根据立法法的规定，依申请审查有两种情况：一是提出审查要求，即国务院、中央军事委员会、最高人民法院、最高人民检察院和各省、自治区、直辖市的人大及其常委会，可以向全国人大常委会书面提出进行审查的要求。

至于有权提出审查建议的其他国家机关，基本上都属于较低层级的法律适用机关，其职责在于严格依法办事，发现和探究立法本身是否存在疏漏并非其职责所系。从过去的电话、口头形式沟通到正式的发函督办，表明备案审查刚性监督的力度在明显增强，但这本身也说明督促本身并没有强制性约束力，以至于开展回头看成了2018年备案审查的第一项重点工作。

因此，合宪性审查与合法性审查不可能有实质性的绝然界分，由一套审查体系和一个审查机构统一进行，显然更有利于统筹二者之间的关系，而不必刻意地去区分是合法性审查还是合宪性审查的受理范围，也不必受移送、转交等程序之累或者判断标准不同的困扰。[9]2017年12月24日在第十二届全国人大常委会第31次会议上，沈春耀代表全国人大常委会法工委所作的《关于十二届全国人大以来暨2017年备案审查工作情况的报告》。况且，目前的制度安排足以应对公民审查建议所可能出现的井喷式增长局面。[10]截至2017年12月上旬，十二届全国人大常委会办公厅共接收报送备案的规范性文件4778件，其中行政法规60件，省级地方性法规2543件，设区的市地方性法规1647件，自治条例15件，单行条例248件，经济特区法规137件，司法解释128件。党中央和地方党委对党内法规和党内规范性文件进行备案审查。

我国宪法确认了国家的根本制度和根本任务、国家的领导核心和指导思想，规定了国体、政体以及各方面的基本制度和国策，由此成为国家治理的最高依据和根本保障。只有使二者各安其位、相辅相成，才能够使整个制度体系统筹推进、相得益彰。[30]这些数据和案例说明，完全寄望于市场机制，试图通过市场调节获得安全保障是不切实际的，导入政府规制十分必要。

它倾向于藉由国家与私人的分工，共同具体化公共利益的内涵，诱导私人发挥自主的创意、行动，以共同完成公共任务。成本—收益的不对称性抑制了市场主体在关键信息基础设施保护上的投入。这一构造较难在关键信息基础设施保护上实现高效统一的领导，存在造成分割、分散乃至形成壁垒的风险，政府协同的难度较大。[55] 9·11事件前，负有网络信息监管职责的联邦政府机构多有重叠，职能交叉、权责不清或者监管空白等问题都在一定程度上存在，影响了关键基础设施保护与网络安全保障的效能。

四、关键信息基础设施保护的主体架构 （一）层级制、部门化政府组织的捉襟见肘 层级制行政机关是行政组织最主要、最典型的结构形式。合作行政 一、关键信息基础设施的保护问题 关键信息基础设施是互联网的基础层，其安全、持续的运营是网络安全的基础。

私主体往往对自身网络系统架构及其脆弱性更清楚。在20世纪80年代，被公安机关作为保卫重点的是要害。个人需要通过国家实现基本权利，国家也要承担一定的担保任务。[6] 各国在法律层面对网络安全挑战的回应主要有两个方向：一是充分运用传统法律，以事后制裁为主要手段，有效打击危害网络空间安全的各种违法犯罪行为。

[9]参见前引[6]，Sales文。[10] 我国属于较早将网络安全专门立法提上立法议程的国家。[11]参见王胜俊：《全国人民代表大会常务委员会执法检查组关于检查〈中华人民共和国网络安全法〉〈全国人民代表大会常务委员会关于加强网络信息保护的决定〉实施情况的报告——2017年12月24日在第十二届全国人民代表大会常务委员会第三十一次会议上》，《中国人大》2018年第5期，第14页。具体而言，更关注安全和更注重自由的理念在保护范围上会形成此消彼长的效应。

[29]在另一项调查中，分别有75%和68%的受访者指出了网络攻击的严重性和频繁性，但是分别有64%和65%的受访者对没有预算或专家来消除威胁感到担忧。可能受到攻击的范围很广，没有军用或民用的区别，没有前线或后方的区别。

现代行政法学普遍承认，希望藉由令行禁止、许可保留或处罚威吓的手段对受规范者产生一定影响的规制性法制，作为古典秩序法制的特色，面临危机：一是存在有效的法制不能在实务上普遍落实的执行赤字问题。列举的4类单位不在一个层面，没有突出至关重要性，有必要在关键部门—具体设施的结构中进行系统分类指定。

[61]这就容易导致主体多元与职责不清，可能出现部门揽权或推诿，从而引起监管冲突或形成监管漏洞。[82] 工业化和城市化发展到一定程度之后，事前许可制度得到了广泛运用。[8]参见前引[4]，穆勒书，第206页。通过将财产的解释扩展到获得福利，行政的活动范围扩展到福利行政。任何国家，即使是保护能力最强、防范严密的美国也承认不可能完全不受网络攻击。第21号总统令要求评价优化公私合作和信息交流方式，促进信息有效交换。

这就要求规定严格审慎的指定程序。很多机构凭直觉而不是智识来评估自身的网络安全级别，导致最严重的风险得不到最充足的预算加以治理。

与福利行政相比，它由行政机关采取措施与多方主体合作确保经济社会正常运行，而不是基于申请给予生存照顾。归纳主要国家的立法和行政经验，关键信息基础设施保护过程中的风险治理措施主要包括：（1）关键信息基础设施的识别与指定。

[96]2013年，美国专题发布了《国家基础设施保护计划：为了安全性和恢复力而构建伙伴关系》。[99]以此对照，《保护条例（征求意见稿）》没有规定从整体上形成提升安全性和恢复力的制度架构，有待加以重视和有效解决。

爱德华·斯诺登披露的美国政府棱镜计划，实施全球、全息、全面的监控，肆无忌惮地窃取从外国领导人到其本国普通民众的广泛信息（参见[美]格伦·格林沃尔德：《无处可藏：斯诺登、美国国安局与全球监控》，米拉、王勇译，中信出版社2014年版，第1页以下）。二、关键信息基础设施安全的公共属性 （一）运营中断的不能承受之重 网络安全问题与互联网的分布式结构存在内在关联。[46]澳大利亚—新西兰反恐委员会2015年发布的《保护关键基础设施免受恐怖袭击国家指南》，根据关键性程度将具体设施具体分为至关重要、主要、重要、较不重要和无法估计5类，其中至关重要是指全国范围内无法提供替代服务或设施，损失或损害将导致资产遗弃或长期停止，[47]只有重要性达到至关重要的具体设施，才应被指定为关键信息基础设施。这一定义作为判断标准，总体上是妥当的，但是由于其中涉及内涵相对不确定的概念，在后续立法和适用过程中需要结合国际经验和我国实践需求加以把握。

关键信息基础设施的识别和指定，旨在确定治理对象，是确定行政任务范围的首要工作，需要明确指定标准、规定指定程序，以实现对关键信息基础设施的系统分类指定和审慎动态调整。互联网全网开放且互联互通，因此存在集体行动的难题。

[26] 互联网的分布式结构决定了网络安全运行易攻难守的特点。当然，要最终确保一国关键信息基础设施的安全，还必须引入国际化的维度，需要在全球范围推动新型组织安排，重建商业、政府和公民社会的关系。

[11] 针对关键信息基础设施的法律保护，国内相关研究的主要成果是提出了框架性的制度设计。然而，如果着眼于功能定位，实质和紧密合作更有利于促进关键信息基础设施保护。

2013年第21号总统行政指令要求，所有联邦部门和机构负责人对其管辖范围内的关键基础设施保护负有安全状况评估、安全补救措施实施等责任。[9]因此，指向过程监管的专门立法始终是法律回应的重要方向，尤其是在2013年斯诺登事件后，主张通过专门的网络安全立法确立政府规制体系以有效应对网络安全问题的观点逐渐占据了上风。但是，关键信息基础设施保护的活动，单独运用秩序行政和给付行政的典型方式都未必能够达成目的。[27]参见前引[6]，Sales文。

美国第21号总统行政指令也把主题集中为提升关键基础设施的安全性和恢复力。在活动方式上，传统的行政活动方式实效性不足，需要通过受规制的社会自我规制，采取分享信息、合作应对等全过程风险治理措施应对网络威胁、实现保护目的。

刘刚编译：《风险规制：德国的理论与实践》，法律出版社2012年版，第1页以下。也不能存在疏漏，致使重要的关键信息基础设施没有设防。

美国政府的行政命令和总统指令，可以规范政府部门、机构的行为，却无法为私主体设定义务。[38]其后，克林顿政府第13010号行政命令《关键基础设施保护（1996）》描述了8类关键基础设施。