金思宇 / 文

【摘要】新修订的《中华人民共和国反间谍法》首次将“关键信息基础设施”纳入核心保护范畴,以精准的法律界定、系统的制度构建与刚性的责任落实,确立了其在反间谍工作与国家安全体系中的战略地位。这一立法突破不仅是应对网络空间安全挑战的法治回应,更是以法治思维统筹发展与安全、捍卫网络空间主权的战略部署。本文从法律文本、制度设计、战略价值三个维度,深度解析新法对关键信息基础设施的界定逻辑、制度内涵及其对构建网络空间命运共同体的时代意义。

一、法律文本的精准界定与体系协同

新《反间谍法》对关键信息基础设施的界定,体现了“定义精准、认定科学、责任明晰”的立法思路,并与其他法律法规形成严密协同,共同构筑起关键信息基础设施保护的法治屏障。

(一)定义内涵:双重标准下的精准识别

新法第四条将“针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动”明确界定为间谍行为。对于关键信息基础设施的具体内涵,新法援引《关键信息基础设施安全保护条例》第二条的法定定义,即指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统”。这一定义以“行业重要性”与“危害后果严重性”为双重判定标准,既突出了重点行业的基础性地位,又通过后果导向的弹性条款,确保覆盖范围的全面性与动态适应性。

(二)认定机制:行业主导与国安协同

新法通过法律授权明确了“保护工作部门”的职责,构建起“行业评估—风险分析—程序认定—动态调整”的闭环认定机制。各行业主管部门依据法定标准和本行业特点,具体负责本领域关键信息基础设施的识别与认定工作,形成名录后同步通报国家安全机关。这一机制既尊重了行业监管的专业性,又实现了国家安全机关的战略统筹,形成了“行业主管+国安协同”的认定体系,确保认定工作的科学性与权威性。

(三)责任链条:三层体系的法律衔接

新法第四十一条明确规定关键信息基础设施运营者需履行“反间谍安全防范义务”,配合国家安全机关开展调查处置。同时,通过法律衔接条款,将《网络安全法》第三十一条规定的“年度检测评估”“数据本地化存储”等核心义务纳入运营者的法定责任范畴。由此,新法构建起“法律义务—行政责任—刑事责任”的三层责任体系,实现了从一般性合规要求到反间谍特别义务的制度跃升。

二、制度设计:全周期防护与动态治理

新法框架下的关键信息基础设施保护,呈现出“事前预防、事中监测、事后处置”的全周期治理特征,体现了从静态合规到动态防御、从单点防护到系统治理的制度演进。

(一)风险前置:全周期防护体系的确立

依据《关键信息基础设施安全保护条例》确立的“安全规划—技术防护—监测预警—应急处置”四阶段防护体系,运营者须建立“专岗专责、专人专管”的安全管理机制,并强制实施“安全检测评估—漏洞整改—威胁情报共享”的闭环流程。这种风险前置的制度设计,将安全能力嵌入设施规划、建设、运营的全生命周期,实现了防护关口的前移。

(二)技术赋能:主动防御与动态监管的结合

国家安全机关协同电信、网信等部门,通过“网络安全技术检测+数据跨境流动监测+渗透测试审批”等手段,对关键信息基础设施实施主动防御与动态监管。特别是针对境外网络间谍行为,新法授权执法机关可采取“技术反制、数据溯源、跨境执法合作”等新型手段,实现了技术能力与法律授权的有机结合,提升了反间谍工作的实战效能。

(三)协同治理:多元共治模式的构建

新法推动构建“国家统筹—行业主管—企业主责—社会参与”的多元共治模式。其中,反间谍工作协调机制要求国家安全机关与行业监管部门建立“信息共享平台—联合演练机制—重大风险会商制度”,确保防护策略的协同性和实效性。这种制度安排打破了部门壁垒,形成了政府监管、企业主责、社会监督的治理合力。

三、战略价值:网络主权捍卫与国家安全基石

新法对关键信息基础设施的特别保护,承载着三重战略意义,既是法律制度的完善,更是国家安全战略的重要落子。

(一)网络空间主权的安全锚点

在网络攻击无国界的数字时代,关键信息基础设施已成为境外间谍势力实施网络窃密、破坏活动的主要目标。新法的界定实质是将此类设施确立为“网络空间主权的关键疆域”,通过法律武器捍卫其免受境外势力的非法侵入与干扰。这一制度安排宣示了我国对境内关键信息基础设施的管辖权与保护权,是网络空间主权原则在反间谍领域的具象化表达。

(二)国家安全体系的压舱石

关键信息基础设施覆盖能源、交通、金融等“国之命脉”领域,其安全性直接关系社会稳定与经济安全。新法通过“间谍行为入刑+技术防护强制+责任刚性约束”的制度设计,筑牢了国家安全体系的最后一道防线。特别是在大国博弈加剧、地缘冲突升温的背景下,这一制度安排为国家核心利益提供了坚实的法治保障。

(三)国际规则的中国方案

相较于美国《关键基础设施保护计划》的“防御优先”模式,我国通过新法构建了“安全与发展并重、防御与反制结合、国内法与国际法衔接”的保护体系。这一体系既注重防护能力的提升,又强调对网络间谍行为的法律反制,为全球关键信息基础设施安全治理贡献了更具攻防平衡特征的法治范式,体现了中国在全球数字治理领域的制度智慧。

四、实践挑战与前瞻:法治与创新的动态平衡

尽管新法制度设计已较为完善,但在快速演变的网络安全形势下,关键信息基础设施保护仍面临诸多实践挑战,需要在法治框架下持续探索创新。

(一)技术迭代与法律跟进

面对AI驱动的“高级持续性威胁”(APT)攻击、量子计算对加密体系的冲击等新型挑战,需通过立法推动“量子加密、可信计算、零信任架构”等前沿技术的强制应用与标准制定。同时,应建立技术快速迭代背景下的法律动态调整机制,避免技术发展与法律规范的脱节。

(二)跨境执法与司法协作

针对跨国网络间谍行为,应依托双边司法协助条约和多边安全协议,推动建立“证据互认—执法联动—引渡追责”的跨境协作机制。特别是在数据主权冲突、法律适用分歧等复杂情境下,需探索国际规则的话语权建设,提升我国在全球网络治理中的制度性影响力。

(三)安全与发展的动态平衡

关键信息基础设施保护需避免“过度防护”抑制数字经济发展活力。应探索“安全沙盒测试—分级分类保护—创新容错机制”等制度创新,在确保安全底线的前提下,为新技术、新业态、新模式预留发展空间。同时,应建立保护措施的“比例原则”,确保防护强度与风险等级相匹配,实现安全与发展的良性互动。

结语

新《反间谍法》对关键信息基础设施的界定,既是法律条款的完善,更是国家安全战略的重要落子。通过法治化、系统化、协同化的制度构建,我国正以“技术防护为盾、法律规制为剑、协同治理为网”的立体架构,筑牢网络空间的安全长城。面向未来,关键信息基础设施保护需持续秉持“以法治为根基、以创新为动力、以协同为路径”的发展理念,在维护国家安全的同时,为数字经济的高质量发展保驾护航,为构建网络空间命运共同体贡献中国智慧与中国方案。

(作者金思宇系中国智库高级研究员。本文根据最新法律法规撰写,具体条款以官方发布文本为准。)