陈越峰:关键信息基础设施保护的合作治理

选择字号:   本文共阅读 107 次 更新时间:2019-02-22 00:54:49

进入专题: 关键信息基础设施   网络安全   政府规制  

陈越峰  

   摘要:  关键信息基础设施保护是网络安全治理的重中之重和难点所在。关键信息基础设施安全具有公共属性,在无法完全通过市场机制由私主体独立提供的情况下,政府规制具有正当性。关键信息基础设施保护的治理对象需要系统分类指定和审慎动态调整。在关键信息基础设施保护的主体架构上,层级制与部门化的政府组织结构局限性明显,合作是必然的选择,这就需要在高效统一的领导和广泛深刻的政府协同基础上,形成紧密的公私合作伙伴关系。关键信息基础设施保护需要系统性的过程控制,事前审批和事后处罚等传统行政活动方式的实效性不足。为更好实现保护关键信息基础设施的目的,需要综合运用“规制—担保—给付”等多元行政活动方式,基于公私合作采取全过程风险治理措施。

   关键词:  关键信息基础设施;网络安全;政府规制;风险治理;合作行政

  

一、关键信息基础设施的保护问题

  

   关键信息基础设施是互联网的基础层,其安全、持续的运营是网络安全的基础。关于如何实现网络安全的问题,先后有两种代表性的主张。一种主张认为,网络安全问题是网络内生的问题,无须刻意解决;即使需要解决,也应当从技术角度入手。1996年发布的《网络独立宣言》宣称:“不成文的‘法典’(编码),与任何强制性法律相比,能够使得网络社会更加有序。”[1]莱斯格有关“网络空间是代码之治”的说法,[2]也是这一主张的集中体现。随着现实空间中关键基础设施的信息化,加之工业网络的互联互通,[3]虚拟空间互联互通的程度不断加深。特别是进入移动互联和“互联网+”阶段之后,互联网再也不是那个与物理空间平行的“宇宙”,网络安全也不再只是虚拟空间的安全,其所产生的影响向现实社会急剧渗透、迅速扩展。于是,另一种更有说服力的主张逐渐被广泛接受,即“对虚拟安全问题的有意义的回应将发生在制度层面”。[4]如果说互联网已经成为了经济社会发展的基础设施,那么网络安全就是这个以互联网为基础的时代的公共安全。基于网络安全治理的现实状况展开制度建设,是对网络安全需求真正有效的回应之道。

   在实现和保障网络安全的多种机制中,市场机制能够发挥的调节作用需要在互联网的基础层、互联网服务的中间层和互联网信息的表层这三个层面分别考察。[5]有研究者根据目标的战略重要性和攻击者的能力建立了一个四象限的坐标体系。在不同类别的目标所面临的不同攻击能力与偏好面前,市场机制能够发挥的作用程度不一,政府规制也就有着不同程度的必要性。[6]

   各国在法律层面对网络安全挑战的回应主要有两个方向:一是充分运用传统法律,以事后制裁为主要手段,有效打击危害网络空间安全的各种违法犯罪行为;二是通过专门立法设计有效的过程监管制度,最大限度地预防风险的发生。[7]传统回应方式集中体现在2001年《布达佩斯网络犯罪公约》引领下的各国刑法、刑事诉讼法的修订。但是,通过传统法律针对网络犯罪进行诉讼所能解决的问题仅仅是冰山一角。[8]正如有学者所指出的:“网络安全太重要、太复杂,以致于不能完全交由刑法与武装冲突法调整。”[9]因此,指向过程监管的专门立法始终是法律回应的重要方向,尤其是在2013年“斯诺登事件”后,主张通过专门的网络安全立法确立政府规制体系以有效应对网络安全问题的观点逐渐占据了上风。[10]

   我国属于较早将网络安全专门立法提上立法议程的国家。2014年,国家成立了中央网络安全和信息化领导小组,要求抓紧制定立法规划,加强互联网领域立法,完善网络安全保护法律法规,最终于2016年颁布了网络安全法。网络安全法第三章专节规定了关键信息基础设施的运行安全,第31条授权国务院制定关键信息基础设施的具体范围和保护办法。2017年7月10日,国家互联网信息办公室又发布了《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《保护条例(征求意见稿)》),目前还在讨论和审议过程中。尽管关键基础设施保护制度作为网络安全法中的重要制度已经得到确立,但是对于关键信息基础设施的定义、认定标准和程序等基础问题,人们的认识还不一致,关于检测评估、预警信息发布的具体制度也有待进一步明确。[11]

   针对关键信息基础设施的法律保护,国内相关研究的主要成果是提出了框架性的制度设计。在网络安全法研究起草期间,有学者在总结国际立法经验的基础上指出,立法的核心任务是使关键信息基础设施的所有者或者运营者承担相应的社会责任和法律义务,通过组织保障、风险预警、公私伙伴关系等全方位措施,形成多元主体共同参与安全治理的格局。[12]更早时候,有学者主张立足于预防和控制风险,以程序保障为重点,设计过程控制的制度。[13]这些研究成果为关键信息基础设施的保护提供了制度框架,确立了研究基础。

   制度设计的具体研究主要集中在保护对象、保护主体和保护方式三个方面。第一,在保护对象方面,有学者提出,对于是否属于“经济社会运行神经中枢”的关键信息基础设施,应当以遭受攻击是否直接影响国家安全作为判断标准,并建议授权国家网信部门对其加以认定。[14]有关政府部门的解读则认为,关键信息基础设施保护关乎国家安全、国计民生、公共利益的信息系统和设施的安全,与等级保护制度相比所涉及的范围相对较小。[15]第二,在保护主体上,政府部门认为关键信息基础设施运营者应承担主体责任。[16]学者则主张应明确关键信息基础设施保护的部门分工,明确关键信息基础设施的认定标准和程序,明确相关主体的法律责任。[17]第三,在保护方式上,有学者认为,网络安全法应授权国家网信部门和相关行业主管部门开展与私有关键信息基础设施运营者的合作,建立网络安全信息共享制度。[18]有学者认为必须建立网络设施的进口审查制度。[19]有学者主张,应实现国家网络安全审查制度的保障功能。[20]还有学者建议,针对特别重要的关键信息基础设施建立应急备份和灾难恢复机制。[21]这些具体研究各有建树,但仍需要结合当前立法的实际需求,围绕重点疑难法律问题继续展开研究。

   总体而言,关键信息基础设施的法律保护还处于立法初创阶段,法政策研究仍是当前最需着力之处。互联网由美国军方发明,关键信息基础设施保护问题最早在美国发酵,美国等主要西方国家有着较为系统的制度架构和丰富的规制实践经验,值得进行全面深入的分析研究。本文将在充分借鉴国外立法经验的基础上,提出并论证通过合作治理保护关键信息基础设施的必要与可能,具体分析为何治理、治理什么、为何合作、如何合作等问题。

  

二、关键信息基础设施安全的公共属性

  

   (一)运营中断的“不能承受之重”

   网络安全问题与互联网的分布式结构存在内在关联。20世纪90年代初,互联网从军事用途向民用开放。就民事用途而言,早期其对安全性的要求更加不敏感。互联网被大规模使用后,安全问题浮出水面。但对市场而言,对于安全的投入缺少直接回报,过高的安全要求还会抑制应用的便利性,市场机制运行的结果是使得网络安全缺陷被更大范围地暴露。[22]

   关键信息基础设施不同于一般设施与网络服务,它是国家安全、稳定的基础,如果受到攻击,可能导致网络运行发生障碍,进而影响国家安全、国计民生和公共利益。关键信息基础设施也是工业化、城市型社会正常运转的根本所在,任何现代国家都不能承受其运营中断的后果。例如,美国曾利用“震网”病毒入侵伊朗核电站中的计算机网络系统,掌握了核电设备的关键控制权;[23]肆虐全球的“勒索病毒事件”曾导致我国高校网站和部分政府网站运营中断。[24]关键信息基础设施还是个人信息风险防控的基础,一旦被入侵,特别是那些行政管理、公共服务网站被黑客攻击,可能导致海量个人信息的泄露。[25]有调查显示,承担世界各国的电力、自来水和其他关键基础设施功能的受访公司中,有70%在受访的前一年中至少经历过一起非法侵入,致使秘密信息被窃取或运营中断。[26]

   互联网的分布式结构决定了网络安全运行“易攻难守”的特点。计算机、通信技术与互联网知识技能的推广使用,使得网络攻击技术和能力很容易被个体掌握,攻击成本显著降低。关键信息基础设施比以往任何时候都更容易受到不对称攻击。攻击可能来自“黑客”,也可能来自主权国家,因此又很难“以矛为盾”,通过威慑平衡达致网络安全。

   (二)市场机制的“不敷使用”

   关键信息基础设施的安全似乎应由其所有者和运营者负责,通过市场机制进行调节。但是,如果私主体的动力和压力不足,市场机制就不能充分有效地发挥作用。在美国,有研究指出,由于存在外部性、搭便车等问题,很多运营关键基础设施的公司一般在网络安全上投资不足。一是它们无须承担网络入侵所造成的所有损失,一部分损害被外部化给了第三方;二是改善自己的防御系统也会为其他人的系统安全作出贡献,其收益将会有部分被外部化,从而增加了“搭便车”的机会。[27]

   私主体投入在网络安全方面的预算都严重不足,因为这方面的投入无法得到立竿见影的回报,缺乏市场的充分激励。这一点在其他领域也有表现,例如,放松规制之后,由于竞争太激烈,那些最需要安全保障的航空公司会削减飞机的保养费,核动力发电厂会削减在安全方面的投资。[28]在一项涉及599家公用事业、石油和燃气、能源和制造业公司的安全运营调查中,64%的受访者认为在未来一年中会受到一次或多次严重的攻击,但是仅有28%的受访者将网络安全置于其机构的五大战略优先事务,大多数将最小化停产时间作为最需要优先处理的事务加以对待。[29]在另一项调查中,分别有75%和68%的受访者指出了网络攻击的严重性和频繁性,但是分别有64%和65%的受访者对没有预算或专家来消除威胁感到担忧。很多机构凭直觉而不是智识来评估自身的网络安全级别,导致最严重的风险得不到最充足的预算加以治理。在诸多网络安全事务中,合规被受访者列为最高优先级。[30]这些数据和案例说明,完全寄望于市场机制,试图通过市场调节获得安全保障是不切实际的,导入政府规制十分必要。

   绝大多数的关键信息基础设施处于非竞争性的市场环境中,网络安全方面的投入及成效不会显著影响其总体收益。前已述及,在网络空间,“代码,就是法律”是一种非常有影响力的观点。然而,即使如此,也需要有人愿意为追求安全之目的去写代码和应用程序。“成本—收益”的不对称性抑制了市场主体在关键信息基础设施保护上的投入。一方面,公用事业市场是非竞争性的,供给的替代性低,消费者很难“用脚投票”,因此市场机制的约束能力较低;另一方面,由于潜在的网络攻击者具有很强的攻击能力,提升网络安全保护水平是一项投入巨大但成效难以显著的事业,市场机制能够提供的激励也是不足的。[31]如果没有法律上的合规要求,即使网络安全事件的后果严重,鉴于其偶发性,市场主体也往往缺乏风险意识或存有侥幸心理,使得关键信息基础设施的脆弱性不断积聚。

在关键信息基础设施保护的问题上,也存在着交易成本和“搭便车”效应。在“凯恩斯主义”引发滞胀,以美国和英国为主的国家大力推行“民营化”后,私主体提供“公共品”的现象大量出现。关键信息基础设施保护在一定程度上就属于这种情形。互联网全网开放且互联互通,因此存在集体行动的难题。一旦某个主体在基础层进行安全投入,更多的主体将会选择“搭便车”,而市场机制向来难以有效解决“搭便车”的问题。经济学通说认为,当市场机制无法提供公共品,(点击此处阅读下一页)

    进入专题: 关键信息基础设施   网络安全   政府规制  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/115154.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2019 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网