng)對(duì)需求。
當(dāng)時(shí)的立法目的在于防止計(jì)算機(jī)系統(tǒng)被他人非授權(quán)使用���,援用的安全管理理念就是基于《可信計(jì)算機(jī)評(píng)估準(zhǔn)則(TCSEC)》�����、《歐洲白皮書(shū)—信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(ITSEC)》等提供的等級(jí)保護(hù)和安全評(píng)估���,使得立法的總體思路帶有“計(jì)算機(jī)安全(INFOSEC)”時(shí)代的濃厚特色
,與后來(lái)發(fā)生的“網(wǎng)絡(luò)安全(NETSEC)”以及“信息保障(IA)”存在較大的時(shí)間和制度落差�����,早已無(wú)法面向普遍聯(lián)網(wǎng)�����、深化應(yīng)用后遍布社會(huì)生產(chǎn)生活各領(lǐng)域的各種國(guó)家關(guān)鍵基礎(chǔ)設(shè)施,提供適于解決全網(wǎng)全系統(tǒng)各類(lèi)潛在�����、大規(guī)模超級(jí)持續(xù)威脅的整套法律制度���,因此���,合理推定其中很多條款內(nèi)容已經(jīng)不能完全適應(yīng)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)的總體形勢(shì)和實(shí)際需求。
二是立法并未隨時(shí)代變遷而演進(jìn)���,致使已有的規(guī)定事項(xiàng)相對(duì)于現(xiàn)實(shí)情況而言存在明顯的缺漏和遺失��。
國(guó)務(wù)院行政法規(guī)層面的已有立法�����,盡管已經(jīng)提供了計(jì)算機(jī)安全(INFOSEC)時(shí)代符合中國(guó)特色的應(yīng)有法律制度選項(xiàng)��,例如等級(jí)保護(hù)��、國(guó)際聯(lián)網(wǎng)許可備案�����、計(jì)算機(jī)病毒防治管理��、安全專用產(chǎn)品銷(xiāo)售許可等�����,但是卻沒(méi)有汲取安全技術(shù)標(biāo)準(zhǔn)�����、安全防護(hù)計(jì)劃�����、安全風(fēng)險(xiǎn)評(píng)估等計(jì)算機(jī)安全(INFOSEC)時(shí)代國(guó)際社會(huì)普遍采行的應(yīng)有法律制度�����,更沒(méi)有規(guī)范資產(chǎn)認(rèn)定���、清單登記、合作共享���、應(yīng)急處置���、供應(yīng)鏈風(fēng)險(xiǎn)管理��、監(jiān)測(cè)預(yù)警等網(wǎng)絡(luò)安全(NETSEC)時(shí)代廣泛適用于各國(guó)信息保障(IA)實(shí)踐的通用法律制度��,因此��,存在明顯而重大的立法滯后和法律空白�����。
部門(mén)規(guī)章層面的已有立法�����,主要表現(xiàn)為電信���、廣電兩個(gè)行業(yè)基礎(chǔ)信息網(wǎng)絡(luò)安全保護(hù)相關(guān)規(guī)定,而重要信息系統(tǒng)除電力行業(yè)外則尚未制定有任何安全保護(hù)的部門(mén)規(guī)章��;基礎(chǔ)信息網(wǎng)絡(luò)安全保護(hù)的部門(mén)規(guī)章�����,由電信和廣電兩個(gè)行業(yè)分別制定�����,屬于單獨(dú)適用于這兩個(gè)行業(yè)的專門(mén)性部門(mén)規(guī)章,尚沒(méi)有制定有通用于這兩個(gè)行業(yè)的一般性部門(mén)規(guī)章�����;就已經(jīng)存在的基礎(chǔ)信息網(wǎng)絡(luò)安全保護(hù)專門(mén)性部門(mén)規(guī)章而言�����,其中的規(guī)范內(nèi)容大多屬于獨(dú)具本行業(yè)管理特色的一些個(gè)性化做法和措施��,例如《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》(工信部令第11號(hào))中規(guī)定的行業(yè)標(biāo)準(zhǔn)��、安全保障設(shè)施��、單元?jiǎng)澐侄?jí)和備案�����、安全防護(hù)措施符合性評(píng)測(cè)��、單元備份�����、安全檢查���、安全監(jiān)測(cè)�����、應(yīng)急演練等�����,《有線廣播電視傳輸覆蓋網(wǎng)安全管理辦法》(廣電總局令第13號(hào))��、《廣播電視安全播出管理規(guī)定》(廣電總局令第62號(hào))中規(guī)定的技術(shù)規(guī)范�����、備份冗余�����、技術(shù)監(jiān)測(cè)���、播出管理等,無(wú)法普遍通用于各種不同行業(yè)歸屬性質(zhì)的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施
��。
從這個(gè)意義上講,目前盡管存在適用于行業(yè)的專門(mén)性部門(mén)規(guī)章���,但是由于行業(yè)本身的局限���,依靠從行業(yè)角度制定的部門(mén)規(guī)章來(lái)解決跨行業(yè)而存在、運(yùn)行的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護(hù)問(wèn)題�����,便會(huì)陷入“對(duì)象錯(cuò)誤”的邏輯悖論�����,永遠(yuǎn)都不會(huì)使得問(wèn)題獲得正解�����。
三是在國(guó)務(wù)院行政法規(guī)�����、部門(mén)規(guī)章以及規(guī)范性文件���、標(biāo)準(zhǔn)規(guī)范�����、內(nèi)部管理規(guī)定等三個(gè)層面上�����,同時(shí)缺乏普遍通行于各行各業(yè)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的一般性立法文件���。
如前所述,國(guó)務(wù)院行政法規(guī)層面��,我國(guó)已經(jīng)制定實(shí)施了適用于計(jì)算機(jī)安全保護(hù)和安全聯(lián)網(wǎng)方面的一般性行政法規(guī)��,以及適用于個(gè)別國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)方面的專門(mén)性行政法規(guī)�����,但是尚未制定實(shí)施有普遍適用于各行各業(yè)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)方面的一般性行政法規(guī)�����;部門(mén)規(guī)章層面���,電信�����、廣電兩個(gè)行業(yè)已經(jīng)制定實(shí)施有單獨(dú)適用于電信網(wǎng)絡(luò)��、廣播電視傳輸網(wǎng)絡(luò)信息安全保護(hù)方面的專門(mén)性部門(mén)規(guī)章���,但是尚未制定實(shí)施有普遍適用于電信�����、廣電等各類(lèi)基礎(chǔ)信息網(wǎng)絡(luò)信息安全保護(hù)的一般性部門(mén)規(guī)章�����,更沒(méi)有制定實(shí)施有普遍適用于各行各業(yè)重要信息系統(tǒng)、工業(yè)控制系統(tǒng)信息安全保護(hù)的一般性部門(mén)規(guī)章�����;部門(mén)規(guī)章以下�����,絕大多數(shù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施從未制定實(shí)施過(guò)任何信息安全管理方面的辦法和規(guī)定,制定有相關(guān)辦法和規(guī)定的��,也屬于單獨(dú)適用于某類(lèi)重要信息系統(tǒng)的專門(mén)性管理辦法和規(guī)定�����,不屬于普遍適用于各行各業(yè)重要信息系統(tǒng)的一般性管理辦法和規(guī)定���。