日本網(wǎng)絡(luò)安全信息共享的制度框架與模式特征研究

周瑞玨

（北京航空航天大學(xué)法學(xué)院，北京100191）

引言

網(wǎng)絡(luò)的無邊界性、去中心化等特性觸動了傳統(tǒng)社會治理模式的制度土壤，各國紛紛推進(jìn)網(wǎng)絡(luò)安全立法的縱深化進(jìn)程，治理模式從自上而下的單向治理轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)社群基礎(chǔ)上的協(xié)同治理。關(guān)鍵信息基礎(chǔ)設(shè)施作為社會公共服務(wù)的源點，其運行安全已然成為各國網(wǎng)絡(luò)安全制度框架內(nèi)的核心內(nèi)容。網(wǎng)絡(luò)安全信息共享制度作為關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的基本制度之一，是網(wǎng)絡(luò)空間協(xié)同治理趨勢的必然選擇。小范圍的信息共享和自上而下的信息溝通方式難以與邊界虛擬化和模糊化的網(wǎng)絡(luò)空間相匹配，同時，信息收集主體多樣化和數(shù)量層級的積累帶來使用價值的質(zhì)變，網(wǎng)絡(luò)安全信息的共享能夠量化關(guān)鍵信息基礎(chǔ)設(shè)施的運行狀態(tài)。網(wǎng)絡(luò)安全信息共享的基礎(chǔ)是網(wǎng)絡(luò)社群之間的合作，各國以雙邊協(xié)議、多邊協(xié)議、參與國際會議、公私合作、跨部門合作等方式進(jìn)行網(wǎng)絡(luò)安全的合作——如歐盟金融業(yè)信息共享分析中心FI-ISAC 服務(wù)于歐盟各成員國與組織進(jìn)行金融業(yè)網(wǎng)絡(luò)安全漏洞和威脅信息共享[1]；美國在2015 年通過跨部門信息共享協(xié)議（MISA），規(guī)定國防、醫(yī)療、司法、情報社區(qū)和能源機構(gòu)進(jìn)行網(wǎng)絡(luò)安全信息共享[2]。

中國網(wǎng)絡(luò)安全信息共享制度設(shè)計面臨的主要問題在于如何實現(xiàn)兼具有效性和安全性的信息共享，該問題的解決涉及到信息共享路徑和共享范圍的設(shè)計，推動網(wǎng)絡(luò)社群參與主體從被動式參與向主動式共享的轉(zhuǎn)變。在全球網(wǎng)絡(luò)安全信息共享的實踐中，國內(nèi)學(xué)者多對美國、歐盟等國家的制度設(shè)計有所關(guān)注，對于日本網(wǎng)絡(luò)安全信息共享的制度設(shè)計卻鮮有筆墨。日本的網(wǎng)絡(luò)安全信息共享制度包括國內(nèi)專門機構(gòu)主導(dǎo)共享和國外指標(biāo)式共享兩個層面，借助網(wǎng)絡(luò)安全立法的強制力和網(wǎng)絡(luò)安全戰(zhàn)略的靈活性構(gòu)建滿足實踐需求的循環(huán)共享體系。同時，在共享主體、共享信息、共享路徑等方面，其制度特征表現(xiàn)為應(yīng)對網(wǎng)絡(luò)安全事件的靈活性與功能性導(dǎo)向，諸如定期對關(guān)鍵信息基礎(chǔ)設(shè)施運營者范圍進(jìn)行更新、關(guān)鍵信息基礎(chǔ)設(shè)施在正常運行和出現(xiàn)安全事件時適用不同的信息共享路徑等。誠然，日本網(wǎng)絡(luò)安全信息共享模式未必是最佳模式，但結(jié)合其網(wǎng)絡(luò)安全基本制度，實現(xiàn)了網(wǎng)絡(luò)安全信息共享有效性與安全性的雙重目標(biāo)。

一、雙重規(guī)范架構(gòu)：法律制度與網(wǎng)絡(luò)安全戰(zhàn)略的深度融合

在網(wǎng)絡(luò)空間中，抽象的社會運作狀態(tài)借助數(shù)據(jù)的可視化和指標(biāo)化經(jīng)由“事實—數(shù)據(jù)—信息—知識—情報”[3]得以直觀地展示于相關(guān)利益主體面前，既包括決策者、責(zé)任主體對網(wǎng)絡(luò)社會的感知決策，亦包括攻擊者對網(wǎng)絡(luò)社會結(jié)構(gòu)的破壞性拆解。網(wǎng)絡(luò)安全信息共享制度的設(shè)計目的在于確保相關(guān)利益主體對網(wǎng)絡(luò)安全態(tài)勢的系統(tǒng)性感知[4]，在內(nèi)部信息和外部信息綜合分析的基礎(chǔ)上，迅速構(gòu)筑和調(diào)整網(wǎng)絡(luò)安全策略和響應(yīng)措施。日本網(wǎng)絡(luò)安全信息共享的基本框架是以網(wǎng)絡(luò)安全法律、戰(zhàn)略和政策為骨架，直接保護(hù)對象是關(guān)鍵信息基礎(chǔ)設(shè)施提供社會公共服務(wù)的持續(xù)性以及在應(yīng)對網(wǎng)絡(luò)攻擊或威脅時的快速恢復(fù)能力，評估其信息共享模式的合理性需要以本土網(wǎng)絡(luò)安全基本制度為起點。當(dāng)然，這種“立法+戰(zhàn)略”的雙重架構(gòu)在我國《網(wǎng)絡(luò)安全法》第4條表現(xiàn)為“戰(zhàn)略管理+一般管理”[5]，相較而言，日本的規(guī)范架構(gòu)核心特征表現(xiàn)為以戰(zhàn)略目標(biāo)階段性調(diào)整來保障執(zhí)法的延展性。

圖1 組織結(jié)構(gòu)變化

（一）日本網(wǎng)絡(luò)安全法律制度的監(jiān)管模式設(shè)計

日本《網(wǎng)絡(luò)安全基本法》第2 條規(guī)定“網(wǎng)絡(luò)安全”是指為了安全地管理信息以及確保和維護(hù)信息系統(tǒng)、信息通信網(wǎng)絡(luò)安全性和可靠性而采取的必要措施。該概念的界定本質(zhì)上是本國網(wǎng)絡(luò)安全態(tài)勢的映射，來自內(nèi)部和外部的綜合性網(wǎng)絡(luò)威脅迫使日本通過立法不斷強化網(wǎng)絡(luò)安全框架等級。日本于2015 年1 月正式施行《網(wǎng)絡(luò)安全基本法》，對之前的網(wǎng)絡(luò)安全框架進(jìn)行三個方向調(diào)整：一是明確和強化組織機構(gòu)的法律環(huán)境，IT 戰(zhàn)略總部和國家安全委員會（NSC）“輔車相依”的管理格局轉(zhuǎn)變?yōu)镮T 戰(zhàn)略總部、網(wǎng)絡(luò)安全戰(zhàn)略總部和NSC 的“三馬齊驅(qū)”的組織結(jié)構(gòu)，如圖1所示。網(wǎng)絡(luò)安全戰(zhàn)略總部承擔(dān)對國家行政機關(guān)的重大網(wǎng)絡(luò)安全政策、標(biāo)準(zhǔn)進(jìn)行評估和審計以及制定網(wǎng)絡(luò)安全戰(zhàn)略的職責(zé)。二是強化領(lǐng)導(dǎo)機構(gòu)（網(wǎng)絡(luò)安全戰(zhàn)略總部等）在網(wǎng)絡(luò)安全領(lǐng)域的職能，要求其他政府部門進(jìn)行強制性安全報告，并向網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機構(gòu)報送網(wǎng)絡(luò)安全意見。此外，內(nèi)閣官房情報安全中心（NISC）的權(quán)力得到擴(kuò)張，由其監(jiān)管第三方網(wǎng)絡(luò)安全審計（包括管理審計和滲透測試）。并且，針對重大網(wǎng)絡(luò)安全事件，NISC 能夠自行調(diào)查發(fā)生原因，不再需要其他主管政府部門采取輔助性行動。三是網(wǎng)絡(luò)安全戰(zhàn)略的約束范圍非以信息安全政策委員會及其成員為限，自2015年9月后，作為內(nèi)閣決議的“網(wǎng)絡(luò)安全戰(zhàn)略”對所有政府部門均具有約束力，領(lǐng)導(dǎo)機構(gòu)可以通過強制報告和官方建議的形式執(zhí)行該戰(zhàn)略。日本政府得以借助網(wǎng)絡(luò)安全戰(zhàn)略制定的靈活性及時調(diào)整本國網(wǎng)絡(luò)安全基本目標(biāo)和政策，同時將行政監(jiān)管色彩濃厚的信息共享延伸至網(wǎng)絡(luò)安全法律體系之中[6]。

然而，日本養(yǎng)老金信息系統(tǒng)數(shù)據(jù)泄露①在2015年日本養(yǎng)老金系統(tǒng)發(fā)生數(shù)據(jù)泄露事件中，泄露的信息包括“養(yǎng)老年金編號+姓名”“養(yǎng)老年金編號+姓名+生日”“養(yǎng)老年金編號+生日+姓名+居住地址”等組合式個人信息，直接侵害公民的個人信息權(quán)益。等網(wǎng)絡(luò)安全事件暴露了日本政府與相關(guān)私營主體之間的信息溝通機制缺失。日本國會于2017 年通過“網(wǎng)絡(luò)安全基本法修訂草案”和有關(guān)強化政府機構(gòu)和相關(guān)組織網(wǎng)絡(luò)安全措施的其他法律（如《公私數(shù)據(jù)利用促進(jìn)基本法》等）。在“網(wǎng)絡(luò)安全基本法修訂草案”中，網(wǎng)絡(luò)安全責(zé)任主體范圍延伸至政府下屬機構(gòu)，包括獨立行政法人、特殊法人（即公營機構(gòu)）和授權(quán)法人，此類法律主體可獨立進(jìn)行網(wǎng)絡(luò)安全審計、事實調(diào)查活動和網(wǎng)絡(luò)監(jiān)控等活動。除此之外，關(guān)鍵信息基礎(chǔ)設(shè)施運營者被置于以NISC 為協(xié)調(diào)和合作中心的特殊制度框架內(nèi)，該制度框架將關(guān)鍵信息基礎(chǔ)設(shè)施運行安全持續(xù)作為保護(hù)目標(biāo)，內(nèi)嵌于網(wǎng)絡(luò)安全立法工作的核心位置。而《公私數(shù)據(jù)利用促進(jìn)基本法》第3條則進(jìn)一步明確公私數(shù)據(jù)的交互使用應(yīng)當(dāng)以“便利公民”和“簡化行政管理”為直接目標(biāo)，并要求公私法律實體之間建構(gòu)有關(guān)IoT、AI、云計算服務(wù)等信息系統(tǒng)基礎(chǔ)架構(gòu)技術(shù)的通用安全標(biāo)準(zhǔn)。

（二）日本網(wǎng)絡(luò)安全戰(zhàn)略體系的層次性架構(gòu)

在法律制度和網(wǎng)絡(luò)安全戰(zhàn)略的雙重規(guī)范體系下，日本的網(wǎng)絡(luò)安全保護(hù)制度的可操作性得到強化，定期修訂的網(wǎng)絡(luò)安全戰(zhàn)略讓日本政府得以在既有的網(wǎng)絡(luò)安全法律制度框架下完成階段性政策目標(biāo)?！度毡揪W(wǎng)絡(luò)安全戰(zhàn)略（2015）》在準(zhǔn)確認(rèn)定本國網(wǎng)絡(luò)空間利益和網(wǎng)絡(luò)威脅的基礎(chǔ)上，強調(diào)對網(wǎng)絡(luò)空間潛在不確定性的控制能力。該文件對“網(wǎng)絡(luò)空間”作出精準(zhǔn)定位，將網(wǎng)絡(luò)空間視為日本社會經(jīng)濟(jì)活動的重要基礎(chǔ)，是一個能夠產(chǎn)生無限價值的“人工領(lǐng)域”，“超鏈接融合社會”正在形成，網(wǎng)絡(luò)威脅已成為國家安全的重要議題。同時，該戰(zhàn)略還確定了五項基本原則，即信息自由流動原則、法治原則、開放原則、自主性原則和多利益攸關(guān)方合作原則。日本政府按照該戰(zhàn)略的規(guī)定，將繼續(xù)強化和擴(kuò)大信息收集和分析能力，將關(guān)鍵信息基礎(chǔ)設(shè)施和物聯(lián)網(wǎng)（IoT）的運行安全視為網(wǎng)絡(luò)空間領(lǐng)域的優(yōu)先事項。為了應(yīng)對日趨密集的網(wǎng)絡(luò)安全威脅以及安全籌辦2020 年奧運會，日本政府頒布《日本網(wǎng)絡(luò)安全戰(zhàn)略（2018）》，首次在國家安全文件中提及保護(hù)計算機、服務(wù)器和無線設(shè)備的端點安全，并強調(diào)在端點安全、云安全的基礎(chǔ)上構(gòu)建IT 資源的保護(hù)體系，開始將網(wǎng)絡(luò)空間與現(xiàn)實社會作為同一對象進(jìn)行監(jiān)管。

日本網(wǎng)絡(luò)安全戰(zhàn)略的層次性還體現(xiàn)為網(wǎng)絡(luò)安全政策的階段性和保護(hù)對象的區(qū)分化。在網(wǎng)絡(luò)安全戰(zhàn)略的規(guī)定下，日本政府確立年度網(wǎng)絡(luò)安全計劃，其網(wǎng)絡(luò)安全措施從傳統(tǒng)IT 安全觀向網(wǎng)絡(luò)安全觀轉(zhuǎn)型，在通用標(biāo)準(zhǔn)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)措施、組織機構(gòu)等領(lǐng)域進(jìn)行改革，網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)由以應(yīng)對計算機病毒、DoS 攻擊的被動式防御能力強化轉(zhuǎn)變?yōu)閼?yīng)對業(yè)已存在或潛在的網(wǎng)絡(luò)威脅的主動進(jìn)攻能力。

特別是在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面，日本在《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的網(wǎng)絡(luò)安全政策（第4 版）》中，提出對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行“平面保護(hù)”，以功能保障為目的，針對關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)與外部服務(wù)機構(gòu)之間的依賴關(guān)系，將整個供應(yīng)鏈統(tǒng)一納入保護(hù)范圍之內(nèi)。同時，為了靈活應(yīng)對社會環(huán)境的變化，日本內(nèi)閣秘書處將持續(xù)審查關(guān)鍵信息基礎(chǔ)設(shè)施的延伸范圍，并鼓勵CEPTOAR②CEPTOR的全稱是指Capability for Engineering of Protection,Technical Operation,Analysis and Response Council。參與到社會高度依賴的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系中，確認(rèn)外部服務(wù)網(wǎng)絡(luò)安全狀態(tài)以及審查需要保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)范圍。在關(guān)鍵信息基礎(chǔ)設(shè)施運營商承擔(dān)首要責(zé)任的前提下，日本政府認(rèn)識到現(xiàn)有行業(yè)之間的信息共享的不充分性，決定由內(nèi)閣秘書處監(jiān)管和推動公私部門之間信息共享平臺的建設(shè)。而在《關(guān)鍵基礎(chǔ)設(shè)施信息安全保障的建構(gòu)式安全原則指引（第5 版）》中，日本將關(guān)鍵基礎(chǔ)設(shè)施（CI）運營商需要遵守的網(wǎng)絡(luò)安全規(guī)范分為四個安全類別，即“政府依據(jù)有關(guān)法律規(guī)定的強制性標(biāo)準(zhǔn)”“政府與有關(guān)法律規(guī)定的推薦標(biāo)準(zhǔn)和指引”“行業(yè)組織為滿足公民預(yù)期和相關(guān)法律規(guī)定而制定的跨行業(yè)標(biāo)準(zhǔn)和指南”和“CI 運營商依循法律規(guī)定和公民預(yù)期而制定的內(nèi)部管理制度”，以此判斷CI 運營商是否真正履行網(wǎng)絡(luò)安全保障義務(wù)。

二、國內(nèi)層面：信賴基準(zhǔn)和標(biāo)準(zhǔn)化框架

在數(shù)字化社會中，日本政府將信息安全、網(wǎng)絡(luò)安全上升為國家安全的重要內(nèi)容，在追求信息自由流動的同時，推動中央與地方政府、政府與私營部門之間的信息共享?！肮萝妸^戰(zhàn)”式的單點網(wǎng)絡(luò)安全防御體系難以徹底隔絕攻擊形式多樣化的網(wǎng)絡(luò)威脅，因而協(xié)同式防御體系成為日本網(wǎng)絡(luò)治理的核心理念，這一體系對不同級別、不同部門的主體之間信息共享渠道的構(gòu)建提出新的要求，在網(wǎng)絡(luò)安全感知、理解和預(yù)測等領(lǐng)域促成網(wǎng)絡(luò)安全態(tài)勢感知能力的質(zhì)變。

（一）信賴基準(zhǔn)的構(gòu)建：信息共享的主體合作結(jié)構(gòu)

在法律制度和網(wǎng)絡(luò)安全戰(zhàn)略的雙重規(guī)范架構(gòu)下，日本欲實現(xiàn)信息共享范圍的延伸和網(wǎng)絡(luò)安全信息可用性的提升。雖然以網(wǎng)絡(luò)安全戰(zhàn)略總部和NISC 為核心的信息共享體系已基本確立，但信息共享的參與程度、信息內(nèi)容的深度未能與網(wǎng)絡(luò)安全實踐保持同步，此種局面究竟是因為缺乏足夠的利益而導(dǎo)致信息共享動機不足，還是因為不健全的信息共享制度導(dǎo)致部分信息無法共享？類似的難題在國外同樣存在，其根源或可歸結(jié)為主體之間缺乏“高水平信任”[7]以及共享過程的技術(shù)標(biāo)準(zhǔn)缺位。實踐中，日本關(guān)鍵信息基礎(chǔ)設(shè)施運營者以及其他網(wǎng)絡(luò)安全主體與日本政府之間的信任程度決定了整個信息共享的縱向延伸程度，為了解決共享制度的信賴基礎(chǔ)，日本的解決路徑是構(gòu)建不同類型的合作方式，并在“信任機制”的表層增加“驗證機制”。

《網(wǎng)絡(luò)安全基本法案》第15 條確立了私營企業(yè)、教研機構(gòu)和其他組織參與網(wǎng)絡(luò)安全活動的自愿原則，第16 條規(guī)定了日本中央政府應(yīng)當(dāng)協(xié)調(diào)中央、地方政府、關(guān)鍵信息基礎(chǔ)設(shè)施運營者、網(wǎng)絡(luò)空間相關(guān)的商業(yè)主體之間網(wǎng)絡(luò)安全活動。《2015 年網(wǎng)絡(luò)安全戰(zhàn)略》則規(guī)定了在網(wǎng)絡(luò)安全領(lǐng)域國家與網(wǎng)絡(luò)社區(qū)的合作。在此框架下，日本信息共享的參與主體原則上包括在網(wǎng)絡(luò)空間活動的所有主體，以此確保信息來源多樣和信息內(nèi)容全面性。日本網(wǎng)絡(luò)安全現(xiàn)行政策框架統(tǒng)一于內(nèi)閣領(lǐng)導(dǎo)之下，以網(wǎng)絡(luò)戰(zhàn)略總部為起點，與各類信息源主體進(jìn)行不同程度的合作：（1）與IT 戰(zhàn)略總部、國家安全中心（NSC）保持緊密合作關(guān)系；（2）強制關(guān)鍵信息基礎(chǔ)設(shè)施主管機構(gòu)以及作為網(wǎng)絡(luò)安全戰(zhàn)略總部的行政機關(guān)向其提供網(wǎng)絡(luò)安全信息；（3）依請求與相關(guān)組織進(jìn)行合作；（4）與地方政府構(gòu)建一般合作關(guān)系。依網(wǎng)絡(luò)安全之必要情形，地方政府可以要求總部提供相應(yīng)信息和其他合作，用以制定《網(wǎng)絡(luò)安全基本法案》第5 條規(guī)定的網(wǎng)絡(luò)安全政策。內(nèi)閣秘書處推行“經(jīng)設(shè)計的安全觀”，在制度體系規(guī)劃和設(shè)計階段就將網(wǎng)絡(luò)安全列為優(yōu)先事項，在制度層面促成各方法律主體利益目標(biāo)的趨同性。因而，類型化的合作關(guān)系得以成為信息共享范圍、共享方式等指標(biāo)的判斷標(biāo)準(zhǔn)。穩(wěn)定的信賴關(guān)系的確能夠提高各方主體信息共享的參與程度，但這種信賴關(guān)系也需要某種“背書”予以保證，日本信息共享的信賴基準(zhǔn)可總結(jié)為“信賴但需驗證”[8]，“驗證”實際上是對信息共享過程的監(jiān)控，包括共享的信息或數(shù)據(jù)是否被匿名化、不同主體所獲取的信息或數(shù)據(jù)是否完全一致等內(nèi)容。信息共享內(nèi)在價值表現(xiàn)之一是及時共享信息、迅速作出響應(yīng)，日本信息共享的信賴基準(zhǔn)設(shè)計思路是對信息可用性與共享安全性的比例設(shè)計。

圖2 2018年日本網(wǎng)絡(luò)安全信息共享路徑

（二）標(biāo)準(zhǔn)化框架的設(shè)計：信息共享的安全性設(shè)計

日本網(wǎng)絡(luò)安全信息共享制度的構(gòu)建始終未曾脫離于網(wǎng)絡(luò)安全的實踐需求，在關(guān)鍵信息基礎(chǔ)設(shè)施運行安全行動規(guī)劃的政策文件中，日本信息共享框架經(jīng)歷了三次調(diào)整：第一階段（2009 年）囿于制度設(shè)計的不健全，相關(guān)主體之間的信息質(zhì)量與網(wǎng)絡(luò)安全實踐的可用性需求相去甚遠(yuǎn)。政府、CEPTOAR 與相關(guān)機構(gòu)僅以故障恢復(fù)方法相關(guān)的信息為限，涉及關(guān)鍵基礎(chǔ)設(shè)施的商業(yè)實體、CEPTOAR 和其他機構(gòu)等商業(yè)實體之間補充信息的共享需以共享協(xié)議為前提。第二階段（2014 年）則演變?yōu)閮蓚€共享模型，一為正常狀態(tài)下的常態(tài)性共享模型，二為IT 危機時的響應(yīng)性共享模型。后者相較于前者，側(cè)重強化網(wǎng)絡(luò)安全事件響應(yīng)能力，內(nèi)閣秘書處與風(fēng)險管理部門、災(zāi)害預(yù)防部門雙向共享損失信息和應(yīng)急響應(yīng)信息，確保所產(chǎn)出的網(wǎng)絡(luò)威脅信息能夠及時全面反映網(wǎng)絡(luò)安全事件的發(fā)展?fàn)顟B(tài)。第三階段（2018 年）的信息共享框架將之前兩類共享模型整合為一個強化主體參與程度的共享模型，如圖2 所示③該圖譯自《日本關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)政策》第61頁。。內(nèi)閣官房情報安全中心從信息“集散中心”轉(zhuǎn)變?yōu)榻y(tǒng)括所有網(wǎng)絡(luò)安全主體的主導(dǎo)機構(gòu)[9]，以經(jīng)濟(jì)產(chǎn)業(yè)省、金融廳、厚生勞動省、國土交通省、總務(wù)省為主的傳統(tǒng)政府部門治理結(jié)構(gòu)進(jìn)階為以關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)職責(zé)為界分的管理體系，簡化信息流動的中間環(huán)節(jié)，內(nèi)閣官方情報中心與CEPTOAR 能夠進(jìn)行直接的信息溝通和共享。此外，日本政府放棄了對信息種類的機械性規(guī)定，“內(nèi)閣官房情報安全中心—信息安全相關(guān)機構(gòu)—CEPTOAR”的共享路徑以中間機構(gòu)的專業(yè)性為保證，主導(dǎo)機構(gòu)和CEPTOAR 所獲取的信息開始向?qū)嵱眯匝诱埂?/p>

信息共享的標(biāo)準(zhǔn)化框架還包括信息共享過程的安全性規(guī)定。共享框架的三次變動都在試圖消除日本關(guān)鍵信息基礎(chǔ)設(shè)施運營商對共享過程中承擔(dān)法律風(fēng)險擔(dān)憂，這些運營商或是擔(dān)心網(wǎng)絡(luò)安全事件、信息系統(tǒng)故障的報告導(dǎo)致安全監(jiān)管機構(gòu)的行政處罰，或是害怕網(wǎng)絡(luò)安全漏洞的報告招致網(wǎng)絡(luò)攻擊的“二次傷害”，再次“被迫侵害”公民個人信息。該桎梏嚴(yán)重阻礙日本信息共享的及時性和有效性，日本政府開辟了運營商與主管機關(guān)直接溝通的信息渠道，在技術(shù)層面允許運營商根據(jù)網(wǎng)絡(luò)安全信息的實質(zhì)內(nèi)容決定具體的共享范式，采取數(shù)據(jù)匿名化的方式淡化運營商對法律風(fēng)險的顧忌，同時，強化CEPTOAR 快速收集各行業(yè)信息的功能，匯集于各個CEPTOAR 秘書處，事實上，這也使得內(nèi)閣官房情報安全中心能夠觸及關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)最底部的網(wǎng)絡(luò)安全信息。

三、國際層面：美日網(wǎng)絡(luò)安全信息共享框架

（一）日本網(wǎng)絡(luò)安全的國際合作

各國在推進(jìn)網(wǎng)絡(luò)安全立法進(jìn)程的同時，也積極構(gòu)建區(qū)域性合作關(guān)系，實現(xiàn)全球網(wǎng)絡(luò)安全共治。網(wǎng)絡(luò)空間的無邊界性和虛擬性對傳統(tǒng)以領(lǐng)土等實體對象為邊界的治理理念提出新問題，網(wǎng)絡(luò)空間主權(quán)概念不再限于傳統(tǒng)國家主權(quán)的構(gòu)成要件，轉(zhuǎn)而向網(wǎng)絡(luò)層、硬件層、應(yīng)用層和內(nèi)容層的技術(shù)結(jié)構(gòu)尋求答案，網(wǎng)絡(luò)空間不會完全“再主權(quán)化”[10]。相應(yīng)地，各國也開始在網(wǎng)絡(luò)空間尋求國際層面的合作，彼此“牽連”的網(wǎng)絡(luò)信息系統(tǒng)將各國以網(wǎng)絡(luò)社群等形式聯(lián)系在一起，以此達(dá)到不同程度的網(wǎng)絡(luò)管控。

日本關(guān)鍵信息基礎(chǔ)設(shè)施運營商以及日本政府信息系統(tǒng)承受著針對性和攻擊頻次顯著提高的網(wǎng)絡(luò)攻擊④例如，2016年6月，日本大型旅行社JTB公司遭到網(wǎng)絡(luò)非法入侵，約793萬份個人信息泄露；2018年1月，日本第二大數(shù)字貨幣交易所Coincheck遭受黑客攻擊，損失高達(dá)5億美元。。在此情形下，日本一方面持續(xù)調(diào)整本國網(wǎng)絡(luò)安全規(guī)范體系，另一方面積極追求在國際社會網(wǎng)絡(luò)治理的合作關(guān)系。在最新版的網(wǎng)絡(luò)安全戰(zhàn)略中，日本在確保本國國家安全的前提下，設(shè)定三個目標(biāo)：一是推動網(wǎng)絡(luò)空間的法治進(jìn)程；二是建立信任機制；三是網(wǎng)絡(luò)安全能力建設(shè)方面展開更大范圍內(nèi)的國際合作。

在國際合作方面，日本與美國的信息共享合作可以視為日本國際層面信息共享制度的典范。美國早在2015 年的《網(wǎng)絡(luò)安全法》中對網(wǎng)絡(luò)安全信息共享制度作出了全面具體的規(guī)定，借助共享激勵制度和法律責(zé)任豁免制度鼓勵私營主體參與信息共享框架。網(wǎng)絡(luò)安全問題從來都不是某個國家所能徹底解決，即便是美國政府或者私營部門也無法感知網(wǎng)絡(luò)空間中所有潛在的網(wǎng)絡(luò)安全威脅。因此，基于感知全球網(wǎng)絡(luò)安全威脅情報的制度需求，美國在技術(shù)和立法雙重風(fēng)險防控的基礎(chǔ)上[11]，其與日本在共同商定的風(fēng)險和法律責(zé)任框架內(nèi)進(jìn)行網(wǎng)絡(luò)安全信息雙向共享。

（二）美日網(wǎng)絡(luò)安全合作模式及其現(xiàn)實問題

美國與日本的網(wǎng)絡(luò)安全協(xié)調(diào)工作主要包括雙邊協(xié)議基礎(chǔ)上的合作和政府與私營部門之間的合作，前者是指外交合作伙伴關(guān)系、防御合作以及其他協(xié)作方式，后者則是因為美日兩國大多數(shù)關(guān)鍵基礎(chǔ)設(shè)施由私營主體所有和運營，網(wǎng)絡(luò)安全信息共享的實現(xiàn)建立于兩國對全球網(wǎng)絡(luò)安全態(tài)勢的共識之上。美日兩國在信息自由流動和開放的基礎(chǔ)上，以網(wǎng)絡(luò)空間使用的安全與穩(wěn)定為“標(biāo)尺”[12]，并將互聯(lián)網(wǎng)的開放性、可靠性與安全性作為兩國合作的共同目標(biāo)[13]，兩國政府將利用所有的溝通渠道進(jìn)行無縫對接和有效協(xié)作，強化彼此之間的信息共享[14]。不過，也有學(xué)者指出雙邊協(xié)議基礎(chǔ)上合作對于信息共享合作作用有限，難以展開具有實質(zhì)性內(nèi)容的信息交互與共享[15]。

美日兩國政府與私營部門的合作障礙在于效率與安全、隱私與創(chuàng)新之間的價值選擇，具體而言，兩國的公私合作實際上仍缺乏共同控制網(wǎng)絡(luò)安全風(fēng)險時的信任基礎(chǔ)，兩國在國內(nèi)、國際跨境數(shù)據(jù)流動法律制度、網(wǎng)絡(luò)安全風(fēng)險管理和監(jiān)管模式等法律、文化差異難以使兩國靈活應(yīng)對網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)威脅。美日兩國都認(rèn)識到網(wǎng)絡(luò)安全制度的持續(xù)性，關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全不能僅僅依賴“自上而下”的法律規(guī)范強制執(zhí)行，為了消解兩國之間的制度鴻溝，在網(wǎng)絡(luò)安全籌備和響應(yīng)方面以“全社會（whole of society）”參與方式推動私營部門對網(wǎng)絡(luò)安全的認(rèn)知。這種參與方式讓兩國信息共享合作框架從重構(gòu)制度規(guī)范的思路中撤離，重新審視網(wǎng)絡(luò)社群節(jié)點的增加對信息流動的作用，完成從一般性網(wǎng)絡(luò)安全問題溝通向網(wǎng)絡(luò)威脅具體信息共享的蛻變。

（三）美日網(wǎng)絡(luò)威脅指標(biāo)的雙向共享

在美日信息共享合作框架，日本為了彌補自身網(wǎng)絡(luò)安全態(tài)勢感知能力的不足，于2017年5月加入美國國土安全局“自動化指標(biāo)共享”（AIS）平臺，實現(xiàn)與美國政府、私營部門之間的網(wǎng)絡(luò)威脅指標(biāo)的共享[16]。AIS 平臺能夠在政府、私營部門或相關(guān)組織之間共享網(wǎng)絡(luò)攻擊威脅指標(biāo)信息，國家網(wǎng)絡(luò)安全和通訊整合中心（NCCIC）作為聯(lián)邦政府、情報機構(gòu)和執(zhí)法機關(guān)提供網(wǎng)絡(luò)和通信整合的國家連接點，向該平臺提供的提供相關(guān)信息[17]。在隱私保護(hù)方面，AIS 平臺要求移除任何與網(wǎng)絡(luò)威脅無關(guān)的個人信息，自動化信息處理與人工審查確保信息的適當(dāng)加工，將審計作為最小化標(biāo)記信息內(nèi)容的重要環(huán)節(jié)。在自動化機器間信息共享方式中，統(tǒng)一的信息共享格式是機器正確解讀的前提，AIS 平臺采用的交通燈協(xié)議（TLP）[18]。交通燈協(xié)議最早是由英國國家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心（NISCC）開發(fā)的，包括紅色、琥珀色、綠色、白色四種顏色。紅色是指不能公開的信息，琥珀色是在有限范圍披露并附加限制條件，以網(wǎng)絡(luò)社群成員的需求為共享前提要件，綠色是指僅能在特定主體范圍內(nèi)進(jìn)行信息共享，白色是指公共信息，允許自由發(fā)布[19]。日本與美國的網(wǎng)絡(luò)安全信息提供者可以決定對信息內(nèi)容進(jìn)行標(biāo)記決定共享對象的范圍，即“共享發(fā)起人控制”。日本雙層架構(gòu)的網(wǎng)絡(luò)安全信息共享制度將國內(nèi)網(wǎng)絡(luò)安全環(huán)境置于全球網(wǎng)絡(luò)空間的環(huán)境之中，完成國內(nèi)的信息交流接口與國家社會網(wǎng)絡(luò)治理對接，這種信息源的分散化有助于重塑網(wǎng)絡(luò)安全信息的共享機制。

四、日本網(wǎng)絡(luò)安全信息共享制度的功能導(dǎo)向特征

日本網(wǎng)絡(luò)安全信息共享制度的另一個特點在于基礎(chǔ)構(gòu)成要件的功能導(dǎo)向性與適應(yīng)性，非固化的網(wǎng)絡(luò)安全信息范疇、參與主體職責(zé)與信息共享合作伙伴關(guān)系為日本提供了實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施運行安全的多種路徑組合，其直接效果是形成適用不同網(wǎng)絡(luò)安全狀態(tài)的信息有效性與安全性的組合方案。

（一）網(wǎng)絡(luò)安全信息范圍的適應(yīng)性與功能導(dǎo)向性

在參與主體與內(nèi)閣官房情報安全中心進(jìn)行信息共享時，日本并未以法律的形式明確限定網(wǎng)絡(luò)安全信息的具體內(nèi)容，而是從信息系統(tǒng)保護(hù)的視野觀察確定實踐中所需要的信息。

日本網(wǎng)絡(luò)安全信息的內(nèi)容主要包括系統(tǒng)漏洞信息、網(wǎng)絡(luò)攻擊相關(guān)信息以及網(wǎng)絡(luò)安全響應(yīng)實例信息⑤在日本信息安全運營商集團(tuán)（ISOG）2017年發(fā)布的“網(wǎng)絡(luò)安全信息共享強化報告”（Six Ws on cybersecurity information sharing for enhancing SOC/CSIRT）中，“系統(tǒng)漏洞信息”是指信息安全組織或相關(guān)人員通常提供有關(guān)惡意攻擊者可能設(shè)置攻擊目標(biāo)的軟硬件故障信息；“網(wǎng)絡(luò)攻擊相關(guān)信息”泛指與網(wǎng)絡(luò)攻擊相關(guān)的廣泛信息，具體包括“特定攻擊的名稱”“攻擊對象”和“攻擊路徑”三類內(nèi)容；“網(wǎng)絡(luò)安全響應(yīng)實例信息”是指相關(guān)組織處理網(wǎng)絡(luò)安全事件及其處理流程和方式的摘要信息。，這種內(nèi)容的選擇并不以信息的完整性為前提，而是以具體的實踐目標(biāo)為依據(jù)，即在什么階段為了什么目的共享網(wǎng)絡(luò)安全信息。在共享各類信息時，信息內(nèi)容選擇遵循的思路包括五個環(huán)節(jié)——初步處理的必要性判斷、偵測分析、威脅抑制、根除與恢復(fù)、網(wǎng)絡(luò)安全準(zhǔn)備以及事后響應(yīng)。以系統(tǒng)漏洞信息為例，在初步處理的必要性判斷時，信息內(nèi)容主要包括漏洞的類型、影響的信息系統(tǒng)、系統(tǒng)類型、配置、運作結(jié)構(gòu)等；在偵測分析時，信息內(nèi)容主要包括網(wǎng)絡(luò)攻擊的特征、攻擊路徑記錄、安全產(chǎn)品的偵測名稱等。在信息共享的最初階段，日本政府將能夠直接解決網(wǎng)絡(luò)安全威脅作為衡量信息共享制度實效性的判斷基礎(chǔ)。

在與內(nèi)閣官房情報安全中心雙向信息共享過程中，存在三個考量因素：一是積極預(yù)防關(guān)鍵信息基礎(chǔ)設(shè)施中斷性故障的發(fā)生；二是截斷中斷性故障導(dǎo)致的擴(kuò)大性損害，快速從故障中恢復(fù)正常運作；三是通過對故障原因的分析和驗證，阻止同類網(wǎng)絡(luò)安全威脅的再次發(fā)生。這里“系統(tǒng)”主要指工控系統(tǒng)、不同關(guān)鍵基礎(chǔ)設(shè)施行業(yè)使用的監(jiān)控系統(tǒng)以及物聯(lián)網(wǎng)系統(tǒng)等。比較第三版和第四版“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)政策”兩個規(guī)范性文件，網(wǎng)絡(luò)安全信息的認(rèn)定范圍不局限于現(xiàn)實存在的系統(tǒng)故障，將妨礙關(guān)鍵基礎(chǔ)設(shè)施安全持續(xù)提供基礎(chǔ)服務(wù)的網(wǎng)絡(luò)威脅一并認(rèn)定為需要共享的對象。為了減少實踐中對網(wǎng)絡(luò)安全威脅具體內(nèi)容的認(rèn)知差異，日本政府以系統(tǒng)故障對關(guān)鍵基礎(chǔ)設(shè)施服務(wù)持續(xù)性的影響程度為標(biāo)準(zhǔn)，將系統(tǒng)故障劃分為低、中、高、嚴(yán)重、緊急5個級別，在信息共享主體之間統(tǒng)一信息內(nèi)容的認(rèn)定標(biāo)準(zhǔn)，縮短責(zé)任主體從接收信息到作出反應(yīng)之間的時間。此外，日本將關(guān)鍵信息基礎(chǔ)設(shè)施視為關(guān)鍵基礎(chǔ)設(shè)施的組成部分，并沒有進(jìn)行特別區(qū)分。在此語境下，日本對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的認(rèn)定僅以社會依賴性程度作為判斷標(biāo)準(zhǔn)，雖已確定13個關(guān)鍵行業(yè)，但不排除因技術(shù)革新調(diào)整保護(hù)范圍。

（二）內(nèi)閣官房情報安全中心（NISC）信息收集與共享的多重判斷標(biāo)準(zhǔn)

對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者與NISC 之間的信息共享范圍，日本采取法定要求與自由判斷相結(jié)合的方式確定信息共享的范圍。

運營者在系統(tǒng)故障相關(guān)信息尚未完全確定時，或是根據(jù)法律法規(guī)要求，或是運營者自行判斷有必要共享該網(wǎng)絡(luò)安全事件相關(guān)信息，應(yīng)當(dāng)迅速報告能夠確定網(wǎng)絡(luò)安全事件和發(fā)生原因。如果運營者難以對相關(guān)網(wǎng)絡(luò)安全信息定性，可以與關(guān)鍵基礎(chǔ)設(shè)施行業(yè)主管部門或內(nèi)閣秘書處進(jìn)行事前協(xié)商，后者對于收到的信息原則上不作披露，除非法律法規(guī)另有規(guī)定或者經(jīng)信息提供者同意。

NISC 作為日本網(wǎng)絡(luò)安全的主導(dǎo)機構(gòu)，收集和分析來自行業(yè)主管部門、網(wǎng)絡(luò)安全相關(guān)政府機構(gòu)、風(fēng)險管理部門、防災(zāi)行政部門、網(wǎng)絡(luò)安全機構(gòu)、網(wǎng)絡(luò)空間運營商和關(guān)鍵基礎(chǔ)設(shè)施運營者共享的系統(tǒng)故障信息，其結(jié)果由內(nèi)閣秘書處主動反饋各方主體。所反饋的信息應(yīng)當(dāng)滿足以下三個條件之一：一是與安全漏洞、程序錯誤等相關(guān)的信息，并且認(rèn)為該信息引發(fā)的網(wǎng)絡(luò)安全威脅可能在其他關(guān)鍵基礎(chǔ)設(shè)施行業(yè)發(fā)生；二是已發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊信息、該類網(wǎng)絡(luò)攻擊的語境信息、災(zāi)害導(dǎo)致的預(yù)計損失或者關(guān)鍵信息基礎(chǔ)設(shè)施存在的風(fēng)險信息；三是其他被認(rèn)為對運營者網(wǎng)絡(luò)安全措施有用的信息。為了避免信息共享對信息源的不利影響，內(nèi)閣秘書處僅在匿名化或其他信息處理措施和信息提供者同意后才會向其他主體共享信息，如確有必要，內(nèi)閣秘書處在與信息提供者討論和調(diào)整后擴(kuò)大共享范圍。

日本在以NISC 為中心的信息共享框架中為信息共享的安全性和有效性預(yù)留足夠的空間。在一般情形下，將網(wǎng)絡(luò)安全信息的安全性視為優(yōu)先事項，在可控范圍內(nèi)共享信息，但核心依然是關(guān)鍵信息基礎(chǔ)設(shè)施的安全性；在必要情形下，則會將信息共享的有效性放在首位，追求成信息共享效益與主體參與積極性的內(nèi)在循環(huán)。

五、中國網(wǎng)絡(luò)安全共享信息制度的新思路：日本模式的理論借鑒

（一）信息共享“三角關(guān)系”的問題解決

網(wǎng)絡(luò)空間的社會活動正在更新我國現(xiàn)有法律資源中“基本范疇”和“基本范疇”的實質(zhì)內(nèi)容[20]，概念內(nèi)涵和外延的再解釋有賴于從指數(shù)級增長的數(shù)據(jù)和信息中篩選出滿足立法目標(biāo)的核心內(nèi)容。在信息共享制度設(shè)計過程中，往往存在“三角關(guān)系”問題，即如何實現(xiàn)網(wǎng)絡(luò)安全信息時效性、全面性、準(zhǔn)確性三個維度的統(tǒng)一。參與主體都會希望得到準(zhǔn)確、全面和及時的信息，但是從發(fā)送方對信息內(nèi)容的判斷和選擇到接收方對信息核對和解讀，或是信息內(nèi)容因快速響應(yīng)的要求而犧牲，或是信息時效因內(nèi)容可用性的要求而耗損，信息共享難以達(dá)到預(yù)期的要求。從具體制度規(guī)范來看，日本對于網(wǎng)絡(luò)安全信息共享制度的設(shè)計理念并不要求“信息”三個維度的統(tǒng)一，而是考慮如何分配時效性、全面性和準(zhǔn)確性的優(yōu)先次序來滿足某個時間點向特定對象共享信息的目的。面向?qū)嵺`需求的網(wǎng)絡(luò)安全信息共享制度提供層次化的共享框架和多樣化的共享路徑，日本為政府、運營者、利益攸關(guān)方等提供了多種選擇方案，不僅是信息維度的比例選擇，也包括共享對象的范圍選擇。在常態(tài)化的共享路徑中，日本政府強調(diào)信息流動過程應(yīng)置于有效的控制之下，消弭信息提供者對共享過程安全性的擔(dān)憂。當(dāng)然，日本并沒有自縛于常態(tài)化的制度框架中，功能導(dǎo)向性的制度特點可以解讀為日本對關(guān)鍵信息基礎(chǔ)設(shè)施運行安全、網(wǎng)絡(luò)安全的“審時度勢”，信息共享的終點是固定的，但共享路徑的組成結(jié)構(gòu)并不單一，網(wǎng)絡(luò)安全信息的內(nèi)容、信息共享路徑的選擇標(biāo)準(zhǔn)等基礎(chǔ)構(gòu)成要件不存在通用模型，日本網(wǎng)絡(luò)安全信息共享制度理念經(jīng)歷了從以獲取信息為目標(biāo)到以實踐為導(dǎo)向的轉(zhuǎn)變。

結(jié)合中國網(wǎng)絡(luò)安全立法進(jìn)程和面臨的網(wǎng)絡(luò)安全威脅，目前制度構(gòu)建所需回答的問題之一是什么樣的網(wǎng)絡(luò)安全信息需要被共享。觀之日本的制度設(shè)計，強求“完美狀態(tài)”的網(wǎng)絡(luò)安全信息不切實際，信息共享“三角關(guān)系”的解決不是單純依賴于網(wǎng)絡(luò)安全信息的概念界定，而是在循環(huán)往復(fù)的信息流動過程完成信息的篩選。國內(nèi)亦有學(xué)者贊成效仿域外模式構(gòu)建行業(yè)主管部門與行業(yè)協(xié)作委員會的合作關(guān)系[21]，“公共—公共”“公共—私營”等多樣化信息傳輸路徑設(shè)計是為了確保所共享的信息能夠正確評估網(wǎng)絡(luò)安全風(fēng)險水平與相關(guān)法律主體是否履行網(wǎng)絡(luò)安全法律義務(wù)。在關(guān)鍵信息基礎(chǔ)設(shè)施法律保護(hù)制度向“威脅情報共享法”演進(jìn)的大趨勢下，中國應(yīng)當(dāng)將反饋機制作為信息內(nèi)容維度的“校準(zhǔn)器”，信息共享制度不能簡單理解為不同主體間的信息交換。共享制度的目標(biāo)在于補足各自網(wǎng)絡(luò)安全態(tài)勢感知能力的缺陷，構(gòu)建政府部門與私營部門面向關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的“運營行政”之關(guān)系[22]，推動網(wǎng)絡(luò)安全信息在“接收—反饋”的循環(huán)中實現(xiàn)網(wǎng)絡(luò)安全信息的交叉價值。

（二）共享路徑的持續(xù)性規(guī)劃

在網(wǎng)絡(luò)治理的議題下，網(wǎng)絡(luò)安全能力可以劃分網(wǎng)絡(luò)安全基礎(chǔ)能力、特定領(lǐng)域網(wǎng)絡(luò)安全能力、跨領(lǐng)域網(wǎng)絡(luò)安全能力三個層次，日本信息共享的理想目標(biāo)是以信息循環(huán)流動的形式完成集體性防御的協(xié)作[23]。在這種制度理念下，日本信息共享路徑設(shè)計將安全性作為內(nèi)核，隔斷外部環(huán)境對信息流動路徑的侵蝕。網(wǎng)絡(luò)安全戰(zhàn)略、網(wǎng)絡(luò)安全法律制度以及網(wǎng)絡(luò)安全合作從來都不是對網(wǎng)絡(luò)安全威脅的結(jié)論，而是解決網(wǎng)絡(luò)安全威脅的過程。日本共享路徑的規(guī)劃根據(jù)國內(nèi)和國際層面信息源的變化不斷進(jìn)行調(diào)整，并在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的規(guī)范性文件中，對信息共享路徑作出四次變動。例如，為了實現(xiàn)對網(wǎng)絡(luò)安全事件的快速響應(yīng)，減少流動過程信息的“失真”，日本政府在日常層級報告的路徑之外，另外架設(shè)直接聯(lián)系內(nèi)閣秘書處和關(guān)鍵基礎(chǔ)設(shè)施運營者的“緊急熱線”，實現(xiàn)每天24 小時不間斷地網(wǎng)絡(luò)攻擊信息共享。此外，日本信息共享的持續(xù)性規(guī)劃還體現(xiàn)為共享路徑的規(guī)劃起點不是政府，而是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，將關(guān)鍵信息基礎(chǔ)設(shè)施運營者作為網(wǎng)絡(luò)安全的首要責(zé)任人，以法律形式確定其與中央或地方政府進(jìn)行網(wǎng)絡(luò)安全合作的法律義務(wù)，信息內(nèi)容的選擇、信息流動的方向、信息共享的技術(shù)措施等具體內(nèi)容與本國關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)狀態(tài)、技術(shù)發(fā)展等要素相匹配。

結(jié)合目前的網(wǎng)絡(luò)安全態(tài)勢，網(wǎng)絡(luò)安全威脅的來源來自四個方面，一是系統(tǒng)運營者內(nèi)部員工不規(guī)范操作或惡意操作；二是雖然關(guān)鍵信息基礎(chǔ)設(shè)施本身網(wǎng)絡(luò)安全防御體系嚴(yán)密，但是仍可能存在“滲透”機會；三是間接攻擊模式，即網(wǎng)絡(luò)攻擊的直接目標(biāo)不再是關(guān)鍵信息基礎(chǔ)設(shè)施，而是通過對第三方訪問系統(tǒng)等一般信息系統(tǒng)的攻擊，借助網(wǎng)絡(luò)的牽連性特點，間接展開對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊。物聯(lián)網(wǎng)（IoT）的發(fā)展將不同行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)聯(lián)起來，為網(wǎng)絡(luò)攻擊提供新的路徑；四是網(wǎng)絡(luò)安全設(shè)備的供應(yīng)鏈，有限的設(shè)備供應(yīng)商選擇在某種程度也增加了網(wǎng)絡(luò)安全風(fēng)險的發(fā)生概率。針對這些網(wǎng)絡(luò)安全威脅，中國的網(wǎng)絡(luò)安全信息共享制度應(yīng)當(dāng)及時修訂具體的信息共享路徑，物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的發(fā)展實質(zhì)上正在不斷擴(kuò)大信息共享的參與主體范圍，例如以“基本層—增強層—創(chuàng)新層”為基本結(jié)構(gòu)的工業(yè)互聯(lián)網(wǎng)安全需要整個產(chǎn)業(yè)鏈的企業(yè)參與信息共享[24]。因此，持續(xù)性規(guī)劃理念既是適應(yīng)能力的直接表現(xiàn)，也是安全性共享的間接要求。

當(dāng)然，日本的網(wǎng)絡(luò)安全信息共享路徑也存在各種問題，多樣化的信息源既是優(yōu)勢也是問題來源，有報告指出日本的人力資源往往浪費在整理和選擇海量的網(wǎng)絡(luò)安全事件中，缺乏一個網(wǎng)絡(luò)威脅指標(biāo)的自動化共享系統(tǒng)[25]，雖然之前提及日本借助AIS 計劃實現(xiàn)國際層面的信息共享，但具體制度的實施效果尚難評斷。中國所處的網(wǎng)絡(luò)空間安全環(huán)境比日本更加復(fù)雜，潛在的信息源眾多，需要在階段性的網(wǎng)絡(luò)安全目標(biāo)的指導(dǎo)下，加速共享路徑規(guī)劃與參與主體范圍的一體化進(jìn)程，合理設(shè)計系統(tǒng)自動處理信息和人力篩選信息內(nèi)容的制度配置。