一关键基础设施保护是网络安全立法的核心
当前,网络信息浪潮席卷全球,已经革命性地改变了人类的社会生活方式。随之出现的网络安全问题给人类社会带来了新的巨大挑战,网络安全的治理和立法已经成为一个全球性的议题。
(一)网络安全的核心是保护关键基础设施
随着信息通信技术的迅速进展,金融系统、交通运输、电力网线、电信服务、供水管线以及政府服务等基础设施的运营日益依靠网络信息系统,人类的日常行为日益转变为网络空间的信息数据流。然而,互相连接、互相依赖的网络信息系统极其容易因为其所附着的基础设施受损、被拒绝服务攻击等而陷入瘫痪,网络信息系统内的信息数据也极其容易被拦截、窃取和破坏,从而引发了网络安全的问题。
从世界范围的网络安全政策和立法来看,[4]核心内容就是要保护事关国家安全、公共安全的关键基础设施(CriticalInfrastructure),保护这些基础设施所依赖的网络信息系统及其所存储和传输的数据。关键基础设施面临的安全风险不仅包括自然灾害等物理威胁,更包括各国网络安全立法所强调的针对信息系统的网络威胁,表现为黑客入侵、电子间谍、网络盗窃甚至令人担忧的网络战争、网络恐怖主义等。[5]
这并非杞人忧天:2010年9月摧毁伊朗核电站离心机的Stuxnet病毒,据媒体披露是由美国与以色列共同研发,[6]该病毒后感染世界各地,我国也深受其害;2013年6月,美国中央情报局前雇员斯诺登披露,美国国家安全局曾持续攻击清华大学的教育网主干网,为获取手机短信信息而广泛入侵中国的主要电信运营商;[7]近年来,针对我国关键基础设施和特定目标的高级持续性威胁(APT)攻击频现,例如2015年曝光的境外“海莲花”黑客组织多年以来针对我国海事机构实施APT攻击以及长期针对我国政府机构实施攻击的APT-TOCS事件;2015年,国家信息安全漏洞共享平台发现境外有千余个IP地址渗透扫描我国大量使用的某款工业控制系统,有数百个IP地址访问过我国互联网上暴露的工业控制设备。[8]鉴于关键基础设施关系到国家命脉和社会运行,上述威胁对国家安全、公共安全和社会稳定造成了极大的挑战,关键基础设施保护已成为各国网络安全治理和立法的核心内容。
(二)关键基础设施概念的界定
2001年10月,小布什政府颁布《美国爱国者法案》(USAPATRIOTAct),[11]将“关键基础设施”定义修改为“对于美国来说极其重要的物理的或虚拟的系统和资产,一旦它们能力丧失或遭到破坏,就会削弱国家安全、国家经济安全或者国家公众健康与安全”。该定义为之后的美国立法所沿用。[12]2013年,奥巴马政府的《第21号总统政策指令》[13](以下简称pro-21)认为关键基础设施涉及通信、信息技术、金融服务、政府设施、交通系统、商业设施、关键制造、能源等16个领域。
2016年8月,欧盟《关于欧盟共同的高水平网络与信息系统安全措施的指令》(以下简称NIS指令)正式生效,欧盟各成员国要在2018年5月9日之前将其转化为国内法。指令并没有采用“关键基础设施”的概念,而是使用了“基本服务运营者”的表述。所谓“基本服务运营者”,是指“提供维续关键社会活动及/或经济活动基本服务的主体,该服务的提供依赖于网络和信息系统,网络安全事件会对该服务的提供造成重大的破坏性影响”,涉及能源(电力、石油及天然气)、运输(航空、铁路、水运及陆运)、银行、金融市场基础设施、医疗卫生、饮用水供应分配以及数字基础设施(互联网交换点、域名系统服务提供者及顶级域名注册)领域。[14]
作为欧盟成员国的德国于2015年8月14日通过了《加强联邦信息技术安全法》修正案,增加了“关键基础设施”的定义,是指“对于德国共同体的运作具有重大意义的设施、设备或者其组成,一旦停止运作或者遭受损害将造成严重的供应紧张或者对公共安全产生严重威胁”,涉及能源、电信、信息技术、交通运输、卫生、食品以及金融保险领域;具体范围由联邦政府以法规命令予以规定,但明确排除了这些领域中的小企业。[15]
可以发现,无论是美国还是欧盟,都将关键基础设施保护上升到维护国家安全和公共安全的高度,在界定“关键基础设施”及其范围时强调国家安全和公共安全,所谓的“关键”就是指事关国家安全和公共安全,这既突出了保护的重点,也避免了将过多企业纳入监管而徒增企业负担。
近年来,面对严峻的网络安全形势,我国高度重视关键基础设施保护。2015年7月1日通过的《国家安全法》第25条明确规定:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。全国人大常委会审议的《网络安全法(草案二审稿)》(以下简称“二审稿”)的第3章“网络运行安全”对此有专门规定,并明确“关键信息基础设施的具体范围和安全保护办法由国务院制定。”2016年3月,《关键信息基础设施安全保护条例》纳入国务院2016年立法工作计划的研究项目。
2016年4月19日,习近平总书记《在网络安全和信息化工作座谈会上的讲话》更是明确指出金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。……不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。”习总书记的讲话已经将关键基础设施保护提升到维护国家安全和公共安全的高度,深入研究和系统构建关键基础设施保护的法律制度尤为迫切。
本文就是在这一背景下,针对我国面临的严峻挑战和立法难题,在观察分析域外法治进展的基础上,结合《网络安全法(草案二审稿)》的修改完善,提出我国关键基础设施立法的基本思路和制度建构,以期能够对我国关键基础设施保护和网络安全立法提供有益参考。
二域外关键基础设施保护立法的制度架构以美国为例
美国作为全球网络信息技术最发达的国家,很早就认识到了堪称“电子阿基里斯腱”的网络安全挑战,[16]从20世纪90年代后期就逐步开始研究应对策略和探索法制框架。美国网络安全立法的核心就是关键基础设施保护,它的战略政策和法令立法逐步推进,基本经历了从政策到立法、从国内到国际的演进过程,从克林顿政府行政命令的被动应对到小布什政府《网络空间安全国家战略》的主动防御、再到奥巴马政府《网络空间国际战略》的国际威慑,美国网络安全风险应对策略逐渐走向全面和成熟。[17]在战略全面成熟之后,美国奥巴马政府开始推动网络安全的综合性立法。
(一)美国关键基础设施保护立法的基本思路
1.保护私营关键基础设施的立法思路
(2)对关键基础设施的特定系统和资产设立监管方案。国土安全部负责确认关键基础设施的网络安全威胁,有权认定纳入关键基础设施监管范围的资产或者系统,并且确定其为抵御已认定的网络安全威胁而应该具备的性能标准。纳入关键基础设施监管范围的资产或者系统必须遵守该法设立的监管方案。关键基础设施的所有者可以将其系统或资产自行认定或者请求国土安全部认定为关键基础设施。[24]
(3)规定不遵守监管标准所承担的法律责任。明确国土安全部有权规定征收民事罚款,以处罚关键基础设施所有者或运营者不遵守监管标准的行为。要求关键基础设施所有者或运营者每隔三年自我证明或者通过第三方评估其遵守监管标准的情况,但是国土安全部有权在合理怀疑存在违反监管标准的情况下进行审核和检查。只要正在经受威胁的关键基础设施的所有者或运营者,已经遵守了该法规定的监管标准,已经顺利通过了评估以及在事件发生时仍在实质性地遵守标准,就可以豁免民事惩罚性赔偿。[25]
2.促进网络安全信息共享的立法设计
2015年12月18日,CISA在争议中签署生效,以激励联邦政府和企业为了国家安全而共享网络威胁信息。主要立法思路是通过交换和共享安全信息,来预防和充分应对网络安全事件,以减少损害发生。其主要内容包括:
在美国,CISA和类似网络安全信息共享立法引发的争议主要包括:(1)企业采取技术措施监控自身网络系统设施或者共享网络威胁信息的行为,可能违反《电子通信隐私法》(ECPA)等隐私权保护的法律规定,[33]CISA对此虽然规定了企业责任豁免,但争议仍然存在。(2)豁免企业共享信息的法律责任,主要有两方面的争议:一方面私主体对这种豁免仍存在不信任,联邦机构可能以此作为不利于当事人的证据用于行政执法等;另一方面,责任豁免如涉及舍弃第三方私主体的合法权益,其正当性会受到质疑。(3)共享信息可能会侵害企业的商业利益。类似商业秘密等商业信息,可能发生泄露而被竞争对手获取。因此,企业一般不愿与政府共享涉及商业利益的信息,此类立法的实际成效可能有限。
(二)美国关键基础设施保护制度的实施框架
1.建立政府和行业的协作机制
之后,小布什政府提出了一个新的“关键基础设施保护伙伴关系模式”,将PDD-63要求的行业联络官和行业协调员发展成“政府协作委员会”和“行业协作委员会”,扩大了政府和所有者/运营者的代表范围。“政府协作委员会”包括州、地方和部落的政府机构。“行业协作委员会”建立自身架构和领导体制,独立于联邦政府运行。在这种模式下,之前跨行业的“伙伴关系”发展为“私营部门跨行业委员会”。行业协作委员会为国家关键基础设施保护计划(NIPP)和特定行业保护计划(SSP)制订提供支持。[34]
2.制订国家关键基础设施保护计划
2013年2月,奥巴马政府颁行《第13636号行政命令》[38](以下简称E.0.13636)以及保障该命令顺利执行的《第21号总统政策指令》(PPD-21)。随后,根据PPD-21的要求,NIPP第二次更新,新计划保留了之前基本的伙伴关系模式和风险管理框架,涉及16种行业,但信息技术业和电信业等特定行业保护计划并没有更新。
3.设立信息共享和分析中心
虽然PDD-63将ISAC设想成交换关键基础设施信息最主要的渠道,但国土安全部还是发展出了一系列其他的信息交换系统和机制。除了行业协作委员会,美国计算机应急中心(üS-CERT)[39]接受安全事件报告,公布最新的计算机漏洞威胁信息以及特定安全事件应对信息,也负责国家网络警报系统,任何组织或者个人都可以订阅这一系统的通报信息。国土安全部还开发了国土安全信息网络(HSIN),最初是作为联邦、州和地方基层政府执法机构交流和分析威胁信息的主要通信网络。现在HSIN提供50个州、5个领地、50个城市与国土安全部国家行动中心的实时连接。HSIN现正扩展到包含每个关键基础设施行业(称为HSIN-CI),作为关键基础设施保护伙伴关系模式的一部分。
5.制订网络安全框架
在推动国会立法受阻之后,奥巴马政府于2013年颁行E.0.13636和PPD-21,要求国家标准和技术研究院(NIST)负责制定网络安全技术标准,制定保护关键基础设施的“网络安全框架”。具体要求该框架保持技术中立,反映跨领域的自发共识标准和行业最佳实践,必要时审查并更新,特定领域领导部门配合审查并制订特定领域指南,该框架的安全标准将纳入政府采购计划和合同管理。[44]这一框架是国土安全部负责建立的“自愿关键基础设施网络安全计划”的基础。此外,E.0.13636要求国土安全部参考特定行业部门的认知,通过协商机制来认定关键基础设施列表并且每年予以更新,明确那些一旦发生网络安全事件,就可能造成地区性或者全国性的公共健康或安全、经济安全和国家安全方面灾难性后果的设施,但明确排除了商业信息技术产品或消费信息技术服务;秘密通知列表设施的所有者和运营者,鼓励他们采用基于“网络安全框架”的“关键基础设施网络安全计划”,所有者和运营者对纳入秘密设施列表可以提出行政复议。[45]
美国国家标准和技术研究院于2014年2月12日发布了1.0版的《网络安全框架》,该框架包括:一组用以预测和防护网络攻击的常见活动(“框架核心”),确定了关键基础设施保护应具有识别、保护、检测、响应和恢复等五种功能;一种用以评估核心活动实现程度和测算应对攻击准备程度的分层方法(“框架实施层”),根据框架执行情况分为部分具备、熟知风险、符合标准和自动适应等四个层级;以及一个根据各组织业务需求、风险承受能力和资源确定的实施方案(“框架配套方案”),比较当前配套方案和目标配套方案,可以暴露问题,提升组织的网络风险管理。该框架还包括了一份较为全面的参考资料,列出了关键基础设施各个行业通用的一些特定标准、指南和实践。[46]
三关于完善我国关键基础设施保护立法的建议
(一)从国家安全高度把握关键基础设施的界定和立法
关键基础设施涉及能源、电力、通信、金融、交通以及政府服务等社会生活的重要领域,但是“关键基础设施”并不等同于“重要领域信息系统”,《国家安全法》第25条也是将二者并列表述。本文认为确定关键基础设施的内涵外延和立法体系,应该从国家安全的高度予以把握。
1.关键基础设施的“关键”是指事关国家安全、公共安全
从各国关键基础设施保护立法来看,所谓的“关键”就是指事关国家安全和公共安全,这既突出了立法保护的重点,也可以将小企业和商业性信息技术产品排除在外,避免设立过多的监管义务而增加产业界的负担。二审稿第29条明确规定关键基础设施是指“一旦遭到破坏、丧失功能或者数据泄露,严重危害国家安全、国计民生、公共利益”的基础设施,相较于一审稿第25条定义采用的重要行业、公共服务、军事、政务、用户数量众多等不同标准,是重大进步。这和习总书记“4.19”重要讲话强调关键基础设施是“经济社会运行神经中枢”的论断相符合。这一定义将网络安全和关键基础设施保护立法提升到国家安全和公共安全的高度,不仅有利于突出保护重点,也有利于统筹安排关键基础设施保护的立法体系。对于不涉及国家安全和公共安全的问题,不宜规定在《网络安全法》之中,可以通过其他法律予以解决。
需要指出的是,草案一审稿和二审稿都采用了“关键信息基础设施”的表述,而《国家安全法》第25条规定保护“关键基础设施和重要领域信息系统”,采用的是“关键基础设施”的表述。本文库议采用“关键基础设施”的表述,理由如下:从问题本源看,关键基础设施不仅面临物理威胁,也面临该设施信息系统部分遭受攻击的网络威胁,因此保护关键基础设施包括保护设施的物理部分和网络部分。有学者指出,“关键信息基础设施”概念就是强调保护设施的网络部分,但是这种理解和这个词的一般语义不符。从这个词看,其就是指关键的信息基础设施,而信息基础设施主要涉及电信业和信息技术业领域,国外就是在两个领域使用“关键信息基础设施”(CIIP)的概念。
从我国立法目的看,《国家安全法》的规定表明我国立法是要保护能源、交通、水利、金融等所有领域的关键基础设施。而“关键信息基础设施”这一表述,容易让人误解我国只保护电信业和信息技术业的关键基础设施,这和我国保护所有领域关键基础设施的立法目的不符。从国外立法例来看,美国、德国等国立法都采用的是“关键基础设施”的表述,“关键信息基础设施”不符合国外“关键基础设施”这一常用表述。如执意采用“关键信息基础设施”的概念,很可能造成交流上的障碍。比如很难说核电站是关键信息基础设施,而说核电站属于关键基础设施则不存在这一问题。
因此,本文建议将草案二审稿中的“关键信息基础设施”改为“关键基础设施”。如果强调立法只涉及保护关键基础设施的网络部分,而不涉及物理部分的防护,可采用“关键基础设施信息系统”的表述,而不应采用“关键信息基础设施”的表述。
2.从国家安全、公共安全的高度进行立法的体系化设计
应该承认关键基础设施保护法制是一个多层次规范相互配合的法律体系,而网络安全专门性立法应该着重解决其中事关国家安全的重点问题,面面倶到有可能导致重点不明、成效有限。有些问题应该通过其他法律规范来解决,不建议在《网络安全法》中规定。比如二审稿第三章第26条禁止网络非法侵入,重复了《刑法》第285条、第286条的规定,本文认为对于一般网络信息系统侵入行为的规制,在刑法里规定比较恰当。当然,第285条、第286条本身规定在“妨害社会管理秩序罪”之下,并没有认识到网络非法侵人犯罪可能危害公共安全的情形。针对社会生活的发展变化,建议我国刑法应该适时作出调整,将严重的网络非法侵入犯罪纳入“危害公共安全罪”,增大惩处力度。
此外,建议删去二审稿的第二章“网络安全支持与促进”,包括二审稿新增的第16条“国家推进网络安全社会化服务体系建设”和第17条“国家鼓励开发网络数据安全保护和利用技术”。[47]这不是否定战略的重要性,相反国家网络安全战略极其重要。但从域外经验看,一般是先制定国家网络安全战略,再推进网络安全综合性立法。遗憾的是,虽然有关部门努力多年,我国至今没有国家网络安全战略。建议在这次立法进程中适时制定公布这一战略,以保持战略适度公开透明,防止其他国家战略误判。战略构想可以通过立法的具体制度设计来体现,但写成法条形式的必要性并不充分,战略构想本身很难成为具有规范效力的法律规定。2016年6月6日,网信办、教育部等六部门联合发布《关于加强网络安全学科建设和人才培养的意见》,对加强网络安全学科建设和人才培养作出重大部署,受到广泛好评。二审稿第二章的内容写成此类战略政策文件较为妥当,不宜直接规定为法条。
(二)坚持国内经验总结与国外经验借鉴相结合原则
我国网络安全工作积累了不少工作经验,在关键基础设施立法中既要借鉴国外先进经验,也要立足国情总结国内经验,坚持二者相结合相协调。
1.将“运行安全”、“信息安全”改为“系统安全”、“内容安全”
建议将第3章和第4章的章名改为“网络系统安全”和“网络内容安全”:将保护关键基础设施和一般信息系统的规定,包括确保数据传输安全的规定纳入第3章“网络系统安全”;充实第4章“网络内容安全”的规定,可以考虑增加未成年人上网保护的规定,以及网络内容管理的规定,包括实名制、内容分级制、信息删除规范等。对于二审稿第四章“网络信息安全”第39-44条对个人信息的保护,考虑到《刑法》《消费者权益保护法》等已经有了类似规定,而且还有专门制定个人信息保护法的主张,个人信息保护本身也不是网络信息系统受到侵害会引发的国家安全、公共安全的主要问题,没有必要规定如此详细,建议只规定一条,该条可以考虑改造二审稿第21条第3款而表述为:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;收集公民个人信息的,应当遵守有关法律、行政法规关于公民个人信息保护的规定。”
需要指出的是,规定“网络内容安全”,不仅有利于规范我国网络内容管理秩序,也有利于以法律武器维护网络空间主权,反击他国以“互联网自由”之名干涉我国内政。奥巴马政府在《网络空间国际战略》中宣扬“互联网自由”,美国国务卿希拉里克林顿也在演讲中多次强调“网络自由”,公开宣称“我们投资开发尖端技术,因为我们知道压制性政府不停地翻新钳制手段,而我们必须走在他们前面”。[49]促进信息自由流动确实是互联网的崇高价值,但是一国政府按照自设标准去判定其他国家的政策立法是正常管制还是过度“钳制”则不无疑问,一国政府利用自身技术优势对其他国家网络监管进行干涉的国际法基础并不存在。我们不仅应警惕网络技术层面的网络系统安全威胁,也要警惕其他国家利用技术优势传播敌对言论而引发的网络内容安全威胁。
2.处理好关键基础设施保护和信息安全等级保护的关系
我国长期以来对信息系统的管理实行“信息安全等级保护管理制度”,这体现在二审稿第三章“网络运行安全”第一节“一般规定”的第20条(条文称之为“网络安全等级保护制度”)。但草案中还借鉴了国外的“关键基础设施保护”制度,规定在草案第三章“网络运行安全”第二节“关键信息基础设施的运行安全”。相较于一审稿,二审稿在第29条明确规定“在网络安全等级保护制度的基础上”,对关键基础设施“实行重点保护”。从这一条规定看,好像是将关键基础设施保护纳入到网络安全等级保护里最为重要的部分。但二审稿中,两部分的内容仍有很多重复之处,比如第21、22条和第33、34条,都是为了确保供应链安全。这需要清楚界定二者的适用范围,应进一步协调这两个制度的关系和分工。二审稿从国家安全的角度界定了关键基础设施,那么关键基础设施保护制度应适用事关国家安全和国家命脉的基础设施。而对于等级保护管理制度,以“自主定级、自主保护”为原则,应进一步明确适用于所有一般网络信息系统。
(三)设计监管框架时区分一般和关键、公共和私营
网络信息系统涉及社会生活的不同部门和各个领域,在设计监管框架时应有所区分,既有利于根据不同情况设定妥当的监管标准,也有利于不同主体明确自身的权利义务,本文建议关键基础设施保护和网络安全立法做到以下两个区分。
1.区分一般信息系统和关键基础设施设定不同的保护
从域外经验看,往往对关键基础设施和一般信息系统设定不同的保护标准,对于关键基础设施而言,除了得到普通信息系统的一般保护之外,还应给予其特别保护。二审稿第一节“一般规定”和第二节“关键信息基础设施的运行安全”,没有区分信息系统的一般保护和关键基础设施的特别保护,导致这两节中有些内容缺乏规定而有些内容存在交叉,比如第二节第32条规定的关键基础设施运营者应履行的“教育从业人员”、“容灾备份”、“制定网络安全事件应急预案”等义务,同样是其他信息系统一般保护所需要的。建议将第3章第一节“一般规定”改为“信息系统的一般保护”,梳理二审稿适用于所有信息系统保护的运营者的义务(如漏洞报告、协助执法等)、监管部门的权限等,将这些内容规定于该节之下;将第3章第二节改为“关键基础设施的特别保护”,只纳入适用关键基础设施的特别规定。
2.区分公共部门和私营部门设计不同的监管框架
(四)监管私营部门要贯彻安全与发展并重的原则
坚持安全与发展并重是《网络安全法(草案)》起草说明中提到的基本原则,习总书记“4.19”讲话进一步指出“坚持鼓励支持和规范发展并行”。二审稿虽然增加了约谈、记入信用档案、从业禁止等惩戒措施,有利于督促企业履行义务,但私营关键基础设施应该遵循何种义务来实现安全的目标仍不明确。本文建议在坚持安全与发展并重的前提下增加如下规定,以完善私营关键基础设施的保护。
1.明确监管标准的强制效力,但审慎划定私营关键基础设施的范围
建议增加以下规定:国家组织制定的网络安全标准具有强制效力,纳入关键基础设施范围的所有者或运营者应严格遵守有关的强制性标准;国家网信部门负责认定关键基础设施的网络安全威胁,指定哪些资产或系统属于关键基础设施,并协同国家有关部门为这些设施提供相应的监管方案和监管标准;纳入关键基础设施范围的系统或资产,必须遵守强制性监管要求,否则要承担相应的法律责任。考虑到强制性监管标准确实会给企业增加负担,应该审慎划定私营关键基础设施的范围,可以考虑借鉴前述德国和美国的规定,将“小企业”和“商业信息技术产品或消费信息技术服务”排除在外。
2.构建政府和企业的协作机制,完善安全信息共享和企业责任豁免
网络的互联互通和全球性,使得以保护关键基础设施为核心的网络安全问题成为当今世界各国共同面临的挑战。世界各国只有在共同参与、沟通合作的基础上,就网络安全规则达成共识,才能真正解决这一全球性的难题。为在将来国际规则制定中掌握主动,我国立法应从国际法角度设计一些必要的条款。
1.通过完善管辖权条款确认法律的域外效力
2.原则上规定针对网络攻击的反制措施
当前,跨国网络攻击日益频繁,针对我国关键基础设施和重要信息系统的APT攻击、漏洞后门攻击呈逐年上升的趋势,我国已经成为网络攻击的主要受害国。除了加大科研力度,对网络攻击予以技术防范和应对之外,也应该考虑从法律上规定针对网络攻击的反制措施。对此,美国已经有类似规定。奥巴马政府于2015年4月颁行《第13694号行政命令》(E.0.13694),宣布将针对美国实施恶意网络活动的主体予以制裁。所谓的恶意网络活动包括以下情形:显著破坏了美国关键基础设施;盗窃美国经济资源、商业秘密、个人身份信息或者金融信息以获得商业竞争优势、个人经济利益;接受或使用窃取的商业秘密而从中获益;破坏美国计算机网络或者为上述活动提供物质支持。这些恶意网络活动会造成美国国家安全、外交政策、经济安全和金融稳定面临“显著”威胁。根据这一命令,针对实施恶意网络活动的个人和实体,美国财政部长在与国务卿、司法部长协商的基础上,可以对这些个人或实体采取以下措施:冻结其资产、禁止其进入美国、禁止其与美国公民或公司进行商业往来。[50]
我国与俄罗斯等国向联合国提交的《信息安全国际行为准则》(2015年版草案),主张“各国有责任和权利依法保护本国信息空间及关键信息基础设施免受威胁、干扰和攻击破坏”,“任何争端,都以和平方式解决,不得使用武力或以武力相威胁”。[51]规定合理的反制措施,并非是诉诸武力解决争端,而是2国维护自身关键基础设施安全的必要手段。本文建议在二审稿中原则上规定针对网络攻击的反制措施,条文可拟定为国家有权针对境内外的网络安全攻击采取反制措施,包括但不限于技术反击和经济制裁。”至于具体适用条件和程序需要严格限制,可以在今后的实践中逐渐确立细化。虽然这一规定是原则性的,但可以对有关网络攻击方形成一定的威慑,也有利于今后我国在网络安全国际规则制定中掌握一定的主动权。
[本文为中央马克思主义理论研究和建设工程重大项目、国家社科基金重大项目“全面推进依法治国重大现实问题研究”(2015MZD042)和国家社会科学基金特别委托项目“大数据时代依法治国战略”(15@ZH012)的研究成果。
[2]RegulationNo460/2004oftheEuropeanParliamentandoftheCouncilof10March2004establishingtheEuropeanNetworkandInformationSecurityAgency,art.4(c),OJL77,13.3.2004,p.5;CommunicationfromtheCommissiontotheCouncil,theEuropeanParliament,theEuropeanEconomicandSocialCommitteeandtheCommitteeoftheRegionsonNetworkandInformationSecurity:ProposalforAEuropeanPolicyApproach,COM(2001)298final,6.6.2001,p.9.
[3]“信息系统(informationsystem)”是指计算机和电子通信网络,以及它们为了自身的运行、应用、保护及维持的目的所存储、处理、存取或者传输的电子数据,见RegulationNo460/2004oftheEuropeanParliamentandoftheCouncilof10March2004establishingtheEuropeanNetworkandInformationSecurityAgency,art.4(b),OJL77,13.3.2004,p.5.
[5]这些指称网络攻击行为的称谓并不是截然区分的,某个行为可能同时属于多个称谓。
[8]国家互联网应急中心主编:《2015年中国互联网网络安全报告》,人民邮电出版社2016年版,第17页。
[9]ExecutiveOrder13010:CriticalInfrastructureProtection,FederalRegister,Vol.61,No.138,July15,1996,pp.37347-37350.
[11]该法案的全称为“UnitingandStrengtheningAmericabyProvidingAppropriateToolsRequiredtoInterceptandObstructTerrorismActof2001”,译为“2001年使用适当的手段来阻止或避免恐怖主义以团结并强化美国的法案”,取英文原名的首字缩写成为“USAPATRIOTAct”,译为“美国爱国者法案”。
[12]USAPATRIOTAct,TitleX,Sec.1016.CriticalInfrastructuresProtectionActof2001,42USC§5195c.
[14]Directive(EU)2016/1148oftheEuropeanParliamentandoftheCouncilof6July2016concerningmeasuresforahighcommonlevelofsecurityofnetworkandinformationsystemsacrosstheUnion,OJL194,19.7.2016,p.13-14,27-29.
[20]该计划旨在联邦政府网络部署入侵检测系统和入侵防御系统,美国国内对该计划的争议很大,主要问题在于这些系统可能会违反《美国宪法第四修正案》以及侵害个人隐私和公民自由。
[22]S.2105,§103.
[23]该法案将其界定为“通过电子方式组织或传递信息的商品”,S.2105,§2(1)。
[24]S.2105,§102-104.
[25]S.2105,§105.
[26]TheFreedomofInformationAct,5U.S.C.§522(d)(3).
[27]程啸、张发靖:《现代侵权行为法中过错责任原则的发展》,《当代法学》2006年第1期,第92页。
[28]CISA,Sec.103.
[29]CISA,Sec.104.
[30]CISA,Sec.105.
[31]CISA,Sec.105.
[33]AaronJ.Burstein,AmendingtheECPAtoEnableaCultureofCybersecurityResearch,HarvardJournalofLaw&Technology,2008,p.167.
[34]U.S.CongressGeneralAccountabilityOffice,CriticalInfrastructureProtection:ProgressCoordinatingGovernmentandPrivateSectorEffortsVariesbySectors,Characteristics,GAO-07-39,October2006.
[35]HomelandSecurityActof2002,PublicLaw107-296—Nov.25,2002.
[37]HomelandSecurityPresidentialDirective7:CriticalInfrastructureIdentification,Prioritization,andProtection,39WeeklyCompilationofPresidentialDocuments,p.1816,December17,2003.
[38]ExecutiveOrder13636:ImprovingCriticalInfrastructureCybersecurity,FederalRegisterVol.78,No.33,February19,2013,pp.11737-11744.
[39]该中心承担了国家关键基础设施保护中心(NIPC)的大部分职能。
[40]CriticalInfrastructureInformationActof2002,6U.S.C.131(5).
[41]E.0.13691:PromotingPrivateSectorCybersecurityInformationSharing,FederalRegister,Vol.80,No.34,February20,2015,pp.9347-9353.
[43]NationalInfrastructureSimulationandAnalysisCenter,该中心是根据《2001年关键基础设施保护法》而建立的。
[44]E.0.13636,Sec.7-8.
[45]Sec.9,E.0.13636.
[47]第17条本身和第15条有一定的语义重复。
[48]参见刘金瑞:《三网融合下视听媒体内容管制对策》,《中国电信业》2011年第3期,第60-62页。
[50]E.0.13694:BlockingthePropertyofCertainPersonsEngaginginSignificantMaliciousCyber-EnabledActivities,FederalRegister,Vol.80,No.63,April2,2015,pp.180747-18079.
Sponsors:InstituteofLawandInstituteofInternationalLaw,ChineseAcademyofSocialSciences
Address:15ShatanBeijie,DongchengDistrict,Beijing100720