《网络安全法(草案)》的解读与建议 作者:朱莉欣

如何构建一个清朗无忧的网络空间,这不仅仅是技术的问题,更需要管理制度和法律的保障。20156月,《网络安全法(草案)》在第十二届全国人大常委会第十五次会议上初次审议。草案共有768条,寄托了中国人民依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪的强烈愿望,也对外宣示了中国捍卫网络主权,努力构建和平、安全、开放、合作的网络空间的国家网络空间大战略。

网空威胁催生中国的网络安全法——草案的必要性

中国面临的严重网络安全威胁催生了网络安全法。这些威胁可能源于国家,也可能源于组织和个人。就国家层面来说,有些国家针对其他主权国家长期进行网络渗透、颠覆、窃密和监控活动,破坏力大,威慑性强。而西方军事强国高调成立网络部队,更增加了网络空间的不安定因素。就组织层面来说,恐怖组织和其他犯罪组织,或是利用网络宣扬恐怖主义、极端主义,煽动颠覆国家政权,或是借助网络传播、扩散不良信息以及淫秽色情等违法信息,严重危害国家安全、社会公共利益和公民、法人的合法权益。就黑客等个人带来的威胁来看,在各种复杂的社会经济关系与黑色产业链的影响下,他们攻击目标随意,战法参差,很难防范。

中国拥有6亿多网民,是信息窃取、网络攻击的主要受害国,且网络基础设施脆弱,面临着巨大的网络安全压力。今年527日,支付宝因为“光纤被挖断”,宕机超过90分钟。携程于次日宕机持续12小时,原因是“员工错误操作”。这些事件影响面广,给中国网络空间安全拉响了警笛。据统计,到2014年,我国互联网普及率已达46.9%,手机网民达5.27亿,移动互联网新增恶意程序样本成倍增长。而移动终端因功耗等限制,无法像PC那样内置功能强大的防火墙,而它又比PC涉及的身份信息多,具有的定位能力可被跟踪,还涉及银行账号,这给安全问题带来更大的隐患。正是多层面的威胁来源和不断增加的网络安全风险,使中国的网络安全法“呼之欲出”。

网络主权是网络安全法的法理依据——草案的合理性

虽然有互联性和虚拟性的特点,但网络空间又是依靠有形的基础设施、具体的人、行动支撑和发挥作用的,它不是一个“法律真空世界”;其中的设施、人及其行动等因素和一国的主权密切相连。如今,中国提出的“网络主权”概念已经获得了国际上包括美、俄等国的广泛认同。网络主权是国家主权在网络空间的体现和延伸,对外,网络主权表现为国家在网络空间的平等权、自主权和自卫权;对内,网络主权表现为国家对网络空间的最高管辖权,以维护国家安全,保障企业和公民的合法和正当的权益。网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此,草案将“维护网络空间主权和国家安全”作为立法宗旨(草案第1条),规定:在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法(草案第2条)。事实上,第二条所明确的不仅是网络安全法的适用范围,而且还有对网络主权范围的理解,无疑,网络主权的范围包括但不限于在我境内的建设、运营、维护和使用网络,以及网络安全的监督管理活动。

对网络空间实施安全管理,在别的国家早有先例,如美国的《爱国者法案》。根据法案的内容,美国警察机关有权搜索网络上可能有关恐怖主义的信息记录,联邦当局可以要求所有在美国具有实体公司的云端服务供应商,包括亚马逊、英特尔、苹果与谷歌等把经过美国网络的数据给他们,这成为美国政府监控网络的法律依据。虽然对网络空间主权的范围仍存在争议,但这种争议未阻止网络主权在国际上被普遍认同的趋势。

网络安全法构建的“1+6”安全机制——草案的主要内容

从网络安全法草案的内容来看,草案确立的是通过1项“网络安全战略”明确网络安全的基本要求和主要目标,加上6大安全保障机制:“网络产品和服务安全”、“网络数据安全”、“网络运行安全”、“网络信息传播安全”、“网络安全监测”、“网络安全协调管理”,全方位实现我国的网络空间安全。

作为“NO.1”的网络安全战略

网络安全法把制定国家网络安全战略写入法律,要求相关部门依据战略编制网络安全规划,确立了网络安全战略的法律地位。网络安全法草案从战略、规划、标准、技术、教育、人才六个方面,构建了我国网络安全战略制定和实施机制:即制定网络安全战略,依据战略制定网络安全规划,政府相关部门围绕战略,建立和完善网络安全标准体系、支持网络安全技术开发应用及推广、组织开展经常性的网络安全宣传教育、支持培养网络安全技术人才。(草案12-16条)

安全保障机制之一:网络产品和服务安全

草案认为在网络安全中,保障网络产品和服务的安全是第一要务。因此草案首先明确了网络产品和服务提供者的安全义务:不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务。(草案第1820条)其次,草案将安全标准法制化,对网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律并作了必要的规范。(草案第19条)第三,建立关键信息基础设施运营者采购网络产品、服务的安全审查制度。(草案第30条)

安全保障机制之二:网络运行安全

网络运行安全保障机制中,有这样三个关键词:运营者安全义务、网络安全等级保护制度、关键信息基础设施运行安全。运营者安全义务包括:1.网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务;(草案第17条)2.制定网络安全事件应急预案的义务,(草案第21条)要求网络运营者及时处置安全风险。3.建立行业规范,要求有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。

关键基础设施包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。关键信息基础设施运行安全内容包括:制定有关保护办法、明确负责安全保护工作的部门、规范关键基础设施运营者的安全保护义务、对有关部门的监督和支持等。(草案第25条至第29条、第3233条)

安全保障机制之三:网络数据安全

数据安全保障机制从三方面展开:一是运营商的数据管理,要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改。(草案第17条)二是保护用户个人信息、隐私和商业秘密,即从收集、使用、保存各个环节,防止上述息数据被非法获取、泄露或者非法使用。(草案第34条至第39条)三是评估关键信息基础设施的数据安全,即因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。(草案第31条)

安全保障机制之四:网络信息传播安全

在网络信息传播安全方面,草案吸收了2012年全国人大常委会《关于加强网络信息保护的决定》中网络信息传播活动的规定,进一步完善了相关管理制度:1.确立网络身份管理制度即网络实名制,以保障网络信息的可追溯。(草案第20条)2.明确网络运营者处置违法信息的义务,规定:网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散。(草案第40条)3.规定发送电子信息、提供应用软件不得含有法律、行政法规禁止发布或者传输的信息。(草案第41条)4.规定为维护国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。(草案第23条)5.赋予有关主管部门处置违法信息、阻断违法信息传播的权力。(草案第43条)

安全保障机制之五:网络安全监测

网络安全监测机制包括网络安全监测预警和信息通报制度,要求国务院有关部门建立健全相关制度,加强网络安全信息收集、分析和情况通报工作(草案第4445条);规定建立网络安全应急工作机制,制定应急预案(草案第46条);规定预警信息的发布及网络安全事件应急处置措施(草案第4749条);在为维护国家安全和社会公共秩序,处置重大突发社会安全事件时,实施网络管制。(草案第50条)

安全保障机制之六:网络安全协调管理

国家网信部门行使统筹协调网络安全工作和相关监督管理职能,国务院工业和信息化、公安等部门按照各自职责负责网络安全保护和监督管理相关工作。

网络安全下的国际合作、通信自由和军事支持——草案完善建议

(一)凸显“推动构建和平、安全、开放、合作的网络空间”的立法宗旨

应对网络安全挑战,维护国家和社会安全是紧迫和极其重要的,但如果作为网络安全法的唯一立法意图,却缺少一种国际眼光。网络空间互联互通、跨越国界,网络安全早已成为国际关系中重要的一个议题。中国也正在全方位的积极参与网络空间治理,倡导“构建和平、安全、开放、合作的网络空间”的理念,并获得国际广泛的认同,事实上这也符合我国信息化发展和人民的需求。但在这部堪称网络安全宪法的法律草案中,我国的网络空间国际治理理念仅仅在第五条做了一个宣示,这样的表述显然不够。因此建议:

把“推动构建和平、安全、开放、合作的网络空间”作为我国网络安全中的国际治理理念和追求而予以突出,放在句首,作为开展网络空间治理等相关国际交流与合作的目的之一。即可改为:“国家推动构建和平、安全、开放、合作的网络空间,积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作。”并提升这一网络安全的国际理念在立法中的重要意义,放在第三条中进行阐述。最后依据本条的规定,在网络安全立法中,增加网络安全国际合作机制。可以吸收信息和电信领域发展政府专家组(GGE)决议中较为成熟的内容,转化为法律的规定,具体包括,促进国际合作的途径、机构和具体办法等。

(二)慎重采取网络通信的限制措施

草案第50条规定了网络管制措施,即“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施。”重大危急时刻,进行权利限制并非不可,而本条过于简单地进行了剥夺公民网络通信权利的授权,有些欠妥,需要进一步完善。网络通信权利属于公民的通信自由,属于宪法第40条保护的对象:公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。据此,如果要限制公民的网络通信,依据宪法要符合两个条件:(1)因国家安全或追查刑事犯罪的需要;(2)依照法律的规定程序进行。因此,限制网络通信也必须符合这两个条件。

建议通过两种办法对此问题做出完善,一是在草案里补充“国家安全的需要”条件,并说明,国务院决定或批准对网络通信采取限制的程序、方法和时间通过行政法予以具体明确。二是把本条需要补充的内容写入《突发事件应对法》,再把限制网络通信所需的条件、程序和时间等做以明确的规定。

(三)增加网络安全监测与应急的军事支持途径

网络战将一国的国家、社会安全和经济运行安全为攻击对象,以对国家造成威慑为追求,危害极大。世界上不少国家都有网络战部队,增加了网络战实施的可能性。网络战有着自身的战法和规律,对网络战的防御仅仅依靠民事力量是不够的,需要依靠军事力量的支持。美国就在其2013年《网络空间联合作战条令》和2015年《国防部网络战略》明确了国防部和军队参与网络安全防御的职能和方式。我国虽然没有成建制的网军,但军队参与网络安全应对是合理的。

进入21世纪后,我国军事力量的多样化运用就已经写入国防白皮书和军事法规。《突发事件应对法》也给予了我国军队依法参加突发事件的应急救援和处置工作的责任。军队参与网络安全应对是合法的。因此建议,在网络安全法第五章监测预警与应急处置中,增加军事参与网络安全监测预警与应急处置的内容。可以考虑在第46条增加一款:国家网信部门依据法律、军事法规,对网络安全重大突发事件,可以与军队相关部门合作实施安全措施。实施安全措施的具体办法可以另行规定。

增加这一条款,一是网络主权的捍卫本来就应该有军事的支持。二是使我国军队参与网络安全应对有了法律的依据。三、草案中加入这样的规定,也能和《突发事件应对法》军队参与突发事件的规定衔接起来,具有逻辑上的连贯性。

2016-02-27 15:09
来源:中国信息安全杂志(2015.08)
热门推荐更多
热点新闻更多