為了應對關鍵信息基礎設施面臨的網(wǎng)絡威脅，世界各大國和組織都相繼制定了關于關鍵信息基礎設施保護的一些法律和規(guī)范。《信息安全國際行為準則》和《塔林手冊2.0》是其中比較有代表性的規(guī)范。中國、俄羅斯、塔吉克斯坦、烏茲別克斯坦提交的《信息安全國際行為準則》是目前國際上就信息和網(wǎng)絡安全國際規(guī)則提出的首份較全面、系統(tǒng)的文件。北約卓越網(wǎng)絡合作防衛(wèi)中心發(fā)布的《塔林手冊2.0：適用于網(wǎng)絡行動的國際法》是西方國家在網(wǎng)絡空間國際規(guī)則理論研究的最新成果。它既是對《塔林手冊1.0：適用于網(wǎng)絡戰(zhàn)爭的國際法》的延續(xù)和發(fā)展，也體現(xiàn)了各國網(wǎng)絡空間博弈法治化和規(guī)則化的態(tài)勢。對比二者的異同，有利于更好地保障各國國家利益，也有利于推動世界網(wǎng)絡空間安全立法發(fā)展。

一、起草過程比較

1. 《信息安全國際行為準則》

為推動國際社會建立一個和平、安全、公平、開放的信息和網(wǎng)絡空間，中國、俄羅斯、塔吉克斯坦、烏茲別克斯坦常駐聯(lián)合國代表于 2011 年9 月 12 日聯(lián)名致函聯(lián)合國秘書長潘基文，請求將由上述國家共同起草的《信息安全國際行為準則》作為信息安全國際行為準則，該準則以第 66 屆聯(lián)大文件(A/66/359)分發(fā)，并呼吁各國在聯(lián)合國框架內(nèi)就此展開進一步討論，以盡早就規(guī)范各國在信息和網(wǎng)絡空間行為的國際準則和規(guī)則達成共識。

2015 年 1 月，中國、俄羅斯、塔吉克斯坦、烏茲別克斯坦、哈薩克斯坦、吉爾吉斯斯坦又創(chuàng)新性地對該準則進行了修改，再一次向聯(lián)合國大會共同提交，其中的規(guī)則更為細化，更符合現(xiàn)代國際社會的利益。明確提出各國應遵守以《聯(lián)合國憲章》為基礎的國際法，致力于維護網(wǎng)絡空間的和平與合作。

2. 《塔林手冊 2.0》

2009 年，北約合作網(wǎng)絡防御卓越中心組織了20 名來自不同國家的專家，開始編纂《塔林手冊1.0》并于 2013 年出版。2017 年 2 月，《塔林手冊 2.0》出版。在《塔林手冊 1.0》起草過程中，國際專家組的所有成員都承擔了研究、準備擬議的規(guī)則和所附評注草案的任務。他們的初稿被分發(fā)給由小組協(xié)調(diào)員牽頭的專家小組，并由專家小組完善初稿后供國際專家組全體會議審議。在《塔林手冊 1.0》的起草過程中，各國都沒有介入國際專家組的工作。然而，在《塔林手冊 2.0》起草過程中，荷蘭外交部舉行了被稱為“海牙進程”的活動，召集各國按照“查塔姆規(guī)則”對起草中手冊草案做出非正式的評論。來自 50 多個國家和國際組織的代表團出席了在海牙舉行的三次為期兩天的會議?！昂Ｑ肋M程”在手冊起草過程中的作用被證明是非常寶貴的，因為國際專家組一致認為，國際法是由國家制定并作出權威解釋的。

二、內(nèi)容結(jié)構比較

《信息安全國際行為準則》包含兩部分。第一部分為目標與適用范圍，第二部分為行為準則。初版行為準則有 11 條，修訂版增加到了 13 條。主要增加的兩條為：第七條，認識到人們在線時也必須享有離線時享有的相同權利和義務。第十條，各國應制訂務實的建立信任措施，以幫助提高可預測性和減少誤解，從而減少發(fā)生沖突的風險。《信息安全國際行為準則》內(nèi)容結(jié)構如表 1 所示：

《塔林手冊 1.0》主要包括兩部分：國際網(wǎng)絡安全法和網(wǎng)絡武裝沖突法，共 7 章，95 條規(guī)則。《塔林手冊 2.0》包括四部分：一般國際法與網(wǎng)絡空間、特別領域的國際法和網(wǎng)絡空間、國際和平安全與網(wǎng)絡活動和網(wǎng)絡武裝沖突法，共 20 章，154 條規(guī)則?！端质謨? 2.0》內(nèi)容結(jié)構如表 2 所示：

《塔林手冊 2.0》比《信息安全國際行為準則》表述更加具體，內(nèi)容更系統(tǒng)，涉及的范圍更廣泛。相比之下，《信息安全國際行為準則》則是針對不利用信息網(wǎng)絡干涉他國內(nèi)政、合作打擊國際網(wǎng)絡犯罪和恐怖活動、確保信息技術產(chǎn)品和服務供應鏈安全、保護本國關鍵信息基礎設施免受攻擊等方面提出了明確要求，并且要求以和平方式解決網(wǎng)絡空間爭端。而《塔林手冊2.0》則允許通過常規(guī)打擊來反擊造成人員傷亡和重大財產(chǎn)損失的網(wǎng)絡攻擊行為。近年來，中國的中興、華為等企業(yè)在核心信息產(chǎn)品供應鏈安全方面就多次受到國外的制約與限制。

三、適用情況比較

《信息安全國際行為準則》是目前國際上就信息和網(wǎng)絡安全國際規(guī)則提出的首份較全面、系統(tǒng)的文件。此準則作為聯(lián)合國大會第六十六屆會議大會文件(A/66/359)分發(fā)，國際社會予以高度重視，反響熱烈。該準則對所有國家開放，各國自愿遵守。該草案目前尚處于建議階段，但由于強調(diào)自愿，即便將來在聯(lián)合國大會中獲表決通過，也不具有法律約束力。

《塔林手冊》是目前國際上對網(wǎng)絡攻擊問題規(guī)制最完整、最系統(tǒng)、最與時俱進的著作。它不僅促進了國際法學界對國際網(wǎng)絡攻擊的理論學習，與此同時也應當指導國際社會在法律實務中對國際網(wǎng)絡攻擊問題的處理。北約高級協(xié)同網(wǎng)絡安全中心的11個成員國已經(jīng)將《塔林手冊》作為北約國家的基本網(wǎng)絡攻擊法律咨詢手冊，其他國家或組織也逐漸開始認同《塔林手冊》的法律地位。

總的來說，《信息安全國際行為準則》主要用于中國、俄羅斯等相關 6 國之間，但是隨著中國在世界的影響力越來越大，使用該準則的國家也會越來越多?！端质謨? 2.0》更加成熟、主要用于美國等北約成員國之間，目前不少非北約的國家也開始認同其地位，使用的國家也越來越多。

四、關鍵信息基礎設施保護內(nèi)容比較

《塔林手冊2.0》第二部分特別領域的國際法和網(wǎng)絡空間中，規(guī)則 39 網(wǎng)絡基礎設施所在館舍不得侵犯，規(guī)則 40 保護網(wǎng)絡基礎設施的義務，規(guī)則 61 建立、維護和保護電信基礎設施的義務;第四部分網(wǎng)絡武裝沖突法，規(guī)則 140 攻擊堤壩和核電站時的注意義務，規(guī)則 150 中立國網(wǎng)絡基礎設施的保護。

新版《信息安全國際行為準則》第 9 條各國政府與各利益攸關方充分合作，并引導社會各方面理解他們在信息安全方面的作用和責任，包括私營部門和民間社會，促進創(chuàng)建信息安全文化及保護關鍵信息基礎設施?！端质謨? 2.0》 與 新版《信息安全國際行為準則》兩者都在內(nèi)容上明確了關鍵信息基礎設施的重要性以及要進行重點的保護。

2017 年 3 月，我國外交部和國家互聯(lián)網(wǎng)信息辦公室共同發(fā)布的《網(wǎng)絡空間國際合作戰(zhàn)略》在關鍵信息基礎設施保護方面也做出了明確的規(guī)定，其中第四章第八條“加強全球信息基礎設施建設和保護”提到“共同推動全球信息基礎設施建設，鋪就信息暢通之路”。該戰(zhàn)略將與周邊國家信息基礎設施建設和“一帶一路”建設相結(jié)合，推動各國就關鍵信息基礎設施保護達成共識，制定相關的合作措施以及加強相關技術和經(jīng)驗交流。該戰(zhàn)略首次提出網(wǎng)絡空間國際合作的中國主張，為破解網(wǎng)絡空間國際治理難題貢獻中國方案。此外，本戰(zhàn)略還將提升保護關鍵信息基礎設施意識納入其中。

2017 年 7 月 12 日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《關鍵信息基礎設施安全保護條例(征求意見稿)》，該部條例屬于網(wǎng)絡安全法的重要配套保護條例和下位法，規(guī)定了國家重要行業(yè)領域的網(wǎng)絡安全保護要求。

2014 年由美國國家標準技術研究院 (NIST)發(fā)布的《提升美國關鍵基礎設施網(wǎng)絡安全的框架規(guī)范》提出，美國的關鍵基礎設施信息安全防護體系框架分為識別、保護、偵測、響應和恢復五個層面，是一種基于信息安全保護生命周期和風險防控流程體系，主要標準依據(jù)了國際風險評估系列標準 ISO/IEA27001 和美國聯(lián)邦政府信息和組織的安全控制措施 NIST SP800-53。

2020 年 9 月 8 日，澳大利亞戰(zhàn)略政策研究所與英國外交、聯(lián)邦和發(fā)展事務部以及澳大利亞外交貿(mào)易部合作，整理并提供聯(lián)合國網(wǎng)絡規(guī)范資源集合。聯(lián)合國的 11 項負責任國家行為規(guī)范于2015 年獲得通過，列出了國家應采取的 8 項積極步驟和 3 項應避免的行動。上述規(guī)范是指導國家在網(wǎng)絡空間實施網(wǎng)絡活動的不具有約束力的行為規(guī)范集合，本質(zhì)上屬于“國際軟法”。其中第 6項規(guī)范明確指出“不應從事破壞其他國家關鍵基礎設施的網(wǎng)絡行為”。

五、啟示和建議

1. 聯(lián)合國際上各國家和組織的力量，尤其是發(fā)展中國家，研究有利于發(fā)展中國家的網(wǎng)絡空間規(guī)則，推動我國網(wǎng)絡主權理論和網(wǎng)絡空間規(guī)則獲得更多的認可。發(fā)展中國家與我國在網(wǎng)絡主權方面的目標與利益較為一致，容易達成共識，是我國主要聯(lián)合的力量。通過聯(lián)合各國家和組織，制定有利于國家的網(wǎng)絡空間規(guī)則。

2. 借鑒《塔林手冊 2.0》編纂經(jīng)驗，學習其從學術觀點到官方文件再到國際法律轉(zhuǎn)變的實踐經(jīng)驗。鼓勵國內(nèi)的相關專家積極參與國際交流，尋找國際共識，然后邀請國內(nèi)外的專家學者以中立的視野，學術交流的形式 , 共同商討適于網(wǎng)絡主權的國際法規(guī)則。要先通過學術研究成果的形式，把現(xiàn)實中已經(jīng)形成的體現(xiàn)網(wǎng)絡主權平等的規(guī)則歸納出來，把應有的網(wǎng)絡空間規(guī)則建立起來，爭取達成國際共識，并最終獲得國際承認。

3. 借鑒《信息安全國際行為準則》中各國政府與各利益攸關方充分合作，引導社會各方面理解他們在信息安全方面的作用和責任，包括私營部門和民間社會，促進創(chuàng)建信息安全文化及保護關鍵信息基礎設施。讓政府主動引導社會積極因素參與網(wǎng)絡安全相關工作。

4. 積極參與網(wǎng)絡空間國際學術會議，積極宣傳我國的規(guī)則經(jīng)驗，提高網(wǎng)絡空間規(guī)則制定的國際話語權?！端质謨? 2.0》的制定過程，已經(jīng)有我國的一位學術代表獲邀參與，這是一個很好的先例。未來我國如有更多學者參與，提出我們的主張和意見，宣傳不同于西方意識形態(tài)的主張，將更有利于規(guī)避國際共識中不利于我國觀點的形成。

5. 在數(shù)據(jù)跨境傳輸保護方面，既要維護國家數(shù)據(jù)主權，又要逐步促進商貿(mào)普通數(shù)據(jù)的合法跨境流動;既要考慮數(shù)據(jù)輸出國的因素，也要考慮數(shù)據(jù)輸入國的因素，以及數(shù)據(jù)相關主體自身的因素。[基金項目：國家社會科學基金項目資助(18BGJ071)]

本文刊登于《中國信息安全》雜志2021年第1期  作者：北京科技大學計算機與通信工程學院 陳紅松 王輝 太極計算機股份有限公司 黃海峰

來源：中國信息安全