隨著網絡和信息技術的迅猛發展，網絡安全問題日益突出，嚴重威脅國家安全、社會穩定，以及公民、法人和其他組織的合法權益。2015年，我國將“互聯網+”行動計劃作為一項國家戰略，而網絡本身的脆弱性及由此可能帶來的網絡安全問題則成為了制約“互聯網+”計劃大力推行的瓶頸。因此，從國家層面增強網絡安全保護具有迫切需要。然而，長期以來我國網絡安全保障法律體系存在立法碎片化、缺乏統一立法理念和頂層設計等問題。2016年11月7日出臺的《網絡安全法》是我國第一部基本法意義上的網絡安全立法，標志著我國網絡安全法治建設進入了嶄新的階段。

《網絡安全法》內容涵蓋網絡安全支持與促進、網絡運行安全、網絡信息安全、監測預警與應急處置等重要制度，其中規定的關鍵信息基礎設施保護制度，對我國的網絡安全保護具有十分重要的意義。

一、關鍵信息基礎設施法律保護的重要意義

面對目前復雜多變的國內外信息安全形勢，加強關鍵信息基礎設施的法律保護對我國意義重大：

1.關鍵信息基礎設施關乎國家安全和社會穩定

隨著信息化的快速普及和發展，關鍵信息基礎設施作為事關國家安全和社會穩定的重要戰略資源的地位日益凸顯。首先，互聯網的飛速發展，使得網絡入侵和網絡攻擊事件頻發，嚴重威脅著關鍵信息基礎設施的正常運轉，給國家安全帶來極大隱患。其次，不同于以往的網絡攻擊，信息時代的網絡攻擊中出現了國家政府的影子，國家可能成為網絡攻擊的支持者和發動者，這種政府參與的網絡攻擊的力度和范圍是普通網絡攻擊所不能敵的。最后，國家之間的網絡戰爭威脅日益加劇。基于此，為了更好地應對各種形式的網絡攻擊，維護國家安全和社會穩定，應加強對關鍵信息基礎設施的保護。

2.加強關鍵信息基礎設施保護是社會持續運轉的題中之義

首先，關鍵信息基礎設施為國家正常運轉提供必需的產品和服務。關鍵信息基礎設施承載或支撐部門行業關鍵核心業務，即支撐部門行使職能，行業正常運轉，對于部門或行業穩定運行具有戰略性作用。其次，關鍵信息基礎設施是結構體系中被強依賴的關鍵節點，它所承載業務對其他部門或行業核心業務有較大關聯性影響。對這類關鍵信息基礎設施的攻擊所產生的破壞，通過關聯的行業、領域逐漸傳遞，會造成連鎖連片的嚴重后果。且隨著國家信息化戰略的實施和“寬帶中國”工程的建設，關鍵信息基礎設施建設不斷提速，信息技術的研發和應用正在催生新的經濟增長點，這對于調整經濟結構、轉變發展方式具有十分重要的作用。因此，社會的持續運轉需要大力加強對關鍵信息基礎設施的保護。

3.加強關鍵信息基礎設施保護對于公民福祉的保障意義重大

加強關鍵信息基礎設施保護的根本是對公民福祉、公民利益的保護。關鍵信息基礎設施運行過程中存儲或傳輸的信息數據大量集中或極其敏感，其中供水、供電、醫療衛生、社會保障等公共服務領域的信息系統、政務網絡及網絡服務提供者所有和管理的網絡和系統中有大量的公民身份信息、金融信息等，這些信息一旦被惡意收集或利用，必將損害公民的利益。其次，國家安全、社會穩定及社會的持續運轉等是公民福祉得以保障的前提，故加強關鍵信息基礎設施建設也關乎公民福祉。再次，基于其他行業對于關鍵信息基礎設施的依賴性，加強關鍵信息基礎設施的保護，可以使得公民的工作、生活等更加便利。

4.對關鍵信息基礎設施進行法律保護是順應國際形勢的必要舉措

世界主要國家均已建立關鍵基礎設施保護的相關制度，而針對新一代信息技術的應用可能面臨的信息安全風險，也已有一些國家做出了相關的嘗試，如英國政府致力于保護關鍵基礎設施免受針對計算機或通信系統的電子攻擊威脅，并建立了由國務大臣負責的國家基礎設施保護中心為核心，各基礎設施部門具體實施相關職責的關鍵基礎設施保護管理體系。

二、網安法中關鍵信息基礎設施保護的主要制度

1. 劃定關鍵信息基礎設施保護的范圍

《網絡安全法》首次明確了關鍵信息基礎設施的主要涉及行業領域和判定標準，將那些公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的基礎信息網絡和重要信息系統界定為關鍵信息基礎設施。這一判定標準把關鍵信息基礎設施運營者的范圍擴展到國家機關之外的機構，符合國際社會對于關鍵信息基礎設施的普遍認識。

2. 提升關鍵信息基礎設施保護的要求

《網絡安全法》規定，對關鍵信息基礎設施在網絡安全等級保護制度的基礎上，實行重點保護。對于關鍵信息基礎設施保護來說，網絡安全等級保護制度的要求有必要但并不足夠，特別是針對各種不同領域關鍵信息基礎設施的不同系統的動態防護需求。此外，保護關鍵信息基礎設施關系國計民生，且涉及系統自身的保護要求、加強系統安全建設之外的各種內容，應當對此建立專門制度。此外，《網絡安全法》規定由國務院制定專門的關鍵信息基礎設施安全保護辦法，且對于網絡安全審查、風險評估、信息共享、數據本地化等重點要求則在具體條款中進行了明確和強調。

3. 強化關鍵信息基礎設施運營者的相關義務

《網絡安全法》規定了關鍵信息基礎設施運營者的特殊安全保護義務，包括：設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；定期對從業人員進行網絡安全教育、技術培訓和技能考核；對重要系統和數據庫進行容災備份；制定網絡安全事件應急預案，并定期組織演練等。從法律義務層面，解決了關鍵信息基礎設施運營者安全保護責任模糊不明的問題。

此外，《網絡安全法》還要求關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的公民個人信息和重要業務數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。這一規定對于我國國家安全以及公民的個人信息保護具有積極影響。

4. 確定關鍵信息基礎設施保護的統籌協調機構

考慮到關鍵信息基礎設施保護涉及多個行業，且存在多個職能部門需要有監管責任的協調問題，《網絡安全法》明確了行業主管部門的監督指導職責，并授權國家網信部門統籌協調有關部門，建立協作機制。

5. 明確破壞關鍵信息基礎設施的法律責任

《網絡安全法》對于關鍵信息基礎設施的運營者不履行網絡安全保護義務的，規定由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款；對直接負責的主管人員處一萬元以上十萬元以下罰款。此外，對于境外的個人或者組織從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重后果的，規定了法律責任；國務院公安部門和有關部門并可以決定對該個人或者組織采取凍結財產或者其他必要的制裁措施。這兩項法律責任的規定有助于增強關鍵信息基礎設施保護規定的威懾力。（西安交通大學信息安全法律研究中心 王玥）