何治乐:《网络安全法》的制度设计和法制化进程 作者:公安部第三研究所 信息网络安全公安部重点实验室/何治乐

编者按:网络与现实社会的无限融合和无缝对接必然伴随着不可预知的安全风险,互联网的匿名化、多层次、隐蔽性、包容性等特征增加了安全威胁的应对难度。反观信息化衍生的煽动分裂言论、知识产权盗窃、个人信息泄露等负面效应可知,将网络空间视作整体的社会现实进行法律管控迫在眉睫。公安部第三研究所何治乐深入研究了我国《网络安全法》的制定背景、立法定位和实施措施,对推动我国网络安全空间的法制化进程具有战略意义,尤其是文中《网络安全法》保障体系和制度设计“三大战略”、“四大原则”、“八项制度”的解读,对推动立法转向执法具有重要价值。

《网络安全法》的通过,说明我国充分认识到网络空间安全治理的重要性和紧迫性,顺势而为,2013年12月,网络安全立法被纳入十二届全国人大常委会立法规划的第三类项目“立法条件尚不完全具备、需要继续研究论证的立法项目”。2014年2月,我国成立“中央网络安全和信息化领导小组”,网络安全被提升至国家安全战略的新高度,成为国家安全体系的核心内容。习总书记发表系列讲话不断重申网络空间安全和持续发展的重要性,国家有关部门出台相关文件强调法律对网络空间健康有效运行的支撑作用。为落实国家的政策方针,构建更加完善和全面的网络安全法律保障体系,2015年6月,十二届全国人大常委会调整立法规划,网络安全法被划入第一类项目“条件比较成熟、任期内拟提请审议的法律草案”,并对其进行初次审议。2015年7月6日至8月5日向社会公开征求意见,之后根据全国人大常委会组成人员和各方面的意见作了修改,形成了《网络安全法(草案二次审议稿)》。2016年6月,第十二届全国人大常委会第二十一次会议对草案二次审议稿进行了审议。11月7日,第十二届全国人大常委会第二十四次会议通过,标志着对网络空间进行治理的国家意志转化为强制性的法律规范,是推动我国网络安全法制化进展的重要举措,是中国网络安全法律向国际接轨的战略布局和重要体现。

一、《网络安全法》的立法定位和意义

法律定位是法律理念中最为核心的内容,同时也是法律制度设计中必要的前置环节,决定了特定立法所应秉承的价值、功能及其性质。在信息引领技术发展的数字时代,网络安全与传统的军事安全、政治安全并驾齐驱,成为国家安全的关键组成部分。大数据、云计算、物联网、传感技术等弱化了国家的物理边界,网络的跨区域性、全球性扩大了传统安全事件可能引发的损害后果,而网络社会无极化和非政府组织的新兴发展趋势,必然为国家主权完整、个人信息安全带来更为严峻的冲突和挑战。网安法的发布是贯彻落实习总书记“没有网络安全,就没有国家安全”的最好行动方案,是净化网络空间,创造安全可信在线环境的有力武器。网安法针对当下互联网安全问题最突出的国家主权、关键信息基础设施、数据及系统等方面展开,制定基本的保护措施和发展方向,为我国网络社会监管提供了强有力的法律支撑和长效机制。

立法定位包含立法目的和原则、调整对象、拟解决的突出问题、与现有法律之间的衔接等。网安法以风险控制为主线,从网络的设备设施安全、运行安全及数据安全等方面入手,以维护网络空间主权和国家安全、社会公共利益和公民、法人及其他组织的合法权益,促进经济社会信息化健康发展为目的,调整多方主体利益冲突,重点确立网络安全保护制度和网络运营者的责任,网信部门、公安机关等的监管职权,缓解现存的监管困难和执行乏力问题。目前,我国网络安全相关法律法规侧重对个人、企业、组织等不同主体分别进行保护,层级普遍较低,规定较为零散。《网络安全法》则更加重视对信息社会整体而不是某一部分的保护,将个人信息、关键信息基础设施及信息系统等都纳入保护范围,是一部保障我国网络安全的综合性和基础性立法,提出的安全战略和基本原则,弥补了我国网络安全立法顶层设计的不足,是网络安全下位法制定的指示牌。

二、《网络安全法》保障体系和制度设计的

“三大战略”影响深远

不断增长的故意或偶然的网络安全事件表明,数字技术带来的攻击和风险的破坏性更难预测和复原。为了预防和降低犯罪,增强网络空间的弹性和恢复力,《网络安全法》明确提出网络安全战略、人才培养战略及可信身份战略。

第一,制定网络安全战略。在众多信息安全相关战略中,侧重态势感知和整体布局的网络安全战略无疑位于首要地位。早在2000年,美国就将“信息安全”列入《总统国家安全战略报告》中,标志着信息安全正式成为美国国家安全战略的组成部分。2009年奥巴马政府发布的《美国网络安全评估》报告突出强调网络空间的战略地位。2013年,欧盟通过《网络安全战略》,提出保障网络环境的五大战略重点任务和行动建议。我国积极借鉴国际社会网络空间治理经验,《网络安全法》提出要不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施,为以后我国网络安全战略持续发展奠定了基石。

第二,提出人才培养战略。网络空间的竞争归根结底是人才的竞争,道德黑客、技术人员对维护网络空间安全做出的贡献直接验证了“人才资源是第一资源,人才竞争是最终竞争”。2016年7月,奥巴马政府公布专门的《联邦网络安全人才战略》,要求确定、招募、培养、留住并扩大“最优秀、最聪明以及最全能的网络安全人才。”习总书记在网络安全和信息化工作座谈会上的讲话中强调“网信领域可以先行先试,抓紧调研,制定吸引人才、培养人才、留住人才的办法”。《网络安全法》提出国家支持企业和高等院校、职业学校等教育机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流,这是对我国政策的具体转化实施。

第三,实施可信身份战略。电子身份认证技术能够快速建立信任,帮助提高政府的政务处理能力,提高网络安全性和隐私保护水平并促进在线交易。2009年美国政府《网络空间政策评估》报告,提出了身份管理战略对网络空间有序发展的重要意义,并将“建立基于网络安全的身份管理构想和法律规定”作为行动计划,成为美国制定身份管理战略的出发点。2011年4月,美国正式发布《网络空间可信身份国家战略》,描述了以用户为中心的“身份生态系统”,以推动个人和组织使用安全、高效、易用的身份解决方案访问在线服务。网安法提出实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。我国现在的身份认证技术和法律都呈现碎片化和不完整性的状态,网安法确定的可信身份战略,为制定操作性强的遵从法规及标准,满足信息化市场发展的切实需求奠定了基础。

三、《网络安全法》保障体系和制度设计的

“四大原则”凝聚共识

网络空间的低成本参与、虚拟身份的注册、愈发高明的跳板技术等为罪犯提供了“隐蔽的避难所”,传统安全威胁与新型网络安全风险并存发展,已经潜在地危及到国际和平与发展。万物互联时代,虚拟世界不再是法治之外的特殊区域,每个国家都肩负着维护网络空间安全的使命,国际合作能够增强网络社会的繁荣、透明及可靠性。网络恐怖主义和暴力煽动的盛行更加证明,加强网络空间的和平、安全、开放已经迫在眉睫,也成为每个国家尤其是网络大国和强国不可推卸的责任。2014年7月,习总书记在巴西国会做《弘扬传统友好共谱合作新篇》的演讲时指出,国际社会要本着相互尊重和相互信任的原则,通过积极有效的国际合作,共同构建“和平、安全、开放、合作”的网络空间,建立“多边、民主、透明”的国际互联网治理体系。2014年11月,习总书记在发给首届世界互联网大会的致贺词中,再次强调要同世界各国人民共同构建和平、安全、开放、合作的网络空间。

网络空间是人类生活和文明发展的共同家园,是经济和政治发展的重要领域,各方必须休戚与共,共同构筑安全和发展,才能更好地化解风险和挑战,建立互利共赢的命运共同体。网安法将和平、安全、开放、合作原则以立法形式确定下来,是我国第一次在网络安全基本法中确立这四大原则,不仅表明我国期望与世界各国共同努力,凝聚共识,建立稳定和可信的网络空间环境,促进信息自由流动和隐私安全的心愿,也是我国承担大国责任和担当的具体体现,为我国网络安全下位法的制定提供了指导原则。

四、《网络安全法》保障体系和制度设计的

“八项制度”规范行为

互联网的跨国性和多层次加深了数字对生活的全面接入,为罪犯、恐怖分子提供了控制关键系统和攻击的机会。网安法所秉持的原则和价值为互联网空间的持续蓬勃发展开辟了新的途径,确定的等级保护制度、关键信息基础设施保护制度、国家安全审查制度、数据离境存储制度、用户信息制度、安全认证和检测制度、监测预警和信息通报制度、应急处置制度是从维护系统安全、到保护产品和服务安全,再到数据安全的全面开展,是我国立法体系第一次对网络空间安全的多维度保护。

以等级保护制度为基础的关键信息基础设施保护为防范未经授权访问系统造成的损害奠定了基础,可以帮助减少关键信息基础设施的防御弱点,稳固核心数据的可用性和国防、能源、金融等关键行业系统的稳定性。七十五条规定的境外机构、组织和个人攻击、侵入我国关键信息基础设施活动的违法责任,则解决了管辖权冲突问题,表明我国维护国家主权和网络主权的决心;用户信息保护制度提出更加具体的用户权利和网络运营者、电子信息发送服务提供者、应用软件下载服务提供者等相关主体义务,提升了个人信息保护相关法律的位阶,对防止员工故意泄露个人信息、化解信任危机、重塑数据主体的权利和义务、持续网络空间的繁荣发展具有战略性意义;安全认证和检测、监测预警和信息通报及应急处置制度全面践行网络安全的风险控制理念,实现了“事前防御-事中控制-事后惩治”的动态治理过程,确立从预防、阻止为始,到认证、检测、监测为过程,再到预警、通报为修正和补救的规制措施,克服了单一补救措施为主的惩治性法律规范所带来的弊端。

五、《网络安全法》的法制化进程和前景

在网络安全成为国家核心安全构成的后棱镜时代,我国脱离了网络安全立法层级低,规制领域不完善的局面,以基本法形式定位并通过的网安法以三大战略、四大原则及八项制度全面构筑了我国网络安全法律体系。法案提出的一系列重大思想和重要举措标志着我国网络空间法制化进程的实质性展开,开拓了我国信息化发展的新局面。网安法既不是对传统立法的颠覆和否决,亦不是对现有法律法规零散条款的整合和照搬,而是对网络安全基本战略、基本原则和保护措施的纲领性规定,是我国网络安全立法的里程碑。为了继续推动我国网络空间的法制化进程,尽快将顶层设计向底层遵从落地,需要出台一系列配套规定,不仅包括相关的下位法制定,也包括更为详细的国家标准及行业标准,以便实现与基本法各项制度措施的有效衔接,全面深入地遵从并执行网安法。第一,国务院应尽快牵头启动关键信息基础设施保护办法的制定工作,确定关键信息基础设施的具体范围、保护措施,划定负责关键信息基础设施安全保护工作部门的责任分工。各部门按照分工编制并组织实施本行业、本领域的关键信息基础设施安全规划。第二,将国家安全审查办法纳入下一步立法计划,遵从网安法的指导方向,结合《信息安全等级保护管理办法》,对造成破坏将损害国家安全、社会秩序和公共利益的信息系统所使用的产品和服务进行审查,尤其关注其安全性和可用性。第三,鉴于个人信息的滥用、盗窃、毁损现象日益严峻,制定更为详细的个人信息保护法律或条例。第四,相关机构应紧跟网信部门及国务院等部门的法规制定和颁布,制定配套的标准体系,为网络服务提供商等义务主体提供更加细致的遵从框架。此外,观察国际社会网络安全法律现状和发展趋势可知,安全漏洞、信息共享、色情信息内容治理等也应纳入我国网络安全的法制化发展进程和前景规划之中。

 

2016-12-27 14:57
来源:中国信息安全杂志(2016.12)
热门推荐更多
热点新闻更多