巴西关键基础设施安全方面新法规和重要问题

2021-10-28

近期，巴西关于关键基础设施安全方面的立法受到关注。2020年2月5日，巴西总统博索纳罗（Jair Bolsonaro）批准了一项为期四年的《国家网络安全战略》（简称“E-Ciber”），同年12月9日，博索纳罗总统又宣布出台了《国家关键基础设施安全战略》（ENSIC）（第10569号法令）。在美国就巴西是否使用华为5G电信网络设备不断施压的背景情况下，巴西最近加强关键基础设施安全的立法值得关注。未来，巴西将继续采取立法措施，特别是在5G网络、人工智能技术、物联网和大数据方面，需要相关技术和设备供应商关注和遵守。

一、巴西关于关键基础设施安全相关法律框架概述

在巴西，第一个谈及关键基础设施安全的规则是由巴西政府委员会外事和国防商会（Chamber of Foreign Affairs and National Defense of the Government Council，简称“CREDEN”）于2007年在巴西里约热内卢举行的实现泛美运动的背景下提出的。当时，CREDEN建议巴西总统卢拉（Luís Inácio Lula da Silva）就关键基础设施安全问题成立关键基础设施安全技术小组（简称“GTSIC”），旨在实施与关键基础设施安全相关的措施和行动，涵盖能源、运输、水、电信和金融方面（2007年10月24日CREDEN第2号法规）。

在对CREDEN建议的首次回应中，巴西总统机构安全内阁（Cabinet of Institutional Security of the Presidency of the Republic，简称“GSI”）发布了一项规范，首次根据巴西法律定义了“关键基础设施”，其指“如发生中断或破坏，将对社会、经济、政治、国际或国家安全造成严重影响的设施、服务和货物”（GSI条例第2号第2条）。关键基础设施的领域优先包括与能源、运输、水、电信和金融有关的领域——但不是这些领域的任何部分，而只是那些在受到影响后可能产生国家或国际影响的组成部分（第3条）。GSI第2号法令还根据CREDEN的建议创建了技术小组，由其提出具体确定关键基础设施的方法。

巴西总统随后在2008年2月12日确认CREDEN有权批准、促进和监督有关关键基础设施安全的项目和行动的实施（第6371号法令）。2008年12月18日，巴西总统批准了一项《国防战略》（简称“EDN”）（第6703号法令），将关键基础设施安全列为有助于提高国家安全的战略行动。EDN总体上要求采取措施确保关键基础设施领域的安全，特别是能源、交通、水和电信等方面。EDN还批准了GSI在关键基础设施安全方面的协调、评估、监测和采取风险缓释措施方面的权力。

2018年11月22日，巴西总统米歇尔.特梅尔（Michel Temer）先生^[1]推出了一项《关键基础设施安全国家政策》（简称“PNSIC”），目的是确保国家关键基础设施的安全和恢复力，以及相关服务提供的连续性（第9,573号法令）。巴西总统批准了GSI拥有监督联邦公共行政部门关键基础设施事宜的权限，并确定联邦公共行政部门机构的预算规划应考虑关键基础设施安全问题。

PNSIC对关键基础设施提供了更广泛的定义，在先前的定义基础上增加了“系统”，即该“系统”的故障可能造成严重的影响，包括环境性质方面的影响（即“设施、服务、商品和系统，如其全部或部分中断或破坏，将对国家或社会安全造成严重的社会、环境、经济、政治、国际影响或后果”）。

尽管PNSIC扩大了关键基础设施的定义范围，但它鼓励与私营部门和国际实体的合作。执行PNSIC的目的在于：（1）防止与关键基础设施有关的活动最终全部或部分中断，或在发生这些活动时减少由此产生的影响；（2）制定指导方针和法律文件，以保障被认为对国家安全至关重要的关键基础设施；（3）整合有关威胁、安全技术和风险管理的数据；（4）确定该国关键基础设施之间的相互依存关系；（5）以预防为重点，提高对关键基础设施安全的认识；以及（6）确定国防和国家安全利益在保护、维护和扩展关键基础设施方面的普遍存在。

为实现这些目标，PNSIC预计将实施下列法律文件:

《关键基础设施安全国家战略》（简称“ENSIC”），该战略将巩固关键基础设施安全的概念，并确定关键基础设施安全的主要挑战，明确重点和战略目标，以创造最佳条件，使国家能够预测威胁，利用机遇，改善关键基础设施安全。

《关键基础设施安全国家计划》（简称“《国家计划》”），该计划至少将：（1）确定PNSIC的优先领域；（2）规定各州、联邦区、市政府和社会的参与和职责；（3）确定参与方的责任；（4）提供风险管理和相互依存度分析；（5）制定综合数据系统的数据输入要求；（6）确定审查的频率。

《关键基础设施安全集成数据系统》（简称“SIDSIC”），包含国家领土内关键基础设施安全状况的数字记录，包括信息的收集、处理、存储和检索，至少涵盖：（1）关键基础设施的登记；（2）描述选择关键基础设施并确定其优先次序的方法；（3）关键基础设施的风险等级。

二、2020年新法令：《关键基础设施安全国家战略》

2020年12月9日，巴西总统博索纳罗先生宣布了《国家关键基础设施安全战略（ENSIC)》（第10569号法令）。ENSIC确定了四个重点，构成了确定关键基础设施安全活动有效性的主要支柱：

“机构衔接”，即加强直接和间接参与关键基础设施安全的公共和私营部门机构和实体之间的衔接。此外，建立一种能够汇集和指导所有有关各参与方的治理方式，旨在实现各层次的整合。这一点将设想下列战略倡议：（1）建立一个由主管各部门代表组成的负责协调执行PNSIC工作的实体；（2）实施关键基础设施安全治理体系；（3）制定《国家计划》；（4）出台法律将PNSIC确定为国家政策。

“意识和培训”，通过传播关于关键基础设施安全的信息，包括其对国防和国家安全的重要性，以协助发展预防和应对关键基础设施安全问题的相关意识和文化，并对相关的公共和私营部门机构和实体进行培训，以便更好地了解其在该方面的责任和能力。这一点将设想下列战略倡议：（1）将PNSIC同其他国家政策结合起来；（2）促进讨论和提高认识的周期；（3）促进现有的培训行动和对该专题的兴趣；（4）在公共政策中内化关于该问题的披露准则；(5)加强规范框架，以将确定保护和扩大关键基础设施的重要程度高于其他一般利益。

“促进行动”，鼓励采取协调行动，加强关键基础设施安全活动，提供必要的技术或资金资源。这一点将设想下列战略倡议：（1）鼓励联邦、州、区、市和私营部门机构和实体之间的合作；（2）为执行行动提供资源；（3）制定关于基础保护和良好做法的一般准则；（4）在《国家计划》中制定措施，使各部门计划的编制和做法系统化。

“数据和信息控制”，通过对创建的数据和信息的选择、组织和鉴定，以协助促进关键基础设施安全的机构衔接。这一点将设想下列战略行动：（1）根据《国家计划》预先规定的度量标准和周期监测安全措施的演变；（2）建立一个捕获、集成、存储和信息共享的系统。

三、网络安全问题和2020年《国家信息安全政策》的修订

近年来，保护网络空间安全与国家主权观念直接相关的观点日益成为全球趋势。在中国，颠覆性创新技术得到快速引入，例如就公共安全、城市管理和规划目的而使用物联网和大数据的智慧城市，自动交通的人工智能，基于区块链技术的数字货币，无不都得到了强大的5G网络的推动。2021年8月17日，中国政府发布了《关键信息基础设施安全保护条例》（以下简称《CII条例》），自2021年9月1日起实施。根据《CII条例》^[2]，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

在巴西，政府逐步采取行动保障其网络空间的安全。巴西GSI有权力和义务执行《国家信息安全政策》（简称“PNSI”）。为了基于PNSI的国家信息安全政策协调联邦政府的监管和执行活动，GSI在2006年创建了一个信息安全部门（简称“DSI”）。《国家信息安全政策》目前由2018年12月26日第9637号法令规范。

自2005年以来，巴西《国防政策》（第5484号法令）已经将改进安全设备和程序以减少国防相关系统对网络攻击的脆弱性作为战略方针进行了考虑。自2008年以来，针对网络和航空领域依赖外国技术的担忧一直是巴西法律框架的一部分。正如《国防战略》（EDN）（第6,703号法令）中所提到的，该规范将关键基础设施安全列为有助于增强国家安全的战略行动。

为进一步规范此事，巴西总统于2020年2月5日批准了一项为期四年的《国家网络安全战略》（简称“E-Ciber”），适用于2020年至2023年期间的联邦政府(第10222号法令)。在《国家信息安全政策》的框架下，E-Ciber旨在协调和指导公众行动，使网络空间的使用更具弹性和安全性。为此，E-Ciber制定了十项战略行动：（1）加强网络治理行动；（2）建立国家一级的集中治理标准；（3）促进公共部门、私营部门和社会之间的参与、协作、可靠和安全的环境；（4）提高政府的保护水平；（5）提高对国家关键基础设施的保护水平；（6）完善网络安全法律框架；（7）鼓励设计创新的网络安全解决方案；（8）扩大巴西在网络安全方面的国际合作；（9）扩大公共部门、私营部门、学术界和社会在网络安全方面的伙伴关系；（10）提高社会在网络安全方面的成熟度。

巴西国家电信管理局（ANATEL）于2020年12月21日批准了一项新的适用于电信部门的网络安全法规（第740号法规）。该新法规规定了参与方向ANATEL共享和发送信息的义务，并建立了一个技术小组来监督ANATEL管辖范围内网络安全政策的实施和关键基础设施的管理。

2021年7月16日，巴西总统颁布了第10748号法令，创建了联邦网络事件管理网络（Federal Network for Cyber Incident Management，简称“RFGIC”），由DSI通过政府网络事件预防、处理和响应中心（Government Cyber Incident Prevention, Treatment and Response Center）协调。在实践层面，RFGIC制定了以下目标：（1）传播预防、处理和应对网络事件的措施；（2）分享关于网络威胁和漏洞的警报；（3）披露有关网络攻击的信息；（4）促进RFGIC各参与者之间的合作；（5）提高应对网络事件的速度。

自2019年以来，在巴西围绕关键基础设施安全的公开辩论中，有关引入第五代（5G）移动网络基础设施和技术以及相关安全担忧的讨论一直反复出现。在地缘政治紧张局势加剧的背景下，这些讨论促使人们对巴西为总体数字经济发展应采取的经济和产业战略进行更广泛的反思。

四、结论

巴西和中国不仅是彼此重要的贸易和投资伙伴，还都是金砖国家成员。在关键基础设施安全领域，两国应积极合作，建立能够促成两国共同发展的法律框架。

中国和巴西可以相互学习和分享有关关键基础设施安全政策方面的经验，包括5G网络、人工智能技术、物联网和大数据等。两国之间的合作可包括采取具体行动确定两国之间合作的协同效应及其差异，以法规的形式明确关键信息基础设施保护的相关内涵和标准、监管机构和经营者的责任和义务，确保在国家战略和政策中充分实施对关键信息基础设施的保护，明确相关机构和参与方职责、激励机制、具体经营行为处罚和监督机制。

参考文献：

[1]据报道，2021年1月，华为雇佣了巴西前总统Michel Temer先生，为今年的5G拍卖做准备。来源于报道：“为5G拍卖做准备 华为雇佣巴西前总统Michel Temer”，载于cnBeta.COM。

[2]请参见2021年9月1日生效的《关键信息基础设施安全保护条例》。

本文作者：