转引自章志远：《行政行为效力论》，同上注，第60-61页。

而合宪性审查正是进行宪法监督的法定途径和制度安排，其合理建构和有效推进无疑有助于补齐和加强宪法监督的制度短板，使宪法监督有了规范化的运行机制和实践形态，使宪法实施有了法律化的程序装置和制度依托，有助于强化宪法在依法治国战略格局中的突出地位，从而有助于把宪法实施提高到一个新水平。但从技术角度而言，在合宪性审查制度起步阶段，不必在对法律能否进行审查、如何进行审查的问题上大做文章，只要首先能对行政法规以下的规范性文件进行切实有效的审查就已经是值得欣慰的重大进步了。

对于合法性审查范围内的问题，没必要特别拔高为合宪性审查。而宪法实施的内生性动力则在于公民践行宪法理念、参与行宪实践的努力与行动，在于民众内心对宪法的真诚信仰和拥护。目前我国已经形成了党委、人大、政府、军队各系统分工负责、相互衔接的规范性文件备案审查制度体系。[7]2015年修改后的《立法法》赋予所有设区的市地方立法权，从而使地方立法主体在原有31个省、自治区、直辖市和49个较大的市基础上，扩展到了273个市、自治州。例如，十二届全国人大常委会办公厅共接收报送备案的规范性文件4778件，而法工委只对报送备案的60件行政法规、128件司法解释逐件主动进行了审查研究。

2017年12月24日，十二届全国人大常委会第31次会议审议了法工委《关于十二届全国人大以来暨2017年备案审查工作情况的报告》。至于有权提出审查建议的其他国家机关，基本上都属于较低层级的法律适用机关，其职责在于严格依法办事，发现和探究立法本身是否存在疏漏并非其职责所系。为实现网络安全的政府规制目标，需要更新与重组旧有的监管机构，以适应现代社会对于网络安全的全新需求。

在网络安全法研究起草期间，有学者在总结国际立法经验的基础上指出，立法的核心任务是使关键信息基础设施的所有者或者运营者承担相应的社会责任和法律义务，通过组织保障、风险预警、公私伙伴关系等全方位措施，形成多元主体共同参与安全治理的格局。欧盟指令还对完成的时间和频率作了规定。关键信息基础设施保护的治理对象需要系统分类指定和审慎动态调整。主要国家往往通过合规遵从或安全保障等方式确立供应链审查制度。

当然，更重要的是，不是授权一个中心规制者来监控互联网免受恶意代码的攻入，而是建立一个分布式的监测网络以搜集和分析关于网络威胁的信息。政府对攻击能力强的网络犯罪者、外国机构等侵入者及相关防卫技术更为熟悉。

[63]另有研究者主张建立一支成建制的、体系化的、覆盖全国范围的队伍，统一监管关键信息基础设施保护，因为这样可以避免因多头管理、重复工作、职责分工不明而给运营者带来的极大困惑。关键信息基础设施也是工业化、城市型社会正常运转的根本所在，任何现代国家都不能承受其运营中断的后果。[98]澳大利亚也规定关键基础设施应当具有恢复力，即在中断、紧急和灾难时有能力提供最低水平的服务，并快速恢复至全面运营的灵活而及时的能力。[85]参见张敏：《我国关键基础设施保护立法定位与内容的思考》，《信息安全研究》2015年第2期。

运输部门非常重要，但不是每一座桥梁对整个国家而言都是关键的，因此要聚焦于最高优先级的事务，在预算上重点保障保护关键基础设施所需资源。关键信息基础设施的指定应当相当审慎，既不能过于宽泛，导致有限的资源无法被充分高效地应用。关键信息基础设施保护的行政任务与此前常规的行政任务形态有着较大差异，其对行政的组织形式提出了挑战。[13]参见马民虎：《网络安全：法律的困惑与对策》，《中国人民公安大学学报(社会科学版)》2007年第1期，第57页以下。

2015年2月6日，美国发布国家安全战略报告，强调要增强关键基础设施的恢复力。[93]详细讨论，参见马民虎、马宁：《〈网络安全法〉与国家网络安全审查制度的塑造》，《中国信息安全》2016年第6期，第31页以下。

[97]欧盟则将获得网络的恢复力作为首要战略优先事务对待。[93]我国网络安全法第23条规定了网络关键设备和网络安全专用产品的安全认证和检测制度，同时规定应避免重复认证、检测。

[13]这些研究成果为关键信息基础设施的保护提供了制度框架，确立了研究基础。政府可能缺乏对特定资产的精细化理解，而这对于确定适当的保护级别或者安装最为牢靠且成本最低的防护是必需的。传统上针对国家的防御还不足以完全保障个人自由，对于可能会遭受有实力的社会团体和社会势力的侵害者，国家必须承担保护的义务。公民的基本权利体系得以融入新的内容，即获得关键信息基础设施安全运行所带来的福祉，从而实现积极的自由和权利。[58] 德国信息技术安全法（2015）规定，联邦信息安全局被联邦政府指定为国家信息安全主管部门。部门化有助于提供专业化的管理与服务，但是也容易带来分割和壁垒。

六、关键信息基础设施风险合作治理的意义和影响 关键信息基础设施保护，是市场机制发挥空间较小、需要引入政府规制的事务。（二）关键信息基础设施的审慎动态调整 对处在网络与信息化不同发展阶段的国家而言，关键信息基础设施的识别和指定有着各自的特点。

攻击可能来自黑客，也可能来自主权国家，因此又很难以矛为盾，通过威慑平衡达致网络安全。文章来源：《法学研究》2018年第6期。

[48]因此，美国关键基础设施的保护范围是逐渐扩大的，但扩大的过程始终受到私主体财产权诉求的制约。如何妥当配置各方主体的权利义务，需要深入研究，也需要实践探索与验证。

[25]在我国，在引发广泛关注的准大学生徐玉玉遭电信诈骗身故案中，高考网上报名信息系统被植入木马病毒，包括徐玉玉在内的大量考生报名信息被窃取（参见《徐玉玉案信息泄露源头公布，嫌疑人攻破报名系统》，《新京报》2016年9月10日）。在关键信息基础设施保护的问题上，也存在着交易成本和搭便车效应。[66]美国很早就认识到，联邦政府只能通过与工业界、州与地方政府的有效合作来完成保卫关键基础设施的任务。结合上述四个特性，或许可将关键信息基础设施界定为：一旦遭到破坏、丧失功能或无法持续安全运营，可能对国家安全、国计民生、公共利益造成广泛影响或严重损害的网络设施和信息系统。

二是通过专门立法设计有效的过程监管制度，最大限度地预防风险的发生。关键信息基础设施比以往任何时候都更容易受到不对称攻击。

[90]National Plan for Information Systems Protection 2000, available at http://fas.org/irp/offdocs/pdd/CIP-plan.pdf，2018年11月16日最后访问。（三）行政任务的时代形态 关键信息基础设施通常被界定为关键基础设施的信息部分和信息基础设施的关键部分。

[75]2013年，美国政府第13636号行政命令《提升关键基础设施网络安全》要求国土安全部部长建立广泛吸纳关键基础设施网络安全相关主体参与保护的程序。一旦发生了侵害网络安全的违法犯罪行为，危害后果就已经形成，事后的惩罚往往于事无补。

[14]参见刘金瑞：《我国网络关键基础设施立法的基本思路和制度建构》，《环球法律评论》2016年第5期，第116页以下。二是分享在最小限度内进行。一旦某个主体在基础层进行安全投入，更多的主体将会选择搭便车，而市场机制向来难以有效解决搭便车的问题。为了促进共享信息，规定了较为全面的使用限制和责任豁免制度：一是信息分享需进行适当的匿名化处理。

[52]《保护条例（征求意见稿）》规定了制定关键信息基础设施识别指南、按程序报送识别结果、在认定中充分发挥有关专家作用等内容，还规定了新建、停运关键信息基础设施或关键信息基础设施发生重大变化时的报告和识别调整制度，但是，总体上还需要在制度上形成审慎动态调整的程序规定。[35]有研究者持类似观点，认为如果关键信息基础设施涵盖商业网络，范围过宽，可能使其关键性大打折扣。

德国学者贝克提出了风险社会的概念。总体而言，关键信息基础设施的法律保护还处于立法初创阶段，法政策研究仍是当前最需着力之处。

Todd A.Brown, Legal Propriety of Protecting Defense Industrial Base Information Infrastructure,64A.F.L.Rev.211,220(2009). [49]美国早在20世纪60年代出现古巴导弹危机期间就认识到了电话系统的重要性，当时肯尼迪总统设立了国家通信系统（NCS），为应急期间关键政府职能提供更好的通信支持。前已述及，在网络空间，代码，就是法律是一种非常有影响力的观点。