【导语】《网络安全法（草案）》提出“关键信息基础设施的运行安全”，这表明我国关键信息基础设施工作进入正轨。

  世界各国在制定网络安全战略或进行网络安全立法时，毫无例外将关键基础设施作为重点。在某些国家，关键基础设施保护战略甚至慢慢的变成了了网络安全战略的代名词。

  这与关键基础设施对国计民生的重要性有关。美国在2001年《爱国者法案》中给出的定义有代表性：关键基础设施指对美国很重要的系统和资产，不论物理的或虚拟的，其遭到破坏或失去运转能力时，将对美国家安全、经济安全、公共健康或安全中的一项或多项产生破坏性影响。显然，关键基础设施之所以关键，是因为其一旦瘫痪或被摧毁，国家安全乃至国家的经济和社会福祉都会受到致命影响。

  参照国外经验，并结合我国实际，全国人大《中华人民共和国网络安全法（草案）》（以下简称《草案》）将“关键信息基础设施的运行安全”单列一节进行重点规范，并给出了关键基础设施的范围。某些法律学者对这种列举范围的方式不是很习惯，有的担心挂一漏万，有的担心语焉不详。事实上，这是国际通行做法，至于法律学者们担心的问题，一般是通过具体的政策来解决。

  美国是最早给出关键基础设施范围的国家。1998年5月，克林顿政府发布了第63号总统令《对关键基础设施保护的政策》，列举了8个重点行业作为国家关键基础设施：信息和通信、银行和金融、供水、运输、电力、天然气与石油、应急服务、政府运转。其中，前6类行业属于私营部门。

  2003年12月，美国发布第7号国家安全总统令《关键基础设施的识别、优先级和防护》，该令确定了17类关键基础设施和重要资源（CI/KR）：化学制品、商业设施、通信、大坝、国防工业基地、应急服务、能源和电力、金融服务、食品和农业、政府设施、公共健康和医疗、信息技术、商用核反应堆及核材料与废弃物、运输、饮用水和废污水处理系统、邮政和货物运输服务、国家纪念碑和象征性标志。2008年3月，美国国土安全部宣布将关键制造业作为第18类CI/KR。

  2013年2月，美国发布13636号总统行政令《改进关键基础设施网络安全》和第21号总统政策指示《关键基础设施安全和弹性》，将关键基础设施重新确定为16类（不再沿用“重要资源”的概念）：化学制品、商业设施、通信、关键制造业、大坝、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、公共健康和医疗、信息技术、核反应堆及核材料与废弃物、运输、水和废水净化处理系统。

  总体而言，多数国家都正式或非正式地定义了关键基础设施的范围。美国定义的CI范围比其他几个国家要广。其他几个国家有而美国没有的关键基础设施包括：印刷媒体、文化资产、空间研究及设施（包括卫星）、科学研究等。

  我国早在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大。《草案》提出“关键信息基础设施的运行安全”，表明我国关键信息基础设施工作进入正轨，解决了长期存在的以下问题：

  范围不全。相比世界其他几个国家，我们有很多关键信息基础设施尚未纳入保护视野。《草案》首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

  要求不明。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线（即基础要求），其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不单单是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。《草案》提出，关键信息基础设施安全保护办法由国务院制定。对某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

  责任不定。首先，关键信息基础设施的所有者、运营者的责任不确定。他们有必要从国家安全角度承担安全防护责任，但这个责任的界限在哪里？做到什么程度就无责了？关键信息基础设施的所有者、运营者的权利如何保障？很多重点行业的信息技术或网络安全部门都希望国家能明确这样一些问题。这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构假如没有强制性依据，很难得到业务部门的配合。此外，关键信息基础设施的安全监管责任不确定。似乎谁都能进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，《草案》明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，《草案》授权国家网信部门统筹协调有关部门，建立协作机制。尤其是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。