文 | 山东科技大学数字法治研究院研究员 赵丽莉;山东科技大学知识产权学院 徐冉
量子计算技术的突破性发展正在动摇经典密码体系的安全根基,严重威胁承载国家安全和公共利益的关键信息基础设施(CII)安全。向后量子密码(PQC)迁移是实现CII对量子攻击主动免疫、筑牢国家安全压舱石的关键着力点。然而,PQC迁移全流程在技术选型、系统兼容等方面面临多重安全风险,而现行法律规制存在主体权责不明晰等困境。本文系统梳理CIIPQC迁移全流程安全风险,剖析责任规制困境成因,并从责任清单、归责规则与机制框架等维度提出责任规制方案,以期为CII量子安全防护提供法治支撑。
一、CII PQC迁移安全风险与挑战
PQC迁移的核心是公钥密码算法的安全替换,涉及多重风险挑战。根据渐进式迁移流程,CIIPQC码迁移工作主要包含技术选型、系统改造、运维升级等环节,可分为迁移前、迁移中、迁移后三个阶段。精准识别每个迁移阶段CII面临的风险挑战,有助于后续制定科学的迁移策略,推动PQC技术与CII深度融合,筑牢CII高质量发展的安全基石。
(一)迁移前:风险评估缺失与技术选型不当风险
CII与能源、公共管理、电子通信等领域相关联。不同领域的数据生命周期差异明显,如石油和天然气行业依赖的运营技术(OT)系统具有长期运行与低维护频率的特点,而金融行业防控风险高度依赖实时数据,需要始终走在密钥管理技术应用前沿。加密要求往往由特定行业的安全需求决定。缺乏针对不同行业的精准风险评估,就会导致迁移方案脱离实际需求。由于量子威胁发生时间的不确定性,部分CII运营者对量子计算攻击威胁的紧迫性认知不足,未将量子风险纳入整体安全战略。同时,CII保护需依托有效工具识别实体,若缺少对密码保障系统期间的持续性、常态化、动态监控,将难以实现全天候、全方位的风险评估,直接威胁CII安全生产和稳定运行。
近年来,美国国家标准与技术研究院(NIST)公布了一系列PQC标准,我国也自主研发了一些PQC算法。各国技术路线各有其优缺点,适用于不同的应用场景。在选择PQC算法时,应当综合考虑安全性、应用需求等因素。若CII运营者未紧密结合业务场景与需求,未充分考量技术特性与算法性能及适用范围,盲目跟风选择国际算法,则可能面临算法与现有系统硬件不兼容、技术支持与维护困难等问题。反之,盲目选择尚未成熟的自主算法,则可能会因技术稳定性不足引发关键数据泄露等风险。
(二)迁移中:系统兼容性冲突与数据泄露风险
PQC迁移是多重迭代渐进式过程。从传统密码算法向PQC算法迁移,并非简单的算法替换,而是完整的信息安全工程和软件迭代工作,需严谨推进各环节实施。在迁移过程中,由于新旧算法在算法处理逻辑、运算效率等方面存在很大差异,因此,新旧密码算法的迭代在接口适配等环节难免会出现兼容性冲突。这种兼容性冲突会直接冲击CII安全,加之 CII的关联性特征,甚至会引发公共安全风险。
在迁移过程中,PQC算法会逐步替换传统加密算法。在过渡阶段,难免会出现采用新旧算法并行混合方案的情况。如果缺乏有效的防护措施,敏感数据可能被非法截取,甚至可能危及公共利益与国家安全。
(三)迁移后:运维漏洞与技术迭代适配风险
对CII安全风险的识别高度依赖CII运营者IT运维部门人员的工作经验。迁移后的CII系统新增了PQC板块,而这要求运维人员具备扎实的密码学知识。实际上,运维人员掌握的知识往往局限于信息系统安全防护,缺乏风险动态管控思维,对新型算法的密钥管理、漏洞排查、应急响应等能力不足。未来,运维漏洞可能成为迁移后CII系统安全的关键薄弱点。
保护CII安全需注重技术创新与风险管控相结合。即使过渡到PQC算法,仍需随着量子计算攻击模式的更新进行后量子加密技术的迭代升级。同时,密码技术的安全性依赖密码算法的安全性。在PQC迁移之后,若后量子加密技术快速发展,而PQC算法没有同步切换更新,将导致迁移后的CII系统再次陷入安全困境。因此,在迁移之后需注意CII系统应用的PQC算法与加密技术的动态适配问题。
综上,若迁移全流程出现以上安全风险,不仅会直接威胁CII运行安全,也会对现行法律责任规制体系产生现实挑战。迁移安全治理离不开法律的刚性规制,而法律责任规制作为界定主体权责、规范主体行为、防范安全风险核心制度工具,是保障迁移安全的重要支撑。然而,以上各类风险具有 CII场景的特殊性与复杂性,既有责任规制体系难以有效回应以上风险防控需求,也有制度适配性不足催生一系列责任规制困境。
二、CII PQC迁移法律责任规制困境与成因
随着量子威胁的日益紧迫,各国愈加重视对抗量子攻击的研究和部署。欧盟于2015年启动PQC算法项目;美国于2016年启动征集PQC算法项目;我国密码学会于2019年开展密码算法设计竞赛征集算法,逐步开展自主国产密码算法标准化工作。此外,欧盟《网络与信息系统安全指令》(NIS2指令)、美国《量子计算网络安全防范法》(Quantum Computing Cybersecurity Preparedness Act)等明确了关键行业进行PQC迁移的义务与法律责任。我国《中华人民共和国密码法》《中华人民共和国网络安全法》虽然已经明确了保障CII基本安全要求,但CII PQC迁移进程中依然面临主体权责边界模糊、责任条款适用障碍等方面困境。这些困境并非单一因素所致,而是技术复杂性与法律滞后性相交织、标准体系支撑不足等多重因素共同作用的结果。
(一)主体权责界定不明与成因
明晰各方责任主体的权责边界,是进行责任归属与责任合理分配的前提。CII PQC迁移涉及政府监管者、CII运营者等多方主体,而我国现行法律尚未对各方主体权责作出清晰界定。权责清单缺失直接造成各类主体责任边界模糊、归属认定困难。在政府监管层面,美国采用政府引导、企业参与、政企结合的模式保护CII,并形成了以国土安全部(DHS)为主导、社会安全局(SSA)具体负责配合的CII保护组织体系。我国网络安全、数据安全、密码管理等分属于不同部门监管,CII PQC迁移的相关监管职责尚未在现有法律框架下作出细化划分。一旦出现安全事件,可能面临监管部门职责交叉、响应协调不畅等问题。同时,CII监管具有跨部门、跨领域属性,法定监管权责缺位会导致难以构建常态化协同治理格局,影响CII整体安全防护水平。在市场主体层面,CII运营者应承担主体责任,而技术直接决定了迁移的成功性,技术服务商也应承担相应责任。若二者权责规定不明,容易出现责任推诿现象。值得注意的是,受量子安全风险认知不足、迁移投入成本高、实施周期长等因素制约,CII运营者往往缺乏迁移主动性。各方主体权责不明、全国统一性迁移时间规划缺位,使对运营者刚性追责与合规约束缺乏规范依据,进一步弱化了CII运营者主动迁移的内生动力。
究其上述困境制度根源,除权责界定立法供给滞后外,还存在以下两方面原因。一是行政监管协同机制不健全。CII PQC迁移领域尚未建立完备的跨部门监管协同机制,导致各部门职责边界模糊,监管资源未能统筹整合,难以形成有效监管合力。二是市场激励约束机制缺位与配套制度供给不足。一方面,尚未建立财政补贴、行政处罚等激励约束机制,难以对冲运营者迁移成本高、周期长等现实顾虑,难以激发运营者迁移主动性。另一方面,对技术服务商过错追责规则不完善,加剧了其与运营者之间的责任推诿现象。
(二)责任条款适用障碍与成因
我国《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律规范虽然已对CII监管者等的主体责任作出了规定,但责任条款适用于CII PQC迁移这一具体场景时存在适用困境。具体而言,在政府监管层面,现行条款为普适性一般规则,未考量CII PQC迁移分阶段、高风险等特殊属性,难以精准界定监管者过错程度与责任份额,易出现监管失职追责与迁移风险不相匹配的适用困境。对于CII运营者,现行相关立法未考量迁移分阶段特性,无法对运营者在迁移不同环节的违规行为进行精准定性与归责。对于技术服务商,现行法律的义务设定尚局限于传统网络安全语境,主要聚焦其产品安全保障、漏洞处置义务,但迁移涉及算法设计的风险评估、伦理审查、全流程技术支撑等新型义务要求,超出了传统网络安全责任条款的规制范围;如若出现安全问题,依据现有立法将无法追究其法律责任,造成法律责任规制与实践应用需求之间的适配性偏差。
从法理角度看,CII PQC迁移中存在责任条款适用障碍的根源在于事后回应型立法理念与前瞻性规制需求的矛盾。现行网络安全立法围绕“风险—责任”展开,核心立法导向是应对“已发生风险”,属于典型的事后回应型立法。CII PQC迁移的核心是“应对未来量子攻击风险”,属于前瞻性规制。二者之间的矛盾导致现行责任条款与该领域实际需求脱节,无法解决迁移过程中的责任认定与归属问题。
(三)安全标准体系供给不足与成因
安全标准体系供给不足导致责任认定的技术基准悬空。虽然我国PQC算法标准化工作正在金融、能源等行业开展试点,但尚未建立全国性CII PQC迁移的安全标准体系。安全标准是保障CII安全的重要技术要素,识别认定、安全防护等都离不开标准的规范和引领。这是衡量各主体有无过错、履职是否合规的统一标尺。我国尚未根据CII不同类型划分PQC算法安全等级,也没有明确规定在迁移过程中数据保护、密钥管理等具体要求。虽然对CII的保护是国家安全层面的刚性需求,但相关安全标准缺失会导致CII运营者等相关主体缺乏明确的PQC迁移合规指引,造成各方主体责任难以界定。
究其根源,安全标准体系供给不足由多重因素叠加所致。一方面,法律依据碎片化造成标准体系缺乏。现行立法没有明确该领域标准制定权限划分,各部门依据本领域法规主张标准制定,造成缺乏统一的标准体系,使迁移工作缺乏统一的规范指引。另一方面,技术复杂性与法律滞后性相交织。当前,PQC技术需攻克密钥体量大、签名耗时过长等技术“瓶颈”,并需不断进行优化,平衡安全性与计算效率。技术迭代迅速不宜过早固化标准,否则,标准会滞后于技术迭代并可能阻碍技术创新。法律与生俱来的稳定性与滞后性,要求标准出台前要积累足够的实践经验。这导致标准制定与现实需求之间出现时间差,进一步引发安全标准体系的缺位问题。
三、CII PQC迁移责任重构与对策建议
密码技术是CII系统的核心基石与安全之盾,其稳固性直接关系国家安全全局,关乎社会稳定大局。因此,应立足我国基本国情,充分认识我国CII PQC迁移面临的困境,从责任清单法定化、归责规则设计、机制框架构建等维度推进责任重构,为平稳推进CII PQC迁移工作提供有力的制度保障。
(一)三类法律责任清单的构建与法定化
明确CII PQC迁移责任主体和责任内容,须从立法上构筑清晰的法律规范,即可通过构建三类法律责任清单明确政府监管者等主体责任,实现多级联动、协同保护。
政府在迁移中发挥领导或主导作用。由于政府监管涉及诸多部门,执法主体多元化会引发推诿执法和重复执法问题。对此,应当明确不同部门监管职责,建立跨部门监管协调机制。此外,应当明确政策和标准制定义务,及时制定国家或行业层面的PQC迁移政策、指导原则和标准规范;明确监督检查义务,定期对迁移工作开展合规检查,核实是否按时完成迁移要求,对发现的问题及时予以整改。同时,应明确追究监管者失职责任,对未依法履行监管职责的相关部门和人员予以问责。
CII运营者的安全责任贯穿CII安全运营整个生命周期。具体而言,明确风险评估义务,运营者需定期自行或委托专业机构进行风险评估与安全检测;明确技术选型义务,运营者应充分结合自身行业特点和需求,选择适合的算法和技术方案;明确数据安全保护义务,运营者应当对数据进行分类分级管理,根据数据的重要程度采取相应技术措施。总之,运营者需围绕安全保护措施“三同步”、安全审查、风险评估、技术选型、应急演练等工作,落实主体责任。
责任清单还应明确技术服务商的算法安全义务,对其研发的PQC算法予以安全性验证;明确其协助义务,协助运营者进行风险评估并提供算法选型建议;明确其需提供全周期技术支撑义务,如在迁移过程中为运营者提供技术指导,在迁移完成后提供安全监控、应急响应支持。此外,技术服务商出现技术缺陷、方案不当等过错时,应当承担赔偿损失等责任。
(二)迁移过渡期责任归责规则设计
明确归责原则是进行责任认定的前提。在我国二元归责体系中,若无特别规定,应采用过错责任原则。因此,CII PQC迁移原则上也应适用过错责任原则。主观过错是CII运营者、技术服务商等责任主体承担责任的前提,如果行为人主观上不存在过错,就无须承担责任。具体而言,倘若CII运营者存在未进行风险评估等过错,技术服务商存在算法具有重大缺陷等过错,监管者存在未履行监管职责等过错,即需承担相应的责任。
为鼓励技术进步,保持技术探索自由度,应当考虑技术水平的限制,采取相关举措对合理技术风险予以包容,给技术留有发展空间。对此,可以借鉴版权法规定网络服务提供者的责任豁免规则,若CII运营者和技术服务商已履行了合理注意义务或及时采取了必要措施,即使后续因后量子加密技术的固有缺陷或不可预见的技术难题导致安全事件,也可依法减轻或免除责任。
(三)构建有效的机制框架
破解如上责任规制难题,除明确责任清单和归责规则之外,还需构建有效的机制框架,实现刚性制度与柔性治理的有机统一。具体而言,需从调适监管协同机制、筑牢技术标准支撑、创设激励约束机制等维度构建有效的保障机制,为算法的平稳过渡提供坚实支撑。
一是监管协同机制。根据我国相关政策规定,CII监管主体涉及上至国家层面下至行业相关部门等多方。因此,亟待形成统一、协同的跨部门执法合力。应当加强各部门监督协同、计划共商、执法联动,构建“统一领导,分工负责”的监管体系。建立监管信息共享机制,各部门可通过发函、召开会议等方式定期会商,实现各部门之间迁移进展、违法违规行为等信息实时共通和关键数据实时共享,提升解决跨领域重大问题协调能力。此外,建立联合执法机制,开展跨部门联合执法检查,对违法行为依法予以处理。同时,注意加强国际监管合作与交流,借鉴欧盟、美国等监管经验,提升我国CII PQC迁移的监管能力。
二是技术标准支撑。PQC标准化可以为运营者提供明确的技术路线图,减少迁移过渡期的不确定性和风险,还可以降低开发和部署成本。我国应当加快推进CII PQC算法的标准化进程,主动参与国际标准化组织(ISO)、国际互联网工程任务组(IETF)、欧洲电信标准化协会(ETSI)等国际组织的PQC标准制定,提高中国技术方案的国际影响力。在借鉴国际标准的基础上,结合我国实际情况加快制定国内标准。此外,我国在推进PQC算法标准化的过程中,也需加强国际组织之间的合作,推动建立跨国标准化框架。
三是激励约束机制。CII运营者应当意识到,合规成本远低于不合规成本,并尽快着手开展迁移工作,同时,遵循以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防这三项基本原则。对运营者往往缺乏迁移主动性问题,可以分别从激励和约束两个层面构筑相应机制。在激励层面,将迁移完成度纳入绩效考核,对表现好的部门进行绩效奖励;实行税收优惠政策,对实施迁移相关的设备研发、设备采购给予税收减免;设立CII PQC迁移专项基金,对积极实施迁移工作的运营者给予资金奖励。在约束层面,可以制定不同行业迁移计划时间表,对没有按时完成迁移任务的运营者施以警告等行政处罚;建立安全事故终身追责制,若因未及时开展迁移工作致使安全事故发生,可依法追究相关主体的法律责任,并严格限定该制度适用边界:秉持过错责任原则,仅对主观存在故意或重大过失的主体适用终身追责,对技术“瓶颈”、不可抗力等情形予以排除适用;坚持过罚相当原则,避免终身追责恣意适用。
四、结 语
量子计算对CII目前使用的密码技术安全构成重大挑战。PQC迁移已成为后量子时代守护CII安全、筑牢国家安全屏障的必然趋势。然而,技术快速迭代与法律规制滞后的深层矛盾、风险治理前瞻性需求与事后回应型立法的适配偏差、安全标准体系缺位与责任认定基准悬空的现实困境,共同造成CII PQC迁移领域风险防控乏力、权责边界模糊、责任追究失准的治理短板。未来,实现迁移全流程安全可控,可聚焦责任体系动态调适、精准施策、协同共治:根据不同行业CII特点精细化构建责任规则;通过建立迁移风险动态评估机制实现法律规制与技术迭代的动态适配;建立多方联合协同共治格局,推动CII传统密码平稳过渡到PQC,保障量子计算时代CII安全与稳定,为我国数字经济高质量发展和网络强国建设提供坚实支撑。【本文系教育部人文社科一般项目“数据出境国家安全审查机制建构研究”(项目编号:25YJA820019)和山东科技大学创新团队项目“智能科技安全治理创新研究”(项目编号:2020RWB003)阶段性研究成果】
(本文刊登于《中国信息安全》杂志2026年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。