等级保护与关键信息基础设施保护的竞合及解决路径

Journal of Xi’an Jiaotong University(Socia1 Sciences)

&U1. 2〇18

Vol. 38(Sum No. 150)

DOI：10. 15896/j. xjtuskxb. 201804003

【编者按】由西安交通大学法学院马民虎教授主持的国家社会科学基金重大项目“网络社会治理创新研究”，主要

针对目前网络社会治理中亟需明确和解决的问题进行研究。核心研究包括网络舆情、网络信息内容、网络基础设 施、新一代网络技术的治理。具体包括网络舆情治理的原则和各方参与机制，网络信息内容监管机构职责以及网 络服务商治理责任，网络基础设施治理体系和技术，新一代网络技术治理的利益协调机制等。本次刊发的研究成 果聚焦于等级保护与关键信息基础设施保护的竞合问题，这是网络安全法实施面临的突出难题，目前我国正在制 定关键信息基础设施保护条例等行政法规，本文对相关问题提出了可行的解决方案，对条例的制定和完善具有重 要参考价值，对推动网络安全法相关制度的研究和实施具有重要意义。

等级保护与关键信息基础设施保护的

竞合及解决路径

马民虎，赵光

(西安交通大学法学院，陕西西安710049)

[摘要]现代国家运行高度依赖信息网络，没有网络安全就没有国家安全。许多国家通过 关键信息基础设施保护制度加强网络安全保护。中国等级保护借鉴了国外关键信息基础设施 保护制度，两者有相似的保护理念、对象、标准和措施。2 016年制定的《网络安全法》同时规定 了等

和

制 \"

项制

。

的 解

重复监管，需要科学界定监管部门职责，同时要重视为网络运营者提供信息安全服务；制定《关 键信息基础设施安全保护条例》《网络安全等级保护条例》等配套制度，要强调其拾遗补阙作 用，重点完善法律适用程序方面的内容。

[关键词]网络安全法（等级保护（关键信息基础设施（竞合[中图分类号]

TP393. 08 [文献标识码]A [文章编号]1008-245X(2018)04-0016-07

保这两项制度协调发展、有机融合，还需要进一步完善 相关配套制度。

2017年12月，全国人大常委会执法检查组关于 检查“一法一决定”的报告建议，加快《关键信息基础设 施安全保护条例》《网络安全等级保护条例》的立法进 程，明确等级保护制度和关键信息基础设施保护制度 落实过程中的部门职责。国家网信办2017年7月发 布《关键信息基础设施安全保护条例（征求意见稿）》， 《网络安全等级保护条例》目前尚未有公开的草案，但 如何处理等级保护与关键信息基础设施保护制度的关

信息技术普遍应用为社会发展提供了巨大推动

力，但同时也给信息安全带来日益严峻的挑战。20世 纪90年代以来，各国不断通过立法加强信息安全保 护。美国等国家建立了关键信息基础设施保护制度， 我国建立了等级保护制度，学术界关于这两项制度的 关系有许多研究。我国《网络安全法》制定过程中，就 如何吸收借鉴国外关键信息基础设施保护制度以及如 何处理其与等级保护制度的关系，有关方面存在不同 意见。2016年《网络安全法》确立了等级保护和关键 信息基础设施保护并存的网络安全制度架构，但要确

[收稿日期]

2018-01 - 25

[基金项目]国家社科基金重大项目（15

ZDA047);国家社科基金一般项目（15BFX050)

[作者简介]马民虎（1958 — ）男，西安交通大学法学院教授，博士生导师，信息安全法律研究中心主任。

16

马民虎，赵光等级保护与关键信息基础设施保护的竞合及解决路径

系，需要认真研究。本文对该问题进行分析研究并提 出初步解决方案，以期对完善相关制度有所裨益。一、关键信息基础设施保护与等级保护制度的

形成路径

信息安全问题属于社会风险的一部分，公众对商 业系统的信任水平降低，社会复杂性、相互依赖性、高 度技术性程度增加，技术风险控制成本和损害赔偿费

用增加等都会加大政府直接介人的强度#。1969年 阿帕网诞生后的几十年间，网络互联互通程度低，甚至 段：第一阶段是确立阶段（199+—2006年）。199+年国 务院发布《计算机信息系统安全保护条例》，确立安全

等级保护制度。1999年，国家出台《计算机信息系统 安全保护等级划分准则KGB17859—1999\"为等级保 护制度实施提供技术支持。第二阶段是完善阶段 (2007—2016年）。2007年《信息安全等级保护管理办 法》进一步明确等级保护工作管理体制，信息系统分级 制度和信息系统运营者义务。2008年之后又出台一 系列标准®。第三阶段是等级保护与关键信息基础设 施的并行阶段(2016年以后）。《网络安全法》将“信息 最初的电脑病毒也只局限在苹果\"型电脑范围内[2]。 在此阶段，“信息系统相对独立，还没有取得基础设施 这样重要的地位。计算机安全或者信息系统安全的核 心是‘财产安全5而以机房为中心的信息系统概念成 为人们的关注焦点，这就形成了当时主流的被动保护 式的安全观”[3]，国家对网络安全问题的介人远没有现 在。

20世纪90年代以后，随着计算机和互联网的广 泛应用，信息安全问题日益严峻：一是万物互联，网络 空间成为命运共同体.二是网络攻击演变为有组织的 犯罪行为甚至是带有战争性质的国家行为，网络安全 直接关系国家安全；三是网络攻击造成的后果严重且 不可逆，亟需加强网络安全态势感知能力，将防护端口 前移[4]。为应对新的网络安全形势，美国于20世纪末 率先提出对关键信息基础设施实施重点保护。1995 年，美国司法部成立关键基础设施工作组，研究美国关 键基础设施面临的风险和威胁。1996年，克林顿签发 13010号行政命令《关键基础设施保护》。截至目前， 美国出台了大量保护关键信息基础设施的法律、总统 令、行政令等！，逐步完善关键信息基础设施保护制 度，包括关键信息基础设施范围界定、政府及私营机构 的作用、信息共享等内容。关键信息基础设施保护制 度逐渐成为维护网络安全的普遍做法，许多国家如德 国、俄罗斯、澳大利亚、日本、新加坡等都出台了关键信 息基础设施保护法律。美国使用的是“关键基础设施” (Critical infrastructure, CI)比“关键信息基础设施 + (Critical information infrastructure，CII)概念范围宽。 国际社会中，CII也通常用于泛指那些需要进行网络 安全保障的CI。可以认为“CI”和“CII”分别是传统安 全领域和网络安全领域从各自领域内看待同一个保护 对象的不同定义方法[5]。

《网络安全法》之前，我国主要通过等级保护制度 保护网络安全。等级保护制度的发展可以分为三个阶

安全等级保护制度”上升为“网络安全等级保护制度”， 并将其作为网络运行安全的一般性制度，同时规定了 键信息 保护 $二、我国等级保护与国外关键信息基础设施保

的

我国等级保护制度是由管理体制、信息系统等级 划分标准和网络运营者的安全保护义务等内容构成的 有机体系，其中等级划分是等级保护制度的核心。《计 算机信息系统安全保护等级划分准则》是我国的等级 划分依据，参照了美国《可信计算机系统评估准则》 (TCSEC)。TCSEC将信息系统分为7个测评等级， 我国等级划分标准取消了其中的D级和A1级，保留 5个定级和安全功能点，并增加了少量有关数据完整 性和网络信息传输的要求[6]。除此以外，还有一系列 其他标准与等级划分标准共同支撑起等级保护制度。

(Framework国通 《 键 网络安 》

Cybersecurity for Improving Critical Infrastructure )确立了关键基础设施识别、防护、检测、

响应和恢复的制度体系。该框架涉及的主要标准是信 息安全管理标准ISO/IEA 27001、推荐的联邦政府信 息和组织的安全控制措施NISTSP800 - 53、工控信息 安全标准ISA62++3及国际上通用的信息系统审计标

① 1998年《克林顿政府对关键基础设施保护的政策》（克林统第63号总统令\"2001年《爱国者法案》、

2001年《信息时代的关键基 础设施保护》（布什总统第13231号行政令）、

2013年《增强关键基础设 施网络安全》（奥巴马总统第13636号行政令）、

2015年《网络安全法》、 2017年《增强联邦政府网络与关键基础设施网络安全》（特朗普总统第 13800号行政令）等。

② 包括《信息系统安全等级保护基本要求》（GB/T 222392008)、

《信息安全技术信息系统安全等级保护定级指南KGB/T 22240—2008)、

《信息安全技术信息系统安全等级保护实施指南》（TGB/ 25058—2010)、

《信息安全技术信息系统等级保护安全设计技术要 求》（GB/T 25070—2010)等。

17

顿—西安交通大学学报（社会科学版）http://skxb. xjtu. edu. =/准COBIT。美国关键基础设施保护的标准侧重管理 要求，倾向于提供可供选择的信息安全最佳实践和模 型，虽然如ISO/IEC 27001在改版后充分考虑了信息 处理技术的发展，但没有涉及对系统和产品技术指标 的评估[7]。我国研究者提及的国外特别是美国的“等 级保护制度”，主要是指其信息系统等级划分标准，并 非我国法律意义上的“等级保护制度”。

关键信息基础设施保护制度强调提升态势感知能 力、加强信息共享机制建设。我国等级保护在发展初 期主要围绕等级划分开展，且较长一段时间没有得到 别包括$个、U个和U个领域。

三、我国等级保护和关键信息基础设施保护制

度的竞合

由于等级保护和关键信息基础设施保护存在制度 重叠，理想方案是择一而用。要么用等级保护吸收关 键信息基础设施保护制度，通过完善等级保护中的态 势感知、信息共享等制度，加强网络安全保护。要么用 关键信息基础设施保护制度代替等级保护制度。但择 一而用方案在实践中面临困难：一方面，我国等级保护 全面实施，一定程度上影响了该制度紧跟网络安全形 势发展的时机，缺乏对监测预警、信息共享等制度的充 分关注和完善的顶层设计。另外，我国等级保护与国 外关键信息基础设施保护在管理体制、保护范围等方 面也存在差别。但上述差别是我国等级保护制度发展 不充分导致的“实然”结果，并非其与关键基础设施保 护制度的“应然”区分，可以通过制度自身完善进行弥 补，近年来等级保护在借鉴国外关键信息基础设施保 护制度的基础上，完善了一系列信息安全风险管理标 准，在制度内容上与关键信息基础设施保护制度逐渐 趋同。《网络安全法》之前，等级保护制度很大程度上 被视作中国本土化的关键信息基础设施保护制度。

等级保护制度与国外关键信息基础设施保护制度 在根本理念上是共通的，都是风险管理思想的体现，强 调对重点系统的保护。由于美国关键基础设施信息系 统大多由私人部门所有或运营，国家干预尤为审慎。 美国关键信息基础设施制度中的大部分措施对私人机 构没有约朿力，主要是考虑到过多干预可能产生负面 效应：一是会导致强迫企业不合理配置资源、增加企业 运营成本；二是企业不得不按照要求采取一些很快就 会过期和无效的措施，而非有效应对当前和将来的威 胁；D是影响公权力和私营机构的关系；四是在政府本 身不能有效打击网络违法行为的情况下，通过立法给 企业施加义务并不能有效提升网络安全；五是信息系 统种类复杂、数量众多，政府很难了解实际情况，国家 给企业施加义务会阻碍市场创新，削弱企业竞争力，最 终反而导致关键信息基础设施信息系统更加不安全。 审慎干预还体现在将关键信息基础设施限定在较小的 范围，仅包括特别重要的信息系统。美国强调关键基 础设施对国家非常重要，其一旦丧失功能或遭到破坏 将会给国防安全、经济安全、公共健康和安全带来削弱 影响的实体或虚拟的系统和财产，目前包括16个领 域。德国、日本和俄罗斯的关键信息基础设施范围分 #$

制度确立多年，已经有比较完善的制度体系，《关于信

息安全等级保护工作的实施意见》（公通字[!00+] FF 号)将等级保护确定为“保障和促进信息化建设健康发 展的一项基本制度”，《OCF—!0!0年国家信息化发展 战略》《国家网络空间安全战略》等都对等级保护制度 作了规定，摒弃该制度并不现实。另一方面，仅对等级 保护制度的内部完善难以从根本上满足网络安全保护 新形势的需要：一是在等级保护制度下，“我国重要信 息系统的定级缺乏从基础设施重要性角度判断信息系 统重要性的分析方法和判定依据”[8]。二是网络安全 新形势下对网络安全统筹协调机制要求较高，等级保 护的执行以公安部门为主，难以有效解决监管和协调 难题。在《网络安全法》制定之前，我国已明确提出加 强关键信息基础设施保护。比如在201+年，*总 书记在中央网络安全和信息化领导小组第一次会议上 就强调&要抓紧制定立法规划，完善互联网信息内容 管理、关键信息基础设施保护等法律法规。”三是网络 安全治理需要加强国际合作，等级保护不是国际通行 概念，不利于国际合作交流。《网络安全法》保留等级 保护的同时，借鉴一些国家的经验，规定了关键信息基 础设施保护制度，加强了网络安全保护力度，但也带来 制度竞合问题。

竞合是法律中的普遍现象，如民法请求权竞合、刑 法犯罪竞合、宪法基本权利竞合等，本质上是同一行为 或事实符合不同法律条款的构成的要件而导致的法律 适用问题。例如，请求权竞合是指一项事实同时具备 若干项请求权规范的构成要件[9]。犯罪竞合“不管是 实质竞合、想象竞合或法条竞合，如果没有两个以上的 该当犯罪构成要件，就不会有所谓的竞争与竞合+10]。 宪法基本权利竞合也是在某种行为符合几种基本权利 成要件时 现[111。

法律竞合的产生主要有以下原因：一是人类的有 限理性。个人理性在理解它自身运作的能力方面有着

马民虎，赵光等级保护与关键信息基础设施保护的竞合及解决路径

一种逻辑上的局限，在认识社会生活的作用方面也存 在着极大的限度[12] $人类的有限理性在立法领域表 现为不可能创造出完美的法律制度。没有漏洞的法律 秩序是不存在的，在变化迅捷的社会中不断地出现亟 待解决的新的法律问题，而其中有许多都是法律没有 作出规定的[13]349。法律竞合也是这种不完美的体现。 二是法律逻辑结构的内在紧张。社会生活纷繁复杂， 法律规则不可能通过简练的概念和清晰的逻辑结构实 现对社会生活无缝衔接式的涵摄，法律责任构成要件 重叠难以避免。三是法律部门划分。法律制度随着社 《网络安全法》之前以等级保护为主的情况下也存在部 门职能重叠，但等级保护的主导作用明显。在等级保 护和关键信息基础设施保护制度并行的情况下，多个 主导部门并行，关系处理难度增加。第四，保护方式趋 同。目前等级保护不断发展，有关方面提出等级保护

2. 0概念，等级保护中的定级、备案、建设整改、等级测 评和监督检查等内容不断丰富，如建设整改中附加关 注安全监测、通报预警、应急处置、安全可控等，等级测 评阶段越来越重视渗透测试、攻防对抗和有效性评价 等04]。而关键信息基础设施保护制度也基本是围绕 会发展衍生出不同的法律部门，不同法律部门之间的 制度因为保护理念、保护方式的差异而产生竞合。例 如侵权请求权与社会保险请求权竞合。四是法律对有 关冲突有意搁置。德国学者将此原因导致的法律漏洞 称为“计划安排的漏洞+出于各种原因，立法者认为做 出法律规定很棘手，所以他们有意识地容许法官造法。 例如，在相互抵触的政治力量（如政府联盟）内部很难 实现统一（例如劳动法和劳动斗争法\"所以立法也可 能无能力调整或者不愿意调整[13]353’36°。

本文所称等级保护与关键信息基础设施保护竞 合，是指由于二者在保护范围、监管措施、保护方式等 方面的交叉重叠，造成同一信息系统同时受到多个相 同或相似监管措施的监管，给运营者带来不必要的负

担。具体体现在以下几个方面:第一，调整对象范围重 叠。 如 文

， 级保护和 键信息

保护

都是对重点信息系统的保护。全国人大常委会执法检 查组关于检查“一法一决定”的报告显示，截至2017 年，我国已累计受理备案14万个信息系统，其中三级 以上重要信息系统1. 7万个，基本涵盖了所有关键信 息基础设施。第二，认定标准重复。目前尚未出台关 键信息基础设施认定标准，但考虑到技术共通性，其标 准也极有可能与等级划分标准相似。另外，对关键信 息基础设施也可以再分级，与等级保护的分级殊途同 归。例如《俄罗斯联邦关键信息基础设施安全法》第7 条规定，根据对社会、政治、经济、生态以及对国防、国 家安全、法律秩序的影响，关键信息基础设施客体的重 要性分为一级、二级和三级。第三，监管重叠。由于关 键信息 涵盖在 级保护 象 内， 安 部门根据等级保护制度对关键信息基础设施拥有监管 权，行业主管部门则根据关键信息基础设施保护制度 进行监管，网信办负责统筹协调和相关内容监管，存在 监管职能交叉、监管内容重复问题，例如多个部门都可 有权要求对关键信息基础设施进行检测评估。尽管在

应急演练、信息共享、监测预警、应急处置等。

法律竞合难以避免，但并非不能解决。《网络安全 法》创立了我国网络安全法律制度的新格局，等级保护 和关键信息基础设施不能固守前《网络安全法》时期的 制度定位和格局，而是要在《网络安全法》框架下与时 俱进地科学定位、有机融合。

四、等级保护与关键信息基础设施保护制度竞

合的解决路径

(一）避免“评价不足”或“重复评价”

关于法律竞合的性质有不同学说。以民法请求权 竞合为例，最典型的是请求权竞合说与请求权规范竞 合说。无论哪种学说，都要面对不同法律规范的适用 关系问题。竞合理论目的在于避免对同一行为的评价 不足或重复评价。评价不足或重复评价是指适用某种 竞合规则，导致行为人承担的法律后果不足以实现或 已经超出了法律规定欲达到的惩罚、补偿等效果。“无 论强调认定法条竞合是为了防止双重评价，还是声称 肯定想象竞合是旨在避免重复处罚，都是为了对法益 侵害事实进行既不重复，又无遗漏，既不过度，又无不 足的刑法评价。+15]本文所称网络安全法律制度对网 络系统的“评价不足”，是指相关制度难以满足保障安 全的需要，包括监管对象覆盖不全、监管措施不力等； “重复评价”是指相关制度叠床架屋、监管职能重叠、各 监管措 同质 ， 信息 营 来 重 担。

判定“评价不足”或“重复评价”，首先需要判定法 律所保护的法益的价值。有的法益如财产权的价值判 定相对容易，但人身权、国家安全、社会公共利益等的 价值难以判定，对这些法益的保护程度与法律（责任） 的功能和对这些权利的重视程度有关。如果基于最大 限度尊重与保障基本权利的宪法理念，当数个基本权 利规范具有同等效力，或者案件事实可被数个基本权 利规范，且每一个基本权利具有独立价值，彼此不可以

19

西安交通大学学报（社会科学版）http://skxb. xjtu.edu.cn取代，此时宜采取同时保护的方法，适用所有的基本权 利规范[16]。民事责任强调赔偿损失的功能，在该原则 指导下，由于强调损害须是实际发生，可能出现赔偿数 额有限而导致对加害行为和受害损失“评价不足”。而 如果突出民事责任的抑制和制裁违法的功能，即便较 多适用惩罚性赔偿或大幅提高精神损害赔偿数额[17] 也不会被认为是“重复评价”。判定“评价不足”或“重 复评价”，与对权利价值的认识有关。刑法保护的法益 涉及人身权、交通安全、公务员的不可贿赂性、符合宪 法的秩序、公共秩序、国家安全等[18]，这些法益的价值 宗旨，有利于等级保护和关键信息基础设施保护制度 在《网络安全法》框架下最大程度上实现优势互补、协 调发展，有效提升我国网络安全保护水平和能力。

任何国家“出于政策上的合目的性理由或者客观 上的关联性理由，属于同一类国家权力的任务不可能 绝对地赋予该种国家权力的行使机构（机构群体）。职 能的交叉和人事方面的重合实际上并不少见+2]。网 络给以物理设施为基础确定的行政管理体制带来了更 严峻的挑战，即便在相关制度比较完善的美国，关键基 础设施保护相关机构不断调整，但“当前最缺失的，是 本身难以具体衡量，如果突出刑罚的抑制违法和惩罚 功能，对犯罪竞合的处理将是重罚。刑法上存在累积 主义、加重原则或吸收原则等多种处理原则，虽然目前 已经没有国家纯粹采取累积原则，但仍然基于不同的 价值衡量存在差异。

“评价不足”或“重复评价”根本上还是利益平衡问 题，例如侵权行为法要平衡受害人法益保护与侵权人 行为自由的关系刑法要处理好刑事责任与对犯罪人相 关权利保障的平衡，网络安全法律制度需要平衡安全 与发展的关系。安全理念随着社会的发展不断面临着 各种新的安全问题的冲击，这种冲击甚至不局限于安 全理念本身，对于与其密切相关的其他理念（如发展） 也同样产生影响[19]。解决等级保护与关键信息基础 设施的竞合，既要避免对信息系统“评价不足”导致监 管真空，也要避免过度“重复评价”，影响信息技术创新 和发展。网络安全法保护的网络空间主权、国家安全、 社会公共利益、个人信息权等法益具有高度重要性，且 难以量化，在无法精确计算相关措施效用的情况下，有 效切人点是明确各项制度的功能，厘清部门职责。

(二）明确制度功能，厘清部门职责

等级保护制度的核心为技术标准、等级划分和测 评，通过这些措施，促使具体的信息系统运营者加强内 在安全防护能力建设，包括提高技术能力、健全管理体 系等。关键信息基础设施保护侧重于从宏观上整合各 运营主体的信息安全资源，形成监管者、运营者和第三 方共同参与的机制，搭建一个交换安全风险信息、分析 研判风险、共享技术和经验、处置网络安全事件的平 台。在等级保护确保信息系统运营者的能力有了基本 保障的基础上，出于特殊、重点保护的需要，关键信息 基础设施可以有更高的要求，例如要求关键信息基础 设施采取更高标准、强化各设施之间的协同配合等。 这也符合《网络安全法》规定的“在网络安全等级保护 制度的基础上对关键信息基础设施进行重点保护”的 20

对网络安全领域主管机构和职责的清晰定义，设置更 加一致的标准和策略+21]。我国网络监管体制经过多 次调整，随着网络新业态、新制度的不断涌现，需要坚 持发挥各自优势、避免重复和冲突的原则，进一步完善 职责分工和协调机制。

经过多年建设和实践，公安部门对等级划分和测 评有较完备的技术和人力保障，等级保护可以围绕这 些优势开展工作。为避免重复定级和多部门重复设立 定级机构，实践中对关键信息基础设施的认定应当以 等级测评机构对信息系统划定的等级为依据，考虑到 关键信息基础设施是对“重中之重”的保护，将相关等 级的信息系统归人关键信息基础设施的标准可以更严 格，但应避免与等级划分相冲突，避免将等级保护中低 级别系统纳人关键信息基础设施范围或将高级别系统 排除在关键信息基础设施范围外。

《网络安全法》规定关键信息基础设施保护工作由 行业主管或监管部门负责，其他部门原来的监管职责 应作相应调整，减少与行业主管或监管部门职责重复， 同时做好衔接，避免多头检查、检测或处罚。网信部门 的网络管理职责分为统筹协调和监督管理职责，关键 信息基础设施保护方面，法律明确了网信部门的职责

主要侧重 。 以从以 个 面 强网信 部门的统筹协调职能：一是明确信息共享标准和操作 流程，整合监测预警、信息共享系统等；二是统筹协调 相关部门执法活动，避免重复执法；三是统筹协调相关 法规、规章的制定、清理，避免制度冲突。

(三）加强国家对关键信息基袖设施保护的支持保障

在许多网络安全威胁和攻击已经上升为国家之间 对抗的背景下，仅靠网络运营者的力量很难有效应对。 国家安全是典型的公共产品，国家在行使监管权的同 时，还要增强为网络运营者提供网络安全服务的能力， 与网络运营者共同应对网络安全问题。

美国《国家关键基础设施保护计划2013》指出，关

马民虎，赵光等级保护与关键信息基础设施保护的竞合及解决路径

键基础设施保护需要国防参与，为了让参与机制有效 运行，必须完善相应的激励措施。美国国土安全部建 立包括关键设施保护门、国家基础设施协调中心、网络 和基础设施分析办公室等在内的机制和工具支持关键 基础设施内部及相互之间的信息共享。国土安全部基 础设施保护办公室为政府和私营部门免费提供大量培 训项目，帮助政府官员和关键基础设施运营者获得确 保关键基础设施安全可靠所需的知识和技能。国土安 全部还向关键基础设施运营者提供资助，帮助它们增 强网络安全能力。美国还通过网络安全部队保护关键 信息处理的正当法律程序是网络治理走向法治化的客

《网络安全等级保护条例》应当注重完善程序保障。一

观要求和必然选择。《关键信息基础设施保护条例》 是完善期限制度，网络安全应对具有紧急性的特征，因 此期限制度的重要性更加突出。期限制度包括执法行 为和当事人履行相关义务的期限。二是完善信息公开 制度。具体信息系统的等级划分和关键信息基础设施 的识别方式、过程应当向相对人公开，听取相对人意 完善回避制度。三是完善救济制度。保障相对人在对 见；引人专家论证时应向相对人说明专家的基本情况、

基础设施。《俄罗斯联邦关键信息基础设施安全法》规 定，关键信息基础设施主体有权从负责关键信息基础 设施安全保障工作的联邦行政机关获得关键信息基础 设施面临的安全威胁信息以及软件、设备、技术的薄弱 性情况信息；当关键信息基础设施受到攻击时，有权从 上述机关获得关于该攻击采用的设备、方法以及查找、 预防该攻击的方法的信息。

网络安全监管是权力，更是责任。监管部门要结 合各自职责，加强相互协作，在履行监管职责的同时， 还要加大对网络运营者的支持保障力度，包括向网络 运营者提供网络威胁信息、通过财政税收政策鼓励企 业加大网络安全投人等，激励网络运营者积极加强网

络安 保护能 。

(四）实体和程序并重，配套制度应当强调拾遗补阙

“在网络空间部门管辖权限尚不明确的情况下，少 数部门会尽量快速跑马圈地，以规则全面覆盖方式，扩 大管辖范围，扩充部门权力边界。互联网立法全覆盖， 既无必要，更不可行，不但导致互联网立法重点不突 出，大量简单重复现实社会的相关法律规定，还会面临 适用上两套体系间的重叠与冲突。”[22]《网络安全法》 需要通过行政法规、规章进行细化，包括制定《关键信 息基础设施保护条例》《网络安全等级保护条例》等。 《关键信息基础设施保护条例》《网络安全等级保护条 例》应侧重于对《网络安全法》的拾遗补阙，避免重复 《网络安全法》现行规定，避免浪费立法资源。还要立 足于关键基础设施保护与等级保护的差异有区别地规 定相关制度，避免因追求大而全导致两个条例内容

同。

《网络安全法》属于实体法范畴。《行政法规制定 程序条例》《规章制定程序条例》规定，制定行政法规、 规章，应当切实保障公民、法人和其他组织的合法权 益，在规定其应当履行的义务的同时，应当规定其相应 的权利和保障权利实现的途径。重视并严格遵守网络

等级划分和关键信息基础设施认定有异议的情况下有

。

五、结语

级保护和 键信息 保护 是,网络

安全法》的基础性、框架性制度。法律的生命在于实 施，法律的权威也在于实施。二者是否能够有机融合，

关系到《网络安全法》能否有效实施和发挥作用。二者 的融合涉及网络安全制度中国家的功能定位、安全与 发展的关系平衡，涉及政府部门职责划分、企业权利义 务的界定等。只有在坚持法治精神和科学的安全理念 的基础上，厘清制度功能和部门职责，增强服务意识，

完善程序规则，才能确保法律有效实施，为国家安全提

有效的 保障。

[参考文献]

0]金自宁.风险规制与行政法[

M].北京：法律出版社，

2012： 53.

0]阿伦•拉奥，皮埃罗•斯加鲁菲.硅谷百年史（互联网时

代）[

M].闫景立，等译.北京：中国工信出版集团，人

民邮电出版社，2016: 238.

0]马民虎.信息安全立法三论：价值、范围和原则0].信

息网络安全，2005(3): 13 - 15.

0]马民虎，马宁.威胁态势感知视域下国家网络安全审查

法律制度的塑造0].西安交通大学学报（社会科学版）， 2016(2)： 65 - 72.

0]唐旺，宁华，陈星，等.关键信息基础设施概念研究

0].信息技术与标准化，2016!): 26 - 29.

0]朱继锋，赵英杰，杨贺，等.等级保护思想的演化0].

信息安全与通信保密，2011!): 70 - 73.

0]顾伟.美国关键信息基础设施保护与中国等级保护制度

的比较研究及启示0].电子政务，2015(7): 93 - 99.0]任卫红.分析国外信息基础设施关键性评价方法审视我

国等级保护定级工作0].等级保护，2012(3): 91 - 93.

21

西安交通大学学报（社会科学版）http://skxb. xjtn. edn. =/

01迪特尔•梅迪库斯.德国民法总论[

北京：法律出版社，2001: 69.[10]黄荣坚.刑法问题与利益思考[

学出版社，2009: 191

01] 权宁星.基本权利的竞合与冲突0]韩大元，译.外

国法译评，1996!\" 76 - 82.

02] 哈耶克.自由秩序原理[

书店，1997: 151.

03] 魏德士.法理学[

社，2005.

04] 马民虎.网络安全法适用指南[

制出版社，2018: 66.

05] 陈洪兵.不必严格区分法条竞合与想象竞合—

合论之提倡0]清华法学，2012!\" 38 - 63.

06] 郑贤君.基本权利竞合产生的原因及解决方法0]中

国宪法年刊，2009: 12 - 19.

大竞

M].邵建东，译.

07] 吉村良一.日本侵权行为法[

M].张挺，译.北京：中

国人民大学出版社，2013: 1-2.

M].北京：中国人民大

08] 汉斯•海因里希•耶赛克，托马斯•魏根特.德国刑法

教科书（上）[

M].徐久生，译.北京：中国法制出版

J

， 2017: 11)

09] 马民虎，李江鸿.我国信息安全法的法理念探析[].

西安交通大学学报（社会科学版），2007(5): 74 - 80.

[0]汉斯..沃乐夫，奥托•巴霍夫，罗尔夫•施托贝尔.

M].邓正来，译.上海：三联

J

M]. 丁晓春，等译.北京：法律出版

M].北京：中国民主法

01]

行政法（第一卷）[馆，2002: 163.

M].高家伟，译.北京：商务印书

P W.辛格，艾伦•弗里德曼.网络安全：输不起的互

联网战争[M].中国信息通信研究院，译.北京：中国

工信出版集团，电子工业出版社，2015: 193 - 194.

[22]周汉华.论互联网法[].中国法学，2015!\" 20 -37.

(责任编辑：张园）

J

The Solution of the Co-Opetition of the Gradated Protection and the Critical

Information Infrastructure Protection System

MA Minhu，ZHAOGuang

(School of Law，Xi/an Jiaotong University，Xi/an 710049，China)

Abstract The operation of modern state is highly relied on information network， there is no state securitywithout cybersecurity, t s a worldwide practice to protect cyber security through critical information infra­structure system. The gradated protection system for cybersecurity is a system with Chinese characteristic， which is established on the basis of learning from foreign CUP，they are similar system in terms of protection concept，object，norm and solution. These two systems are both stipulated in the 2016 Cybersecurity Law，the co-opetition exists as a result. Integrating the two systems in a single legislation would reboundary between them，and a reasonable definition of responsibilities for different supervisory and administra­tive departments so as to avoid loopholes or overlaps. Besides enhancing supervision and administration， the provision of information security services to network operators should be emphasized. The regulations of grada­ted protection system and critical information infrastruction to support the Cybersecurity Law should effectively play a supplementary role and emphasize on the procedures for its application.Key words Cybersecurity Law; the gradated protection system； critical information infrastructure; co-opeti-tion

22