全文共計約7000字，細讀時間約20分鐘

文| 王漪清?信通院互聯網法律研究中心助理研究員

2022年3月15日，美國總統拜登正式簽署了《2022年關鍵基礎設施網絡事件報告法》（Cyber Incident Reporting for Critical Infrastructure Act of 2022，以下簡稱“《網絡事件報告法》”或“該法”）。[1]該法增加了關鍵基礎設施實體在遭遇網絡事件和因勒索軟件攻擊而支付贖金時的兩項強制性報告義務。該法的出臺既是美國自1996年以來對全面加強關鍵基礎設施安全保護工作的進一步推進，也是俄烏沖突下美國為應對網絡安全態勢現代化需求的新布局。[2]

在此之前，我國于2021年9月正式施行的《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）也規定了六種情形下的報告義務。本文擬探析中美關鍵信息基礎設施安全保護中的“報告制度”。

目 錄

一、美國《網絡事件報告法》中的報告制度

（一）網絡事件報告的主體

（二）網絡事件報告類型及其要求

（三）未遵守報告規定的后果

（四）網絡事件報告的共享

（五）《網絡事件報告法》的完善與未來實施計劃

二、我國《關鍵信息基礎設施安全保護條例》中的報告制度

三、中美關鍵信息基礎設施安全保護中的“報告制度”對比

附：美國二十六年來關鍵基礎設施保護政策與法律制度演進

一、美國《網絡事件報告法》規定的報告制度

該法共7條，分別規定了法律名稱、術語定義、網絡事件報告制度、聯邦之間的網絡事件報告共享制度、勒索軟件漏洞警告試點項目、勒索軟件威脅緩解活動(Ransomware Threat Mitigation Activities)和提交國會的報告等內容，核心條款為“網絡事件報告”制度。

（一）網絡事件報告的主體

《網絡事件報告法》目前僅將“受管轄實體”籠統規定為第21號總統令（Presidential Policy Directive 21）中定義的“關鍵基礎設施行業”的實體，具體定義將由美國國土安全部（DHS）網絡安全和基礎設施安全局（CISA）出臺細則予以明確。第21號總統令明確劃定了16大關鍵基礎設施行業，包括：化工行業、商業設施行業、通訊行業、關鍵制造行業、水壩行業、國防工業基礎行業、緊急服務行業、能源行業、金融服務行業、食品和農業行業、政府設施行業、醫療保健和公共衛生行業、信息技術行業、核反應堆、材料和廢物行業、交通系統行業、供水和廢水系統行業。

（二）網絡事件報告類型及其要求

《網絡事件報告法》明確規定只有“重大網絡事件”（Substantial Cyber Incident）需要報告，并將其界定為可能會對美國的國家安全利益、外交關系、經濟，或對公眾信任、公民自由、公眾健康和安全造成明顯損害的單個或一系列網絡事件。CISA將就“重大網絡事件”具體類型出臺細則。

《網絡事件報告法》規定的特定報告類型主要有三種：網絡事件報告、勒索贖金支付報告及二者的補充報告。網絡事件報告，是指管轄實體應在不遲于其有理由相信網絡事件發生后的72小時內向CISA所作出的報告。在該72小時之內，CISA主任不得要求該實體提供報告。報告內容將包括對網絡事件的具體描述、已實施的安全防御措施、網絡事件相關負責人的身份或聯系方式、受影響實體的名稱和其他信息等。勒索贖金支付報告，是指管轄實體在遭受勒索軟件攻擊而支付贖金后24小時內，應向CISA提交有關勒索軟件付款事件的報告。即使該勒索軟件攻擊不屬于本法管轄的網絡事件，該實體也應履行報告義務。報告內容將包括對勒索軟件攻擊的描述、實施勒索軟件攻擊的策略和技術、贖金支付的日期和要求、贖金金額等。二者的補充報告，是指若有重要的新的或不同的信息可以提供，或者管轄實體依本法提供網絡事件報告后發生勒索贖金支付，該實體應及時向CISA提交更新或補充報告，直到該實體通知CISA該網絡事件已結束并得到充分緩解或解決。需要注意的是，依本法提交網絡事件報告、勒索贖金支付報告及其補充報告的相關實體應履行數據留存義務。

此外，一般實體可以自愿報告本法未要求報告的網絡事件或勒索贖金支付；管轄實體還可以自愿在網絡事件報告、勒索贖金支付報告和補充報告中列入本法未要求報告的信息。

（三）未遵守報告規定的后果

CISA主任可以采取要求提供信息、發出傳票、提交司法部長以提起民事訴訟（Civil Action）[3]等措施。

1、要求提供信息：CISA主任可以直接要求管轄實體提供有關網絡事件或勒索贖金支付的信息。

2、發出傳票：在CISA主任要求提供信息之日起的72小時內，若CISA主任沒有收到回應或收到的回應不充分，CISA主任可以要求向該實體發出傳票，以收集CISA主任認為判斷網絡事件或勒索贖金支付是否發生的必要信息。

3、民事訴訟：若該實體不遵守傳票要求，CISA主任可將該案提交司法部長（Attorney General），在美國地方法院提起民事訴訟以執行該傳票。

4、藐視法庭罪：法院可將不遵守傳票的行為裁定為藐視法庭罪，予以處罰。

（四）網絡事件報告的共享

網絡事件報告的共享既包括CISA與關鍵基礎設施實體之間的共享，也包括聯邦機構之間的共享。

一方面，CISA在收到網絡事件報告或勒索贖金支付報告后，應迅速采取行動、并向相關管轄實體秘密分享網絡威脅因素，并確保報告中所涉信息的隱私和公民自由保護、數字安全。

另一方面，因網絡安全等特殊目的，依據本法提供給CISA的信息可以依照聯邦法律的其他適用規定，向任何聯邦機構或部門、組成部門、官員等披露、保留和使用。任何聯邦機構在收到網絡事件報告（包括勒索軟件攻擊）的24小時內，應盡快將該報告提供給CISA。CISA主任應該依據《2002年國土安全法》分享和協調每份報告，并應確保信息安全和隱私保護。

（五）《網絡事件報告法》的完善與未來實施計劃

1、最終規則的制定

《網絡事件報告法》要求，CISA主任應與司法部等其他相關聯邦機構協商，在該法通過后的24個月內發布制定擬議規則的通知（Notice of Proposed Rulemaking）；并在發布制定擬議規則通知后的18個月內發布最終規則。最終規定將明確管轄實體的具體類型、網絡事件的具體類型、網絡事件報告和勒索贖金支付報告的具體內容、相關程序事項等。此外，CISA主任還有權發布法規修訂最終規則。

2、未來實施計劃

勒索軟件漏洞警告試點項目：在《網絡事件報告法》頒布后一年內，CISA主任應該設立一個勒索軟件漏洞警告試點項目。該項目將利用現有機構和技術開發相關程序，以專門用于識別存在安全漏洞的信息系統，并通知該信息系統的所有者。該試點項目應在該法頒布之日起4年后終止。

勒索軟件威脅緩解活動：在《網絡事件報告法》頒布之日起180日內，CISA主任應與國家網絡局長、司法部長和聯邦調查局局長協商，建立并主持勒索軟件聯合工作隊（Joint Ransomware Task Force），以協調正在進行的打擊勒索軟件攻擊的全國運動，并確定和尋求國際合作的機會。

二、我國《關鍵信息基礎設施安全保護條例》中的報告制度

2016年頒布的《網絡安全法》以專節的方式規定了“關鍵信息基礎設施的運行安全”。2021年《條例》的頒布與施行，標志著我國網絡安全保護進入了以關鍵信息基礎設施安全保護為重點的新階段。《條例》共11次提及“報告”義務，主要涉及六種情形：（1）關鍵信息基礎設施認定；（2）運營者責任義務；（3）年度網絡安全檢測和風險評估：（4）發生重大網絡安全事件或者發現重大網絡安全威脅；（5）運營者發生合并、分立、解散等情況；（6）對基礎電信網絡實施漏洞探測、滲透性測試等活動。

三、中美關鍵信息基礎設施安全保護中的“報告制度”對比

1996年，美國克林頓政府頒布第13010號行政令《關鍵基礎設施保護》，最早提出“關鍵基礎設施”的概念，揭開了美國關鍵基礎設施保護的序幕。此后，“關鍵基礎設施”的概念被各國普遍采納，雖表述略有不同，但其核心都事關國家安全和公共安全，例如歐盟使用的是“基本服務運營者（Operator of Essential Services）”，[4]我國則使用“關鍵信息基礎設施”。美國《網絡事件報告法》與我國《條例》中的“報告制度”既有相似的制度，也有不同的情形：

一是在報告主體上，中美存在相似之處。根據《條例》，關鍵信息基礎設施運營者是主要的報告主體；但在發生特別重大網絡安全事件或者發現特別重大網絡安全威脅時，關鍵信息基礎設施涉及的重要行業和領域的主管部門、監督管理部門也成為報告主體，負有及時向國家網信部門、國務院公安部門報告的義務。美國《網絡事件報告法》中主要的報告主體也是關鍵基礎設施行業的實體，同時為CISA、國土安全部等政府機構設定了向國會報告的義務。

二是在報告情形上，中美均尚未明確“重大網絡事件”/“重大網絡安全事件”的具體類型。《條例》規定了六大情形，其中包括發生“重大網絡安全事件或者發現重大網絡安全威脅”，但“重大網絡安全事件”“重大網絡安全威脅”的具體類型尚未明確。此外，以“列舉+兜底”的方式定義了“特別重大網絡安全事件或者發現特別重大網絡安全威脅”，列舉內容為“發生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等”。美國《網絡事件報告法》也尚未明確“重大網絡事件”的具體類型，但對“重大網絡事件”進行了特征定義并提供示例，并規定由CISA對具體類型的明確描述出臺細則。

三是在報告對象上，我國的報告對象較美國的更為多元化。《條例》中規定的報告對象包括：關鍵信息基礎設施涉及的重要行業和領域的主管部門、監督管理部門；公安機關；國家網信部門、國務院公安部門；國務院電信主管部門。美國《網絡事件報告法》中規定的報告對象為“網絡安全和基礎設施安全局(CISA)”和國會。

四是在報告方式上，美國《網絡事件報告法》對于報告時限、方式予以更為明確的規定。《條例》規定的報告方式包括事前、事中、事后報告，且未限制報告時限。美國《網絡事件報告法》則主要規定了事后報告，且明確了報告時限“有理由相信網絡事件發生后的72小時內”“支付贖金后24小時內”；并要求CISA出臺最終規則進一步明確網絡事件報告的方式、時間、格式、生效日期。

五是在罰則上，中美均涉及行政責任。《條例》規定了多種類型的法律責任，包括責令改正、給予警告、罰款、沒收違法所得、拘留以及職業禁止，主要為行政責任。美國《網絡事件報告法》則規定CISA主任可以采取要求提供信息、發出傳票、提交司法部長以提起民事訴訟等措施。

總體來看，《網絡事件報告法》有利于強化美國政府對關鍵基礎設施行業網絡事件的信息掌握，從而提高美國網絡和關鍵基礎設施的安全性和恢復力。未來24個月內，CISA將會發布擬議規則制定的通知，但由于當前全球惡意網絡活動不斷增加、俄烏沖突持續，發布擬議規則制定通知的時間可能會提前。我國《條例》也處于實施的初始階段，關于“報告制度”的相關細則也有待進一步完善，可以繼續關注美國對于“報告制度”的制度構建。

附：美國二十六年來關鍵基礎設施保護政策與法律制度演進

美國網絡安全立法的核心就在于關鍵基礎設施保護，其政策和法律制度逐步推進，已歷經近二十六年的演進過程。此次俄烏危機中關鍵基礎設施成為網絡攻擊重點，加速了美國在國際新形勢下對于關鍵基礎設施安全保護的新布局。以下是對美國關鍵基礎設施保護政策與法律制度演進的梳理：[5]

1996年克林頓簽署13010號行政令《關鍵基礎設施保護》，組建了“關鍵基礎設施保護委員會”，規定了8個關鍵基礎設施行業 1997年“關鍵基礎設施保護委員會”發布了《美國基礎設施保護》報告，明確了聯邦政府的關鍵基礎設施領導地位 1998年克林頓簽署63號總統令《關鍵基礎設施保護》，開啟了關鍵基礎設施保護組織架構的建設 2001年小布什簽署了13231號行政令《信息時代的關鍵基礎設施保護》，強調信息時代關鍵基礎設施的信息系統安全保護 2002年美國公布的《國土安全國家戰略》詳細列明了13個關鍵基礎設施行業 2003年美國發布國土安全第7號總統令《關鍵基礎設施識別、優先排序和保護》，厘定了17個關鍵基礎設施行業 2008年美國國土安全部正式確定關鍵制造業為第18個關鍵基礎設施行業 2006-2009年、2013年持續發布《國家基礎設施保護計劃》報告，為各級政府機構和私營部門如何管理國家關鍵基礎設施提供實施框架 2013年美國發布第21號總統令《關鍵基礎設施安全和恢復力》，取代2003年發布的7號總統令。美國關鍵基礎設施保護范圍最終確定16個行業并得以固化[6] 2013年美國發布第13636號行政令《提升關鍵基礎設施網絡安全》，關鍵基礎設施保護的網絡安全時代到來 2015年美國發布《網絡安全法》 2016年奧巴馬政府發布《網絡安全國家行動計劃》，明確指出要增強關鍵基礎設施的安全性和抗打擊能力 2017年特朗普簽署行政令《增強聯邦政府與關鍵基礎設施網絡安全》，加強關鍵基礎設施網絡安全保護 2018年美國國家標準技術研究院（NIST）發布新的《關鍵基礎設施網絡安全改進框架》V1.1版本 2018年美國發布《網絡安全和基礎設施安全局法案》，成立“網絡安全和基礎設施安全局” 2020年網絡安全和基礎設施安全局頒布了強制命令《實施漏洞披露政策》 2021年眾議院通過《美國網絡安全和基礎設施安全局網絡演習法案》《網絡安全漏洞修補法案》《2021年工業控制系統能力增強法案》《州和地方網絡安全改善法案》等 2021年美國發布《國家安全備忘錄：改進關鍵基礎設施控制系統網絡安全》，推動聯邦政府和關鍵基礎設施之間的跨部門合作，以改善關鍵基礎設施網絡安全[7] 2021年網絡安全和基礎設施安全局陸續發布《保護5G云基礎設施安全指南》 2022年拜登總統正式簽署并通過了《2022年關鍵基礎設施網絡事件報告法》

[1]https://www.congress.gov/bill/117th-congress/house-bill/2471/text

[2] 《俄烏沖突下，美國對“關基”的未雨綢繆》，2022年4月6日，

https://inf.news/zh-cn/world/ee48686d6a6b61d772a81db8b1ad4f57.html

[3] 美國的民事訴訟 （Civil action）與我國的民事訴訟存在一定差異。根據康內爾法學院的解釋，美國的Civil action是指一種非刑事訴訟（noncriminal lawsuit），以控訴開始，通常涉及私人當事人。典型的民事訴訟原因包括合同違約，毆打，誹謗以及違反聯邦法令和憲法權利。

https://www.law.cornell.edu/wex/civil_action

[4] 劉金瑞：《我國網絡關鍵基礎設施立法的基本思路和制度建構》，《環球法律評論》2016年第5期，第118頁。

[5] 孔 勇，范佳雪：《美國二十五年來關鍵基礎設施保護政策演進研究》，2022年第1期，第35-38頁。

[6]https://fedvte.usalearning.gov/publiccourses/critical101/0090.htm

[7]https://www.secrss.com/articles/35118?msclkid=43f201ddb65511ec9a1a8f7d7688df9d