原创佘杰新陆沈瞳上海市法学会东方法学
随着人类进入数据全球化时代,关键信息基础设施安全问题日益重要。《关键信息基础设施安全保护条例》为处理此类安全问题提供了较为完善的法律依据。然而,目前我国关键信息基础设施安全保障的法律规范存在体系层次欠缺、内容完整性不足两大方面的问题,无法充分应对网络攻击、数据泄露、技术漏洞等外源性和内生性的威胁和风险。为此,我们应坚持总体国家安全观,以习近平法治思想为指导,坚持立体防护和主动塑造原则、统筹发展和安全原则、突出领导核心和合力共治的原则,以网络强国的战略高度构建适度、精准、高效的关键信息基础设施安全法律保障体系;在此基础上,通过补足关键信息基础设施具体领域立法、地方性立法和涉外立法,同时填补法律法规具体内容上的漏洞,构建系统性、层级性、衔接性的关键信息基础设施安全法律保障体系。
一、问题之提出
良法是善治之前提,完备的法律体系是保障国家安全的重要屏障。维护CII安全离不开完善系统的法律体系的保障。新时代新征程,在深刻把握中国式现代化科学内涵和理解总体国家安全观理论伟力的基础上,按照科学完备、统一权威的中国特色社会主义法律体系的要求,推进我国CII安全法律体系能力现代化建设,是推进国家安全治理体系和能力现代化的重要一环。因此,本文立足新安全格局建立现实需求的基础上,全面梳理CII安全法律之发展现状,客观检视CII安全法律保障之不足,全面考察域外国家或地区法律制度,为构建兼具战略性、中国式、现代化和体系化的CII安全法律体系提供对策建议。
二、我国关键信息基础设施安全法律保障之历史演进
构建我国CII安全法律体系,增强网络安全风险制度保障能力,首先需要对我国既有CII安全法律的发展进程与立法现状进行全面检视,在形成系统认知的同时找到既有问题的症结所在。
(一)
我国关键信息基础设施安全法律保障演进的主要阶段
随着2017年《关键信息基础设施安全保护条例(征求意见稿)》发布,我国CII安全保障法律演进进入集成阶段。该条例历经了四年的修改完善,于2021年正式颁布实施。该条例以《网络安全法》为顶层设计并承接其部分内容,共有6章51个条款,对CII的认定和保障等内容进一步完善,成为CII安全保护领域专门的行政法规,进一步推动我国在该领域保护的立法进程。
(二)
我国关键信息基础设施安全法律保障演进之现实依据
三、我国关键信息基础设施安全法律保障之文本检视
全球数据化时代,新技术新应用带来新挑战,网络违法犯罪活动日益升级。CII面临的重大安全风险,亟需构建完备的法律体系予以保障。然而,我国针对CII安全法律体系能力现代化建设起步相对较晚,现行CII安全法律保障制度与维护国家安全的实际需要之间还存在一定差距。评判CII国家安全法律制度体系,可以基于立法技术和现实安全风险角度,从形式完备、内容科学两个基本评价准则展开。
立法系统性问题
1.立法衔接问题
2.地方立法空白问题
3.涉外立法不足问题
内容完整性问题
CII法律制度保障在对象范围、机构权责、关涉主体义务、保障制度、国际合作和责任体系等方面均存在尚待修改、明确和细化的地方。具体而言:
1.范围认定有待进一步明确
2.运营者监管义务规定不全面
3.机制制度不健全
四、我国关键信息基础设施安全法律保障体系构建的基本方案
立足中国式现代化的重大命题和两个大局的时代背景,考察CII安全的风险类型,我们发现,现有CII法律规范与现实保护需求之间存在差距需要缝合,亟待构建具备系统性、层次性、衔接性的CII安全法律制度保障体系。而不同的指导思想、目标追求、基本原则和构建思路将根源性地决定法律体系的最终形态,是具体构建CII安全法律保障体系前必须厘清的基本问题。
指导思想
目标追求
(三)
基本原则
(四)
内容结构
体系化是提升我国现有CII安全法律保障水平的必然追求,CII法律保障必须做到体系完整、层次健全。回顾体系思想的起源发展,自耶林对概念法学的立场由推崇备至转向冷嘲热讽后,法律体系化思想便开始由形式化向实质化演进,由追求固定式的形式概念逐渐向看重开放式的价值概念过渡,即由“概念法学”转向“原则法学”。到了现代法学,体系化思想在原则法学的基础上同时吸收了概念法学的优点,强调在把握法律体系价值秩序的同时将其与法律素材的事实描述有效连接,构筑一个在“纵向”上,上位类型通过价值演绎可以区分出不同下位类型,在“横向”上,类型之间价值相异又脉络相连的完备法律体系。这种体系化思想体现在CII安全法律保障体系的构建上,其衡量标准则可以归纳为一方面基础法律和专门法律完备,另一方面以法律为主干,其相应的行政法规、地方立法、自治条例、单行条例、规章制度和涉外法律条款与之相辅相成。
五、关键信息基础设施安全法律保障体系完善之具体路径
填补法律体系层级之缺失
1.法律体系内外衔接协调之加强
2.地方立法之增添
3.涉法立法之跟进
完善法律规范之内容
1.合理框定关键信息基础设施的范围
2.明晰管理部门的保障制度
CII的安全与否直接关系国家安全、国计民生与公共利益,基于利益平衡原则和风险治理理论,赋予运营者安全保护义务具有正当性,并应结合特定领域和行业设置具体的义务内容。运营者安全保障义务的体系内容涉及运营者内部网络安全保护制度的建设,专门安全管理机构的设置、具体职责,网络安全监测和风险评估,发生重大网络安全事件或威胁时的报告机制,网络产品和服务等方面的保护义务。与此同时,要注重网络安全服务机构、安全技术人员、信息处理人员的义务同步构建,明确其认定的具体步骤,重点强调运营者的弹性恢复和保障供应链安全义务,发挥运营者本身的技术特长,不断地进行技术研发和安全培训,增强运营者的网络安全意识,保证其定期开展供应链安全教育、安全评估、安全检测、采集软件建设。
4.构建安全保障法律责任体系
原标题:《佘杰新陆沈瞳|关键信息基础设施安全法律保障体系构建研究》