馬民虎趙光:等級保護與關鍵信息基礎設施保護的競合及解決路徑
【摘要】現代國家運行高度依賴信息網絡,沒有網絡安全就沒有國家安全。許多國家通過關鍵信息基礎設施保護制度加強網絡安全保護。中國等級保護借鑒了國外關鍵信息基礎設施保護制度,兩者有相似的保護理念、對象、標準和措施。2016年制定的《網絡安全法》同時規定了等級保護和關鍵信息基礎設施保護制度,該兩項制度存在競合。競合問題最重要的是解決重復監管,需要科學界定監管部門職責,同時要重視為網絡運營者提供信息安全服務;制定《關鍵信息基礎設施安全保護條例》《網絡安全等級保護條例》等配套制度,要強調其拾遺補闕作用,重點完善法律適用程序方面的內容。 【關鍵詞】網絡安全法;等級保護;關鍵信息基礎設施;競合 引言 信息技術普遍應用為社會發展提供了巨大推動力,但同時也給信息安全帶來日益嚴峻的挑戰。20世紀90年代以來,各國不斷通過立法加強信息安全保護。美國等國家建立了關鍵信息基礎設施保護制度,我國建立了等級保護制度,學術界關于這兩項制度的關系有許多研究。我國《網絡安全法》制定過程中,就如何吸收借鑒國外關鍵信息基礎設施保護制度以及如何處理其與等級保護制度的關系,有關方面存在不同意見。2016年《網絡安全法》確立了等級保護和關鍵信息基礎設施保護并存的網絡安全制度架構,但要確保這兩項制度協調發展、有機融合,還需要進一步完善相關配套制度。 2017年12月,全國人大常委會執法檢查組關于檢查“一法一決定”的報告建議,加快《關鍵信息基礎設施安全保護條例》《網絡安全等級保護條例》的立法進程,明確等級保護制度和關鍵信息基礎設施保護制度落實過程中的部門職責。國家網信辦2017年7月發布《關鍵信息基礎設施安全保護條例(征求意見稿)》,《網絡安全等級保護條例》目前尚未有公開的草案,但如何處理等級保護與關鍵信息基礎設施保護制度的關系,需要認真研究。本文對該問題進行分析研究并提出初步解決方案,以期對完善相關制度有所裨益。 一、關鍵信息基礎設施保護與等級保護制度的形成路徑 信息安全問題屬于社會風險的一部分,公眾對商業系統的信任水平降低,社會復雜化、相互依賴性、高度技術化程度增加,技術風險控制成本和損害賠償費用增加等都會加大政府直接介入的強度。1969年阿帕網誕生后的幾十年間,網絡互聯互通程度低,甚至最初的電腦病毒也只局限在蘋果Ⅱ型電腦范圍內。在此階段,“信息系統相對獨立,還沒有取得基礎設施這樣重要的地位。計算機安全或者信息系統安全的核心是‘財產安全’,而以機房為中心的信息系統概念成為人們的關注焦點,這就形成了當時主流的被動保護式的安全觀”,國家對網絡安全問題的介入遠沒有現在深入。 20世紀90年代以后,隨著計算機和互聯網的廣泛應用,信息安全問題日益嚴峻:一是萬物互聯,網絡空間成為命運共同體;二是網絡攻擊演變為有組織的犯罪行為甚至是帶有戰爭性質的國家行為,網絡安全直接關系國家安全;三是網絡攻擊造成的后果嚴重且不可逆,亟需加強網絡安全態勢感知能力,將防護端口前移。為應對新的網絡安全形勢,美國于20世紀末率先提出對關鍵信息基礎設施實施重點保護。1995年,美國司法部成立關鍵基礎設施工作組,研究美國關鍵基礎設施面臨的風險和威脅。1996年,克林頓簽發13010號行政命令《關鍵基礎設施保護》。截至目前,美國出臺了大量保護關鍵信息基礎設施的法律、總統令、行政令等,逐步完善關鍵信息基礎設施保護制度,包括關鍵信息基礎設施范圍界定、政府及私營機構的作用、信息共享等內容。關鍵信息基礎設施保護制度逐漸成為維護網絡安全的普遍做法,許多國家如德國、俄羅斯、澳大利亞、日本、新加坡等都出臺了關鍵信息基礎設施保護法律。美國使用的是“關鍵基礎設施”(Critical infrastructure,CI),比“關鍵信息基礎設施”(Critical information infrastructure,CII)概念范圍寬。國際社會中,CII也通常用于泛指那些需要進行網絡安全保障的CI。可以認為“CI”和“CII”分別是傳統安全領域和網絡安全領域從各自領域內看待同一個保護對象的不同定義方法。 《網絡安全法》之前,我國主要通過等級保護制度保護網絡安全。等級保護制度的發展可以分為三個階段:第一階段是確立階段(1994—2006年)。1994年國務院發布《計算機信息系統安全保護條例》,確立安全等級保護制度。1999年,國家出臺《計算機信息系統安全保護等級劃分準則》(GB17859—1999),為等級保護制度實施提供技術支持。第二階段是完善階段(2007—2016 年)。2007年《信息安全等級保護管理辦法》進一步明確等級保護工作管理體制,信息系統分級制度和信息系統運營者義務。2008 年之后又出臺一系列標準。第三階段是等級保護與關鍵信息基礎設施的并行階段(2016年以后)。《網絡安全法》將“信息安全等級保護制度”上升為“網絡安全等級保護制度”,并將其作為網絡運行安全的一般性制度,同時規定了關鍵信息基礎設施保護制度。 二、我國等級保護與國外關鍵信息基礎設施保護制度的異同 我國等級保護制度是由管理體制、信息系統等級劃分標準和網絡運營者的安全保護義務等內容構成的有機體系,其中等級劃分是等級保護制度的核心。《計算機信息系統安全保護等級劃分準則》是我國的等級劃分依據,參照了美國《可信計算機系統評估準則》(TCSEC)。TCSEC將信息系統分為7個測評等級,我國等級劃分標準取消了其中的D級和A1級,保留5個定級和安全功能點,并增加了少量有關數據完整性和網絡信息傳輸的要求。 除此以外,還有一系列其他標準與等級劃分標準共同支撐起等級保護制度。美國通過《提升關鍵基礎設施網絡安全框架》(Framework for Improving Critical Infrastructure Cybersecurity)確立了關鍵基礎設施識別、防護、檢測、響應和恢復的制度體系。該框架涉及的主要標準是信息安全管理標準ISO/IEA27001、推薦的聯邦政府信息和組織的安全控制措施NISTSP800-53、工控信息安全標準ISA62443及國際上通用的信息系統審計標準COBIT。美國關鍵基礎設施保護的標準側重管理要求,傾向于提供可供選擇的信息安全最佳實踐和模型,雖然如ISO/IEC27001在改版后充分考慮了信息處理技術的發展,但沒有涉及對系統和產品技術指標的評估。我國研究者提及的國外特別是美國的“等級保護制度”,主要是指其信息系統等級劃分標準,并非我國法律意義上的“等級保護制度”。 關鍵信息基礎設施保護制度強調提升態勢感知能力、加強信息共享機制建設。我國等級保護在發展初期主要圍繞等級劃分開展,且較長一段時間沒有得到全面實施,一定程度上影響了該制度緊跟網絡安全形勢發展的時機,缺乏對監測預警、信息共享等制度的充分關注和完善的頂層設計。另外,我國等級保護與國外關鍵信息基礎設施保護在管理體制、保護范圍等方面也存在差別。但上述差別是我國等級保護制度發展不充分導致的“實然”結果,并非其與關鍵基礎設施保護制度的“應然”區分,可以通過制度自身完善進行彌補,近年來等級保護在借鑒國外關鍵信息基礎設施保護制度的基礎上,完善了一系列信息安全風險管理標準,在制度內容上與關鍵信息基礎設施保護制度逐漸趨同。《網絡安全法》之前,等級保護制度很大程度上被視作中國本土化的關鍵信息基礎設施保護制度。 等級保護制度與國外關鍵信息基礎設施保護制度在根本理念上是共通的,都是風險管理思想的體現,強調對重點系統的保護。由于美國關鍵基礎設施信息系統大多由私人部門所有或運營,國家干預尤為審慎。美國關鍵信息基礎設施制度中的大部分措施對私人機構沒有約束力,主要是考慮到過多干預可能產生負面效應:一是會導致強迫企業不合理配置資源、增加企業運營成本;二是企業不得不按照要求采取一些很快就會過期和無效的措施,而非有效應對當前和將來的威脅;三是影響公權力和私營機構的關系;四是在政府本身不能有效打擊網絡違法行為的情況下,通過立法給企業施加義務并不能有效提升網絡安全;五是信息系統種類復雜、數量眾多,政府很難了解實際情況,國家給企業施加義務會阻礙市場創新,削弱企業競爭力,最終反而導致關鍵信息基礎設施信息系統更加不安全。審慎干預還體現在將關鍵信息基礎設施限定在較小的范圍,僅包括特別重要的信息系統。美國強調關鍵基礎設施對國家非常重要,其一旦喪失功能或遭到破壞將會給國防安全、經濟安全、公共健康或安全帶來削弱影響的實體或虛擬的系統和財產,目前包括16個領域。德國、日本和俄羅斯的關鍵信息基礎設施范圍分別包括8個、13個和12個領域。 三、我國等級保護和關鍵信息基礎設施保護制度的競合 由于等級保護和關鍵信息基礎設施保護存在制度重疊,理想方案是擇一而用。要么用等級保護吸收關鍵信息基礎設施保護制度,通過完善等級保護中的態勢感知、信息共享等制度,加強網絡安全保護。要么用關鍵信息基礎設施保護制度代替等級保護制度。但擇一而用方案在實踐中面臨困難:一方面,我國等級保護制度確立多年,已經有比較完善的制度體系,《關于信息安全等級保護工作的實施意見》(公通字[2004]66 號)將等級保護確定為“保障和促進信息化建設健康發展的一項基本制度”,《2006—2020年國家信息化發展戰略》《國家網絡空間安全戰略》等都對等級保護制度作了規定,摒棄該制度并不現實。另一方面,僅對等級保護制度的內部完善難以從根本上滿足網絡安全保護新形勢的需要:一是在等級保護制度下,“我國重要信息系統的定級缺乏從基礎設施重要性角度判斷信息系統重要性的分析方法和判定依據”。二是網絡安全新形勢下對網絡安全統籌協調機制要求較高,等級保護的執行以公安部門為主,難以有效解決監管和協調難題。在《網絡安全法》制定之前,我國已明確提出加強關鍵信息基礎設施保護。比如在2014年,習近平總書記在中央網絡安全和信息化領導小組第一次會議上就強調:“要抓緊制定立法規劃,完善互聯網信息內容管理、關鍵信息基礎設施保護等法律法規。”三是網絡安全治理需要加強國際合作,等級保護不是國際通行概念,不利于國際合作交流。《網絡安全法》保留等級保護的同時,借鑒一些國家的經驗,規定了關鍵信息基礎設施保護制度,加強了網絡安全保護力度,但也帶來制度競合問題。 競合是法律中的普遍現象,如民法請求權競合、刑法犯罪競合、憲法基本權利競合等,本質上是同一行為或事實符合不同法律條款的構成的要件而導致的法律適用問題。例如,請求權競合是指一項事實同時具備若干項請求權規范的構成要件。犯罪競合“不管是實質競合、想象競合或法條競合,如果沒有兩個以上的該當犯罪構成要件,就不會有所謂的競爭與競合”。憲法基本權利競合也是在某種行為符合幾種基本權利構成要件時出現。 法律競合的產生主要有以下原因:一是人類的有限理性。個人理性在理解它自身運作的能力方面有著一種邏輯上的局限,在認識社會生活的作用方面也存在著極大的限度。人類的有限理性在立法領域表現為不可能創造出完美的法律制度。沒有漏洞的法律秩序是不存在的,在變化迅捷的社會中不斷地出現亟待解決的新的法律問題,而其中有許多都是法律沒有作出規定的。法律競合也是這種不完美的體現。二是法律邏輯結構的內在緊張。社會生活紛繁復雜,法律規則不可能通過簡練的概念和清晰的邏輯結構實現對社會生活無縫銜接式的涵攝,法律責任構成要件重疊難以避免。三是法律部門劃分。法律制度隨著社會發展衍生出不同的法律部門,不同法律部門之間的制度因為保護理念、保護方式的差異而產生競合。例如侵權請求權與社會保險請求權競合。四是法律對有關沖突有意擱置。德國學者將此原因導致的法律漏洞稱為“計劃安排的漏洞”:出于各種原因,立法者認為做出法律規定很棘手,所以他們有意識地容許法官造法。例如,在相互抵觸的政治力量(如政府聯盟)內部很難實現統一(例如勞動法和勞動斗爭法),所以立法也可能無能力調整或者不愿意調整。 本文所稱等級保護與關鍵信息基礎設施保護競合,是指由于二者在保護范圍、監管措施、保護方式等方面的交叉重疊,造成同一信息系統同時受到多個相同或相似監管措施的監管,給運營者帶來不必要的負擔。具體體現在以下幾個方面:第一,調整對象范圍重疊。如上文所述,等級保護和關鍵信息基礎設施保護都是對重點信息系統的保護。全國人大常委會執法檢查組關于檢查“一法一決定”的報告顯示,截至2017年,我國已累計受理備案14萬個信息系統,其中三級以上重要信息系統1.7萬個,基本涵蓋了所有關鍵信息基礎設施。第二,認定標準重復。目前尚未出臺關鍵信息基礎設施認定標準,但考慮到技術共通性,其標準也極有可能與等級劃分標準相似。另外,對關鍵信息基礎設施也可以再分級,與等級保護的分級殊途同歸。例如《俄羅斯聯邦關鍵信息基礎設施安全法》第7條規定,根據對社會、政治、經濟、生態以及對國防、國家安全、法律秩序的影響,關鍵信息基礎設施客體的重要性分為一級、二級和三級。第三,監管重疊。由于關鍵信息基礎設施被涵蓋在等級保護對象范圍內,公安部門根據等級保護制度對關鍵信息基礎設施擁有監管權,行業主管部門則根據關鍵信息基礎設施保護制度進行監管,網信辦負責統籌協調和相關內容監管,存在監管職能交叉、監管內容重復問題,例如多個部門都可有權要求對關鍵信息基礎設施進行檢測評估。盡管在《網絡安全法》之前以等級保護為主的情況下也存在部門職能重疊,但等級保護的主導作用明顯。在等級保護和關鍵信息基礎設施保護制度并行的情況下,多個主導部門并行,關系處理難度增加。第四,保護方式趨同。目前等級保護不斷發展,有關方面提出等級保2.0概念,等級保護中的定級、備案、建設整改、等級測評和監督檢查等內容不斷豐富,如建設整改中附加關注安全監測、通報預警、應急處置、安全可控等,等級測評階段越來越重視滲透測試、攻防對抗和有效性評價等。而關鍵信息基礎設施保護制度也基本是圍繞應急演練、信息共享、監測預警、應急處置等。 法律競合難以避免,但并非不能解決。《網絡安全法》創立了我國網絡安全法律制度的新格局,等級保護和關鍵信息基礎設施不能固守前《網絡安全法》時期的制度定位和格局,而是要在《網絡安全法》框架下與時俱進地科學定位、有機融合。 四、等級保護與關鍵信息基礎設施保護制度競合的解決路徑 (一)避免“評價不足”或“重復評價” 關于法律競合的性質有不同學說。以民法請求權競合為例,最典型的是請求權競合說與請求權規范競合說。無論哪種學說,都要面對不同法律規范的適用關系問題。競合理論目的在于避免對同一行為的評價不足或重復評價。評價不足或重復評價是指適用某種競合規則,導致行為人承擔的法律后果不足以實現或已經超出了法律規定欲達到的懲罰、補償等效果。“無論強調認定法條競合是為了防止雙重評價,還是聲稱肯定想象競合是旨在避免重復處罰,都是為了對法益侵害事實進行既不重復,又無遺漏,既不過度,又無不足的刑法評價。”本文所稱網絡安全法律制度對網絡系統的“評價不足”,是指相關制度難以滿足保障安全的需要,包括監管對象覆蓋不全、監管措施不力等;“重復評價”是指相關制度疊床架屋、監管職能重疊、各類監管措施同質化,給信息系統運營者帶來過重負擔。 判定“評價不足”或“重復評價”,首先需要判定法律所保護的法益的價值。有的法益如財產權的價值判定相對容易,但人身權、國家安全、社會公共利益等的價值難以判定,對這些法益的保護程度與法律(責任)的功能和對這些權利的重視程度有關。如果基于最大限度尊重與保障基本權利的憲法理念,當數個基本權利規范具有同等效力,或者案件事實可被數個基本權利規范,且每一個基本權利具有獨立價值,彼此不可以取代,此時宜應采取同時保護的方法,適用所有的基本權利規范。民事責任強調賠償損失的功能,在該原則指導下,由于強調損害須是實際發生,可能出現賠償數額有限而導致對加害行為和受害損失“評價不足”。而如果突出民事責任的抑制和制裁違法的功能,即便較多適用懲罰性賠償或大幅提高精神損害賠償數額,也不會被認為是“重復評價”。判定“評價不足”或“重復評價”,與對權利價值的認識有關。刑法保護的法益涉及人身權、交通安全、公務員的不可賄賂性、符合憲法的秩序、公共秩序、國家安全等,這些法益的價值本身難以具體衡量,如果突出刑罰的抑制違法和懲罰功能,對犯罪競合的處理將是重罰。刑法上存在累積主義、加重原則或吸收原則等多種處理原則,雖然目前已經沒有國家純粹采取累積原則,但仍然基于不同的價值衡量存在差異。 “評價不足”或“重復評價”根本上還是利益平衡問題,例如侵權行為法要平衡受害人法益保護與侵權人行為自由的關系,刑法要處理好刑事責任與對犯罪人相關權利保障的平衡,網絡安全法律制度需要平衡安全與發展的關系。安全理念隨著社會的發展不斷面臨著各種新的安全問題的沖擊, 這種沖擊甚至不局限于安全理念本身, 對于與其密切相關的其他理念(如發展)也同樣產生影響。解決等級保護與關鍵信息基礎設施的競合,既要避免對信息系統“評價不足”導致監管真空,也要避免過度“重復評價”,影響信息技術創新和發展。網絡安全法保護的網絡空間主權、國家安全、社會公共利益、個人信息權等法益具有高度重要性,且難以量化,在無法精確計算相關措施效用的情況下,有效切入點是明確各項制度的功能,厘清部門職責。 (二)明確制度功能,厘清部門職責 等級保護制度的核心為技術標準、等級劃分和測評,通過這些措施,促使具體的信息系統運營者加強內在安全防護能力建設,包括提高技術能力、健全管理體系等。關鍵信息基礎設施保護側重于從宏觀上整合各運營主體的信息安全資源,形成監管者、運營者和第三方共同參與的機制,搭建一個交換安全風險信息、分析研判風險、共享技術和經驗、處置網絡安全事件的平臺。在等級保護確保信息系統運營者的能力有了基本保障的基礎上,出于特殊、重點保護的需要,關鍵信息基礎設施可以有更高的要求,例如要求關鍵信息基礎設施采取更高標準、強化各設施之間的協同配合等。這也符合《網絡安全法》規定的“在網絡安全等級保護制度的基礎上對關鍵信息基礎設施進行重點保護”的宗旨,有利于等級保護和關鍵信息基礎設施保護制度在《網絡安全法》框架下最大程度上實現優勢互補、協調發展,有效提升我國網絡安全保護水平和能力。 任何國家“出于政策上的合目的性理由或者客觀上的關聯性理由,屬于同一類國家權力的任務不可能絕對地賦予該種國家權力的行使機構(機構群體)。職能的交叉和人事方面的重合實際上并不少見”。網絡給以物理設施為基礎確定的行政管理體制帶來了更嚴峻的挑戰,即便在相關制度比較完善的美國,關鍵基礎設施保護相關機構不斷調整,但“當前最缺失的,是對網絡安全領域主管機構和職責的清晰定義,設置更加一致的標準和策略”。我國網絡監管體制經過多次調整,隨著網絡新業態、新制度的不斷涌現,需要堅持發揮各自優勢、避免重復和沖突的原則,進一步完善職責分工和協調機制。 經過多年建設和實踐,公安部門對等級劃分和測評有較完備的技術和人力保障,等級保護可以圍繞這些優勢開展工作。為避免重復定級和多部門重復設立定級機構,實踐中對關鍵信息基礎設施的認定應當以等級測評機構對信息系統劃定的等級為依據,考慮到關鍵信息基礎設施是對“重中之重”的保護,將相關等級的信息系統歸入關鍵信息基礎設施的標準可以更嚴格,但應避免與等級劃分相沖突,避免將等級保護中低級別系統納入關鍵信息基礎設施范圍或將高級別系統排除在關鍵信息基礎設施范圍外。 《網絡安全法》規定關鍵信息基礎設施保護工作由行業主管或監管部門負責,其他部門原來的監管職責應作相應調整,減少與行業主管或監管部門職責重復,同時做好銜接,避免多頭檢查、檢測或處罰。網信部門的網絡管理職責分為統籌協調和監督管理職責,關鍵信息基礎設施保護方面,法律明確了網信部門的職責主要側重于統籌協調。可以從以下幾個方面加強網信部門的統籌協調職能:一是明確信息共享標準和操作流程,整合監測預警、信息共享系統等;二是統籌協調相關部門執法活動,避免重復執法;三是統籌協調相關法規、規章的制定、清理,避免制度沖突。 (三)加強國家對關鍵信息基礎設施保護的支持保障 在許多網絡安全威脅和攻擊已經上升為國家之間對抗的背景下,僅靠網絡運營者的力量很難有效應對。國家安全是典型的公共產品,國家在行使監管權的同時,還要增強為網絡運營者提供網絡安全服務的能力,與網絡運營者共同應對網絡安全問題。 美國《國家關鍵基礎設施保護計劃2013》指出,關鍵基礎設施保護需要國防參與,為了讓參與機制有效運行,必須完善相應的激勵措施。美國國土安全部建立包括關鍵設施保護門、國家基礎設施協調中心、網絡和基礎設施分析辦公室等在內的機制和工具支持關鍵基礎設施內部及相互之間的信息共享。國土安全部基礎設施保護辦公室為政府和私營部門免費提供大量培訓項目,幫助政府官員和關鍵基礎設施運營者獲得確保關鍵基礎設施安全可靠所需的知識和技能。國土安全部還向關鍵基礎設施運營者提供資助,幫助它們增強網絡安全能力。美國還通過網絡安全部隊保護關鍵基礎設施。《俄羅斯聯邦關鍵信息基礎設施安全法》規定,關鍵信息基礎設施主體有權從負責關鍵信息基礎設施安全保障工作的聯邦行政機關獲得關鍵信息基礎設施面臨的安全威脅信息以及軟件、設備、技術的薄性情況信息;當關鍵信息基礎設施受到攻擊時,有權從上述機關獲得關于該攻擊采用的備、方法以及查找、預防該攻擊的方法的信息。 網絡安全監管是權力,更是責任。監管部門要結合各自職責,加強相互協作,在履行監管職責的同時,還要加大對網絡運營者的支持保障力度,包括向網絡運營者提供網絡威脅信息、通過財政稅收政策鼓勵企業加大網絡安全投入等,激勵網絡營者積極加強網絡安全保護能力。 (四)實體和程序并重,配套制度應當強調拾遺補闕 “在網絡空間部門管轄權限尚不明確的情況下,少數部門會盡量快速跑馬圈地,以規則全面覆蓋的方式,擴大管轄范圍,擴充部門權力邊界。互聯網立法全覆蓋,既無必要,更不可行,不但導致互聯網立法重點不突出,大量去簡單重復現實社會的相關法律規定,還會面臨適用上兩套體系間的重疊與沖突。”《網絡安全法》需要通過行政法規、規章進行細化,包括制定《關鍵信息基礎設施保護條例》《網絡安全等級保護條例》等。《關鍵信息基礎設施保護條例》《網絡安全等級保護條例》應側重于對《網絡安全法》的拾遺補缺,避免重復《網絡安全法》現行規定,避免浪費立法資源。還要立足于關鍵基礎設施保護與等級保護的差異有區別地規定相關制度,避免因追求大而全導致兩個條例內容趨同。 《網絡安全法》屬于實體法范疇。《行政法規制定程序條例》《規章制定程序條例》規定,制定行政法規、規章,應當切實保障公民、法人和其他組織的合法權益,在規定其應當履行的義務的同時,應當規定其相應的權利和保障權利實現的途徑。重視并嚴格遵守網絡信息處理的正當法律程序,是網絡治理走向法治化的客觀要求和必然選擇。《關鍵信息基礎設施保護條例》《網絡安全等級保護條例》應當注重完善程序保障。一是完善期限制度,網絡安全應對具有緊急性的特征,因此期限制度的重要性更加突出。期限制度包括執法行為和當事人履行相關義務的期限。二是完善信息公開制度。具體信息系統的等級劃分和關鍵信息基礎設施的識別方式、過程應當向相對人公開,聽取相對人意見;引入專家論證時應向相對人說明專家的基本情況、完善回避制度。三是完善救濟制度。保障相對人在對等級劃分和關鍵信息基礎設施認定有異議的情況下有救濟渠道。 五、結語 等級保護和關鍵信息基礎設施保護制度是《網絡安全法》的基礎性、框架性制度。法律的生命在于實施,法律的權威也在于實施。二者是否能夠有機融合,關系到《網絡安全法》能否有效實施和發揮作用。二者的融合涉及網絡安全制度中國家的功能定位、安全與發展的關系平衡,涉及政府部門職責劃分、企業權利義務的界定等。只有在堅持法治精神和科學的安全理念的基礎上,厘清制度功能和部門職責,增強服務意識,完善程序規則,才能確保法律有效實施,為國家安全提供有效的法治保障。 來源:信息安全法律評論
