七一社区        注册

蓄力一纪 由是始之——《网络安全法(草案)》评述

中国信息安全研究院副院长 左晓栋

2015年09月01日10:07   

千呼万唤始出来,《网络安全法(草案)》(以下简称草案)终于同公众见面了。回顾2003年,中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》便已提出“抓紧研究起草《信息安全法》”的要求,迄今已十二年整,恰如白驹过隙。古称十二年为一纪,《国语?晋语四》曰“蓄力一纪,可以远矣”,但功归一载,利在千秋。

一、重大历史进步

网络安全不是今天才重要,网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务,可见决心之巨。只是网络安全立法之路实在艰辛,时国务院信息办审时度势,由信息安全条例角度入手,并连续数年推动其列入国务院法制办二类立法计划,之后未能再进一步。2008年后,国务院信息办职能整体划转至工业和信息化部,有关方面意识到制定条例未必就比人大立法容易,且国务院行政法规无力调整现行上位法的法律规定,遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法,国家立法资源有限,每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法,还要考虑工业立法,一半指标已不得用,而信息化方向还有一部历史更为悠久的电信法望眼欲穿,信息安全法终究连个队都没排上。期间,人大建议、政协提案不计其数,社会公众翘首以盼,均无果。

此次草案公开征求意见,表明这项工作进入了实质性立法程序,这是一个重大历史进步。欢欣鼓舞之所在,不是因为草案具体内容,而源于征求意见本身的象征意义。时至今日,我们对网络安全立法不是搞清楚、看明白了,而是问题更多、更复杂了,很多观点分歧可能更大了,网络安全立法难度不降反升,但突破恰恰在此时。中央网络安全和信息化领导小组成立后,中央领导同志英明决策,切实将网络安全提升到了国家安全和发展的高度,不但作出“网络强国”的全局战略部署,更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等,无一不历经多年论证而蹉跎,今朝方开花结果。

诚然,网络安全立法工作十分艰巨,草案肯定有这样那样的问题,但今天的一小步,是国家网络安全工作的一大步。我们应该宽容它、呵护它,使其不断成熟、更加科学,成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志,确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多,还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法,这些“软性”法律规定确有必要,其意在于宣示国家网络安全工作的基本原则,明确建设网络安全保障体系的主要举措,从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼,驱动之双轮,要坚持以安全保发展、以发展促安全,不能简单地通过不上网、不共享、不互联互通来保安全,或者片面强调建专网。要努力实现技术创新和体制机制创新,不断增强维护网络安全的新思路、新方法、新举措、新本领,而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸,网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释,且一笔带过,然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题,中国对广泛开展国际合作持积极态度,合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等,目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年实践和各国经验表明,网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立,有必要通过立法增强领导小组及其办公室的权威性。草案规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括,对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作,由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作,由网信部门会同国务院有关部门制定办法或组织实施。由此,政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用,指导行业组织成员加强网络安全防护,促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要,首先是要制定网络安全国家战略,对外宣示主张,对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划,确保战略落地,确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系,充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入,以加快产业发展,深化技术研发,提升网络安全创新能力。

九是做好宣传教育和人才培养工作。首先,要开展经常性的网络安全宣传教育;其次,要通过学历教育和在职培训,采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全,与前者不完全一致,但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点,有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”,并且在实践中明确了基础信息网络是广电网、电信网、互联网,重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统,即俗称的“2+8”,相关保护工作也常抓不懈。但整体而言,我们与国外差距很大,已是国家安全的软肋,草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国,凡是已经开展了网络安全建设的国家,其关键基础设施的范围几乎都远超过我们,例如美国有17类,而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围,包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营,运营者可能对其列为国家关键信息基础设施不适应,但当网络服务商的用户达到一定规模时,其安全已经不再是企业自身问题,而成为一个公共问题、社会问题甚至国家安全问题,理应承担更多责任。一些国外机构可能会拿这个做文章,但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度,其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用,这个要求只能是基线(即基本要求),其有必要但并不足够,特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外,保护关键信息基础设施涉及很多工作,不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单,还包括一系列的管理工作和公共平台建设,不能由一项制度取代其他制度,理应对此建立专门制度。草案提出,关键信息基础设施安全保护办法由国务院制定。对于某些重点要求,如网络安全审查、风险评估等,草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务,解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任,但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了,也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说,这不仅仅是免责的需要,也是推动工作的需要,因为这些内设机构如果没有强制性依据,很难得到业务部门的配合。此外,以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查,但谁都不用负责,重点行业往往无所适从、疲于应付。为此,草案明确了行业主管部门的监督指导职责,这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门,草案授权国家网信部门统筹协调有关部门,建立协作机制。特别是在网络安全检查工作中,要杜绝某个部门前脚走,另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多,当前需要立法规范的事项也很多,于是就有了综合法与专门法的争议。一个基本事实是,目前世界上鲜见网络安全的综合法,有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护,近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法(《电子签名法》不应该计算在内),草案首先要体现综合性,其侧重点应该在以下四个方面:

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供法律依据,体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次,这些规定和措施往往经过了实践检验,部门间争议较小,有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架,这些基本制度带有全局性、基础性,是推动基础性工作、夯实基础能力所必需。

此外,为了突出实用性,草案还应部分体现专门法的特点。这应从三个方面去考虑:

一是实施重点防护,对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如,信息系统安全受控于人是我们面临的心腹大患,斯诺登事件使我们进一步看清风险所在,这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看,草案比较好地处理了综合法与专门法的关系问题,但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开),或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法,原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外,草案没有突出对公民个人权益的更多保护,如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘,这不能不说是小的遗憾。

五、重大制度性设计还应有更全面考虑

立法的重要目的之一是提出重大制度性设计。但凡重大制度性设计,必经过深入研究论证,具备充分可行性并取得高度共识后方可写入法律条文。全国人大的起草说明中指出,草案的起草坚持问题导向,对一些确有必要,但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益,但对于什么是“原则性规定”则要仔细琢磨。一般而言,侧重于“目标”或“效果”的描述可视为“原则性规定”,但侧重于“手段”的描述很可能会限定具体实施方式,超出了“原则性规定”。例如“实名制”要求,其目的是为了使行为主体可追溯,但这一定需要信息服务提供者去验证用户真实身份吗?这条规定似可更原则性一些。

立法不是协调部门间分歧的手段。反之,部门间协调一致反而是立法的前提条件。对于在部门间长期争议的事项,在写入法条时需要十分谨慎。例如,我国曾试图建立统一的信息安全产品认证认可体系,以解决重复检测、重复收费问题,其结果是没有减少任何一张证书,反而是新成立的统一认证机构又多发了一张证书。草案提出“安全认证和安全检测结果互认”,这反映了产业界的长期诉求,但短时间内很难实现,且有可能引发新的WTO贸易问题。

六、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色,效果有云泥之别。近年的工作中,我们用过“信息安全”,也用过“网络安全”,学者们各抒己见,一些部门也喜欢朝向有利于自身职能的角度去解释,这些自不待言。但中央网络安全和信息化领导小组成立后,已经基本将其统一为“网络安全”。当然,国安委还是使用“信息安全”,《国家安全法》使用的是“网络与信息安全”,但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“Cyber Security”之译,非“Network Security”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此,当草案试图从“网络空间”的内涵上去解释“网络”时,便挑战了大众的科技常识底线,且出现了“网络是指网络和系统”的尴尬。当然,如果就这么用下去,倒也自成一脉,但草案转眼就去使用狭义的“网络”了,如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等,这里都是指的“network”。由此,草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全,更是与“网络空间主权”没有关联。

解决这个问题的途径是,网络就是网络,不要让网络去包括信息系统。即,自始至终使用传统意义上的“Network”概念。对关键信息基础设施,既要包含基础信息网络,也要包含重要信息系统,而不是以“网络”统称。对于“网络安全”,则按“网络空间安全”去解释即可。

七、对《网络安全法(草案)》的讨论应更加科学务实

草案公布后引起了全社会的强烈关注,掀起了网络安全立法讨论的热潮。这对推动《网络安全法》尽快出台、提升全社会网络安全意识无疑是十分重要的。随着《网络安全法》在后续阶段进入人大二读、三读阶段,社会上还会有更多、更专业的讨论。为了更充分地发挥专业讨论的建设性作用,同时也是为了使公众更好地理解《网络安全法》,建议有关讨论应更加科学务实。

一是不要把“网络安全”等同于“互联网安全”。互联网是个新生事物,其管理问题很有挑战性,涉及面也很广,互联网立法研究因此一度占据我国信息化立法的舞台,这方面涌现出了一大批专家。目前很多专家把《网络安全法(草案)》放到互联网法律体系中去讨论,这显然是片面的。《网络安全法》是解决网络空间的安全问题,既针对互联网,还针对其他网络、各类信息系统;既涉及网上信息内容的管理问题,也涉及网络与信息系统的安全可靠运行问题。事实上,互联网安全管理并不是《网络安全法》的重点,这方面的行政法规、政策已经很多,《网络安全法》要补充行政法规疏漏的内容,为我们的很多互联网管理措施(例如对境外违法信息的封堵)提供法律依据。除此之外,《网络安全法(草案)》更多地则关注了网络空间安全基础性工作和信息系统的安全防护。

二是要把对《网络安全法(草案)》的建议与对我国网络安全立法体系的建议区分开,不要期望一个法解决所有问题。很多专业讨论都认为草案内容有缺失。例如,一些专家认为草案太多体现了“管”,行政色彩太浓;还有些专家认为草案距离美国的立法理念太远,没有阐明军队的角色。这些建议,更多的是对我国网络安全立法工作的期望,但这些期望很难在第一部法中完全体现。毕竟,工作有缓急之分,《网络安全法》应该解决最紧迫的问题、最可能解决的问题。

三是要把法同战略、政策区分开。法同战略、重大政策同属顶层设计,但作用却完全不同。最近的网络安全法讨论中,一些研究者喜欢以美国为对标,但剖析的对象很多不是美国的法律文本,而是战略甚至技术规范,于是乎入手失之毫厘、结论谬以千里。但是对于美国国会的网络安全立法工作,国内却少有深入研究。例如,美国这十年间究竟出台了什么网络安全法?其网络安全法历次闯关失败的真实原因是什么?立法研究与战略研究是不同的领域,两者密切关联,但不可混为一谈。

四是充分尊重起草者的意图。网络安全是崭新的研究领域,自然成了各种理论、理念诞生的温床。但网络安全也是一门实践性很强的科学,不能总是搞成哲学甚至玄学。网络安全立法是为了解决问题,不是为了制造新理论。当条条大路通罗马时,如果起草者的道路没有问题,评论者就应当充分尊重起草者的意愿,而不是一定要提出一条新的道路,否则无益于《网络安全法(草案)》的修改。例如,《网络安全法(草案)》的立法目的涵盖了国家安全、公众利益、公民和组织权益等三个方面,考虑了新引入的网络空间主权概念,强调了安全的最终目的是促进发展,这个立法目的应该是全面和清晰的。但很多评论者还提出了很多新的表述方法,这仅是角度不同而已。

(来源:中国信息安全)


使用微信“扫一扫”功能添加“学习微平台”
(责编:万鹏、朱书缘)
  • 最新评论
  • 热门评论
查看全部留言

热点关键词