為了應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)威脅，世界各大國(guó)和組織都相繼制定了關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的一些法律和規(guī)范?！缎畔踩珖?guó)際行為準(zhǔn)則》和《塔林手冊(cè)2.0》是其中比較有代表性的規(guī)范。中國(guó)、俄羅斯、塔吉克斯坦、烏茲別克斯坦提交的《信息安全國(guó)際行為準(zhǔn)則》是目前國(guó)際上就信息和網(wǎng)絡(luò)安全國(guó)際規(guī)則提出的首份較全面、系統(tǒng)的文件。北約卓越網(wǎng)絡(luò)合作防衛(wèi)中心發(fā)布的《塔林手冊(cè)2.0：適用于網(wǎng)絡(luò)行動(dòng)的國(guó)際法》是西方國(guó)家在網(wǎng)絡(luò)空間國(guó)際規(guī)則理論研究的最新成果。它既是對(duì)《塔林手冊(cè)1.0：適用于網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的國(guó)際法》的延續(xù)和發(fā)展，也體現(xiàn)了各國(guó)網(wǎng)絡(luò)空間博弈法治化和規(guī)則化的態(tài)勢(shì)。對(duì)比二者的異同，有利于更好地保障各國(guó)國(guó)家利益，也有利于推動(dòng)世界網(wǎng)絡(luò)空間安全立法發(fā)展。

一、起草過程比較

1. 《信息安全國(guó)際行為準(zhǔn)則》

為推動(dòng)國(guó)際社會(huì)建立一個(gè)和平、安全、公平、開放的信息和網(wǎng)絡(luò)空間，中國(guó)、俄羅斯、塔吉克斯坦、烏茲別克斯坦常駐聯(lián)合國(guó)代表于 2011 年9 月 12 日聯(lián)名致函聯(lián)合國(guó)秘書長(zhǎng)潘基文，請(qǐng)求將由上述國(guó)家共同起草的《信息安全國(guó)際行為準(zhǔn)則》作為信息安全國(guó)際行為準(zhǔn)則，該準(zhǔn)則以第 66 屆聯(lián)大文件(A/66/359)分發(fā)，并呼吁各國(guó)在聯(lián)合國(guó)框架內(nèi)就此展開進(jìn)一步討論，以盡早就規(guī)范各國(guó)在信息和網(wǎng)絡(luò)空間行為的國(guó)際準(zhǔn)則和規(guī)則達(dá)成共識(shí)。

2015 年 1 月，中國(guó)、俄羅斯、塔吉克斯坦、烏茲別克斯坦、哈薩克斯坦、吉爾吉斯斯坦又創(chuàng)新性地對(duì)該準(zhǔn)則進(jìn)行了修改，再一次向聯(lián)合國(guó)大會(huì)共同提交，其中的規(guī)則更為細(xì)化，更符合現(xiàn)代國(guó)際社會(huì)的利益。明確提出各國(guó)應(yīng)遵守以《聯(lián)合國(guó)憲章》為基礎(chǔ)的國(guó)際法，致力于維護(hù)網(wǎng)絡(luò)空間的和平與合作。

2. 《塔林手冊(cè) 2.0》

2009 年，北約合作網(wǎng)絡(luò)防御卓越中心組織了20 名來自不同國(guó)家的專家，開始編纂《塔林手冊(cè)1.0》并于 2013 年出版。2017 年 2 月，《塔林手冊(cè) 2.0》出版。在《塔林手冊(cè) 1.0》起草過程中，國(guó)際專家組的所有成員都承擔(dān)了研究、準(zhǔn)備擬議的規(guī)則和所附評(píng)注草案的任務(wù)。他們的初稿被分發(fā)給由小組協(xié)調(diào)員牽頭的專家小組，并由專家小組完善初稿后供國(guó)際專家組全體會(huì)議審議。在《塔林手冊(cè) 1.0》的起草過程中，各國(guó)都沒有介入國(guó)際專家組的工作。然而，在《塔林手冊(cè) 2.0》起草過程中，荷蘭外交部舉行了被稱為“海牙進(jìn)程”的活動(dòng)，召集各國(guó)按照“查塔姆規(guī)則”對(duì)起草中手冊(cè)草案做出非正式的評(píng)論。來自 50 多個(gè)國(guó)家和國(guó)際組織的代表團(tuán)出席了在海牙舉行的三次為期兩天的會(huì)議。“海牙進(jìn)程”在手冊(cè)起草過程中的作用被證明是非常寶貴的，因?yàn)閲?guó)際專家組一致認(rèn)為，國(guó)際法是由國(guó)家制定并作出權(quán)威解釋的。

二、內(nèi)容結(jié)構(gòu)比較

《信息安全國(guó)際行為準(zhǔn)則》包含兩部分。第一部分為目標(biāo)與適用范圍，第二部分為行為準(zhǔn)則。初版行為準(zhǔn)則有 11 條，修訂版增加到了 13 條。主要增加的兩條為：第七條，認(rèn)識(shí)到人們?cè)诰€時(shí)也必須享有離線時(shí)享有的相同權(quán)利和義務(wù)。第十條，各國(guó)應(yīng)制訂務(wù)實(shí)的建立信任措施，以幫助提高可預(yù)測(cè)性和減少誤解，從而減少發(fā)生沖突的風(fēng)險(xiǎn)?！缎畔踩珖?guó)際行為準(zhǔn)則》內(nèi)容結(jié)構(gòu)如表 1 所示：

《塔林手冊(cè) 1.0》主要包括兩部分：國(guó)際網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)武裝沖突法，共 7 章，95 條規(guī)則?！端质謨?cè) 2.0》包括四部分：一般國(guó)際法與網(wǎng)絡(luò)空間、特別領(lǐng)域的國(guó)際法和網(wǎng)絡(luò)空間、國(guó)際和平安全與網(wǎng)絡(luò)活動(dòng)和網(wǎng)絡(luò)武裝沖突法，共 20 章，154 條規(guī)則。《塔林手冊(cè) 2.0》內(nèi)容結(jié)構(gòu)如表 2 所示：

《塔林手冊(cè) 2.0》比《信息安全國(guó)際行為準(zhǔn)則》表述更加具體，內(nèi)容更系統(tǒng)，涉及的范圍更廣泛。相比之下，《信息安全國(guó)際行為準(zhǔn)則》則是針對(duì)不利用信息網(wǎng)絡(luò)干涉他國(guó)內(nèi)政、合作打擊國(guó)際網(wǎng)絡(luò)犯罪和恐怖活動(dòng)、確保信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈安全、保護(hù)本國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊等方面提出了明確要求，并且要求以和平方式解決網(wǎng)絡(luò)空間爭(zhēng)端。而《塔林手冊(cè)2.0》則允許通過常規(guī)打擊來反擊造成人員傷亡和重大財(cái)產(chǎn)損失的網(wǎng)絡(luò)攻擊行為。近年來，中國(guó)的中興、華為等企業(yè)在核心信息產(chǎn)品供應(yīng)鏈安全方面就多次受到國(guó)外的制約與限制。

三、適用情況比較

《信息安全國(guó)際行為準(zhǔn)則》是目前國(guó)際上就信息和網(wǎng)絡(luò)安全國(guó)際規(guī)則提出的首份較全面、系統(tǒng)的文件。此準(zhǔn)則作為聯(lián)合國(guó)大會(huì)第六十六屆會(huì)議大會(huì)文件(A/66/359)分發(fā)，國(guó)際社會(huì)予以高度重視，反響熱烈。該準(zhǔn)則對(duì)所有國(guó)家開放，各國(guó)自愿遵守。該草案目前尚處于建議階段，但由于強(qiáng)調(diào)自愿，即便將來在聯(lián)合國(guó)大會(huì)中獲表決通過，也不具有法律約束力。

《塔林手冊(cè)》是目前國(guó)際上對(duì)網(wǎng)絡(luò)攻擊問題規(guī)制最完整、最系統(tǒng)、最與時(shí)俱進(jìn)的著作。它不僅促進(jìn)了國(guó)際法學(xué)界對(duì)國(guó)際網(wǎng)絡(luò)攻擊的理論學(xué)習(xí)，與此同時(shí)也應(yīng)當(dāng)指導(dǎo)國(guó)際社會(huì)在法律實(shí)務(wù)中對(duì)國(guó)際網(wǎng)絡(luò)攻擊問題的處理。北約高級(jí)協(xié)同網(wǎng)絡(luò)安全中心的11個(gè)成員國(guó)已經(jīng)將《塔林手冊(cè)》作為北約國(guó)家的基本網(wǎng)絡(luò)攻擊法律咨詢手冊(cè)，其他國(guó)家或組織也逐漸開始認(rèn)同《塔林手冊(cè)》的法律地位。

總的來說，《信息安全國(guó)際行為準(zhǔn)則》主要用于中國(guó)、俄羅斯等相關(guān) 6 國(guó)之間，但是隨著中國(guó)在世界的影響力越來越大，使用該準(zhǔn)則的國(guó)家也會(huì)越來越多。《塔林手冊(cè) 2.0》更加成熟、主要用于美國(guó)等北約成員國(guó)之間，目前不少非北約的國(guó)家也開始認(rèn)同其地位，使用的國(guó)家也越來越多。

四、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)內(nèi)容比較

《塔林手冊(cè)2.0》第二部分特別領(lǐng)域的國(guó)際法和網(wǎng)絡(luò)空間中，規(guī)則 39 網(wǎng)絡(luò)基礎(chǔ)設(shè)施所在館舍不得侵犯，規(guī)則 40 保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的義務(wù)，規(guī)則 61 建立、維護(hù)和保護(hù)電信基礎(chǔ)設(shè)施的義務(wù);第四部分網(wǎng)絡(luò)武裝沖突法，規(guī)則 140 攻擊堤壩和核電站時(shí)的注意義務(wù)，規(guī)則 150 中立國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)。

新版《信息安全國(guó)際行為準(zhǔn)則》第 9 條各國(guó)政府與各利益攸關(guān)方充分合作，并引導(dǎo)社會(huì)各方面理解他們?cè)谛畔踩矫娴淖饔煤拓?zé)任，包括私營(yíng)部門和民間社會(huì)，促進(jìn)創(chuàng)建信息安全文化及保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施?！端质謨?cè) 2.0》 與 新版《信息安全國(guó)際行為準(zhǔn)則》兩者都在內(nèi)容上明確了關(guān)鍵信息基礎(chǔ)設(shè)施的重要性以及要進(jìn)行重點(diǎn)的保護(hù)。

2017 年 3 月，我國(guó)外交部和國(guó)家互聯(lián)網(wǎng)信息辦公室共同發(fā)布的《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面也做出了明確的規(guī)定，其中第四章第八條“加強(qiáng)全球信息基礎(chǔ)設(shè)施建設(shè)和保護(hù)”提到“共同推動(dòng)全球信息基礎(chǔ)設(shè)施建設(shè)，鋪就信息暢通之路”。該戰(zhàn)略將與周邊國(guó)家信息基礎(chǔ)設(shè)施建設(shè)和“一帶一路”建設(shè)相結(jié)合，推動(dòng)各國(guó)就關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)達(dá)成共識(shí)，制定相關(guān)的合作措施以及加強(qiáng)相關(guān)技術(shù)和經(jīng)驗(yàn)交流。該戰(zhàn)略首次提出網(wǎng)絡(luò)空間國(guó)際合作的中國(guó)主張，為破解網(wǎng)絡(luò)空間國(guó)際治理難題貢獻(xiàn)中國(guó)方案。此外，本戰(zhàn)略還將提升保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施意識(shí)納入其中。

2017 年 7 月 12 日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》，該部條例屬于網(wǎng)絡(luò)安全法的重要配套保護(hù)條例和下位法，規(guī)定了國(guó)家重要行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全保護(hù)要求。

2014 年由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院 (NIST)發(fā)布的《提升美國(guó)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架規(guī)范》提出，美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)體系框架分為識(shí)別、保護(hù)、偵測(cè)、響應(yīng)和恢復(fù)五個(gè)層面，是一種基于信息安全保護(hù)生命周期和風(fēng)險(xiǎn)防控流程體系，主要標(biāo)準(zhǔn)依據(jù)了國(guó)際風(fēng)險(xiǎn)評(píng)估系列標(biāo)準(zhǔn) ISO/IEA27001 和美國(guó)聯(lián)邦政府信息和組織的安全控制措施 NIST SP800-53。

2020 年 9 月 8 日，澳大利亞戰(zhàn)略政策研究所與英國(guó)外交、聯(lián)邦和發(fā)展事務(wù)部以及澳大利亞外交貿(mào)易部合作，整理并提供聯(lián)合國(guó)網(wǎng)絡(luò)規(guī)范資源集合。聯(lián)合國(guó)的 11 項(xiàng)負(fù)責(zé)任國(guó)家行為規(guī)范于2015 年獲得通過，列出了國(guó)家應(yīng)采取的 8 項(xiàng)積極步驟和 3 項(xiàng)應(yīng)避免的行動(dòng)。上述規(guī)范是指導(dǎo)國(guó)家在網(wǎng)絡(luò)空間實(shí)施網(wǎng)絡(luò)活動(dòng)的不具有約束力的行為規(guī)范集合，本質(zhì)上屬于“國(guó)際軟法”。其中第 6項(xiàng)規(guī)范明確指出“不應(yīng)從事破壞其他國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)行為”。

五、啟示和建議

1. 聯(lián)合國(guó)際上各國(guó)家和組織的力量，尤其是發(fā)展中國(guó)家，研究有利于發(fā)展中國(guó)家的網(wǎng)絡(luò)空間規(guī)則，推動(dòng)我國(guó)網(wǎng)絡(luò)主權(quán)理論和網(wǎng)絡(luò)空間規(guī)則獲得更多的認(rèn)可。發(fā)展中國(guó)家與我國(guó)在網(wǎng)絡(luò)主權(quán)方面的目標(biāo)與利益較為一致，容易達(dá)成共識(shí)，是我國(guó)主要聯(lián)合的力量。通過聯(lián)合各國(guó)家和組織，制定有利于國(guó)家的網(wǎng)絡(luò)空間規(guī)則。

2. 借鑒《塔林手冊(cè) 2.0》編纂經(jīng)驗(yàn)，學(xué)習(xí)其從學(xué)術(shù)觀點(diǎn)到官方文件再到國(guó)際法律轉(zhuǎn)變的實(shí)踐經(jīng)驗(yàn)。鼓勵(lì)國(guó)內(nèi)的相關(guān)專家積極參與國(guó)際交流，尋找國(guó)際共識(shí)，然后邀請(qǐng)國(guó)內(nèi)外的專家學(xué)者以中立的視野，學(xué)術(shù)交流的形式 , 共同商討適于網(wǎng)絡(luò)主權(quán)的國(guó)際法規(guī)則。要先通過學(xué)術(shù)研究成果的形式，把現(xiàn)實(shí)中已經(jīng)形成的體現(xiàn)網(wǎng)絡(luò)主權(quán)平等的規(guī)則歸納出來，把應(yīng)有的網(wǎng)絡(luò)空間規(guī)則建立起來，爭(zhēng)取達(dá)成國(guó)際共識(shí)，并最終獲得國(guó)際承認(rèn)。

3. 借鑒《信息安全國(guó)際行為準(zhǔn)則》中各國(guó)政府與各利益攸關(guān)方充分合作，引導(dǎo)社會(huì)各方面理解他們?cè)谛畔踩矫娴淖饔煤拓?zé)任，包括私營(yíng)部門和民間社會(huì)，促進(jìn)創(chuàng)建信息安全文化及保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施。讓政府主動(dòng)引導(dǎo)社會(huì)積極因素參與網(wǎng)絡(luò)安全相關(guān)工作。

4. 積極參與網(wǎng)絡(luò)空間國(guó)際學(xué)術(shù)會(huì)議，積極宣傳我國(guó)的規(guī)則經(jīng)驗(yàn)，提高網(wǎng)絡(luò)空間規(guī)則制定的國(guó)際話語權(quán)?！端质謨?cè) 2.0》的制定過程，已經(jīng)有我國(guó)的一位學(xué)術(shù)代表獲邀參與，這是一個(gè)很好的先例。未來我國(guó)如有更多學(xué)者參與，提出我們的主張和意見，宣傳不同于西方意識(shí)形態(tài)的主張，將更有利于規(guī)避國(guó)際共識(shí)中不利于我國(guó)觀點(diǎn)的形成。

5. 在數(shù)據(jù)跨境傳輸保護(hù)方面，既要維護(hù)國(guó)家數(shù)據(jù)主權(quán)，又要逐步促進(jìn)商貿(mào)普通數(shù)據(jù)的合法跨境流動(dòng);既要考慮數(shù)據(jù)輸出國(guó)的因素，也要考慮數(shù)據(jù)輸入國(guó)的因素，以及數(shù)據(jù)相關(guān)主體自身的因素。[基金項(xiàng)目：國(guó)家社會(huì)科學(xué)基金項(xiàng)目資助(18BGJ071)]

本文刊登于《中國(guó)信息安全》雜志2021年第1期  作者：北京科技大學(xué)計(jì)算機(jī)與通信工程學(xué)院 陳紅松 王輝 太極計(jì)算機(jī)股份有限公司 黃海峰

來源：中國(guó)信息安全