加强关键信息基础设施保护的国际合作

赵云 香港大学法律系主任、教授

信息科技发展迅速，人们的生活已经离不开高科技的运用。关键信息基础设施对于科技，互联网的使用至关重要，所以有必要对其采取相应的保护措施。针对关键信息基础设施保护的国际合作谈谈我的个人看法。

所谓关键基础设施，根据我国网络安全法以及《关键信息基础设施安全保护条例》的规定，“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。美国是最早提出关键信息基础设施概念的国家，其关键信息基础设施保护的相关立法数量最多、内容最为全面。随后欧盟、澳大利亚、日本、韩国等国家和地区陆续颁布一系列关键信息基础设施保护相关的法律法规。

关键信息基础设施保护涉及的主要问题包括：关键信息基础设施保护的对象和范围以及标准制定；关键信息基础设施保护的主管部门及其职责；关键信息基础设施运营者的义务和责任；违反关键信息基础设施保护的民事、行政和刑事法律责任；以及关键信息基础设施保护的教育和培训。

2017年我国网络安全法对关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护：规定了关键信息基础设施保护的部门，以对相关各领域关键信息基础设施安全规划的编制、实施，以及关键信息基础设施保护工作指导和监督的职责；规定了关键信息基础设施的网络运行安全、监测预警与应急处置；还规定了关键信息基础设施运营者的义务和法律责任。2021年《关键信息基础设施安全保护条例》对有关问题进行了细化。以上两个法律法规大致构成了我国关键信息基础设施保护的法律框架。但是，现代信息科技具有跨越国界的显著特征，在保护有关设施方面，需要大力加强国际方面的合作。

总体而言，在关键基础信息基础建设的国际规则制定方面，相关条约和习惯存在滞后性。目前与网络空间安全相关的国际条约主要涉及网络犯罪、管辖权和知识产权等领域，而未有关键信息基础建设保护方面的条约。主要的国际努力体现在两份国际文件，即《信息安全国际行为准则》（2015版）（或称《准则2．0》）以及《塔林手册2．0：适用于网络行动的国际法》。而这两份文件均是软法性规则。

2011年，中国、俄罗斯、塔吉克斯坦和乌兹别克斯坦共同起草《信息安全国际行为准则》并向联合国大会提交该文件，呼吁各国在联合国框架内就此展开进一步讨论，以尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识。该文件是当时国际上信息网络安全国际规则方面的首份较为全面、系统的文件。2015年，哈萨克斯坦和吉尔吉斯斯坦加入，对《准则》进行了修改并再次提交至联合国大会。新版《准则》的规则更为细化，更符合当前国际社会的信息网络安全利益。

《准则2．0》的规范内容是原则性的倡议，而非具体细化的规则，属于国际组织会议文件性质的软法，处于建议阶段，强调各国自愿遵守，即使将来在联合国大会中表决通过也不具有法律约束力。

《准则2．0》中与关键信息基础设施保护相关的规则包括：重申各国有责任和权利依法保护本国信息空间及关键信息基础设施免受威胁、干扰和攻击破坏；各国政府应与各利益攸关方充分合作，并引导社会各方面理解他们在信息安全方面的作用和责任，包括私营部门和民间社会，促进创建信息安全文化及保护关键信息基础设施。

2013年出版的《塔林手册1．0：适用于网络战争的国际法》由北约卓越网络合作防卫中心组织的20名来自不同国家的专家进行编写。2017年《塔林手册2．0：适用于网络行动的国际法》出版，其研究内容从战时的网络空间国际法拓展至所有网络空间活动的国际法。

在《塔林手册1．0》的学术研究中，未有国家政府的介入。而在《塔林手册2．0》编写过程中，荷兰外交部举行的“海牙进程”召集了各国对编撰中的手册做出了非正式的评论。手册的国际专家组一致认为，国际法是由国家制定并作出权威解释的，因而国家之间的讨论是必要的。《塔林手册2．0》的国际专家组中有中国专家加入。

与《准则2．0》相比，《塔林手册2．0》的规则更为细化，表述更加具体，内容更系统，涉及的范围更广泛。《塔林手册2．0》属于学者著作性质的国际软法，不具有法律约束力，各国基于自愿遵守。《塔林手册2．0》是目前关于网络安全国际法律问题最系统和全面的学术著作，促进了国际法学界对国际网络安全问题的讨论，同时也对国际社会的网络安全法律实践起着引导作用。

从《塔林手册2．0》与《准则2．0》看，关键信息基础设施保护国际规则制定中的共识包括：承认网络空间中的国家主权；倡导和平解决国际网络安全争端；强调网络空间的个人权利与自由；加强打击网络犯罪、网络恐怖主义等领域的国际合作。但不可忽视的是，两者还存在一些分歧，包括：是否承认网络空间的数据主权；国家遭受网络攻击时是否有权利采取反制措施；多边与单边的互联网管理模式的分歧；是否推动减小发达国家与发展中国家之间的数字鸿沟等。

应该说，以上两份文件充分体现了在关键信息基础设施保护方面开展国际合作的可能性以及必要性，但该类国际合作需要更进一步深化和加深。就此，我认为，在推动国际合作方面，需要注意以下五个方面的问题：第一，推动关键信息基础设施保护国际软法制定的国际合作，提高我国规则制定的话语权。第二，重视关键信息基础设施保护的国际法学术研究。第三，探索减少与不同国家间分歧的可能性，推动条约的谈判。第四，推动关键信息基础设施保护国际规则制定的人才培养与智库建设。第五，加强网络犯罪打击和反恐的国际合作，必要时开展跨境司法协助。

相信，通过国际合作，各国在信息基础设施保护方面会达成更多共识，共同确保信息基础设施的安全并从现代信息科技中获益。