网络安全法草案解读 符合中国网络空间安全需求

17.07.2015  19:07

  《网络安全法》(草案)的立法说明中,清晰而明确的阐述了如何在现有条件下,尽力尝试将已经有的网络安全实践上升为法律制度,并使其符合中国的网络空间安全需求。

  建设网络强国,是中国国家主席习近平同志提出的宏伟战略目标。要有效实现这一目标,离不开坚实有效的制度保障,正是在此背景下,《网络安全法》(草案)的出台,预示着建设网络强国的制度保障正在努力迈出坚实的一步。《网络安全法》(草案)的立法说明中,清晰而明确的阐述了如何在现有条件下,尽力尝试将已经有的网络安全实践上升为法律制度,并使其符合中国的网络空间安全需求。其中,特色比较鲜明的包括:

  其一,明确了我国维护网络空间安全、利益以及参与网络空间国际治理所坚持的指导原则是网络主权原则,并明确在第二章提出了有关国家网络安全战略和重要领域安全规划等问题的法律要求。这有助于实现推进中国在国家网络安全领域明晰战略意图,确立清晰目标,厘清行为准则,不仅能够提升中国保障自身网络安全的能力,还有助于推进中国与其他国家和行为体就网络安全问题展开有效的战略博弈。同时,这也意味着,一旦草案通过,中国政府将有义务公布并制定更加详细明确的国家网络安全战略文件。从法律适用的范围规定,即“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法(草案第二条)”,中国仍然奉行的是防御型的国家网络安全战略观念,将安全战略的焦点聚焦于境内,这当然是中国一贯爱好和平的战略理念在网络安全领域的重要体现,同时也为中国将来进一步考虑如何在更加开放和高速流动的全球网络空间内有效保障自身的网络安全提供了一个起点,一个充分体现“韬光养晦”的起点。

  其二,明确了保障关键信息基础设施安全的战略地位和价值。保障关键信息基础设施安全,在公布的《网络安全法》(草案)中占据了相当的篇幅。草案的第三章第二节专门用于规范关键信息基础设施的安全。此次列入关键信息基础设施范围的,涵盖了涉及国家安全、经济安全和保障民生等领域,具体范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。保障关键信息基础设施的安全,从全球各国的实践来看,是国家网络安全战略中最为重要和主要的内容,这与人们日常生活对网络关键基础设施的强烈依赖密不可分。有效的识别和分析威胁的来源,并采取相应的安全保障措施,是问题的关键。《网络安全法》(草案)对网络产品和服务提供者的安全义务有了明确的规定(草案第十八条),将现行的安全认证和安全检测制度上升成为了法律(草案第十九条),强化了安全审查制度(第三十条),明确等级保护制度在保障国家网络安全中所处的地位(第十七条)。这些措施,从已经有的实践来看,一定程度上可以满足保障国家网络安全的需求,应对由非国家行为体,从国内外可能实施的网络攻击所带来的威胁;但就中长期前景来看,中国面临的战略任务是如何在持续开放互联的全球网络空间内,有效预防来自强势行为体,包括占据优势能力地位的国家行为体,对中国关键信息基础设施构成的威胁挑战;基于条线分工形成的多点静态网络安全保障体系,很难有效胜任应对这种真正的国家级的安全威胁,这也是后续修订相关法律,完善战略,构建新的实践操作程序时,必须认真思考的问题。

  其三,保障网络数据安全进入了国家网络安全的视野。数据是网络时代的石油,是对国家安全至关重要的战略资源。草案对此做了三个方面的规定,分别是要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条);加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(草案第三十四条至第三十九条);要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(草案第三十一条)。这些规定在构建中国特色的数据安全保障体系,落实数据主权,保障数据安全方面,做出了非常有益的尝试。同时,在大数据时代,保障网络数据安全不能仅仅通过强化对运营者的法律监管来实现,还需要有效的提升国家对数据流动,尤其是网络空间与特定数据资源相关的行为的感知能力,进而在此基础上,构建国家级的网络入侵防御系统来有效的实现。参考美国2008年小布什政府时期提出并实施的全面国家网络安全倡议,要保障中国的网络数据安全,同样需要像美国一样,将情报-反情报能力融入国家网络反入侵系统的建设之中,并通过这种系统,将负责国内安全、对外情报、国防等不同安全领域的职能部门有效的整合起来,才能真正有效的迎接并有效应对国家在网络数据领域面临的战略威胁与挑战。

  其四,在国家网络安全向相关信息共享,以及网络安全监督管理体制建设方面,《网络安全法》(草案)进行了有益的尝试。努力打破部门壁垒,共享网络安全相关的信息,是此次《网络安全法》(草案)中值得高度关注的亮点之一,草案规定:要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作(草案第四十四条、第四十五条);建立网络安全应急工作机制,制定应急预案(草案第四十六条);规定预警信息的发布及网络安全事件应急处置措施(草案第四十七条至第四十九条);为维护国家安全和社会公共秩序,处置重大突发社会安全事件,对网络管制作了规定(草案第五十条)。同时,草案尝试对网信、工信、公安等涉网管理部门的权限进行了明确的规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作,并在一些条款中明确规定了其协调和管理职能。同时规定,国务院工业和信息化、公安等部门按照各自职责负责网络安全保护和监督管理相关工作(草案第六条)。从实践看,网络安全领域走在前列的强国,如美国,都将重点聚焦于网络安全保障的跨部门合作上:美国从2007-2008年间开始,借助部署网络入侵监测系统(爱因斯坦2)以及网络入侵预防系统(爱因斯坦3),将国土安全部、美国计算机应急响应工作组、国家安全局、国防部等部门实施有效的整合,确保有关网络攻击的威胁信息能够在国土安全、情报、国防三个条线内有效流转和共享,然后视情况需要,调用全部战略资源应对来自网络空间的战略威胁,并最终在高对抗性的战略博弈中获得压倒性的优势。坦率的说,相比美国的实践,并对比中国客观的国家网络安全需求来看,《网络安全法》(草案)中做出的尝试和努力,只能说是非常初步的,还有漫长而艰巨的任务有待完成。