我國網(wǎng)絡安全信息共享立法的基本思路和制度建構

劉金瑞

(中國法學會 法治研究所， 北京 100081)

?

我國網(wǎng)絡安全信息共享立法的基本思路和制度建構

劉金瑞

(中國法學會 法治研究所， 北京 100081)

網(wǎng)絡安全信息共享制度具有重大的實踐價值，已成為各國網(wǎng)絡安全立法的重點議題，但在隱私權保護、反壟斷、責任承擔和政府權限等方面也引發(fā)了不少爭議。域外法治框架以美國《網(wǎng)絡安全信息共享法》為典型代表，界定了應共享的網(wǎng)絡安全信息的類型；規(guī)定了聯(lián)邦政府和非聯(lián)邦主體的網(wǎng)絡安全信息共享；規(guī)定了私主體隱私、自由等權利的保護和共享信息的責任豁免；限制了政府對共享信息的后續(xù)利用。在借鑒國外立法經(jīng)驗的基礎上，對我國未來立法提出如下建議：明確網(wǎng)絡安全信息共享的定位和范圍，不僅限于關鍵信息基礎設施保護；規(guī)定網(wǎng)信部門負責領導協(xié)調信息共享，確立具有軍民融合特色的行政體制機制；規(guī)定強制義務與責任豁免相結合，以促進私主體參與信息共享；平衡信息共享與私權保護的關系，避免政府濫用共享信息。

網(wǎng)絡安全信息共享； 網(wǎng)絡安全法； 關鍵信息基礎設施； 美國網(wǎng)絡安全信息共享法

隨著人類社會越來越依賴網(wǎng)絡信息系統(tǒng)，網(wǎng)絡攻擊和網(wǎng)絡威脅也愈演愈烈，如何確保網(wǎng)絡信息系統(tǒng)尤其是關鍵基礎設施及其存儲和傳輸信息的安全，成為各國網(wǎng)絡空間安全的重要議題。近年來，各國在制定網(wǎng)絡安全政策和立法中普遍認為，及時有效地交換共享網(wǎng)絡安全信息是防止和應對網(wǎng)絡安全威脅和事件的重要舉措。近期通過的美國《網(wǎng)絡安全信息共享法》和歐盟《網(wǎng)絡和信息系統(tǒng)安全指令》都對此有較為全面的規(guī)定。我國《網(wǎng)絡安全法》第三十九條規(guī)定“促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網(wǎng)絡安全服務機構等之間的網(wǎng)絡安全信息共享”；第二十五條規(guī)定網(wǎng)絡運營者應“按照規(guī)定向有關主管部門報告”網(wǎng)絡安全事件；第五十一條規(guī)定“國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度”。

但這些規(guī)定相對比較原則和簡單，如何構建我國網(wǎng)絡安全信息共享制度成為貫徹網(wǎng)絡安全法、確保我國網(wǎng)絡安全亟待研究的重大問題。目前，作為《網(wǎng)絡安全法》重要配套規(guī)定的《關鍵信息基礎設施安全保護條例》正在加緊制定，而網(wǎng)絡安全信息共享制度正是關鍵信息基礎設施保護的重要內容。在這一背景下，本文著重研究和分析了美國和歐盟相關立法的最新進展，并在比較觀察的基礎上提出建立我國網(wǎng)絡安全信息共享制度的思考建議。

一、網(wǎng)絡安全信息共享議題及其法治化概述

所謂網(wǎng)絡安全信息共享，是指與網(wǎng)絡信息系統(tǒng)及其存儲傳輸信息的安全有關的一系列信息的交換，這些信息包括但不限于系統(tǒng)風險、程序漏洞、網(wǎng)絡威脅、安全管理漏洞以及網(wǎng)絡安全應對措施和良好實踐等。網(wǎng)絡安全信息共享的內在邏輯在于，有效的網(wǎng)絡安全必須基于對潛在威脅的強大認知以及對應對此種威脅最佳方式和策略的廣泛傳播Nathan Sales, “Regulating Cyber-Security”, , Vol.107, No.4, 2013, p. 1546. 。

(一)網(wǎng)絡安全信息共享制度的目標和價值

網(wǎng)絡安全信息共享制度實際上是一種風險社會多利益主體協(xié)同共治的模式，共同面臨網(wǎng)絡安全威脅的多個主體通過相互分享安全信息，提升安全信息共享組織體中每個參與者的網(wǎng)絡安全策略和行為，減少同一風險所可能造成的威脅或危害，進而實現(xiàn)降低整個群體所面臨的網(wǎng)絡安全風險的目標。

這種制度的重大價值，美國國家標準技術研究所(NIST)在其2016年10月發(fā)布的新版《網(wǎng)絡威脅信息共享指南》中給出了較為全面的總結，包括共享態(tài)勢感知(Shared Situational Awareness)、提升安全姿態(tài)(Improved Security Posture)、增強認知成熟度(Knowledge Maturation)以及提高防御的敏捷性(Greater Defensive Agility)等四個方面。正是因為這一制度具有重要的實踐意義，美國、歐盟等從很早就開始探索和發(fā)展網(wǎng)絡安全信息共享的政策和立法。

實踐中，圍繞特定行業(yè)和領域進行網(wǎng)絡安全信息共享的成效較為明顯，原因在于特定領域的從業(yè)者往往使用相同類型的信息系統(tǒng)、存儲傳輸相同類型的數(shù)據(jù)，也面臨著比較類似的威脅類型和攻擊手段。因此，無論是美國的信息共享和分析中心(ISAC)，還是歐盟的信息交換組織(IE)，都是按照行業(yè)導向建立的，這些行業(yè)性的信息共享組織對于形成信息共享行業(yè)標準、提升整個行業(yè)的網(wǎng)絡安全水平發(fā)揮了重要作用。

(二)全球網(wǎng)絡安全信息共享立法的基本進程

美國最早開始探索網(wǎng)絡安全信息共享的立法。早在1998年，克林頓簽署頒布《第63號總統(tǒng)決策指令》(PDD-63)，規(guī)定聯(lián)邦調查局內部的“國家關鍵基礎設施保護中心”(NIPC)負責政府和私營行業(yè)之間的安全信息共享，私營行業(yè)建立信息共享和分析中心(Information Sharing and Analysis Center，ISAC)，負責私營業(yè)者之間以及行業(yè)與政府之間的安全信息交換。美國9·11事件之后，《國土安全法》鼓勵發(fā)展不以行業(yè)導向為要求的“信息共享和分析組織”(Information Sharing and Analysis Organizations，ISAO)，國土安全部發(fā)展出了“關鍵基礎設施保護行政通知服務處”(ENS)、“關鍵基礎設施警告網(wǎng)絡”(CWIN)、國土安全信息網(wǎng)絡(HSIN)等一系列安全信息交換系統(tǒng)和機制。

奧巴馬政府上任之后，積極推進網(wǎng)絡安全的綜合性立法，但相關立法建議因爭議較大一直無法獲得國會通過，只能先通過了《第13636號行政命令》(E.O. 13636)Barack Obama Executive Order 13636: Improving Critical Infrastructure Cybersecurity, , Vol.78, No.33, 2013, pp.11737-11744. 、《第13691號行政命令》(E.O. 13691)Barack Obama Executive Order 13691: Promoting Private Sector Cybersecurity Information Sharing, , Vol. 80, No. 34, 2015, pp. 9347 -9353. 等繼續(xù)推進網(wǎng)絡安全信息共享。因為限于總統(tǒng)行政權力有限，行政命令建立的信息共享框架無法創(chuàng)設新的機構，也無法規(guī)定鼓勵企業(yè)共享信息的責任豁免，奧巴馬從第二任期開始繼續(xù)推進相關國會立法，僅第114屆國會就提出了H.R. 234、H.R. 1560、H.R. 1731、S. 456和S. 754等五部法案。經(jīng)過漫長的討論和修改，美國《網(wǎng)絡安全信息共享法案》(Cybersecurity Information Sharing Act，CISA)終于在2015 年10 月27 日獲得通過，并于2015年12月28日經(jīng)奧巴馬簽署生效。

歐盟在2004年關于打擊恐怖主義中保護關鍵基礎設施的通報中，明確指出了網(wǎng)絡安全信息共享的重要性，并強調應平衡其與市場競爭、責任承擔和敏感信息保護的關系。2006年發(fā)布的歐盟《確保信息社會安全戰(zhàn)略》和2013年發(fā)布的《歐盟網(wǎng)絡安全戰(zhàn)略：開放、安全和可靠的網(wǎng)絡空間》，都包括了增強成員國、公共部門、私營部門和私人用戶之間的網(wǎng)絡安全信息共享的內容。歐盟自2013年開始推動網(wǎng)絡安全的綜合性立法，最終于2016年7月6日正式通過了“確保歐盟統(tǒng)一、高水平網(wǎng)絡與信息系統(tǒng)安全之相關措施的指令”(Network and Information Security Directive，以下簡稱NIS指令)。

歐盟NIS指令通過建立計算機安全事件響應團隊和確立網(wǎng)絡安全事件報告義務，構建了網(wǎng)絡安全信息共享機制以應對網(wǎng)絡安全威脅。各成員國計算機安全事件響應團隊的職責在于：監(jiān)測全國范圍的網(wǎng)絡安全事件，向相關利益方提供網(wǎng)絡安全風險和事件預警、警報、通知和信息傳播，應對網(wǎng)絡安全事件，提供動態(tài)的風險事件分析和態(tài)勢感知等。指令要求，在各國響應團隊的基礎上，連同歐盟計算機應急響應團隊(CERT-EU)，構成歐盟計算機安全事件響應團隊網(wǎng)絡(CSIRTs network)，其職責在于網(wǎng)絡安全事件信息交換、為成員國處置跨境安全事件提供支持、探索和認定進一步業(yè)務合作的形式等。

NIS指令將重要信息系統(tǒng)運營者區(qū)分為“基本服務運營者”和“數(shù)字服務提供者”，規(guī)定前者有義務報告對其服務持續(xù)性造成重大影響的網(wǎng)絡安全事件，后者有義務報告對其服務提供具有實質影響的網(wǎng)絡安全事件。為了鼓勵基本服務運營者和數(shù)字服務提供者履行報告義務的積極性，NIS指令明確規(guī)定不得加重報告主體的法律責任。對于非納入監(jiān)管的其他主體，各國可以建立自愿報告制度，但不得使自愿報告主體因報告行為而陷入法律的不利地位。

(三)域外網(wǎng)絡安全信息共享法治的基本框架

從域外網(wǎng)絡安全信息共享立法的基本進程和側重點來看，網(wǎng)絡安全信息共享制度的核心架構包括兩個方面的內容：一是設計機制共享對網(wǎng)絡安全威脅的認知，二是設計機制共享應對網(wǎng)絡安全威脅的措施。從信息共享參與的主體看，包括政府部門、私營主體和行業(yè)組織。各國網(wǎng)絡安全信息共享的法治化架構就是圍繞上述兩方面內容和三大類主體展開，主要規(guī)定包括以下幾個方面：(1)所共享網(wǎng)絡安全信息的類型；(2)網(wǎng)絡安全信息共享的領導部門和參與主體；(3)對私營主體共享網(wǎng)絡安全信息的激勵措施；(4)共享網(wǎng)絡安全信息與信息上其他保護權益的平衡；(5)對政府所獲網(wǎng)絡安全信息后續(xù)使用的限制；(6)網(wǎng)絡安全信息共享的程序機制，涉及政府部門之間的共享、私營主體之間的共享以及政府部門與私營主體之間的共享等三種情形。

(四)網(wǎng)絡安全信息共享立法引發(fā)的爭議問題

從世界范圍的網(wǎng)絡安全信息共享立法尤其是探討較為深入的美國立法看，信息共享立法引發(fā)的爭議問題和重點難點就在于如何在共享網(wǎng)絡安全信息和保護所涉信息其他權益之間達成平衡。這涉及以下的利益沖突和法律沖突：

(1)可能違反隱私和個人信息保護的規(guī)定。例如美國《電子通信隱私法》(ECPA)對于電子通信監(jiān)聽規(guī)定了一般性禁止，授權運營者監(jiān)視自身信息系統(tǒng)的網(wǎng)絡安全威脅就會違反這一規(guī)定。Aaron J. Burstein, “Amending the ECPA to Enable a Culture of Cybersecurity Research”, & , 2008, p.167. 歐盟將個人數(shù)據(jù)保護上升到人格尊嚴的高度并不斷強化個人對其數(shù)據(jù)的控制權，美國對消費者個人的信用信息、金融數(shù)據(jù)、教育信息和健康信息等也有專門性規(guī)定，如果共享的安全信息涉及可識別的個人信息，就可能違反這些個人信息保護的專門性規(guī)定。

(2)可能違反反壟斷法的規(guī)定。反壟斷法主要規(guī)制的行為，根據(jù)我國《反壟斷法》的規(guī)定，主要包括達成壟斷協(xié)議、濫用市場支配地位以及限制競爭的經(jīng)營者集中等，其中壟斷協(xié)議是指就商品價格、市場銷售、技術和產(chǎn)品使用等達成協(xié)議。如果不同經(jīng)營者為了防御網(wǎng)絡安全威脅而共享網(wǎng)絡安全信息、采取一致行動，如采用某種技術或者借口防御威脅增加成本而聯(lián)合漲價等，都可能違反反壟斷法的相關規(guī)定。

(3)可能讓信息共享主體承擔更多責任或陷入不利地位。例如，不論是對政府部門還是私營機構，共享網(wǎng)絡安全信息往往就要承認自身已遭受網(wǎng)絡攻擊或發(fā)生數(shù)據(jù)泄露，這可能引發(fā)消費者提起侵權之訴，或者可能追究因違反信息保護義務而構成的法律責任。例如，企業(yè)共享網(wǎng)絡安全信息，可能泄露類似商業(yè)秘密等商業(yè)信息，企業(yè)可能會喪失競爭優(yōu)勢或在市場競爭中陷入被動。再如，企業(yè)為了應對網(wǎng)絡安全威脅而共享給政府的信息，可能會被政府作為執(zhí)法證據(jù)，追究企業(yè)的某些法律責任。正因為此，企業(yè)一般不愿與政府共享涉及商業(yè)利益的信息。

(4)可能會便利政府網(wǎng)絡監(jiān)控項目的實施。以美國為例，2015年6月通過了《美國自由法》，規(guī)定美國國家安全局將逐步將大規(guī)模電話元數(shù)據(jù)收集項目轉給電信公司，只有存在證據(jù)證實某人或某個組織有恐怖活動嫌疑時才可向電信公司索取相關數(shù)據(jù)。但美國隨后通過的《網(wǎng)絡安全信息共享法》授權私主體可以監(jiān)視信息系統(tǒng)及其傳輸?shù)男畔?，私主體可以主動與政府共享網(wǎng)絡安全信息，這實際上為政府通過企業(yè)監(jiān)控網(wǎng)絡提供了可能的便利條件。

二、域外網(wǎng)絡安全信息共享立法的制度設計——以美國為例

網(wǎng)絡安全信息共享的意義重大，但也存在著較大的爭議，如何平衡多種利益而設計妥當?shù)姆芍贫龋歉鲊⒎ü餐媾R的挑戰(zhàn)。美國于2015 年10 月通過的《網(wǎng)絡安全信息共享法》(CISA)是目前此領域較為全面和深入的立法，美國國土安全部根據(jù)該法會同有關部門制定了四個相關程序和指南，包括“聯(lián)邦政府向非聯(lián)邦主體共享網(wǎng)絡威脅信息的程序規(guī)定”、“非聯(lián)邦主體向聯(lián)邦機構共享網(wǎng)絡威脅信息指南”、“聯(lián)邦政府接收網(wǎng)絡威脅信息程序”和“隱私和公民自由保護指南”。本部分通過分析CISA及配套規(guī)定，探究美國信息共享的法治框架尤其是針對爭議問題的制度設計，以資借鑒。

(一)界定了應共享的網(wǎng)絡安全信息的類型

《網(wǎng)絡安全信息共享法》(CISA)是美國關于網(wǎng)絡安全信息共享的第一部綜合性立法，也是奧巴馬政府最重要的網(wǎng)絡安全綜合性立法成果。該法授權政府機構、企業(yè)以及公眾之間可以在法定條件和程序下共享網(wǎng)絡安全信息，并將網(wǎng)絡安全信息界分為“網(wǎng)絡威脅指標”(cyber threat indicator)和“防御措施”(defensive measure)兩類信息。

所謂“網(wǎng)絡威脅指標”是指描述或識別以下情形的必要信息：(1)惡意偵查，包括為了收集與網(wǎng)絡安全威脅或安全漏洞相關的技術信息的通信流量異常；(2)突破安全措施或者挖掘安全漏洞的方法；(3)安全漏洞，包括顯示安全漏洞存在的異?；顒?；(4)造成合法訪問信息系統(tǒng)或該系統(tǒng)所存儲、處理或傳輸信息的用戶不經(jīng)意使得安全措施失效或安全漏洞被挖掘的方法；(5)惡意的網(wǎng)絡命令或控制；(6)安全事件所造成的實際或潛在損害，包括特定安全威脅所造成的信息泄露；(7)其他并非法律禁止披露的網(wǎng)絡安全威脅的屬性；(8)上述情形的任意組合。

所謂“防御措施”是指檢測、防止或減輕信息系統(tǒng)或其所存儲、處理或傳輸信息的已知或者潛在網(wǎng)絡安全威脅或安全漏洞的行為、設備、程序、簽名、技術或其他措施。但應排除破壞、癱瘓、提供未經(jīng)授權訪問或實質性危害信息系統(tǒng)或者信息系統(tǒng)數(shù)據(jù)的措施，只要這些系統(tǒng)或者數(shù)據(jù)不屬于實施該措施的私主體、不屬于向實施該措施的私主體授權提供同意或已經(jīng)提供同意的其他主體或聯(lián)邦主體。CISA就是圍繞“網(wǎng)絡威脅指標”和“防御措施”建立了美國網(wǎng)絡安全信息共享的基本法治框架。

(二)規(guī)定了聯(lián)邦政府的網(wǎng)絡安全信息共享

對于非機密的“網(wǎng)絡威脅指標”和“防御措施”，CISA授權聯(lián)邦政府不僅可以在政府機構間共享，也可以與企業(yè)和公眾分享；機密的網(wǎng)絡安全信息在政府機構之外的共享，僅限于具有適當安全資質的主體；要求聯(lián)邦政府定期發(fā)布“網(wǎng)絡安全最佳實踐”，以幫助小型企業(yè)應對其面臨的網(wǎng)絡安全挑戰(zhàn)。

CISA要求制定專門的程序來實現(xiàn)上述分享，這一程序要滿足以下要求：

(1)確保聯(lián)邦政府有能力在滿足保護機密信息的前提下，實現(xiàn)網(wǎng)絡安全信息的實時分享；(2)最大可能地整合聯(lián)邦機構、非聯(lián)邦主體在信息共享方面已有的程序、角色和職責，這包括分行業(yè)的信息共享和分析中心(ISAC)；(3)對接收錯誤的或者違反CISA及其他法律要求的網(wǎng)絡安全信息的主體，要建立及時通知程序；(4)要求聯(lián)邦機構采取安全措施保護共享的網(wǎng)絡安全信息不受未經(jīng)授權的訪問或獲取；(5)要求聯(lián)邦機構審查或者利用技術手段移除任何與網(wǎng)絡安全沒有直接關系的、在分享時知道是特定主體的個人信息或可以識別特定個人的信息；(6)聯(lián)邦機構違反CISA共享個人信息，對這些信息所涉及的美國人，要建立及時通知程序。

(三)規(guī)定了非聯(lián)邦主體的網(wǎng)絡安全信息共享

CISA授權非聯(lián)邦主體為了網(wǎng)絡安全目的(cybersecurity purposes)可以與聯(lián)邦機構和其他非聯(lián)邦主體共享“網(wǎng)絡威脅指標”和“防御措施”。所謂的“網(wǎng)絡安全目的”是指保護信息系統(tǒng)或者其所存儲、處理或傳輸?shù)男畔⒚馐芫W(wǎng)絡安全威脅或安全漏洞。所謂的非聯(lián)邦主體包括私主體、非聯(lián)邦政府機關以及州、部落或地方政府。這里的聯(lián)邦機構包括了美國國防部(含國家安全局)、國家情報總監(jiān)辦公室、國土安全部、司法部等重要情報部門。

CISA要求非聯(lián)邦主體采取安全措施保護共享的網(wǎng)絡安全信息不受未經(jīng)授權的訪問或獲取，遵從關于這些信息合法使用或共享限制的規(guī)定，并且審查或者利用技術手段移除任何與網(wǎng)絡安全沒有直接關系的、在分享時知道是特定主體的個人信息或可以識別特定個人的信息。

CISA理順了聯(lián)邦政府接收網(wǎng)絡安全信息的機制，規(guī)定國土安全部(DHS)應該發(fā)展和實施特定的能力和程序(capability and process)來實時接收非聯(lián)邦主體分享的網(wǎng)絡威脅指標和防御措施，并將這些網(wǎng)絡安全信息在聯(lián)邦機構之間通過信息系統(tǒng)自動共享。這些程序包括自動指標共享程序(Automated Indicator Sharing, AIS)、電子郵件、網(wǎng)絡表格等。不過，聯(lián)邦機構和非聯(lián)邦主體關于已經(jīng)共享的網(wǎng)絡安全信息的溝通，以及聯(lián)邦監(jiān)管機構與被監(jiān)管主體關于網(wǎng)絡威脅的溝通并不適用國土安全部的專用程序。

國土安全部的信息共享程序，不是限制或禁止非聯(lián)邦主體其他向聯(lián)邦機構合法披露涉及網(wǎng)絡安全信息的行為，這包括報告犯罪活動、參與聯(lián)邦調查以及遵守其他法定或意定的合同要求等。

(四)規(guī)定了私主體共享信息的責任豁免

CISA授權私主體為了網(wǎng)絡安全目的(cybersecurity purposes)，可以監(jiān)視信息系統(tǒng)和實施防御措施。私主體可以監(jiān)視其自身的信息系統(tǒng)、經(jīng)其他主體授權或書面同意的其他非聯(lián)邦主體和聯(lián)邦機構的信息系統(tǒng)，以及在這些信息系統(tǒng)中存儲、處理或者傳輸?shù)男畔?；可以對其自身的信息系統(tǒng)、經(jīng)其他主體授權或書面同意的其他非聯(lián)邦主體和聯(lián)邦機構的信息系統(tǒng)實施防御措施。CISA明確規(guī)定，私主體監(jiān)視信息系統(tǒng)和信息、共享和接受網(wǎng)絡安全信息，只要符合CISA的法定要求，就不會因此而承擔法律責任。

CISA并非設定了網(wǎng)絡安全信息共享的強制性義務，其規(guī)定不能解釋為允許聯(lián)邦機構：要求非聯(lián)邦主體向聯(lián)邦機構或非聯(lián)邦主體提供信息；以非聯(lián)邦主體向其或其他非聯(lián)邦主體提供網(wǎng)絡威脅指標，作為其與該非聯(lián)邦主體共享網(wǎng)絡威脅指標的條件，或者作為該非聯(lián)邦主體獲得聯(lián)邦撥款、合同或采購的條件。任何私主體不會因選擇不參加自愿的網(wǎng)絡安全信息共享而承擔法律責任。

CISA對于網(wǎng)絡安全信息共享和網(wǎng)絡安全協(xié)助規(guī)定了反壟斷責任的豁免。兩個或多個私主體，為了網(wǎng)絡安全目的交換或提供網(wǎng)絡威脅指標，提供防止、調查或減輕網(wǎng)絡安全威脅的協(xié)助，并不構成對反壟斷法的違反。當然，CISA并不允許聯(lián)合定價、市場壟斷等破壞市場競爭的行為。

(五)規(guī)定了個人隱私、自由等私權利的保護

根據(jù)上文所述，CISA規(guī)定聯(lián)邦機構和非聯(lián)邦主體都要審查其所共享的網(wǎng)絡安全信息中的個人信息，并移除與網(wǎng)絡安全威脅沒有直接關系的個人信息。除此之外，CISA要求國土安全部長和司法部長聯(lián)合制定隱私和公民自由保護指南，這一指南需要包括以下內容：(1)限制本法規(guī)定的聯(lián)邦政府活動對隱私和公民自由的影響；(2)限制含有個人信息的網(wǎng)絡威脅指標的接收、留存、使用以及傳播，對相關網(wǎng)絡威脅指標規(guī)定留存期限，對與本法授權使用無直接關系的信息，建立發(fā)現(xiàn)后及時移除程序；(3)采取安全措施保護含有個人信息的網(wǎng)絡威脅指標不受未經(jīng)授權的訪問或獲取，包括規(guī)定政府機構工作人員違反指南時的適當處罰；(4)對所共享的信息不構成網(wǎng)絡安全指標的主體，建立通知程序；(5)最大限度保護含有個人信息的網(wǎng)絡威脅指標的秘密性，并且告知接收者只能在本法授權的目的下使用這些指標。

CISA明確規(guī)定，與聯(lián)邦政府共享的網(wǎng)絡安全信息，并非放棄其本身的法定特權和保護，包括商業(yè)秘密的保護；并不適用聯(lián)邦、州和地方信息自由法公開披露的規(guī)定；并不適用行政法上單方面接觸(ex parte communications)的限制；共享信息的非聯(lián)邦主體的商業(yè)性、金融性和財產(chǎn)性信息仍受保護。

(六)限制了政府所獲共享信息的后續(xù)利用

CISA限制政府通過共享獲得的網(wǎng)絡安全信息的用途，以避免政府利用這些信息對分享主體造成不利影響。對于通過合法共享而獲得的網(wǎng)絡威脅指標和防御措施，聯(lián)邦政府的披露、留存或者使用只限于以下情形：(1)網(wǎng)絡安全目的；(2)識別網(wǎng)絡安全威脅或者安全漏洞；(3)應對、防止或者減輕特定的死亡威脅、嚴重的人身或經(jīng)濟損害，包括恐怖主義行為或大規(guī)模殺傷性武器的使用；(4)應對、調查、追訴、防止或者減輕對未成年人的嚴重威脅，任何可能由(3)所列情形引發(fā)的犯罪行為，或者與欺詐、身份盜竊、間諜、審查或商業(yè)秘密保護相關的特定犯罪行為。

對于通過合法共享而獲得的網(wǎng)絡威脅指標和防御措施，州、部落或地方政府不得用于監(jiān)管非聯(lián)邦主體的合法行為或非聯(lián)邦主體根據(jù)強制性標準而采取的行為。但是州、部落或地方政府在防止或減輕信息系統(tǒng)網(wǎng)絡威脅的監(jiān)管權范圍內，可以將這些網(wǎng)絡安全信息用于通報特定信息系統(tǒng)監(jiān)管措施的進展或實施。

此外，CISA還規(guī)定了聯(lián)邦主要機構向國會定期報告制度，以有利于國會獲知信息共享的成效和確保對政府活動的監(jiān)督。要求報告的內容包括：信息共享措施的實施情況；信息共享政策、程序和指南的遵從情況；將個人數(shù)據(jù)從共享的信息中移除來保護個人隱私的情況，以及這些保護措施的充分性；美國所面臨網(wǎng)絡安全威脅的情況等。

三、關于我國網(wǎng)絡安全信息共享立法的建議

從各國立法看，網(wǎng)絡安全信息共享可以分為政府部門之間的共享、私營主體之間的共享以及政府部門與私營主體之間的共享等三種情形。政府部門之間的共享通過行政權力統(tǒng)一安排，私營主體之間的共享以自愿加入為原則，并不存在大的爭議。立法的重點難點是政府部門與私營主體之間的網(wǎng)絡安全信息共享，這包括政府的信息分享給私營主體和私營主體的信息分享給政府兩個維度。雖然這一立法難點存在較大爭議，但從域外立法看可以通過設計妥當制度來實現(xiàn)利益平衡。

我國《網(wǎng)絡安全法》在第三十九條把促進“網(wǎng)絡安全信息共享”作為關鍵信息基礎設施保護的重要措施，但信息共享的制度價值絕非僅限于關鍵信息基礎設施保護的范圍；在第二十五條和第五十一條規(guī)定了網(wǎng)絡安全事件報告和通報，只是側重網(wǎng)絡安全事件的報告通報，并沒有充分規(guī)定網(wǎng)絡威脅應對措施的共享。這些規(guī)定只是開始關注了網(wǎng)絡安全信息共享的某些方面，遠未將其上升到制度層面。以下借鑒美國、歐盟的相關立法和立法議案，結合我國的具體國情，尤其是針對一些重點難點問題，堅持利益平衡的原則，提出建構我國網(wǎng)絡安全信息共享制度的建議。

(一)明確界定網(wǎng)絡安全信息共享的定位和范圍

網(wǎng)絡安全信息共享制度的定位，取決于信息共享的范圍，信息共享的范圍又是由可共享信息的類型、可獲得共享信息的主體以及共享信息可允許的用途所決定的。我國《網(wǎng)絡安全法》將“信息共享”規(guī)定在關鍵信息基礎設施保護部分，一定程度上限定了所能共享的信息只是關于關鍵信息基礎設施的信息，這實際上限制了網(wǎng)絡安全信息共享制度價值和功能的發(fā)揮。建議抓住《關鍵信息基礎設施安全保護條例》制定的立法契機，在條例中確立我國網(wǎng)絡安全信息共享制度的基本框架，但之后時機成熟時仍有必要制定專門的網(wǎng)絡安全信息共享立法。

對于網(wǎng)絡安全共享信息的類型、主體和用途，可以有不同的制度設計方案，本文結合相關方案給出傾向性建議，但未來我國立法可根據(jù)具體情況予以選擇。

(1)共享信息的類型：有的立法采用一般規(guī)定加具體列舉的方式寬泛界定網(wǎng)絡安全信息，幾乎涵蓋了所有涉及網(wǎng)絡安全的信息，例如CISA將共享信息分為“網(wǎng)絡威脅指標”和“防御措施”兩類，并具體列舉了網(wǎng)絡威脅、安全漏洞、應對技術措施等；美國國家標準技術研究所(NIST)將網(wǎng)絡威脅信息的類型分為指標(Indicators)，策略、技術和程序(Tactics, techniques, and procedures，TTP)，安全警報(Security alerts)，威脅情報報告(Threat intelligence reports)，工具配置(Tool configurations)。但有的立法建議卻將共享信息限定在有限的范圍，例如美國參議院《2015年網(wǎng)絡威脅共享法案》(S. 456，CTSA)并未規(guī)定相關主體可以共享網(wǎng)絡安全策略。建議我國立法可以采用“網(wǎng)絡威脅”和“防御措施”的分類。

(2)可獲得信息的主體：有的立法授權私主體可以自愿與任何其他主體無論是政府部門還是其他私主體共享網(wǎng)絡安全信息。例如CTSA授權私主體可以與聯(lián)邦機構和其他非聯(lián)邦主體共享。而有的立法建議卻對此作出限制，例如CTSA規(guī)定私主體只能與“信息共享和分析組織”(ISAO)和“國家網(wǎng)絡安全和通信整合中心”(National Cybersecurity and Communications Integration Center, NCCIC)共享信息，也沒有規(guī)定私主體之間可以不通過ISAO共享網(wǎng)絡安全信息。建議我國立法授權私主體既可以與政府部門也可以和其他私主體共享信息。

(3)共享信息的后續(xù)用途：所有立法和立法建議都對共享信息的后續(xù)用途作出了限制規(guī)定，只不過限制性規(guī)定的程度不同。例如，美國《網(wǎng)絡情報共享和保護法案》(H.R. 234，以下簡稱CISPA)規(guī)定分享的情報只能用于“網(wǎng)絡安全目的”，也規(guī)定分享主體可以對共享信息后續(xù)使用附加任意限制。CISA規(guī)定為了“網(wǎng)絡安全目的”共享信息的一般性限定，也對政府后續(xù)使用共享信息作出了詳盡的限制性規(guī)定。建議我國立法也應確立共享信息用于網(wǎng)絡安全這一基本原則，并對政府部門使用私主體共享的信息作出限制性規(guī)定。

(二)確立我國網(wǎng)絡安全信息共享的行政體制

廣泛存在于政府部門之間、政府部門和私營主體之間的網(wǎng)絡安全信息共享，需要強有力的行政體制機制作為保障。CISA確立了美國國土安全部(DHS)領導網(wǎng)絡安全信息共享的中心地位，但同時規(guī)定美國國家情報總監(jiān)(DNI)、國防部(DOD)、司法部(DOJ)與國土安全部一起制定聯(lián)邦機構之間網(wǎng)絡安全信息共享的程序機制。鑒于網(wǎng)絡安全信息很多時候也就是國家網(wǎng)絡安全情報，美國稍早一些的立法議案曾建議將國家情報總監(jiān)或者國防部作為信息共享的主要領導機關。美國2014年通過立法進一步強化了國土安全部下屬的“國家網(wǎng)絡安全和通信整合中心”(NCCIC)職能，其負責整合國家情報總監(jiān)、國土安全部、國防部和司法部之間的信息共享；2015 年成立了國家情報總監(jiān)下屬的網(wǎng)絡威脅情報整合中心(Cyber Threat Intelligence Integration Center, CTIIC)，該中心將為NCCIC 和其他機構防御網(wǎng)絡威脅和應對突發(fā)事件提供支持。

我國《網(wǎng)絡安全法》第八條規(guī)定“國家網(wǎng)信部門負責統(tǒng)籌協(xié)調網(wǎng)絡安全工作和相關監(jiān)督管理工作”，第三十九條規(guī)定國家網(wǎng)信部門負責領導關鍵信息基礎設施保護的網(wǎng)絡安全信息共享?！秶野踩ā返谖迨粭l規(guī)定“建立情報信息工作協(xié)調機制，實現(xiàn)情報信息的及時收集、準確研判、有效使用和共享”，第五十二條規(guī)定“國家安全機關、公安機關、有關軍事機關根據(jù)職責分工，依法搜集涉及國家安全的情報信息”。

考慮到網(wǎng)絡安全大多涉及國家安全，建議未來我國立法在規(guī)定國家網(wǎng)信部門負責統(tǒng)一領導協(xié)調我國網(wǎng)絡安全信息共享工作的同時，規(guī)定國家安全機關、有關軍事機關、公安機關、工信部門作為重要的協(xié)同領導部門。需要指出的是，網(wǎng)絡安全信息共享尤其要注意發(fā)揮我國軍事機關的重要作用，要充分發(fā)揮軍隊在情報工作方面的獨特優(yōu)勢和重要經(jīng)驗。我國近期成立了中央軍民融合發(fā)展委員會，對推動軍民融合深度發(fā)展作出了重大部署。網(wǎng)絡安全領域軍民融合的核心就是共享信息和技術，政府部門和私營主體之間的網(wǎng)絡安全信息共享就是軍民融合的典型實例，美國的NCCIC和CTIIC實際上都體現(xiàn)了這一點。

為充分實現(xiàn)信息的交換共享，要建立具體的行政保障機制：一是要建立網(wǎng)絡安全信息共享的政府企業(yè)合作機制。在政府部門分工確定主管行業(yè)的基礎上，鼓勵引導各個行業(yè)領域成立自身的行業(yè)協(xié)作委員會，授權政府主管部門和相應的行業(yè)協(xié)作委員會建立公私合作伙伴關系。公私合作伙伴關系的主要職能在于：私營部門通過這一機制反映自身面臨的網(wǎng)絡安全威脅，并協(xié)助主管部門制定行業(yè)網(wǎng)絡安全信息共享計劃；國家網(wǎng)信部門等國家機關通過這一機制廣泛征求產(chǎn)業(yè)界的意見，在制定網(wǎng)絡安全信息共享政策和標準等過程中，充分反映行業(yè)的最佳實踐。

二是要授權國家網(wǎng)信部門建立專門的國家網(wǎng)絡安全信息共享中心。目前，我國雖然已建立國家網(wǎng)絡與信息安全信息通報中心、國家計算機網(wǎng)絡應急技術處理協(xié)調中心等網(wǎng)絡安全事件監(jiān)測、通報和處置機構，但力量比較分散，缺乏協(xié)調整合，與企業(yè)和行業(yè)組織的聯(lián)系還不夠充分。建議未來立法授權成立國家級信息共享中心，該中心負責發(fā)展相應的信息交換技術和共享標準，定期公布行業(yè)的最佳實踐，為中小企業(yè)網(wǎng)絡安全信息共享提供建議指南。此外，應授權政府各主管部門根據(jù)網(wǎng)絡安全信息的分級，在國家級信息共享中心的支持下，積極發(fā)展多層次多渠道的信息共享機制，推動建立私營行業(yè)之間的網(wǎng)絡安全信息交換組織。

(三)規(guī)定強制義務與責任豁免相結合，以促進共享

私主體不愿意與政府部門共享其掌握的網(wǎng)絡安全信息是信息共享立法的難點問題之一。對此問題的解決有兩種方式：

一是規(guī)定部分私主體有信息共享義務，以強制其參與共享。即規(guī)定私主體有義務去監(jiān)視自身信息系統(tǒng)的網(wǎng)絡安全威脅，并將相關信息與其他私主體或政府部門共享，否則要承擔相應的法律責任。在美國，規(guī)定強制性信息共享義務，面臨較大的憲法障礙，很可能構成與憲法第四修正案的禁止無理搜查和扣押、憲法第一修正案的言論自由相沖突；而且監(jiān)視信息系統(tǒng)和分享信息給政府，可能會涉及有關主體的個人信息，可能會構成對個人信息和隱私的侵害，受到民眾的較大反對。正是因為爭議較大，當前各國信息共享的主要立法模式是自愿共享，美國CISA并未對私主體設定強制信息共享義務；歐盟NIS指令確立的網(wǎng)絡安全事件報告義務，具體監(jiān)管往往是依靠行業(yè)最佳實踐來確定，也并非規(guī)定了強制性的監(jiān)管義務。

但是自愿共享模式很難保證相關主體及時分享重要的安全信息，很難切實保障網(wǎng)絡安全。Robert Gyenes, “A Voluntary Cybersecurity Framework Is Unworkable—Government Must Crack the Whip”, & , Vol.14, 2014, p.295; Jeremy J. Broggi, “Building on Executive Order 13636 to Encourage Information Sharing for Cybersecurity Purposes”, & , 2014, p. 674.鑒于此，建議我國未來立法對極其重要的關鍵信息基礎設施規(guī)定強制性的監(jiān)管義務和標準，此種強制性要求應包括網(wǎng)絡安全信息報告和共享的義務。雖然我國關鍵信息基礎設施的具體保護范圍有待進一步明晰，但從域外制度來看，鑒于其直接涉及國家安全往往采用秘密保護制度，對其他私主體個人信息和隱私保護的影響較小，這種強制性義務與其重要性是成比例的，如此才能確保關鍵信息基礎設施的安全。

二是規(guī)定私主體的責任豁免，以激勵其參與共享。即規(guī)定企業(yè)在遵循法定強制標準和按照法定要求共享網(wǎng)絡安全信息的情況下，減輕或免除因此而產(chǎn)生的法律責任，以此激勵私營主體主動與政府部門共享網(wǎng)絡安全信息。例如，對于遵守監(jiān)管標準的關鍵基礎設施運營者，可以考慮規(guī)定其信息系統(tǒng)被惡意攻擊而導致大規(guī)模數(shù)據(jù)泄露時，可只向消費者承擔補償性賠償責任，而非承擔懲罰性賠償責任。立法表述上可采用以下多種形式，一是“但書條款”：例如CISA規(guī)定，雖然有其他法律規(guī)定，但私主體為了網(wǎng)絡安全目的，仍然可以監(jiān)視信息系統(tǒng)和實施防御措施;二是“責任限制條款”：例如CISA規(guī)定只要私主體按照CISA的法定要求監(jiān)視信息系統(tǒng)，針對該主體的訴因并不存在，法院應該駁回起訴;三是“善意安全港”的規(guī)定：例如CISPA規(guī)定，如果某一行為欠缺善意，包括故意侵害、詐騙或危害他人的行為，不適用于責任限制條款。

為了提升企業(yè)發(fā)現(xiàn)網(wǎng)絡安全漏洞的能力和打消其因分享信息而承擔責任的顧慮，建議未來我國立法應授權私主體有權監(jiān)視其負責運營的網(wǎng)絡信息系統(tǒng)以及系統(tǒng)內存儲、處理和傳輸?shù)臄?shù)據(jù)，并規(guī)定不承擔因此而產(chǎn)生的法律責任。兩個或多個私主體，為了網(wǎng)絡安全目的交換網(wǎng)絡安全信息或提供相互協(xié)助，應規(guī)定一般不構成對反壟斷法的違反。對于并未納入強制監(jiān)管范圍的私營主體，其可自愿加入網(wǎng)絡安全信息共享機制，只要其按法定要求共享相關信息，可以規(guī)定豁免其相應的法律責任。除此之外，還可以考慮政府采購傾斜、稅收減免等激勵措施。Nathan Sales, “Regulating Cyber-Security”, , Vol.107, No.4, 2013, p.1550.

(四)規(guī)定利益平衡機制，以避免政府濫用共享信息

公眾對政府部門收集私主體所掌握網(wǎng)絡安全信息的擔憂是網(wǎng)絡安全信息共享立法的另一難點問題。這些擔憂主要是擔心政府部門獲得這些信息后侵害私主體對這些信息享有的合法權益或者利用這些信息對私主體造成不利，具體可能包括這些共享信息被政府信息公開程序公開、喪失商業(yè)秘密等合法權益保護、被作為行政監(jiān)管的證據(jù)以及侵害相關主體隱私和個人信息權益等。建議我國未來立法從以下三個方面作出針對性規(guī)定：

一是明確平衡維護網(wǎng)絡安全與保護私人權利的關系。在網(wǎng)絡安全信息共享中，應尤其重視對私人權利的保護。建議規(guī)定政府或其他主體保存、使用或者傳播網(wǎng)絡安全信息時，必須保護這些信息里任何可識別的個人信息不被未經(jīng)授權的披露、處理或者使用。所共享的網(wǎng)絡安全信息，應該移除或匿名化其中與網(wǎng)絡安全威脅沒有直接關系的個人信息；對于無法移除或匿名化的個人信息，應最大限度地確保其用于法定目的而不被泄露濫用，規(guī)定留存這些個人信息的合理期限。在含有個人信息的網(wǎng)絡安全信息發(fā)生意外泄露事件時，應及時通知這些個人信息所涉及的權利主體。對于政府不同部門信息共享中的個人信息和隱私保護，建議由網(wǎng)信部門牽頭聯(lián)合其他部門制定專門的標準或程序。建議規(guī)定與政府共享信息和政府使用共享信息時，不能侵害個人隱私、商業(yè)秘密、知識產(chǎn)權等合法權益，規(guī)定這些信息不適用信息公開的披露義務，不適用行政法上單方面接觸的限制。

二是明確限定政府對所獲共享信息的后續(xù)利用。我國《網(wǎng)絡安全法》第三十條規(guī)定：“網(wǎng)信部門和有關部門在履行網(wǎng)絡安全保護職責中獲取的信息，只能用于維護網(wǎng)絡安全的需要，不得用于其他用途”，確定了政府履行網(wǎng)絡安全保護職責所獲信息用途特定的原則，所獲得的相關信息只能用于維護網(wǎng)絡安全的需要，此原則同樣應適于網(wǎng)絡安全信息共享領域。建議進一步細化該原則性規(guī)定在網(wǎng)絡安全信息共享領域的適用，借鑒美國CISA立法的相關條文，建議規(guī)定：對于通過合法共享而獲得的網(wǎng)絡安全信息，政府部門的披露、留存、處理或者使用只限于以下情形：(1)為了網(wǎng)絡安全目的；(2)識別網(wǎng)絡安全威脅或者網(wǎng)絡安全漏洞；(3)應對、防止或者減輕對人民群眾生命財產(chǎn)可能造成或已經(jīng)造成的重大威脅和嚴重損害；(4)應對、調查、追訴、防止與國家安全、恐怖主義、未成年人保護、電信詐騙、身份盜竊、商業(yè)秘密保護等相關的嚴重犯罪行為。政府不得利用這些信息對自愿分享主體實施對其不利的監(jiān)管措施。

三是規(guī)定相關的責任機制，確保政府遵守相關規(guī)定?？梢钥紤]借鑒CISA所設立的聯(lián)邦主要機構向國會定期報告制度，建立我國主要政府部門向全國人大常委會定期匯報制度，主要匯報的內容包括：網(wǎng)絡安全信息共享的實施情況；信息共享政策、標準和程序的遵從情況；個人信息和隱私保護的標準、程序和實施成效；我國面臨網(wǎng)絡安全威脅的總體情況等。此外，對于政府部門工作人員在網(wǎng)絡安全信息共享過程中不遵守個人信息和隱私保護、商業(yè)秘密保護規(guī)定等情形，可以規(guī)定對其處以適當?shù)男姓幜P。當然如果是將履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的，要按照《刑法》“侵犯公民個人信息罪”予以從重處罰。

[責任編輯 李晶晶 責任校對 王治國]

2017-01-16

劉金瑞(1987—)，男，山東沂南人，中國法學會法治研究所助理研究員，主要從事網(wǎng)絡法、信息法和民法研究。

中央馬克思主義理論研究和建設工程重大項目、國家社會科學基金重大項目《全面推進依法治國重大現(xiàn)實問題研究》(批準號：2015MZD042); 中國法學會研究課題《我國關鍵基礎設施保護立法研究》(批準號：CLS(2016)D44)。

D9

A

1000-5072(2017)05-0014-10