网络安全防卫升级

来源:中国信息化周报
关键字:
发布时间:2017-03-22 15:05

　　2016年11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》（简称《网络安全法》）。2016年12月27日，经中央网络安全和信息化领导小组批准，国家互联网信息办公室发布了《国家网络空间安全战略》。一时间，网络安全热度升级，不仅在安全圈儿，甚至是整个IT领域都引起广泛的关注，引发了热烈讨论。

　　众所周知，通过法治手段实现对网络社会的有效治理，迅速推进和加强网络立法工作，是当前落实依法治国方略的重要任务。

　　网络空间不是法外之地，加快网络空间的法制化建设，是落实中央全面依法治国战略部署，加强和改进网络管理工作的要求。

　　为适应我国网络安全工作新形势、新任务，保障网络安全和发展利益，根据党中央的要求和全国人大常委会立法工作安排，2014年上半年人大法工委组成工作专班，开展网络安全法研究起草工作并多次征求中央网信办、工信部、公安部、国务院法制办等部门意见，形成了网络安全法草案。2015年6月，第十二届全国人大常委会第十五次会议对草案进行初次审议并面向社会公开征求意见。2016年6月，第十二届全国人大常委会第二十一次会议对草案二次审议稿进行了审议并面向社会公开征求意见。10月31日，网络安全法草案三次审议稿提请全国人大常委会审议。

　　《网络安全法》将于今年6月1日起施行。出台《网络安全法》，不仅对国内网络安全治理有重要作用，同时也顺应了网络空间安全化、法制化的发展趋势。那么，《网络安全法》出台的背景和意义是什么？它明确了哪些内容？继《网络安全法》之后，国家互联网信息办公室又发布了《国家网络空间安全战略》。这样做的目的是什么？《网络安全法》落实方面存在着哪些困难？对于打造健康的网络生态环境将起到哪些积极的作用？

　　带着上述问题，《中国信息化周报》记者采访了包括中国信息安全研究院副院长左晓栋、北邮人文学院副院长谢永江、西安交通大学信息安全法律研究中心主任马民虎、阿里云标准与合规部总监和360安全专家马利娜等在内的多位专业人士，倾听专家解读《网络安全法》的同时，探究梳理网络安全热度升级背后的种种。

　　接受采访的多位专家都表示，《网络安全法》一方面总结并完善了现有的制度，也填补了网络安全领域的一些空白。

　　解读篇

　　网络安全的重要里程碑

　　通过法治手段实现对网络社会的有效治理，迅速推进和加强网络立法工作，是当前落实依法治国方略的重要任务。《网络安全法》作为网络安全的基本法，对网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题作出明确规定，可以有效化解长期以来各部门工作缺乏统筹、工作存在交叉重复等问题。

　　终立：落实依法治国方略

　　左晓栋在接受本报记者采访时指出，网络安全战略是一个国家网络安全工作的顶层设计。“早在2014年2月，中央网络安全和信息化领导小组第一次会议上就要求，中央网信小组要发挥集中统一领导作用，制定实施国家网络安全和信息化发展战略、宏观规划和重大政策，不断增强安全保障能力。《网络安全法》第四条明确规定，国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。国家互联网信息办公室制定并公开发布《国家网络空间安全战略》，就是落实上述要求。”

　　近年来，网络安全成为影响全球经济安全运行、政治稳定发展的重要因素，国际社会和各国都在探索如何加强对网络安全问题的治理。据不完全统计，目前有70个左右的国家和地区都制定和更新了网络安全战略，美国等西方国家在不断加大网络安全领域的立法。左晓栋提到：“出台《网络安全法》，可以补上我国参与国际网络安全治理的短板。从国际看，制定国家网络安全战略也是通行做法。这次我们国家发布《国家网络空间安全战略》，相当于补上了这一个缺憾。”

　　发达国家在网络空间治理方面早有行动，欧美、日本、韩国在个人信息保护、网络安全保护等方面立法比较早，而我国的《网络安全法》相对滞后，针对此现象，谢永江谈到：“我们国家的立法思路可能是成熟一部、完善一部，颁布一部。我们国家网络安全方面的立法在2000年后，是国务院和各部委出台的，这可能是执法的需要，网络技术变化很快，如果总是求全责备，可能就很难出台。可以先出台，再不断完善。立法的思维和模式要转变，才能更好地适应网络快速发展的特性。通过法治手段实现对网络社会的有效治理，迅速推进和加强网络立法工作，是当前落实依法治国方略的重要任务。就互联网立法而言，我国应当采取专门立法的模式，不宜制定一部大而全的‘互联网管理法’。”

　　《网络安全法》制定的根本目标，马民虎总结说：“《网络安全法》遵循网络运行和网络社会自身的发展规律、特点，从维护网络安全、国家安全、社会公共利益、促进经济社会信息化发展的客观需求出发，以国家总体安全观为现阶段互联网治理的指导思想，将保障网络安全、维护网络空间主权和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展作为根本目标。”

　　《网络安全法》的出台，意义深远。对外能够在国际合作竞争中，为保障国家和国民利益争取更多主动权；对内能够完善网络安全的法律制度，提高全社会的网络安全意识和网络安全的保护水平。

　　正如左晓栋总结所言：“制定《网络安全法》是落实国家总体安全观的重要举措，它的出台意义重大。”他认为其意义体现在以下几个方面：

　　一是作为我国首部网络空间管理基本法，是网络安全法制体系的重要基础；二是为我国维护网络主权提供了最主要的法律依据；三是明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求；四是成为网络参与者普遍遵守的法律准则和依据。

　　内容：“举旗”与“指路”

　　《网络安全法》是我国网络安全的基本法，确立了我国网络安全的基本法律框架。左晓栋认为可以从四个方面理解这一论述：一是明确了部门、企业、社会组织和个人维护网络安全的权利、义务和责任；二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念；三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供了法律依据，体现了依法行政、依法治国要求；四是建立了国家网络安全的一系列基本制度，这些基本制度具有全局性、基础性特点，是推动工作、夯实能力、防范重大风险所必需。

　　谢永江强调，《网络安全法》一方面总结并完善了现有的制度，也填补了网络安全领域的一些空白。“其中最重要的一点是加强了关键基础设施的安全，在等保的基础上强化了对关键基础设施的保护。另外《网络安全法》完善了网络信息、个人信息的保护，理顺了网络的监管机制，将网信部门的统筹协调职能做了明确规定，在监测预警、应急处置方面做了明确规定。强化了法律责任，以前因为没有人大层面的法律，相关的法律处罚比较轻，没有发挥应有的作用。

　　《国家网络空间安全战略》与《网络安全法》有着怎样的关系？“两者是相辅相成的关系。《网络安全法》从法律上规定了我国在网络空间安全领域的基本制度，相关主体在网络空间安全方面的权利、义务和责任；《国家网络空间安全战略》则从政策层面对外宣示了我国在网络空间安全领域的基本目标、原则和任务。法律具有较大的稳定性，战略则会根据形势变化不断更新。”谢永江如是说。

　　二者的发布都有着深远的意义。谢永江指出：“一方面，我们国家已成为网络发展大国，社会政治经济生活对网络的依赖程度不断增强，正从网络大国向网络强国迈进，对信息化需求日益增强，对网络的依赖程度加深，越是依赖就越需要安全的网络环境，必须将网络安全与发展同步。没有网络安全就没有国家安全。另一方面，网络入侵、网络攻击、倒卖个人信息等情况不容乐观，这些都在客观上促成了安全立法颁布，为网络空间、国家安全、企业安全还有个人安全提供更多的保护。国际上，一些网络霸权国家利用他们的技术优势实现对别国的网络监听、监视，严重威胁了我国的网络空间安全，出台《网络安全法》和《国家网络空间安全战略》除了要打击网络违法犯罪，另一方面也是要促进、推动我同网络空间安全技术的发展。”

　　左晓栋认为，《国家网络空间安全战略》具有对外、对内两方面的作用，对外是“举旗”、“划线”，即宣示中国对网络空间安全的基本立场和主张，明确中国在网络空间的重大利益；对内是“指路”，是指导国家网络安全工作的纲领性文件，即指导今后若干年网络安全工作的开展。《国家网络空间安全战略》指出，当前和今后一个时期国家网络空间安全工作的战略任务是坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9个方面。”

　　《网络安全法》针对当前我国网络安全领域的突出问题，明确规定了网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题，对于打造健康的网络生态环境将发挥积极作用。左晓栋说：“总体上讲，有利于依法维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。具体而言，其为各方参与互联网上的行为提供了重要的准则，对网络产品和服务提供者的安全义务作了明确的规定。”

　　左晓栋指出，《网络安全法》从三个方面对互联网信息内容安全做了规定，对打造清朗网络空间意义重大：第一是对用户（个人和组织）而言，应该对使用网络的行为负责；第二是对网络运营者而言，对违法信息有删除义务；第三个是对主管部门而言，可以要求运营者删除违法信息，并对境外违法信息予以封堵。

　　对人民群众反映强烈的个人信息保护问题，《网络安全法》也作了明确规定，左晓栋说：“首次比较完整地体现了个人信息保护的8项原则：责任原则、目的明确原则、最少够用原则、同意和选择原则、确保安全原则、质量保证原则、主体参与原则和开放透明原则。”

　　在沈锡镛看来，《网络安全法》规范了网络产品和服务提供者的安全义务，定义了网络运营者的安全义务；完善了个人信息保护规则；关键信息基础设施的保护和跨境数据传输审查。“比如面向国家重点行业提供网络服务的运营商必须通过网络安全审查，不但解决了重点行业选择产品和服务的合规问题，更为社会化基础信息设施服务商如何参与国家重点行业的信息化建设提供了法律依据和合规路径。而2016年阿里云电子政务云平台就首批通过了中央网信办云服务网络安全审查增强级。”

　　落实篇

　　立法不易重在落实

　　作为安全企业专家，怎样看待《网络安全法》的落实？马利娜在接受采访时提到：“从企业的角度看，网络安全法落实的重点应该是促进政府、企业和相关组织机构能切实履行自己的法律责任与义务。”

　　网络犯罪的隐蔽性及责任的难以认定将成为落实《网络安全法》的难点。马利娜解释说：“网络空间的违法犯罪活动往往具有很强的隐蔽性，不容易发现。这就使得很多企业或机构的相关责任人即便疏于网络安全管理，给社会或个人造成了重大的损失，可能也很难认定他们的法律责任。”她举例说：“某网站数据被拖库，有用户个人信息被泄漏并因此遭遇网络诈骗，但我们通常也很难认定这个用户个人信息就是从这个网站泄漏的，要追究网站管理者的责任就更困难了。再比如，《网络安全法》虽然对个人信息保护做出了很多重要的规定，但当前网络上个人信息泄露的形势已经非常严峻，法律的出台会缓解问题的加剧，但也很难解决历史积存问题——已经泄漏的信息很难再收回来。”

　　左晓栋提到：“对法律的宣贯解读不足，如关键信息基础设施的范围界定等；配套法律不完备，如个人信息保护法等；缺乏网络安全专业人才和支撑队伍，不利于法律的有效贯彻实施。”因此，他指出今后落实工作的重点是：

　　一是加强《网络安全法》的宣传普及。为将法律的有关规定准确地传达到对应的个体，让网络安全观念深入人心，让网络安全意识根植人心。据悉，中央网信办正在组织编写《网络安全法》读本，将对各法条作出详细解读。

　　二是加快配套制度建设。《网络安全法》是网络安全工作的基本法，为相关法规制度提供了接口。本法及其配套的法规规章共同构成了网络安全领域的法律规范文件体系，各有关部门正抓紧研究制定配套的法规文件，抓紧建立配套的制度机制，保证本法规定的各项工作顺利开展。

　　三是加强基础支撑力量建设。《网络安全法》明确提出国家要对关键信息基础设施重点保护，要加强网络安全信息收集、分析等工作，采取措施防御处置网络安全风险和威胁等。要落实上述法律责任，必须建立一支能力卓越、反应迅速、安全可靠的支撑力量，需要更多懂技术、懂管理的人才加入到网络安全支撑队伍，需要更多有创造力、有热情的人参与到国家网络安全工作中。国家将采取更加有针对性的措施，为网络安全人才的培养创造条件。

　　谢永江提出要尽快出台《网络安全法》配套的法律法规。他说：“一部法律的出台，尤其是网络安全法针对的是变化比较快的网络安全领域，要尽快出台配套规章，有些在《网络安全法》中已有明确要求，比如安全保护安全设施的具体办法。其次要加强网络安全监督、管理及相关人才的培养。人才缺乏将直接影响到法律的贯彻落实。”此外，电子证据的取得和鉴定，运用大数据预防网络犯罪等都需进一步研究，怎样与企业、个人建立联系，与企业建立合作关系，提高公民的网络安全意识对于创建清朗的网络空间是很有必要的。

　　关于怎样才能推动《网络安全法》的落实，沈锡镛给出三点建议。第一，尽快出台配套行政制度或法规，提高行业落地的强制性和紧迫性。做到有法可依、有标可行。第二，引入社会化的安全专家参与政策和标准的制定。“作为长期战斗在网络安全一线的互联网企业，我们希望贡献更多的安全实践和力量参与该法的配套标准和政策制定，提高法律要求的落地能力”。第三，打通各类合规标准，降低重复合规。“建议对网络产品和服务审查的已有标准进行清理和整合，避免企业重复合规、减轻企业负担。”