《中华人民共和国网络安全法》解读
谢永江 北京邮电大学互联网治理与法律研究中心副主任
中华人民共和国《网络安全法》将于今年的6月1日开始实施,这部法律是我们国家在网络安全领域的一个基础性的法律,而且是我们在网络安全里面第一个最重要的一个关于网络安全的顶层设计的一个法律。今天我主要给大家讲四个方面的内容,一个是与网络和网络空间有关的问题,第二个我们讲一下网络安全的立法情况,包括它的背景,包括我们国家立法状况,第三个方面讲一下网络运行安全,第四个讲一下网络信息安全。
一、网络的概念和属性
(一)网络与网络空间
1、Network和Cyberspace
对于网络大家也并不陌生,其实网络在英语里面有两个词,一个是叫Network,一个是Cyberspace。其实,我们早期的时候用Network这个词用的比较多,它主要是指物理意义上的网络,就是计算机、电脑,包括它的网络连线构成的一个网络。现在最近几年,我们实际上用这个Cyberspace用的这个词比较多,这个词最早是一个网络的朋克,科幻作家在他的小说里面用了这个词,后来就逐渐流行开来,用在计算机网络的通信环境上面。所以我们在《网络安全法》里面,对网络其实有一个定义,所谓网络是指由计算机或者其他信息终端,及相关设备组成的,按照一定的规则和程序,对信息进行搜集、存储、传输、交换、处理的系统。这个概念其实主要是从物理结构意义上的网络这个方面来定义的,它实际上没有全面的界定网络空间。
2、网络空间的构成要素
作为一个网络空间来讲,它不仅仅是指物理意义上的网络系统,作为一个网络空间它应该包括这样一些要素:第一个方面就是我们说的物理设施,主要是指网络的设备,网络传输的整个物理系统,甚至可以包括我们存放网络设备的建筑物,也可以作广义上的一个物理设备的一部分。
第二个方面就是让这些设备发挥作用的软件、协议,如果没有这些操作系统,各项应用软件的话,我们这些物理设备也不可能构成一个网络,所以这个是第二个方面。实际上它也属于网络的逻辑结构里面的一个重要的部分。
第三个方面就是运行在网络系统上的信息,我们知道其实互联网它的最大的价值是在传输处理信息方面,所以信息是系统上的最主要的一个内容。
第四个方面就涉及到网络的主体,那么这个网络的主体,它指的就是网名,因为作为一个网络系统来讲,如果没有人的话,这个系统它只是一堆物理设备。只有人利用这个系统,那么它才可以构成网络空间。
第五个方面就是人的行为,就是在网络空间里面,上传信息、下载信息、浏览信息、互动交流,有各式各样的行为。实际上就是现实中的人们的行为在网络上的体现,形成这种人与人的一个空间。
在网络空间方面,《德国网络安全战略》提到的网络空间是指全球范围内在数据层连接的所有IT系统组成的虚拟空间。所以,它指的这个网络空间是基于英特网,就是我们说的互联网,这个以普遍的、公开的、可揭露和传输的网络来构成的。这个网络是可以由任何数量的数据网络进行补充和进一步扩大的。
方滨兴院士对网络空间有一个比较经典的定义,他说网络空间是人类通过网络角色,依托信息通讯技术系统来进行广义信号交换的人造活动空间。所以这个界定就基本上把网络空间的各个要素都点到了。一个方面,它是人类通过网络角色,所谓的网络角色实际上就是网名,当然它有各式各样的身份。另一方面,依托的信息通讯技术系统,这个就是我们说的网络,叫network,这个网络也是广义的,它包括互联网,包括无线网,包括工控网、广电网、电信网,各式各样的信息通讯技术系统都包括。然后,进行广义的信号交换,所谓广义的信号交换,实际上就包括上面的光、电、磁等各种信号来进行传输的信息。另外一个涉及到它是人造活动空间,它不是一个现实的空间,它是一个人造的,虚拟的空间。它一定是要有人的活动的,如果没有人的活动的话,作为一个网络空间的意义就不大。
(二)网络空间的特点
对于网络空间的特点,有很多总结,包括网络的互联互通性、网络的开放性。对于网络空间,我个人总结三个特性,可能觉得这方面重要点。
1、网络空间的虚拟性
这个网络空间的虚拟性大家都知道,它没有三维的物理空间,所以它是一个人造空间,是一个电子的空间,是一个代码的空间。它跟我们的现实世界是不一样的,在这个网络空间里面,它的主体其实也有虚拟的一面,比如说是匿名的,隐藏身份的。有一个很有名的漫画不是说吗?就说你不知道在互联网的那头,他是一个人还是一条狗,所以一个身份的匿名,就带有虚拟性。
另外客体也会有虚拟,比如说我们有将财产虚拟,其实在网络上呈现的这些,比如说宝龙刀,屠龙刀,倚天剑这些装备,它实际上也是个财产,比如说一把屠龙刀可以卖2000元,但是它实际上是一个代码组成的,它不是一个真实的财产,所以这个客体它是有虚拟性的。
另外行为也是有虚拟性的,其实我们在网络上的行为,从现实来讲,它实际上就是一个上传、下载、浏览,其实很多的就是一种信息传输的行为,但是我们在网络上可能会表现为各种网络欺凌,网络暴力,网络恶搞,那么这些行为其实带有虚拟性,它实际上是一个信息的行为,并不是真正的网络实施的一个暴力行为。所以,我们讲网络空间,它是有很显然的虚拟性。
2、网络空间的现实性
我们现在的网络空间已经不是互联网早期的网络空间了,互联网早期的话,它是一个很虚拟的,因为我们很少有网民在上面,然后也很少人将自己的生活联系到上面去,但是现在的话,我们这个网络空间已经与老百姓的生活息息相关,所以我们看它现实性的方面。
第一,它是有实在的信息通信设备,这些设备都是实实在在的,电脑、光缆,这个都实在的,现实的东西。
第二,它的主体是现实的人,在网上是要有虚拟的身份,但是在现实中,他毕竟是一个实实在在的人。说实在的,如果是对方对面是一条狗,这个狗也不可能上网,我们只是这么一个夸张的说法,但是实际上还是现实中的人。
第三,它有实在的客体,信息它也是实实在在的,信息它不是虚拟的,传统的信息它是体现在纸质上面的,现在我们是体现在电子信息上,这个信息应该也是实实在在的。
另外是行为的现实性,这种人的行为,上传信息、下载信息、传输信息,这种信息的交往,这些都是实实在在的信息,实实在在的行为。所以这个网络空间已经呈现出它越来越强烈的现实性的一面,这样的话,它的虚拟性反而变得不太重要了,所以我们来看,实际上网络空间的虚拟,它真正的虚拟在哪儿,实际上它就是没有三维空间而已,其他方面其实都是很现实的。
3、网络空间的社会性
网络空间现在因为有大量的网民进入这个空间,所以大家在里面进行各项活动,进行交往,所以它已经组成了一个网络社会,所谓的网络社会,实际上就是每个上网者和网上的网站,网页,它都是一个互联网的节点,这些连接节点交织成网,形成网络节点联系的一个体系,就构成了一个互联网上的社会交往体系,这个就是网络社会。所以,我觉得网络社会它已经是网络空间的现实性跟它的虚拟性相结合,相融合所形成的。这个也是网络空间它的一个,就说发展了这么多年以后,它的越来越呈现的这么一个特点。在最开始的话,网络呈现技术性特点,那么现在我们的网络空间已经呈现为它的社会性特点。
(三)网络空间与全球公域
1、全球公域的概念
谈到网络空间我们要跟另外一个词进行比较,就是全球公域,这个全球公域是一个什么概念呢?传统上讲,全球公域主要是指那些没有主权国家来主张的,就是任何国家都可以进出的,不归属于任何某一个主权国家的一些空间,这个叫全球公域。我们传统上全球公域包括公海,包括公海的上空,外层空间,还有像极地,南极洲这些,这些地方都是在国家管辖范围之外的。现在像北约和美国都开始组织,特别是美国,极力主张网络空间是一个全球公域,在它的《国土防御和民间支持战略》、《四年防务评估报告》、还有《国家安全战略》里面都提到了。比如说在2015年的《国家安全战略》里面提到,应该采取集体行动,确保对共享空间,网络、太空、天空、海洋的进入;《四年防务评估报告》里面提到,将网络空间与海洋、天空、太空并列为四大公域。
2、网络空间与全球公域的不同
网络空间,它是一个互联互通的全球性的一个空间,那它是不是就是全球公域呢?我个人认为网络空间跟全球公域是完全不同的。
第一个方面,就是组成网络空间物理设施设备,这些都是在各国主权管辖之下,不可能是脱离一个国家主权管辖的。
第二个方面,网络空间中的信息,我们讲它的信息自由,可以自由进出,这个并不是说它的信息自由就确定它是一个全球公域。因为等于说各国对信息进出的管制,这个是存在的。只不过在网络空间里面,大家免除了或者放松了这种信息的出入境管制而已,并不是说国家主权就无权管。所以这个网络空间的信息自由,并不能说它就是全球公域。
第三个方面,网络空间与全球公域最大的一个不同,就是刚才我们说的,它是具有社会性的一面的。因为这个网络空间里头,它是有力量的网民,像我们国家有7亿网民。那么在这样的一个网络空间里面,大家在里面交往,从事各项活动,包括经济活动、政治活动、社会活动。这样任何一个国家都不可能放弃主权管辖,所以这个社会性是网络空间跟传统全球公域最大的不同。因为我们讲传统的全球公域,像公海、太空、极地,这些地方实际上它是没有人类社会的存在的,像那个太空,可能只有宇航员能上去。像那个南极洲只有极少量的科考人员,即使在公海上,包括公海的上空——天空上,也是有船舶,有飞机,里面有大量的人,但是大家只是路过而已,它并不可能组成一个社会。
第四个方面,就是网络的互联互通性,包括它的无国界性,也不意味着网络空间就是一个全球公域,这个网络的互联互通,只是大家为了信息流动的便利,实现了一个互联互通,并不是说国家对上面的信息无权管制,所以这个国家根据自己的需要,或者根据各国自己的法律,是可以设置,比如在关键时候可以断网,可以设置防火墙,为了一国境内的网络空间的法律秩序的需要是可以的。
另外一个方面,所有的全球公域实际上都是有利于技术强国的,对后进国家实际上属于不利的。我们可以看看太空,包括极地,实际上也只有技术先进的国家能够利用它,对那些技术落后的国家,它是无法利用这样的一个全球公域的。所以这个主张网络空间是全球公域,实际上其实也只是像美国这种在网络空间里面具有技术霸权地位的国家,它是特别乐意把它作为一个全球公域来看待。实际上虽然美国包括北约,它会主张网络空间是一个全球公域,但是也承认,网络空间它实际上是有主权的,各国可以管辖的,并不是说在国家主权管辖之外的。只不过他们在对外宣传上,在咱们的战略上,把它视为一个全球公域来做。
二、网络安全立法
(一)网络安全问题的起源
我们给大家一起分享一下关于网络安全的立法方面的问题。对于网络安全问题的起源,实际上它是伴随着网络的发展而产生的一个问题。像世界第一黑客,1979年16岁的米特尼克就开始入侵数字设备公司,后来被判刑了12个月监禁,3年的监外看管,在监外看管期间,又入侵了美国联盟调查局IBM等公司,后来又被抓了以后,被判监禁68个月。2000年释放后,在3年的监外看管期,他被禁止除了使用地上通讯电话以外的任何通讯设备,就是不让他碰任何网络、计算机。但他经过申诉以后,获得了使用互联网的权利,但是法院禁止他在7年之内,从基于其犯罪行为而制作发行的电影图书中获利。所以限制他,是因为他利用其犯罪行为、违法行为而获利。所以这个是世界上第一个黑客,很早就有了。
世界上第一个计算机病毒——莫里斯病毒,是由康乃尔大学研究生莫里斯编写的,导致了大量的计算机和连接设备无法使用,造成很多网络的瘫痪了巨大经济损失。所以他被判3年缓刑,400小时的社区服务,还有10050美元的罚款,莫里斯他是美国依据《1986年计算机欺诈与滥用法》定罪的第一个人。所以到现在,储存他的病毒原代码的磁盘已经作为一个文物保存下来了。我们大家可以看到,网络在早期就已经带来了风险,包括黑客,病毒,这是因为互联网的最大特点——开放性的特点。因为它要开放,所以它必然带来致命的弱点,这就是安全性的问题。消除互联网安全漏洞,这是一个跟互联网的发展相伴而生的命题。
我们来看一看近几年国际上关于网络安全方面的几个重大事件。一个是2007年4月,爱沙尼亚遭遇了大规模的网络袭击,它的黑客的目标包括国会、政府部门、银行以及媒体的网站,攻击的范围也是非常广泛。这个事件在国际军事界也受到瞩目,也被视为是一场国家层次的网络战争。因为爱沙尼亚这个国家比较小,所以它等于说遭受大规模攻击,基本上整个国家的电脑系统就处于一个瘫痪状态。那么这个事件之后,北约就在爱沙尼亚的一个叫塔林的城市成立了北约网络合作防御卓越中心,近几年推动了《塔林手册1.0》、《塔林手册2.0》两个版本。《塔林手册1.0》实际上是在网络空间网络战方面使用国际法的一个手册,就是大家应该遵循一个什么规则,那么《塔林手册2.0》是今年刚推出来的,它讲的是在和平时期,在网络空间应该怎么样遵守国际法,达成规则方面的认识。这个是爱沙尼亚的网络方面的问题。
还有一个就是2010年伊朗的震网病毒,这个也是让世界感到震惊的一件事情。伊朗震网病毒的特点是它能够破坏硬件,就是感染这个病毒以后,它能够让伊朗的核电站的离心机的预警系统受到破坏,导致离心机不停的运转,直至被烧毁,所以这个病毒直接导致伊朗的核计划受到极大的阻碍。
还有一个就是2013年6月的棱镜门事件,这个也是让中国感到非常警醒的一个事件。美国的前中情局职员爱德华斯诺登泄露,美国国家安全局有一个棱镜计划,实际上是监控美国公民的电子邮件、聊天记录、视频照片等等这些资料。后来发现它也是在不断监控美国公民,而且监控全世界,包括监听欧盟的机构,当然也不会放过中国的一些领导人,也包括中国的一些像华为这样的公司。这个在美国人看来觉得是很平常的事件,觉得这个是为了像奥巴马说的“为了更好的认识世界”,像他们的国务卿克里说的“我们出于国家利益”。这样的话,收集这样的情报对于维护国家安全是有好处的,但是对于其他国家,像一个国家完全处在美国的监控之下,对美国来讲,几乎透明,这样的国家安全感在哪里,所以这个事件让我们国家对网络安全问题变的非常重视。所以在这个事件之后,2014年我们就成立了网络安全信息化领导小组。
另外一个是专门针对中国的一个事件,这个也是让中国感到很震惊的一个事件,就是美国司法部起诉中国的军官,它是指控中国的军方人员入侵美国的企业,窃取商业秘密。这个意思就是说,美国觉得大家互相窃听对方的军事,这个是很正常的,但是如果你是去窃取对方的商业秘密,企业的商业秘密,这个就是违法的。那么我们先不说这个事件有没有,当然我们想让美国提供证据,美国也不可能提供这个证据。这个事件说明一个什么问题呢?其实在另外一个角度来感觉是,我们可以看到美国的网络技术的先进,它能够定位我们的每一个人,实际上是有这么一个技术在里头,那么我们国家能不能做到呢?可能是比较困难。所以等于说这个也是,美国人直接告诉中国人,就说我们的技术有多强大,所以这个像奥巴马说的,如果做网络战的话,中国肯定不是对手,所以我们也可以感受到美国的技术的先进程度。
2015年还有一个事件就是乌克兰电力系统的破坏,导致乌克兰大面积的社区停电几个小时,这个事件它实际上是通过网络破坏达到停电,造成社会混乱的具有信息战水准的一个攻击事件,所以可以看到我们很多民用的设施也是处在网络的威胁之下的。
另外一个涉及到个人的事件就是2016年9月雅虎披露,曾经在2014年末发生过大规模的数据泄露,说他有一半的数据被泄露,大概有5个亿的个人数据被泄露,所以这个等于说我们个人信息安全也是暴露在网络的黑客,包括在网络的风险之下的。
道高一尺,魔高一丈。美国互联网技术如此先进,那么它是不是能够免于网络威胁呢?这个也不是,我们在去年年底,2016年的10月,美国就遭遇到大规模的拒绝访问服务攻击,多个城市出现互联网瘫痪,所以可以看到,美国如此先进的网络技术,它也很难避免网络的攻击,所以应对网络攻击应该是全世界各个国家共同的一个结论。把网络空间打造成一个人类命运的共同体,实际上也是现实的需要。
另外还有一个让美国人感到很愤怒的事件,就是美国人曾认为俄罗斯通过网络干预了美国的选举,所以这个在去年年底的时候,奥巴马不是将俄罗斯的35名外交人员驱逐吗?另外他这个国家情报总监办公室发布的一个报告,也是认为俄罗斯情报部门,根据普金的受益,发动了一场针对民主党总统候选人希拉里的高复杂度黑客活动,影响选举结果,破坏美国的民主制度,所以这个等于说美国人也重视到这个网络的威胁,它不仅是对技术信息的干预,它已经开始进入到意识形态,破坏了美国的民主制度。所以在去年底,欧盟和美国相继出台了反宣传法,2016年11月,欧洲议会通过了《欧盟反击第三方宣传的战略传播》建议案。所谓第三方宣传就是恐怖主义、犯罪组织还有俄罗斯的媒体《今日俄罗斯》,所以他们也是在网络的内容方面开始越来越重视。奥巴马也签署了一个叫《波特曼墨菲反宣传法》,那么通过这个法案,美国国防部可以获得一个预算,建立一个反宣传中心来对抗外国针对美国的宣传,他要通过资助一些他认为公正客观的一些记者,一些媒体,来进行反宣传。所以可以看到欧美国家它也是在通过网络的手段,越来越重视网络信息内容的安全,包括意识形态的这种安全。
所以有这么大量的网络事件随时都在警示人们,网络安全是有风险的,而且会可能造成巨大的危害,所以对互联网的发展,我们对于网络安全的问题越来越重要,一定要重视。
(二)网络安全的概念
什么是网络安全呢?我们曾经用过很多概念,包括计算机安全、信息安全、网络信息安全等等。我们曾经界定过,就《计算机信息安全技术——术语》里面,对计算机安全有个定义,就是采取适当措施保护数据和资源,使计算机系统免受偶然还恶意的修改、损害、访问、泄露等操作的危害。《网络安全法》对网络安全也有个界定,就是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可应用性的能力。所以这个网络安全的界定就是要制订一系列的措施,这些措施是为了保证网络的一个安全状态,那么另外一个就是为了保证数据的完整性、保密性、可用性的能力。这个界定实际上就等于是网络安全包括两个方面,一个就是网络的运行安全,一个就是数据的安全。对于这个概念它其实不是很完整的,有很多学者有不同的意见。我们可以看看德国的一个概念,我觉得它是比较具有高度概括性的一个概念,就德国的网络安全战略里面,它对网络安全界定的是:网络安全是指一种IT安全状态的希望目标,即全球网络空间风险降低到可接受的最小程度。它把网络安全界定为,就说这个网络安全不是绝对的,但是只要你能够接受这个风险,那么这个网络就是安全的。所以这个概念也是一个比较精炼的,能够把握整个网络安全的实质的一个概念。
(三)网络安全四大内容
如果要分解这个网络安全问题的话,我们个人认为,它有四个方面,第一方面就是物理的安全,就是要求设备必须是安全的,线路必须畅通的,包括防火防盗,这种保证你的计算机系统,计算机本身是安全的。另外一个就是运行的安全,就是在设备上运行的软件是安全的,协议是可以能够保障安全运行的。运行安全跟物理安全也可以合起来,变成一个运行安全也可以。另外一个就是数据安全,我们讲网络上其实储存的主要是这些数据和信息,所以要保证数据的安全,是我们网络安全的一个很重要的环节。这个也是全世界各国都非常强调的数据安全。另外还有一个方面,这个是我们国家强调比较多的,就是内容的安全,就是包括信息所体现的内容,包括它是不是淫秽色情信息,是不是违反宪法,违反法律的信息,这个就涉及到内容安全的问题,所以我把这个网络安全总结为这四个方面。
二、网络安全立法
(四)网络治理
1、互联网治理的概念
互联网的治理国际上有个概念叫做是指政府、私营部门、公民社会根据各自的作用,制订和实施的旨在规范互联网发展使用的共同原则、准则、规则、决策程序和方案。对于这个概念我们可以看看,我们在网络空间里面讲的最多的是网络治理,而不讲管理,这个治理跟我们说的管理、管制有什么不同呢?实际上这个网络空间的治理,它有这么几个方面跟现实中的传统的管理不太一样。
一个就是主体的多元,我们传统社会里面,对于管理,一般我们主要强调的是由政府来管,大家都是觉得社会的管理应该是政府的事情,或者是政府为主的事情,那么在网络空间,这个政府它就很难像传统社会里面那样去管。所以它需要由企业、民间组织、技术社群、学术界、国际组织和其他利益相关方一起来共同参与,才能够把网络空间治理好。举个简单例子,比如说政府要管网民的话,直接管很难,因为网民大部分都在一些平台上,比如说腾讯,它有六七个亿的网民,政府怎么能够直接管理呢,它往往需要借助企业来管理,它要管理的话,也要由企业提供相应的技术和数据,才能够管理好。所以这个政府要像传统社会一样,政府直接去管理网民,它会有很多障碍和困难,所以它是需要大家共同的参与。
另外一个就是治理手段要多元,我们传统的治理手段包括行政手段、经济手段、法律手段,在网络空间里面还有两个很重要的手段就是技术手段和自律,网络空间它是一个技术空间,所以没有一个先进的技术,是很难管理好这个网络空间的。另外一个方面网络是日新月异的,而且很多都是企业已经推出来的这项技术,这项应用,政府的管理、管理都是非常滞后的,等你准备好了相应的法律措施,可能这个技术又改变了,所以等于说在管理方面,法律包括行政手段都会有相应的滞后性,这就需要企业、行业组织去做一个自律,就是企业之间自己去找到一个最佳的实践,让网络变得有序,这个变的很重要,所以我们谈在网络里面我们强调的是要制定各式各样的标准,国家标准、行业标准,这些制定标准跟制定法律是不一样的,制定标准是需要大量企业的参与,我们制定法律可能有些专家,国家部门来做,但是标准没有企业的参与是做不出来的,所以我们讲治理的手段也是多样。
第三个就是治理目标也是多元的,我们谈网络空间治理的目标,一般都谈要推进网络空间的和平、安全、开放、合作、有序、维护国家主权、安全发展利益,它有各样目标,所以网络治理跟传统的管理,理念上还是有不一样。
2、网络治理模式
网络治理的模式有很多,这里介绍四种。第一种就是我们早期的时候,有一些技术专家提出来的自由模式,就是网络空间是我们这些技术社群创造的一个空间,政府没有做出任何贡献,那么政府也不用管我们的网络空间。曾经在90年代,有个人写了一篇文章叫《网络独立宣言》,就讲到政府的归政府,网络的归网络。
第二种就是主张网络空间应该是软件代码的治理,网络空间实际上它是由网络代码组成的,它最后通过代码来设计网络结构,大家遵循网络结构的设计,然后在网络实施各式各样的行为。所以他认为在网络空间里面,应该有法律可以管,市场可以管,还有各种准则、道德管,另外很重要的就是网络结构、网络代码来管。所以在网络空间,网络代码就是一个法律,网络代码设计好了以后就会影响我们对网络的利用,对信息的使用处理,所以通过这个代码来管理是一个很好的方式。比如说我们对于垃圾邮件,垃圾邮件我们当然可以通过制定法律,说你发一条垃圾邮件我们罚款1000元,这个也可以。但是这个有效果吗?恐怕很难,这个垃圾邮件数量巨大,而且谁发的,你要追寻下来非常困难,而且都是跨境的。但是我们通过一个软件或者说一个识别垃圾邮件,将垃圾邮件进行分类,把垃圾邮件归到一个垃圾邮件箱,正常的邮件归到你的收件箱。那么这样的话,就避免这个垃圾邮件干扰我们的收发邮件,这样的话反而效果更好,并不是通过严刑峻法能够治理的好的。就像我们坐飞机,我们看到飞机上有一些ipad,他也不怕丢,为什么不怕丢呢?其实我们可以注意到,他的电源接口是两个角,我们通常的是一个角,所以你拿下飞机也不能用,所以这个也是通过结构设计来预防被偷被盗的。
第三种就是将网络空间如同现实世界一样去治理它,我们也可以注意到,现在对网络空间的治理也是逐渐转向用现实世界的这种治理的模式来提高治理效率,其实我们讲网络空间跟现实空间是一个融合空间,对于这个现实的治理手段一样,很多情况下是可以用的。比如说每个地方它有自己的法律,那么通过自己的法律来治理,像法国,它就是对于纳粹这些宣传,就是属于违法的。在以前有一个案件就是在雅虎网站上拍卖这个纳粹的纪念品,军服、军刀这些东西,这个在法国是触犯法国刑法的,所以法国就要求雅虎把这些信息下架,要让法国人不能够浏览到。雅虎就觉得这个是政治言论自由的事情,你怎么能管理呢?你怎么能用你的法律来管理呢?所以它在美国起诉要求不执行法国的判决,当然美国的联盟法院认为,这个的确是政治言论,这个不属于管制的范畴,应该是合法的。但是上诉法院就回避这样的问题,它就认为这个事情跟美国没有直接关系,在美国不用管辖,但是最后雅虎还是执行了法国的判决。所以这个就是一种各个国家根据自己的法律和规则在管理这个网络空间,跟现实空间一样去管理它。
第四种就是多利益相关方的治理,这个是现在国际上特别流行的治理模式,这个治理模式我们可以看到在ICANN这个机构,就是管理互联网域名和网址的机构,以前的这个机构是在美国的管辖之下,跟美国商务部签订的一个协议,由美国商务部授权,ICANN这个机构来管理,那么在斯诺登事件出现以后,美国倍受指责,所以它就决定把这个ICANN这个机构交出去,它的管辖权交出去,那么交出去的话,很多国家像包括中国就觉得那美国应该交给联合国,这个网络空间是全球性的,那么应该由全球性的机构来管理,交给联合国包括联合国下面的国际电信联盟来管,这个是比较合适的。但是美国人就反对,说不能交给任何一个政府机构来管理,所以它就提出来一个叫多利益相关方模式,就是要交给一个多利益相关方来管理,而不是交给一个政府这样的机构来管理。那么我们大家可以看到,ICANN这个机构它有个最高权利机构是董事会,这个董事会有16个成员,这些成员不是任何政府机构来任命的,它由一般的用户,一般的会员任命一个,提名委员会来任命八个,然后各种支持机构,三个支持机构来各提名两个,还有加上他们的总裁,首席执行官占一个,等于说这里面没有很明显的政府介入的痕迹,在这个机构里面它有一个政府咨询委员会,这个政府咨询委员会呢,它可以派个代表参加这个董事会,但是没有表决权,也就是说政府的权利、政府的影响在这个机构里面是很弱的,就是这么一种模式。当然我们讲美国是不是就这么好,把这个权利就交出去了吗?当然也不是,我觉得美国是因为它的互联网企业非常的强大,它在这个机构里面,通过它的公司已经能够发挥很大的影响力,所以它愿意交给多利益相关方。如果交给政府性组织的话,一个国家一票,那美国的影响力下降。所以这个也是要鼓励我们自己的企业、非政府组织能够去参与这个ICANN的各项活动,在里面逐渐去发挥影响力。
3、我国网络治理的历程
据我们国内来讲,我们国家的网络治理应该有,我个人把它分成三个阶段,一个阶段就2000年以前,我们国家主要是在普及互联网,在建设互联网,所以在这个阶段,我们对互联网的治理很少,就是把它作为一个具有技术特点的一个事物来看待,所以我们在这个阶段主要管什么,管理国际联网安全的这些方面的东西。那么2000以后呢,我们就越来越发现互联网不光是一个技术方面的事物,还是一个媒体,就各种各样的门户网站出现以后,大家加强了对互联网的管理,这个是内容管理,各个部委在这个阶段制定了大量的规章,大量的文件,在自己管辖的范围内把互联网上面的各种人的思维进行管理。那么第三个阶段我觉得标志性的事件就是我们国家成立了网络安全信息化领导小组,这样的话,我们开始在顶层设计上,给一个网络治理重视起来,我们在2014年之前,大家都是各个部门自己来管。那么顶层设计这个地方很少,2014年以后,网信小组成立以后,这个网络治理开始走向顶层设计,其实也是走向法制阶段的一个过程,所以我们很快在2014年成立了网信小组,2016年底,我们推出了《网络安全法》,加快了走向法制的一个进程。
4、中国的网络治理主张
对于中国的网络治理主张,这个就是我们习近平总书记提出来的,在第二届世界互联网大会上提出来的,就是我们要构建一个和平、安全、开放、合作的网络空间,建立多边、民主、透明的全球互联网治理体系。他提出四项原则和五点主张,四项原则就是,第一尊重网络主权,第二维护和平安全,第三促进开放合作,第四构建良好秩序。五点主张就是,第一加快全球网络基础设施建设,促进互联互通,就是基础设施方面的建设;第二个就是打造网上文化交流互享平台,促进交流互信,这个就是发展网络文化;第三个就是推动网络经济创新发展,促进共同繁荣,这个就是要大家共享数字红利;第四就是保证网络安全,促进有序发展,这是我们强调的网络安全问题;第五就是构建互联网治理体系,促进公平治理,就是加强网络治理。如果大家留心的话,我注意到我们在第三届世界互联网大会的那个《乌镇报告》里面,我们实际上是把这五点主张做了一个阐述。所以这五点主张的话,也是将来我们国家在国际互联网领域需要去进一步推动的五项事业。
(五)我国网络安全立法
1、现行网络安全法律体系
对于我国的网络安全立法,我们先看一看,现行的《网络安全法》律体系方面。在法律层面,大家看看实际上我们只有两部网络法律,一个是《网络安全法》,一个是电子签名法,其实电子签名法也涉及到电子签名的效率问题,也是涉及到网络安全。所以这两部是一个真正的网络法律,还有两个决定,一个是关于维护互联网安全的决定的,还有一个是加强网络信息保护的决定。这两个决定,严格讲它不是一个真正的法律,它是就某些事项所作的一个决定,所以很多情况是为了解决上位法的问题。除此而外就是传统法律里面加入了网络安全方面的内容,比如《刑法》里面有网络犯罪,《治安管理处罚法》有对那些违反法律的、与网络有关的治安管理的行为进行处罚,网络侵权行为,《侵权责任法》里面涉及的侵权行为,还有网络消费者保护,未成年的网络保护的问题等等,这是在传统法律里面,我们通过修订,增加有关网络安全的内容。在行政法规方面,我们也是有大概是八九个有专门的网络行政法规,但这些法规实际上都是比较简单,涉及的事项也比较少。其实更多的是一个网络规章,总体来看,我们国家的网络法律实际上它形成这样一种模式,就是以传统法律为基础,以网络专门法律为补充的一种模式,就传统法律通过修整,延伸使用到网络空间,因为网络空间和现实空间是融合空间,所以传统法律肯定是可以适用于网络空间,但是它有一些网络不同的特点,它需要对传统法律做一些修改完善。
那么另外一个就是要在传统法律里面所不能包括的部分,这个时候可能我们需要制定专门的网络法律。一方面,我们出台了《网络安全法》,像《网络信息服务管理法》这方面我们也需要,我们现在的《网络信息服务管理法》这个行政法规是2000年制定的,已经远远不能适应现在的需要了。另外一个就是个人信息保护,这个我们在传统的法律里面,对个人信息也涉及很少,个人信息的保护需要通过行政保护,需要通过专门的行政机构来执法,有必要去制定个人信息保护法,另外还有电子商务法,这个已经公布了草案,我们正在进一步推动立法,还有电子政务法、信息通讯法,还有网络社会方面的管理法,这些方面我们将来都有可能会出专门的法律,这是我们中心统计的与我们国家与网络有关的法律法规的一个整体情况。那么就这个法律、行政法规、司法解释方面,我们统计了所有与网络有关的,不仅是包括专门的网络法,也包括与网络有关的法律,所以这个统计的法律有50来件,行政法规有50来件,司法解释有61件。另外,我们还统计了部门规章和地方法规规章,这个主要是统计专门性的部门规章还有地方法规和规章,这个是部门规章有132件,地方法律和规章有152件,大家可以看看我们实际上是部门规章占了很大的部分。
2、网络安全立法存在的问题
总体来看,我们国家的网络安全立法还存在这么几个方面的问题。第一个方面就是立法层次还是比较低,欠缺上位法和体积化的设计,我们现在已经推出了《网络安全法》,这是一个很大的进步,但是总体来讲,我们还是像电子商务法、电子信息保护法、甚至电信法,现在可能已经改名叫信息通信法了,这个我们到现在还缺乏,等于说上位法,在法律、全国人大层面的法律还是比较少的。
第二个方面就是政出多门,立法分散,立法与执法会存在脱节,我们很多立法是由各个部委出台的,部委出台的话,他会根据自己的利益,从自己的角度去立法,所以它存在分散性,可能不够积极化、系统化,所以这样的话,在执法上就会有一些冲突。
第三个方面就是立法还是比较滞后,刚才我们提到很多法律都是在2000年前后制定的,但是网络发展特别快,所以我们很多法律需要进一步完善,所以我个人认为就是网络的立法我们不能求全,不能让它,一个法律要完全成熟,制定的很完备才推出来,其实这个网络空间的立法,我觉得可以吸收网络的、产品的这种别代优化的思维,就是我们可以先推出一个法律,它不完善,我们可以通过像网络技术一样不断的更新,不断的修改完善它,而不用像传统立法一样熟一个制定一个,我们只有这样立法,即通过不断的更新完善这种模式,才能够适应网络社会快速发展的需要。
第四个方面也就是立法比较简单,欠缺操作性,我们可以看到,我们很多的行政法规规章,其实条文都特别少,所以这个操作性也比较差。
第五个方面就是立法重管理轻治理,重义务轻权利,因为各个部门的立法它不能给被执法的对象,被管理的对象赋予什么权利,只是说你作为我的行政管理相对人,那么你应该做什么,往往是注重义务一方面,所以那些基本权利实际上是需要法律来确定,比如个人信息权,是需要法律层面来赋予的,而不是通过一个规章能够确定的。另外我们国家当然在网络立法方面,人才方面也比较缺乏,其实各个学校在培养网络法律人才方面,现在也才处于一个起步的阶段。
(六)《网络安全法》的基本原则
1、网络主权原则
我们国家为什么强调这个网络主权呢?实际上也是跟多利益相关方的制定模式有点相对,多利益相关方的模式实际上它是排除主权,排除政府的干预,但是我们前面讲了,网络空间它仍然是在一个主权下的空间,它不是一个全球空间,所以我们国家主张网络主权的原则。网络主权的原则它包括四个方面,管辖权、独立权、防卫权、平等权,实际上就是传统的国家主权在网络空间中的一个表现,一个延伸。
(1)管辖权
管辖权实际上就是各个国家依据自己的法律来管辖网络事务,这个实际上是网络主权里面很重要的一个方面,即使那些不承认网络主权的国家,或者淡化网络主权的国家,也在依据国家主权在管辖这个网络,所以我们讲一个国家可以有权制定自己的有关网络的政策法律,有权去管辖网络中的人和事。
(2)独立权
作为一个互联互通的网络,想完全独立,这个不太现实,所以我们这里讲的独立权实际上就是说,我这个网络不会被别的国家无缘无故的从互联网上给消灭掉。比如说我们现在这个域名体系,有国家顶级域名,比如如果要抹掉中国在互联网上的位置的话,只要把点设域名(57:47),不进行解析,那么别的国家就访问不到我们的网络了,所以说中国的网络在国际互联网上就消失掉了,所以这个是要确保我们的网络能够存在于国际互联网上,不能被别的国家随便给抹掉。
(3)防卫权
另外一个就是防卫权,现在网络犯罪、网络黑客、网络攻击大量出现,所以防卫主要是要保证自己的网络能够正常的运行,而不会受到破坏中断,所以现在很多国家在建设网军,实际上是保护国家的网络安全的一个后盾。
(4)平等权
在网络空间里面讲平等权实际上很多的是讲参与网络治理的一些平等权,就是任何国家都能够平等的参与网络治理,而不是说你技术先进,你就来决定网络,但现实中的确一个技术先进的国家,往往在网络空间里面有更多的话语权,因为这个网络空间作为一个技术空间来讲,它通过先进的技术,它对网络有更大的掌控力,那么其他技术落后的国家往往就会受到排挤和挤压的,所以我们主张在国际网络治理方面,应该是基于国家平等的原则来参与的。
我们国家政府对于网络主权的主张,我们最开始在2010的时候,《中国互联网状况》的白皮书里就提出了中国的网络互联网主权应当受到尊重和维护。之后在2014年,习近平主席在巴西的演讲提到信息主权,2014年在给首届世界互联网大会致词时,提到要尊重网络主权。2015年《国家安全法》里面,第一次在立法里面提到,要维护国家网络空间主权,这是我们网络空间主权在立法中的第一次出现。在2015年底,第二届世界互联网大会里面,习近平主席比较系统的阐述了网络主权的原则,提到应该尊重各国自主选择网络发展道路、网络管辖模式、互联网公共政策和平等参与国际网络空间治理的权利,不搞网络霸权,不干涉他国内政,不从事、纵容和支持危害他国国家安全的网络活动,这个对网络主权是作了一个比较全面的阐释。在去年年底,2016年11月通过的《网络安全法》第一条里面就提到,我们的立法目的其实就是维护网络空间主权和国家安全、社会公共利益。所以网络主权原则等于说在网络法里面是最开始得到鲜明体现的。
2、网络安全与发展并重的原则
习近平总书记提到,没有网络安全就没有国家安全,没有信息化就没有现代化,所以网络安全是我们国家安全里面的一个重要的组成部分。他还提到发展和安全是相辅相成,应同步推进,安全是发展的前提,发展是安全的保障,所以这个网络安全和发展应当并重。那么如果你没有发展,那你就无法开发先进的安全技术,那你的安全是没法保障。如果你是一味的发展,不注重网络安全,等于说你的发展属于在裸奔,就是你发展的越好,你越危险,别人通过网络的攻击可以很容易就把你的发展成果化为乌有,所以这个网络安全现在我们已经得到越来越大的重视。在《网络安全法》里面体现出来,就国家要坚持网络安全与信息化发展并重,遵循积极利用科学发展,依法管理确保安全的方针。我们在互联网发展的前20来年,我们等于说发展的非常的快,我们在网络互联网企业,在互联网应用方面,是走在世界的前列的。在世界十大互联网公司里面,中国已经有四家了。所以这个发展是非常快的,但是我们的网络安全的确没有完全跟进,所以我们现在要特别强调。当然安全它也不是绝对的,这个安全要有成本的,所以我们讲安全是一个相对的安全,是一个可承受的,就是在你的承受范围内的安全,并不是要实现绝对的安全,实现绝对的安全那是需要非常高的成本,所以这个可能会得不偿失。
3、共同治理原则
我们讲共同治理实际上就是政府企业、民间组织、社群、学术界、国际组织等等,这些利益相关方的共同参与,共同治理。我们可以看看我们《网络安全法》里面,提到大量的主体,那么我个人统计了一下,大概有30来个,包括政府部门、国家网信部门、国务院电信主管部门、公安部门、国家标准化行政主管部门、各界人民政府等等,另外还有网络的运营者、关键基础设施的运营者、电子信息发送服务提供者、应用软件下载服务提供者,还有行业组织、企业、研究机构、高校、网络安全服务机构,包括职业学校、教育培训机构,还有大众传播媒介,还有用户、从业人员、关键岗位的人员、安全管理机构,甚至举报人等等,这里涉及到30多个主体,可以看到网络治理需要共同参与,像民法,实际上涉及的主体是非常少的,归纳起来就3个,自然人、法人和非法人组织,但是我们的这个《网络安全法》有更多的细化,所以这个体现在每一个主体都要发挥自己的作用,在网络治理里面发挥自己的作用。
4、责权利相一致的原则
在享受互联网带来的红利、带来的便捷的同时,我们也应当履行相应的义务,所以《网络安全法》里面提到,国家保护公民、法人和其他组织依法使用网络的权利,不得危害网络安全,不得利用网络从事危害国家安全,危害社会公共利益,损害他人名誉、隐私、知识产权等等,损害他人的合法利益。所以等于说你享受互联网带来的便捷,同时你利用互联网能够获得利益,获得你的经济收入,同时你也要承担相应的责任,特别是像网络平台,你在吸引了大量的用户,并且从中获得利益,那么你应当将你的网络平台管理好,这是你的责任。所谓我们要讲究责权利相一致,不能说我通过这个平台获利了,但是管理责任全给国家,这样是不合理的。
三、网络运行的安全
(一)网络运行安全的定义
网络运营的安全实际上就是确保网络运行的过程中,网络的操作系统,应用软件能够充分发挥功能,消除负面因素,免受外部的干扰和破坏,保证网络稳定有序的运行,让网络处于一个安全的状态。
(二)威胁网络运行安全的因素
威胁网络运行的安全因素很多,包括比如网络攻击,网络攻击事件实际上呈现下降的趋势,但是大流量的攻击事件开始增加。包括恶意的程序,恶意程序像木马、僵尸病毒等,这些逐年在下降,但是我们注意到移动互联网的恶意程序在大量增加。
第三个方面就是网络的漏洞,这个网络漏洞它有两面性,对于企业来讲,网络漏洞它是一个缺陷,是一个危险。所以它要不停的打补丁,但是对于国家来讲,可能网络漏洞它又是一种资源,特别是在网络占领方面,国家要收集发现网络漏洞,将来在网络战方面可以作为一种战略资源来使用,所以网络漏洞它实际上一方面是一个缺陷,另外一方面,它还是一个资源。
第四个方面,网站的安全也比较突出,包括仿冒网站,网站植入后门,还有网站被篡改这种事件也是大量的发生。
第五个方面实际上就涉及到我们人的问题,就是管理安全意识的欠缺,比如说没有及时更新软件,像最近的想哭勒索病毒,其实微软在3月份已经发布了相应的补丁,如果你没有及时更新的话,遭受这个病毒的风险就会加大了,另外像这个口令,现在我们大家都有大量的帐户,也有大量的密码,很多要记起来非常困难,所以大家可能会公用一个密码,甚至用一些简单的密码,这样的话,带来一些风险,像2014年的火车票网站遭到撞库攻击,导致大量的用户帐号、密码、身份证号、手机号被泄露,发现里面有大量的弱口令,很多人用的是什么123456,a123456,123456a这样的弱口令,非常多,所以这些密码就很容易被攻破。
(三)网络安全等级保护制度
为了应对各种各样的网络安全风险,我们国家建立了网络安全等级保护制度,在《网络安全法》之前,我们是叫信息安全保护,由公安部负责的信息安全等级保护。这个等级保护制度把我们的网络系统分为五级,就是根据它对公民个人和法人其他组织的损害,对社会秩序和公共利益的影响,还有对国家安全的影响三个维度来分成五个等级,第一级就是指会损害公民法人组织,不损害社会公共利益,也不损害国家安全;第二级是会严重损害个人企业的利益,会损害社会秩序和公共利益,但是不损害国家安全;第三级就开始叫严重损害公共利益,还会损害国家安全;第四级是特别损害公共利益,严重损害国家安全;第五级就是特别严重损害国家安全。我们可以看到,第三级以上,它实际上就是有非常大的危害,所以国家三级以上的话,就可以列入关键信息技术设施来加强保护了。
(四)网络运营者的义务和责任
对于网络安全,我们讲网络的运营者是有很大的义务和责任的,所以在《网络安全法》里面将网络运营者的义务和责任更加明确化,主要包括这些方面:
1、安全保护义务
网络运营者要在安全等级保护制度下,履行安全保护义务。包括要制定内部的安全管理制度,就是我们这些网络运营者、网络运营单位,首先自己的内部要有相应的一整套完善的管理制度,包括操作规程。另外还得确定网络安全负责人,所以要有相应的制度和责任人员。
第二个就是要有相应的技术措施,就防范计算机病毒和网络攻击,网络侵入等危害网络安全行为的技术措施。这些技术措施,应当是合理的技术措施,不能用过时的技术措施,是合理有效的一个技术措施。
第三个方面就是要监测技术网络运行状态,网络安全事件的技术措施,要按照规定留存相关的网络日志不少于6个月。对于这个记录,我们原来对一般的记录规定60天就可以了,现在要保存6个月,这样实际上会增加企业的负担,要买更多的服务器来储存这些数据。
第四个方面要对数据进行分类管理,重要的数据要备份和加密。
第五个就是其他的义务,如果你不遵循安全保护义务,那么可能会处最高10万元以下的罚款,对直接负责的主管人员要5万元以下的罚款,所以这个责任是很大的。
2、要符合强制性的要求的义务
网络产品和服务,要符合国家的强制性标准。应当确保你的这些产品和服务符合这个要求,如果发现安全缺陷和漏洞,要采取补救措施,我们将按照规定及时告知用户,并向主管部门报告,所谓按照规定报告,就是说我们也不一定说发现一个漏洞我们就要用户报告,因为有一些可能不是很严重的漏洞,更重要的是弥补这些漏洞,其实告知用户可能有的时候会造成一些恐慌,所以这个不是说所有的都得报告,所以我们加了一个叫做按照规定,当然这个规定具体我们还有待于进一步出台相应的文件来明确一下。
3、持续提供安全维护的义务
你要为你的产品服务提供一个持续的安全维护,我们的很多提供比如说操作系统,它要不断的进行更新,提供补丁,这个就是一个维护安全的义务。
如果你违反上述的这些义务呢,也是最高可以罚50万以下的罚款,对直接负责的主管人员可以处罚10万元以下的罚款,所以这个处罚也是很严厉的。
4、取得用户的同意
主要是你的产品和服务的话,具有搜集用户信息功能的,要向用户明示并取得同意,涉及用户个人信息安全的,对于个人的信息,保护的更加严厉,我们要法律专门对个人信息有个保护,所以要遵守有关的规定。所以对于违反这个规定的,最高可以罚100万元的罚款,对于主管人员可以罚10万的罚款。所以这个处罚也是非常严厉的。
5、实行网络实名制
我们说的网络实名制是大家通俗的说法,其实准确的说应该是叫前台匿名后台实名,《网络安全法》明确规定,网络运营者为用户办理网络接入、域名注册服务、办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在用户签订协议或者确认提供服务的时候,应当要求用户提供真实身份信息,用户不提供真实身份信息的,网络运营者不得为其提供相关服务,实际上这个就是为我们做网络实名制提供了一个法律依据。如果你不遵守这个规定的话,最高可以罚50万元的罚款,对直接负责的责任人员可以罚10万元的罚款。网络实名制实际上在我们国家推行很多年了,最开始的2003年的网吧实名制、后来校园网的实名制、网站的主办者的实名、QQ群的创建、管理员的实名制、网络游戏的实名制等等。在2012年的时候,我们有一个关于加强网络信息保护的决定,也明确规定要实行实名制,在2015年《国家安全法》还有2016年《网络安全法》也都有体现。所以网络实名制在法律上不强制推行,但是网络实名其实在现实中也是已经做到了的。其实现在我们使用的大量的比如说个人电脑,包括手机,这些都是与特定的个人相关联的。特别是手机,这个往往是个人在使用,一般不会共用。所以手机的识别码虽然它没有跟你的个人身份挂钩,但是因为你是唯一的使用者,所以这个在技术上通过很多方式,它已经实现了能够追踪到网络用户,网络实名制可以为我们的执法管理带来更多的便利。
6、制定应急预案的义务
我们规定网络的运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等等安全风险,那么在发生危害网络安全的事件时,应立即起动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。这个网络事件往往是突发的事件,所以我们大家要制定一个应急预案,避免在事件出现以后,应对不当。所以对于没有制定应急性预案的,最高也是罚款10万,对直接负责人可以处5万的罚款。
三、网络运行的安全
(五)网络关键设备和网络安全专用产品的销售许可制度
《网络安全法》规定就是网络关键设备和网络安全专用产品,要按照国家强制性的标准,经过具备资质的机构,安全认证合格或者安全检测符合要求以后才可以销售或者提供。为什么叫销售或者提供呢?因为这个销售一般是有偿的,提供一般可以是无偿的,所以我们把这种无偿提供的产品和服务也包括在里面了。网络安全专用产品,我们现在已经有公安部计算机信息系统安全专用产品销售许可证的一个目录,它规定了哪些属于安全专用产品,将来我们可能还要公布网络关键设备的这些目录。
(六)关键信息设施保护的问题
1、关键信息基础设施的定义
关键信息设施保护的问题是《网络安全法》里面的一个很重要的一部分,我们传统上是实行等级保护,这里面我们在等级保护的基础上进一步强调了关键信息基础设施的保护。所谓关键基础设施,往往是对一国至关重要的那些实体的或者虚拟的系统和资产。关键信息基础设施实际上就是这些关键基础设施的一部分,就是与信息化相关的那一部分,就是关系国家安全、国际民生,一旦数据泄露遭到破坏,或者丧失功能,可能严重危害国家安全、公共利益的信息设施。现在这些基础设施,最核心的部分往往都是这些信息设施,而且最脆弱的部分也是这些信息设施,所以我们强调关键信息基础设施的保护。
2、关键信息基础设施的范围
哪些属于关键信息基础设施,《网络安全法》里面有一个界定,就是公共通讯和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,这是列举的一些关键信息基础设施。另外,还有一个兜底的规定,就是其他一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益等关键信息基础设施。所以它的核心点就是事关国家安全、国计民生、公共利益的。这就是属于网络安全领域里面的关键信息基础设施。
在我们国家之后发布的《网络空间安全战略》里面,对这个关键信息基础设施又有一个更详细的表述,就说关键信息基础设施包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公共事业等领域和国家机关的重要信息系统,还有一个是重要的互联网应用系统。等于说我们可以把这个关键信息基础设施分成三块,第一个就是基础信息网络,就是这些电信网、广电网等等。第二个是重要的信息系统,就是能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公共事业还有国家机关,这些重要的信息系统。另外一个就是重要的互联网应用系统,这个主要是指互联网企业的应用系统。比如说,腾讯公司的微信系统,它上面有六七亿用户的资料,它不仅仅是关涉到个人信息的安全,它也关涉到公共利益和国家安全。一个国家有大量用户的信息,如果被外国政府掌握,那么它可能从里面能够提取到很多关系到国家安全、公共利益的信息。这些也应该是关涉到国家安全的重要信息系统。所以这些大的互联网企业重要的系统也应该把它列到关键信息基础设施来保护。
3、关键信息基础设施的安全保护义务
(1)建设中的安全义务
对于关键信息基础设施的保护要高于一般的网络设施的这种安全保护的要求,所以在建设的过程中,我们要坚持三同步,就是说要确保具有支持业务稳定持续运行的性能,要保证安全技术支持措施同步规划、同步建设、同步使用。
(2)关键信息基础设施的运营者应当履行的安全保护义务
第一个是设置专门的安全管理机构,不仅要选定安全管理负责人,还要有专门的安全管理机构。那么对这个负责人和关键岗位的人要进行安全背景调查,包括人员的学历、社会关系,这些背景都要进行调查,这个是确保关键信息基础设施安全的一个重要的方面。美国在这个安全背景调查方面是做的非常好的,美国对华为负责人进行调查,得知他是军人,是党员等等这些,将他列入调查范围之内了,把他作为一个安全的因素来考虑的。
第二个是定期对从业人员进行网络安全教育、技术培训和机能考核,这是对从业人员要定期进行的一个教育培训和考核。所以这个对相关的从业人员有更高的要求。
第三个,对重要系统和数据要进行容灾备份,我们前面讲到一般的运营者是要进行备份和加密,这里需要容灾备份。容灾备份的话,每个备份之间要相隔一定的距离,避免在出现自然灾害的时候,全部被损坏,所以这个容灾备份要求更高。另外,还要有应急预案并定期进行演练,所以这个也是提出更高的要求。对于违反上述规定的话,最高可以对单位罚款100万元,对个人负责人可以罚款10万元。这个处罚也是更加的严厉。
(3)签订安全保密协议
关键信息基础设施运营者在采购网络产品和服务的时候,有保密的要求,所以要签订这个协议,不遵循这个规定的话,也是对单位可以罚100万,对负责人可以罚10万元。
(4)数据本地化的义务
关键信息基础设施的运营者在中国境内运营中搜集和产生的个人信息和重要数据,应当在境内存储,这个就是我们说的数据本地化。数据本地化受到很多的国际互联网公司的抵制,他们觉得会增加他们的成本,他们要在中国境内建设数据中心,但是关键信息基础设施所搜集产生的这些数据,往往会涉及到社会公共利益和国家安全,所以我们强调它的境内存储。实际上,这是我们网络管理、网络治理方面的一个很重要的需要。我们知道在美国有一个案件就是,美国的执法机构要求微软调取存在爱尔兰的一个数据,被微软拒绝了,微软说这个是在境外,调取的话应当走司法协助,即政府之间走司法协助程序。但是对于执法部门来讲,就说这是你的公司,你从里面把这个数据传输到美国境内不是很简单的一件事情吗?如果企业配合的话是很简单的,如果企业不配合呢,就会涉及到两国之间的司法协助,是非常麻烦的一件事情。所以,我们要确保这些数据在中国境内,在中国的法律管辖之下,这个对于我们维护网络安全至关重要。当然我们也不是绝对的说你这个数据不能出境,我们说你这个数据需要叫境外提供的话,需要由国家网信部门会同国务院有关部门进行安全评估,所以你违反了这条规定,也是最高可以罚50万元,对直接责任人员可以罚10万元。
对于数据本地化也不是中国独有的,世界各国实际上不同程度的都存在。大家可以看到,这些颜色比较深的这些国家往往是数据本地化要求比较严格一点的国家,我们可以看到数据本地化要求比较强的,就是明确要求数据在本地存储的像文莱、中国、俄罗斯、尼日利亚这些国家。在欧盟法律上没这样说明,但实际上也是强调数据本地化,因为它对于数据的跨国传输,提出了很高的要求,就是你这个数据的接收地,必须符合欧盟的安全标准、法律标准。这样的话,在事实上提出了很高的跨境传输数据的一个要求,所以它也是限制了数据的传输,当然另外有一些是要求跨境转移前要征得数据主体同意就可以了,这个管制就相对松一点,还有是在对一些特定的行业,要求跨境数据传输。
所以世界上很多国家在不同程度上都是有数据本地化的要求,我们国家对跨境数据流动,原来也有一些规定。包括《征信管理条例》对于征信的数据,《地图管理条例》对于地图的数据,《人口健康信息管理办法》对于人口信息的存储,还有《关于加强党政部门云计算服务网络安全管理的意见》对于敏感的数据,都要求不得在境外传输处理存储,都有一些零星的规定,而《网络安全法》将这个规定作了一个统一的规定。现在《个人信息和重要数据出境安全评估办法》已经在公开征求意见了,这里面提出了这些数据如果要出境的话,我们怎样进行安全评估,这个作了一些比较细化的规定。
(5)风险检测评估的义务
关键信息基础设施的运营者要自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险,每年至少进行一次检测评估。为了确保安全,关键信息基础设施运营者有义务定期进行检测评估。等于说你可以自己做,也可以委托第三方来做,但是如果你不做的话,这个也是有严厉的处罚,最高可以罚款100万,负责人也要罚款10万。
4、网络安全的审查制度
(1)网络安全审查的概念
网络安全审查,实际上就是对关系国家安全和社会稳定的信息系统中使用的信息技术产品和服务,进行测试评估、检测分析、持续监督的过程。我们提出来安全审查实际上是受美国审查我们国家的华为、中兴公司的影响。在2012年的时候,美国众议院情报委员会就以国家安全为由,对华为和中兴进行安全审查,最后的结果实际上就是导致我们的这些企业的产品无法进入美国境内,所以我们也提出来要实行国家安全审查。因为我们国家处于一个网络技术落后的状态,所以说我们大量使用进口产品,这些产品是用在我们的关键信息技术设施上的,如果它有不安全的因素,就会直接危害我们的国家安全,所以对这种审查是非常必要的。
(2)网络安全审查制度的法律基础
《国家安全法》就明确要求了要建立国家安全审查制度,包括安全审查对象,包括网络信息技术产品服务。
《网络安全法》就进一步明确关键信息技术设施的运营者采购的网络产品和服务等,可能影响国家安全的,应当通过国家安全审查。
《网络空间安全战略》也提出来了,建立网络安全审查制度,加强供应链安全管理,对党政机关、重要行业使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可靠性、可控性,防止产品服务提供者或其他组织,利用信息技术优势实施不正当竞争或者损害用户利益。
最近,国家互联网信息办公室公布了《网络产品和服务安全审查办法》,明确了审查的目标是为了提高网络产品和服务的安全可控水平,防止网络安全风险,维护国家安全。审查的对象就是关系国家安全的这些重要的网络产品和服务。审查的方法包括企业的承诺和社会的监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检测、在线检测、背景调查相结合。审查的后果,其实就两个,最后审查通过的列入白名单,相关的部门和企业可以采用;如果审查不合格,实际上就上了黑名单,相关的部门和企业不能够采购。
审查的内容主要包括:第一,就是产品和服务的安全性、可控性方面,包括自身的安全风险,被违法控制、干扰和中断运行的风险。
第二,就是产品和关键部件的生产测试、交付、技术支持过程在供应链的安全。这个供应链的安全实际上是一个很重要的一个背景调查。在这个方面,美国应该是做的非常好,我们国家也应当在加强供应链的安全,因为你不知道哪一个部件是哪一个企业生产的,它上面有什么安全风险,你可能也不知道,最后这个产品提供给你了,可能就是不安全的。
第三,就是产品和服务提供者要利用提供产品和服务的便利条件非法收集储存,存储处理使用用户相关信息的风险。这个涉及到大量的非法搜集、存储、处理使用用户信息的风险问题。
第四,就是产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。现在,我们大家会越来越集中在某一两个网络产品和服务上,因为在网络领域里面,往往只有头三家最好的企业能够生存,那么其他小企业就很难生存。所以,我们可能会对某一些流行的新产品的应用,形成一种依赖。比如,我们习惯于使用微信,我们平常的很多生活就跟微信有关,这种用户的依赖就会带来很大的风险,另外还有其他的会带来国家安全风险的。
(3)网络安全审查工作的开展
网络安全审查体制实际上一个方面,是由国家互联网信息办公室会同有关部门设立网络安全审查委员会来负责网络安全审查的,网络安全审查委员会会聘请专家成立网络安全审查专家委员会;另外一方面,设立一个网络安全审查办公室,具体负责相关的网络安全审查工作。另外,我们可以通过第三方机构对网络安全审查提供支持,网络安全审查专家委员会就是在第三方机构评价的基础上,再由专家委员会组织评价。另外,金融、电信、能源、交通等重点行业和领域的主管部门对于本领域的或者行业的网络安全审查工作,就是开展本部门、本领域的网络安全审查工作。
四、网络信息的安全
(一)个人信息
网络信息的安全,最主要的是两个方面,一个方面就是个人信息的安全,另外一个方面就是网络信息的安全。《网络安全法》有一个对于个人信息的鉴定,就是个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址电话号码等。我们一般将个人信息分为个人敏感信息和一般信息,就个人敏感信息一般是一旦遭到泄露或者修改,可能会对这个个人主体造成不良影响。比如身份证号码、指纹、DNA、住址等等。那么除了敏感信息以外,就列为一般的信息。
个人信息跟隐私也是不太一样,隐私我们一般主要是指个人的信息、私人的信息、私人的事物、私人的空间这些,就是你的住处,你的日记本,还有你的私人活动,你不愿意被别人知道的我们叫隐私。但是个人信息,我们并不是专门指这些你不愿意被别人知道的信息,还包括一些你公开的信息,包括比如说你的姓名、电话号码等很多,包括你邮箱,在很多网站上或者你的名片上都会被公开的,但是你这些信息,你可能有不愿意被别人非法收集利用的。所以,个人信息往往讲究的是你对信息的控制权,那么隐私往往讲究的是你不希望被别人侵犯,不希望被别人知道,被别人利用。
(二)个人信息权
1、决定权
个人信息权的内涵包括决定权,就是自然人对我自己的个人信息是否被搜集处理和利用有决定权,当然为了国家利益和社会公共利益的除外。所以我们要求你要搜集我的信息应当事先告诉我,并经过本人的同意。曾经有一个案件,朱某诉一个互联网企业,朱某他在网上进行搜索以后,他的cookie就被这个网站给搜集到了,等于说我们知道你在网上搜集什么,比如说你在网上搜索单反相机,以后你在上网的时候,他就会推出与单反相机有关的各种各样的广告。他就是通过你的搜索获知你的cookie信息来进行定向投放广告,所以原告就说你侵犯了我的隐私,等于说你搜集了我的上网痕迹。一审胜诉了,认为是侵权,但二审,他就败诉了,法院认为搜集你的这些cookie信息并没有完全识别你的个人,那么说就不侵犯你的个人信息权。但是对于这个案件其实很多学者也有保留意见,其实我们知道现在个人电子设备,他往往是个人专用的,现在共享的这种设备越来越少,所以说在个人的专用电子设备上,你利用他的搜索痕迹来呈现投放广告,实际上你是掌握了他的一些能够识别个人特点的信息的。
2、知情权
知情权就是自然人查询个人信息和有关处理情况,就是可以查询与个人信息有关的这些情况。比如说,了解网站搜集了哪些个人信息,你的个人信息是怎么使用的,那么他可以要求网站提供相关的信息并要求网站提供答复。实际上也就是,你要控制你的信息的话,首先你要知道你的哪些信息被搜集了。有个案件就是王某诉期货公司的一个案件,这个王某的电话,他把他的手机号作为公司的电话,在网上呈现,被期货公司通过大数据抓取了,然后在电信标注里面这个电话号码就会呈现为某某公司的电话。原告王某认为这个是侵犯了他的个人信息的权力,当然法院在判决的时候,认为这个没有造成损害,没有要求被告赔偿。实际上,这也提醒我们在标注类似信息的时候,应当经过权益人的同意,当事人有知情权。我们现在的这个电信标注,很多是由用户来标注的,而不是由这个安全企业来标注的。当用户接到一个电话,可以标注说这个可能是骚扰电话,然后这个信息就会被呈现在其他的电话接听人的设备上。用户来标注是比较合理的,但是如果企业主动去搜集别人信息进行标注的话,这个可能就涉及到知情权的问题了。
3、要求更正的权力
要求更正的权力,就是你的信息如果被搜集以后,有错误的信息,那么你可以要求网络运营者进行更正,呈现为你的最新的、最全面的信息。
4、要求请求删除的权力
要求请求删除的权力,就是当出现法定或约定的事由的时候,有的时候可以要求信息处理主体删除个人信息。删除个人信息,其实涉及到好几个方面:一个就是未成年人的信息,当一个人在未成年的时候,可能因为处于无知或者说不了解后果的情况下,在网上实施了一定的行为,这个行为可能永远会被记录在网上,对他未来的发展可能不利,所以,对这些未成年人的一些信息可以请求删除。另外一个就是对那些历史,就是时间比较久远的信息,也会涉及到删除的问题,在欧洲就有一个人,很久以前他的一个犯罪违法信息被记录了,当他去租房子的时候,可能这个房主就会搜索他的信息,然后发现他曾经有过违法犯罪信息的话,就不愿意把房子租给他。这样的话,就会干扰他的生活,对他的生活非常不利。我们讲每个人他都有犯错误的时候,但是这个错误是不是要惩罚他一辈子呢?所以,这种情况下,我们要衡量这个信息到底对他个人的影响有多大,是不是应该要删除,当然这个删除不是说从原始载体上去删除,往往是指不能被搜索,所以一个人十年前的一个违法犯罪的信息,十年来,他没有实施任何新的违法犯罪行为,那么这个人他已经改正好了,这种情况下,公众的知情权实际上就已经弱化,而个人的权力保护,个人的信息权可能就会变成更加的重要。国内也发生过这个涉及到个人信息的删除权的问题,删除权在欧洲也被称为背景遗忘权,就是这个信息被遗忘,因为在网络空间里面,信息会永远被记住,但是,我们需要遗忘。任某某诉百度公司的一个案件,由于任某某在一个教育机构任职,这个教育机构后来被人指责是有诈骗行为的,信息显示任某某在这个公司里任职,所以他在其他机构任职的时候,人家对他进行搜索的时候,会把原来的任职的信息呈现出来,他要求删除。当然法院没有支持他的删除的请求,为什么呢?就是说公众也有一个知情权,当你所在的公司发生这种欺诈信息,为了避免更多的公众受到欺诈,他需要得到相关信息的呈现,所以在任某某个人信息和公众信息的权衡上,这个时候法院觉得公众的知情权更重要,所以就没有支持他的删除请求权。
5、保密的权力
保密的权力,就是自然人可以请求信息处理主体保持对信息的隐秘性,就是这个信息不能随便公开提供给第三人。
6、报酬的请求权
报酬的请求权,就是自然人因个人信息被商业化利用请求支付对价。当然个别人的个人信息的价值可能比较微小,如果是个人去行使权力成本会很高,在这种情况下,可以用个人信息保护的,比如说消费者协会或者是类似的机构,代表网民去行使这样的一个请求权,可能会更加合适。《网络安全法》加大了对个人信息的保护力度,就是侵害个人信息依法得到保护的权力,由有关主管部门责令改正,可能根据情节单处或者并处、警告、没收违法所得、处违法所得1倍以上10倍以下的罚款,没有违法所得的处100万元以下罚款,对直接负责的主管人员和其他责任人员处于1万元以上,10万元以下的罚款。加大了处罚力度,当然100万罚款对一个大的企业来讲,可能也不是很严重的处罚,但是我们的立法已经在向加强保护个人信息方向上向前迈出了重要的一步。
(三)个人信息保护的基本原则
对于个人信息的保护,我们要遵循几个原则。
第一个就是合法原则,就是你要搜集使用个人信息应当依法进行,处理个人信息要依法、依照约定来进行。
第二个就是正当原则,就是你搜集处理个人信息的目的要正当,要明确,你不能用于违法的目的。
第三个就是必要原则,就是你搜集信息的话,应当符合你的目的,最少够用,不能够搜集与你提供的服务无关的个人信息。比如说一个地图服务,那么你要访问别人的通讯录,要访问别人的短信,这个可能就是超出了你的服务的范围。
第四个就是公开原则,就是你要搜集使用规则要明示,这个要事先要告知,这个收集对象。
第五个就是同意原则,就是你搜集使用或者向他人提供个人信息应当经过被搜集者同意,确保个人信息的权力人能够有决定权。
第六个就是安全原则,就是你搜集信息以后,你得保证他的安全,不得泄露、篡改、毁损个人信息,另外你要采取技术措施和必要措施,保证不会被泄露、损毁、丢失,如果要出现这个泄露、损毁、丢失的话,及时采取补救措施。
(四)网络内容安全
网络内容安全就是指网络内容是不是合法的,对社会,对个人,对国家是不是有存在危害。我们以前的立法里头,讲“九不准”,就是包括不得违反宪法,不得危害国家安全,不得损害国家荣誉利益,不得煽动民族仇恨、民族歧视,破坏国家宗教政策,散布谣言,散布淫秽色情的信息,或者侮辱毁谤他人等等。
《网络安全法》没有按照这九条来列,而是重新做的一个表述,也涉及到这些主要的方面,是用一段话来表述的,就是“任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会功德,不得危害网络安全;不得利用网络从事危害国家安全、荣誉、利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一;不得宣扬恐怖主义、极端主义,宣扬民族仇恨,民族歧视;不得传播暴力、淫秽色情信息;不得编造、传播虚假信息,扰乱经济秩序和社会秩序,不得侵害他人名誉、隐私、知识产权和其他权益等活动”。
(五)网络服务提供者的网络信息安全义务
在保证网络信息内容安全的方面,网络服务提供者负有很大的义务和责任,所以对于网络服务提供者,就是我们平常说的网络平台,它要履行哪些义务呢?我个人总结了十个方面。
第一个就是要建立信息安全管理制度,就是你要有相应的内容的管理制度,包括保护用户信息安全保护的制度、审核制度、公共信息实施巡查制度、投诉举报制度等等,你必须有相应的规章制度。
第二个要有用户信息的审核义务,审核义务包括一个身份信息的审核,对那些实行实名制的,你要对他的身份信息实行审核。另外他的业务信息也要实行审核,对他的广告内容,他在你平台上做的业务内容,特别是你在收费的情况下,更要对的他的这些业务内容有一个基本的审核。如果他能够在你的网站上施行非法服务,然后你还从中获取收入的话,即在获取利益的情况下,那么你就有更多的审核义务。
第三个就是公共信息巡查义务,就是网络平台类似于一个公共的社区,所以在上面发布的信息,你要定期去巡查。如果在网站上出现大量的违法信息,假冒伪劣产品,如果你说不知道,实际上是说不过去的,也就是说你没有履行公共信息巡查义务。在出现大量的违法信息的情况下,你仍然说不知道,实际上就是没有尽到必要的义务。
第四个就是告知督促义务,就是你应当告知你的用户,应当怎么做。另外,如果他没有做到,那么你应当督促他做,这个往往通过用户的协议来明确,就是对方没有遵循用户协议的情况下,你应当告知、督促用户去遵守这个协议。
第五个就是保障信息安全的义务,这个我们前面提到,你在上面搜集的大量的个人信息,你要保护他的这些个人信息的安全。
第六个就是违法信息的处置业务,就是当你发现违法信息的时候,那么你要采取必要的处置,包括你要记录违法信息,要采取比如中断网络、中断传输、屏蔽相关信息等措施,要采取相应的手段处置。
第七个就是投诉处理的义务,我们网络平台实际上是一个很大的社区,那么投诉处理机制要由平台来做,不像传统的投诉处理一般由政府来受理,但是现在我们要求网络平台建立自己的投诉处理制度。
第八个就是接受监督检查义务,这个就是我们政府在执法的时候,需要网络服务提供者提供协助、提供数据、开放技术接口等等,需要它的协助。
第九个就是要有信息记录,就是要记录网络日志,包括系统日志、用户的日志,以备将来的执法、检查需要,可以追踪一些用户的信息轨迹。
第十个就是报告义务,当你发生违法信息安全事件的时候,要及时向安全主管部门报告,而不能够隐瞒这种情况。
这就是我总结的作为一个互联网信息服务提供者应当尽到的十个方面的安全义务。如果你尽到这样的义务,那么等于说你尽到了相应的法律管理责任;如果你拒绝履行网络安全管理义务,有可能就会触犯刑法的规定,我们刑法里面增加一个罪名叫做“拒不履行网络安全管理义务罪”。
谢谢大家!
