專家解讀《網(wǎng)絡(luò)安全法》草案

思而思學(xué)網(wǎng)

一、重大歷史進(jìn)步

網(wǎng)絡(luò)安全不是今天才重要,網(wǎng)絡(luò)安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務(wù),可見決心之巨。只是網(wǎng)絡(luò)安全立法之路實(shí)在艱辛,時國務(wù)院信息辦審時度勢,由信息安全條例角度入手,并連續(xù)數(shù)年推動其列入國務(wù)院法制辦二類立法計(jì)劃,之后未能再進(jìn)一步。2008年后,國務(wù)院信息辦職能整體劃轉(zhuǎn)至工業(yè)和信息化部,有關(guān)方面意識到制定條例未必就比人大立法容易,且國務(wù)院行政法規(guī)無力調(diào)整現(xiàn)行上位法的法律規(guī)定,遂決定返回制定信息安全法。然而國民經(jīng)濟(jì)和社會發(fā)展頗多領(lǐng)域亟待立法,國家立法資源有限,每個部門允許提出的立法建議屈指可數(shù)。工業(yè)和信息化部既要考慮信息化立法,還要考慮工業(yè)立法,一半指標(biāo)已不得用,而信息化方向還有一部歷史更為悠久的電信法望眼欲穿,信息安全法終究連個隊(duì)都沒排上。期間,人大建議、政協(xié)提案不計(jì)其數(shù),社會公眾翹首以盼,均無果。

此次草案公開征求意見,表明這項(xiàng)工作進(jìn)入了實(shí)質(zhì)性立法程序,這是一個重大歷史進(jìn)步。歡欣鼓舞之所在,不是因?yàn)椴莅妇唧w內(nèi)容,而源于征求意見本身的象征意義。時至今日,我們對網(wǎng)絡(luò)安全立法不是搞清楚、看明白了,而是問題更多、更復(fù)雜了,很多觀點(diǎn)分歧可能更大了,網(wǎng)絡(luò)安全立法難度不降反升,但突破恰恰在此時。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立后,中央領(lǐng)導(dǎo)同志英明決策,切實(shí)將網(wǎng)絡(luò)安全提升到了國家安全和發(fā)展的高度,不但作出“網(wǎng)絡(luò)強(qiáng)國”的全局戰(zhàn)略部署,更扎實(shí)推進(jìn)各項(xiàng)工作取得積極進(jìn)展。網(wǎng)絡(luò)安全宣傳周、網(wǎng)絡(luò)空間安全一級學(xué)科等,無一不歷經(jīng)多年論證而蹉跎,今朝方開花結(jié)果。

誠然,網(wǎng)絡(luò)安全立法工作十分艱巨,草案肯定有這樣那樣的問題,但今天的一小步,是國家網(wǎng)絡(luò)安全工作的一大步。我們應(yīng)該寬容它、呵護(hù)它,使其不斷成熟、更加科學(xué),成長為護(hù)佑國家網(wǎng)絡(luò)安全和信息化發(fā)展的參天大樹。

  二、彰顯國家意志,確立基本原則

草案在“總則”和“網(wǎng)絡(luò)安全戰(zhàn)略、規(guī)劃與促進(jìn)”部分提出的宣示性條款遠(yuǎn)較其他法律為多,還設(shè)立一條倡導(dǎo)性條款(即“倡導(dǎo)誠實(shí)守信、健康文明的網(wǎng)絡(luò)行為”)。作為我國網(wǎng)絡(luò)安全的基本法,這些“軟性”法律規(guī)定確有必要,其意在于宣示國家網(wǎng)絡(luò)安全工作的基本原則,明確建設(shè)網(wǎng)絡(luò)安全保障體系的主要舉措,從而為整體推進(jìn)保障體系建設(shè)提供法律依據(jù)。

一是堅(jiān)持網(wǎng)絡(luò)安全和信息化發(fā)展并重原則。網(wǎng)絡(luò)安全和信息化是一體之兩翼,驅(qū)動之雙輪,要堅(jiān)持以安全保發(fā)展、以發(fā)展促安全,不能簡單地通過不上網(wǎng)、不共享、不互聯(lián)互通來保安全,或者片面強(qiáng)調(diào)建專網(wǎng)。要努力實(shí)現(xiàn)技術(shù)創(chuàng)新和體制機(jī)制創(chuàng)新,不斷增強(qiáng)維護(hù)網(wǎng)絡(luò)安全的新思路、新方法、新舉措、新本領(lǐng),而不是因噎廢食、自甘落后。

二是提出了網(wǎng)絡(luò)空間主權(quán)。網(wǎng)絡(luò)空間主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的體現(xiàn)和延伸,網(wǎng)絡(luò)空間主權(quán)原則是我國維護(hù)國家安全和利益、參與網(wǎng)絡(luò)空間國際合作所堅(jiān)持的重要原則。草案雖未作解釋,且一筆帶過,然猶有石破天驚之意。

三是開展國際合作。網(wǎng)絡(luò)安全是全球面臨的共同問題,中國對廣泛開展國際合作持積極態(tài)度,合作重點(diǎn)包括但不限于網(wǎng)絡(luò)治理、技術(shù)與標(biāo)準(zhǔn)、打擊違法犯罪等,目標(biāo)是推動構(gòu)建和平、安全、開放、合作的網(wǎng)絡(luò)空間。

四是建立統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的網(wǎng)絡(luò)安全管理體制。多年實(shí)踐和各國經(jīng)驗(yàn)表明,網(wǎng)絡(luò)安全工作離不開統(tǒng)籌協(xié)調(diào)。隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立,有必要通過立法增強(qiáng)領(lǐng)導(dǎo)小組及其辦公室的權(quán)威性。草案規(guī)定,國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。具體包括,對監(jiān)測預(yù)警和信息通報(bào)、網(wǎng)絡(luò)安全應(yīng)急、關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)等跨部門工作,由網(wǎng)信部門統(tǒng)籌協(xié)調(diào);對網(wǎng)絡(luò)安全審查、重要數(shù)據(jù)跨境流動安全評估等新出現(xiàn)的綜合性管理工作,由網(wǎng)信部門會同國務(wù)院有關(guān)部門制定辦法或組織實(shí)施。由此,政府向解決分散、多頭和重復(fù)管理邁出了關(guān)鍵一步。

五是加強(qiáng)行業(yè)自律。要充分發(fā)揮行業(yè)組織作用,指導(dǎo)行業(yè)組織成員加強(qiáng)網(wǎng)絡(luò)安全防護(hù),促進(jìn)行業(yè)健康發(fā)展。

六是強(qiáng)化網(wǎng)絡(luò)安全頂層設(shè)計(jì)。頂層設(shè)計(jì)至關(guān)重要,首先是要制定網(wǎng)絡(luò)安全國家戰(zhàn)略,對外宣示主張,對內(nèi)指導(dǎo)工作;其次要由行業(yè)主管部門、其他有關(guān)部門制定重點(diǎn)行業(yè)、重點(diǎn)領(lǐng)域網(wǎng)絡(luò)安全規(guī)劃,確保戰(zhàn)略落地,確保這些行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全工作有目標(biāo)、有任務(wù)、有舉措、有監(jiān)督。

七是建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系,充分發(fā)揮標(biāo)準(zhǔn)在網(wǎng)絡(luò)安全建設(shè)中的指導(dǎo)性、規(guī)范性作用。

八是加大財(cái)政投入,以加快產(chǎn)業(yè)發(fā)展,深化技術(shù)研發(fā),提升網(wǎng)絡(luò)安全創(chuàng)新能力。

九是做好宣傳教育和人才培養(yǎng)工作。首先,要開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育;其次,要通過學(xué)歷教育和在職培訓(xùn),采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才。

三、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作進(jìn)入正軌

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)(CIIP)是各國的通行舉措。雖然關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)涉及物理設(shè)施安全,與前者不完全一致,但兩者在多數(shù)情況下已可以混用。CIIP/CIP一直是各國網(wǎng)絡(luò)安全戰(zhàn)略的重點(diǎn),有的國家甚至以CIIP/CIP戰(zhàn)略代指國家網(wǎng)絡(luò)安全戰(zhàn)略。我們國家在2003年時已經(jīng)要求“重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”,并且在實(shí)踐中明確了基礎(chǔ)信息網(wǎng)絡(luò)是廣電網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng),重要信息系統(tǒng)是銀行、證券、保險(xiǎn)、民航、鐵路、電力、海關(guān)、稅務(wù)等行業(yè)的系統(tǒng),即俗稱的“2+8”,相關(guān)保護(hù)工作也常抓不懈。但整體而言,我們與國外差距很大,已是國家安全的軟肋,草案為此設(shè)立了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”一節(jié)。

一是擴(kuò)展了保護(hù)范圍?v觀世界各國,凡是已經(jīng)開展了網(wǎng)絡(luò)安全建設(shè)的國家,其關(guān)鍵基礎(chǔ)設(shè)施的范圍幾乎都遠(yuǎn)超過我們,例如美國有17類,而我們則有很多重要系統(tǒng)尚未納入保護(hù)視野。草案首次明確了關(guān)鍵信息基礎(chǔ)設(shè)施范圍,包括基礎(chǔ)信息網(wǎng)絡(luò)、重點(diǎn)行業(yè)信息系統(tǒng)、公共服務(wù)領(lǐng)域重要信息系統(tǒng)、軍事網(wǎng)絡(luò)、地市級以上國家機(jī)關(guān)政務(wù)網(wǎng)絡(luò)、用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)商系統(tǒng)。最后一類系統(tǒng)中很多由私企運(yùn)營,運(yùn)營者可能對其列為國家關(guān)鍵信息基礎(chǔ)設(shè)施不適應(yīng),但當(dāng)網(wǎng)絡(luò)服務(wù)商的用戶達(dá)到一定規(guī)模時,其安全已經(jīng)不再是企業(yè)自身問題,而成為一個公共問題、社會問題甚至國家安全問題,理應(yīng)承擔(dān)更多責(zé)任。一些國外機(jī)構(gòu)可能會拿這個做文章,但事實(shí)上美國的關(guān)鍵基礎(chǔ)設(shè)施有87%受私營企業(yè)控制。

二是明確了保護(hù)要求。等級保護(hù)是1994年《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》提出的制度,其對全國各類信息系統(tǒng)提出了分五個等級的通用安全要求。恰恰因?yàn)橥ㄓ,這個要求只能是基線(即基本要求),其有必要但并不足夠,特別是不足以反映應(yīng)用模式日趨復(fù)雜的異構(gòu)系統(tǒng)的動態(tài)防護(hù)需求。此外,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施涉及很多工作,不僅僅是提出系統(tǒng)自身的保護(hù)要求、加強(qiáng)系統(tǒng)安全建設(shè)那么簡單,還包括一系列的管理工作和公共平臺建設(shè),不能由一項(xiàng)制度取代其他制度,理應(yīng)對此建立專門制度。草案提出,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法由國務(wù)院制定。對于某些重點(diǎn)要求,如網(wǎng)絡(luò)安全審查、風(fēng)險(xiǎn)評估等,草案則在具體條款中進(jìn)行了明確。

三是劃定了保護(hù)責(zé)任。草案規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的安全保護(hù)義務(wù),解決了其保護(hù)責(zé)任模糊不明的問題。他們有必要從國家安全角度承擔(dān)防護(hù)責(zé)任,但這個責(zé)任畢竟是有界限的。大家希望知道做到什么程度就無責(zé)了,也關(guān)心自身的權(quán)利如何保障。對很多重點(diǎn)行業(yè)的信息技術(shù)或網(wǎng)絡(luò)安全部門來說,這不僅僅是免責(zé)的需要,也是推動工作的需要,因?yàn)檫@些內(nèi)設(shè)機(jī)構(gòu)如果沒有強(qiáng)制性依據(jù),很難得到業(yè)務(wù)部門的配合。此外,以前我國重點(diǎn)行業(yè)的網(wǎng)絡(luò)安全監(jiān)管責(zé)任也很不明確。似乎誰都可以進(jìn)入機(jī)房檢查,但誰都不用負(fù)責(zé),重點(diǎn)行業(yè)往往無所適從、疲于應(yīng)付。為此,草案明確了行業(yè)主管部門的監(jiān)督指導(dǎo)職責(zé),這是一個重要進(jìn)步?紤]到關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的確涉及多個部門,草案授權(quán)國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門,建立協(xié)作機(jī)制。特別是在網(wǎng)絡(luò)安全檢查工作中,要杜絕某個部門前腳走,另一部門后腳來的現(xiàn)象。

四、兼具綜合法與專門法的特點(diǎn)

網(wǎng)絡(luò)安全包含的內(nèi)容太多,當(dāng)前需要立法規(guī)范的事項(xiàng)也很多,于是就有了綜合法與專門法的爭議。一個基本事實(shí)是,目前世界上鮮見網(wǎng)絡(luò)安全的綜合法,有名的美國《計(jì)算機(jī)安全法》實(shí)際上針對的是美國聯(lián)邦政府信息系統(tǒng)安全保護(hù),近幾年美國國會討論的《網(wǎng)絡(luò)安全法》或《網(wǎng)絡(luò)安全增強(qiáng)法》則主要解決關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)問題。

作為第一部網(wǎng)絡(luò)安全法(《電子簽名法》不應(yīng)該計(jì)算在內(nèi)),草案首先要體現(xiàn)綜合性,其側(cè)重點(diǎn)應(yīng)該在以下四個方面:

一是要明確部門、企業(yè)、社會組織和個人的權(quán)利、義務(wù)和責(zé)任。

二是規(guī)定國家網(wǎng)絡(luò)安全工作的基本原則和理念。

三是將成熟的政策規(guī)定和措施上升為法律,為政府部門的工作提供法律依據(jù),體現(xiàn)依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實(shí)施網(wǎng)絡(luò)通信管制等);其次,這些規(guī)定和措施往往經(jīng)過了實(shí)踐檢驗(yàn),部門間爭議較小,有利于提高立法效率。

四是建立國家網(wǎng)絡(luò)安全的一系列基本制度、形成制度框架,這些基本制度帶有全局性、基礎(chǔ)性,是推動基礎(chǔ)性工作、夯實(shí)基礎(chǔ)能力所必需。

此外,為了突出實(shí)用性,草案還應(yīng)部分體現(xiàn)專門法的特點(diǎn)。這應(yīng)從三個方面去考慮:

一是實(shí)施重點(diǎn)防護(hù),對關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)信息內(nèi)容等重點(diǎn)安全關(guān)注予以優(yōu)先考慮。

二是防范重大威脅。例如,信息系統(tǒng)安全受控于人是我們面臨的心腹大患,斯諾登事件使我們進(jìn)一步看清風(fēng)險(xiǎn)所在,這就要對供應(yīng)鏈安全進(jìn)行規(guī)范。

三是對普遍性、長期存在的社會訴求予以響應(yīng)。

總體看,草案比較好地處理了綜合法與專門法的關(guān)系問題,但個別條款還是過于糾結(jié)細(xì)枝末節(jié)(如網(wǎng)絡(luò)運(yùn)營者的分項(xiàng)安全保護(hù)義務(wù)不必展開),或細(xì)致到了足可取代部分專門法的地步(如個人信息保護(hù)應(yīng)制定專門法,原有條款似可刪減后將重心轉(zhuǎn)向規(guī)范信息內(nèi)容安全)。除了個人信息外,草案沒有突出對公民個人權(quán)益的更多保護(hù),如對危害網(wǎng)絡(luò)安全行為的舉報(bào)并不是為了解決公民作為受害者“報(bào)案無門”的困窘,這不能不說是小的遺憾。

五、“網(wǎng)絡(luò)安全”的定義還可以更為妥帖

“網(wǎng)絡(luò)”和“網(wǎng)絡(luò)安全”是“網(wǎng)絡(luò)安全法”的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色,效果有云泥之別。近年的工作中,我們用過“信息安全”,也用過“網(wǎng)絡(luò)安全”,學(xué)者們各抒己見,一些部門也喜歡朝向有利于自身職能的角度去解釋,這些自不待言。但中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立后,已經(jīng)基本將其統(tǒng)一為“網(wǎng)絡(luò)安全”。當(dāng)然,國安委還是使用“信息安全”,《國家安全法》使用的是“網(wǎng)絡(luò)與信息安全”,但這些已不會造成工作上的障礙。

只是這個“網(wǎng)絡(luò)安全”實(shí)是“Cyber Security”之譯,非“Network Security”。這里面的“網(wǎng)絡(luò)”其實(shí)指的是“網(wǎng)絡(luò)空間”(Cyberspace)。因此,當(dāng)草案試圖從“網(wǎng)絡(luò)空間”的內(nèi)涵上去解釋“網(wǎng)絡(luò)”時,便挑戰(zhàn)了大眾的科技常識底線,且出現(xiàn)了“網(wǎng)絡(luò)是指網(wǎng)絡(luò)和系統(tǒng)”的尷尬。當(dāng)然,如果就這么用下去,倒也自成一脈,但草案轉(zhuǎn)眼就去使用狹義的“網(wǎng)絡(luò)”了,如“建設(shè)、運(yùn)營、維護(hù)和使用網(wǎng)絡(luò)”、“網(wǎng)絡(luò)基礎(chǔ)設(shè)施”、“網(wǎng)絡(luò)數(shù)據(jù)”、“網(wǎng)絡(luò)接入”等,這里都是指的“network”。由此,草案中頻繁出現(xiàn)自己與自己打架的情況。

而草案中的“網(wǎng)絡(luò)安全”定義也需修改。現(xiàn)有定義不但丟掉了信息內(nèi)容安全,更是與“網(wǎng)絡(luò)空間主權(quán)”沒有關(guān)聯(lián)。

解決這個問題的途徑是,網(wǎng)絡(luò)就是網(wǎng)絡(luò),不要讓網(wǎng)絡(luò)去包括信息系統(tǒng)。即,自始至終使用傳統(tǒng)意義上的“Network”概念。對于“網(wǎng)絡(luò)安全”,則按“網(wǎng)絡(luò)空間安全”去解釋即可。

另外,草案的起草堅(jiān)持問題導(dǎo)向,對一些確有必要,但尚缺乏實(shí)踐經(jīng)驗(yàn)的制度安排做出原則性規(guī)定。這一處理十分務(wù)實(shí)、有益,但對于什么是“原則性規(guī)定”則要仔細(xì)琢磨。


熱門推薦

最新文章