专家解读网络安全法草案:为建设网络强国提供制度保障

16.07.2015  22:51

  《网络安全法》(草案)的出台,预示着建设网络强国的制度保障正在努力迈出坚实的一步。

  建设网络强国,是中国国家主席习近平同志提出的宏伟战略目标。要有效实现这一目标,离不开坚实有效的制度保障,正是在此背景下,《网络安全法》(草案)的出台,预示着建设网络强国的制度保障正在努力迈出坚实的一步。《网络安全法》(草案)的立法说明中,清晰而明确的阐述了如何在现有条件下,尽力尝试将已经有的网络安全实践上升为法律制度,并使其符合中国的网络空间安全需求。其中,特色比较鲜明的包括:

  其一,明确了我国维护网络空间安全、利益以及参与网络空间国际治理所坚持的指导原则是网络主权原则,并明确在第二章提出了有关国家网络安全战略和重要领域安全规划等问题的法律要求。这有助于实现推进中国在国家网络安全领域明晰战略意图,确立清晰目标,厘清行为准则,不仅能够提升中国保障自身网络安全的能力,还有助于推进中国与其他国家和行为体就网络安全问题展开有效的战略博弈。同时,这也意味着,一旦草案通过,中国政府将有义务公布并制定更加详细明确的国家网络安全战略文件。从法律适用的范围规定,即“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法(草案第二条)”,中国仍然奉行的是防御型的国家网络安全战略观念,将安全战略的焦点聚焦于境内,这当然是中国一贯爱好和平的战略理念在网络安全领域的重要体现,同时也为中国将来进一步考虑如何在更加开放和高速流动的全球网络空间内有效保障自身的网络安全提供了一个起点,一个充分体现“韬光养晦”的起点。

  其二,明确了保障关键信息基础设施安全的战略地位和价值。保障关键信息基础设施安全,在公布的《网络安全法》(草案)中占据了相当的篇幅。草案的第三章第二节专门用于规范关键信息基础设施的安全。此次列入关键信息基础设施范围的,涵盖了涉及国家安全、经济安全和保障民生等领域,具体范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。保障关键信息基础设施的安全,从全球各国的实践来看,是国家网络安全战略中最为重要和主要的内容,这与人们日常生活对网络关键基础设施的强烈依赖密不可分。有效的识别和分析威胁的来源,并采取相应的安全保障措施,是问题的关键。《网络安全法》(草案)对网络产品和服务提供者的安全义务有了明确的规定(草案第十八条),将现行的安全认证和安全检测制度上升成为了法律(草案第十九条),强化了安全审查制度(第三十条),明确等级保护制度在保障国家网络安全中所处的地位(第十七条)。这些措施,从已经有的实践来看,一定程度上可以满足保障国家网络安全的需求,应对由非国家行为体,从国内外可能实施的网络攻击所带来的威胁;但就中长期前景来看,中国面临的战略任务是如何在持续开放互联的全球网络空间内,有效预防来自强势行为体,包括占据优势能力地位的国家行为体,对中国关键信息基础设施构成的威胁挑战;基于条线分工形成的多点静态网络安全保障体系,很难有效胜任应对这种真正的国家级的安全威胁,这也是后续修订相关法律,完善战略,构建新的实践操作程序时,必须认真思考的问题。

  其三,保障网络数据安全进入了国家网络安全的视野。数据是网络时代的石油,是对国家安全至关重要的战略资源。草案对此做了三个方面的规定,分别是要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条);加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(草案第三十四条至第三十九条);要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(草案第三十一条)。这些规定在构建中国特色的数据安全保障体系,落实数据主权,保障数据安全方面,做出了非常有益的尝试。同时,在大数据时代,保障网络数据安全不能仅仅通过强化对运营者的法律监管来实现,还需要有效的提升国家对数据流动,尤其是网络空间与特定数据资源相关的行为的感知能力,进而在此基础上,构建国家级的网络入侵防御系统来有效的实现。参考美国2008年小布什政府时期提出并实施的全面国家网络安全倡议,要保障中国的网络数据安全,同样需要像美国一样,将情报-反情报能力融入国家网络反入侵系统的建设之中,并通过这种系统,将负责国内安全、对外情报、国防等不同安全领域的职能部门有效的整合起来,才能真正有效的迎接并有效应对国家在网络数据领域面临的战略威胁与挑战。

  其四,在国家网络安全向相关信息共享,以及网络安全监督管理体制建设方面,《网络安全法》(草案)进行了有益的尝试。努力打破部门壁垒,共享网络安全相关的信息,是此次《网络安全法》(草案)中值得高度关注的亮点之一,草案规定:要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作(草案第四十四条、第四十五条);建立网络安全应急工作机制,制定应急预案(草案第四十六条);规定预警信息的发布及网络安全事件应急处置措施(草案第四十七条至第四十九条);为维护国家安全和社会公共秩序,处置重大突发社会安全事件,对网络管制作了规定(草案第五十条)。同时,草案尝试对网信、工信、公安等涉网管理部门的权限进行了明确的规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作,并在一些条款中明确规定了其协调和管理职能。同时规定,国务院工业和信息化、公安等部门按照各自职责负责网络安全保护和监督管理相关工作(草案第六条)。从实践看,网络安全领域走在前列的强国,如美国,都将重点聚焦于网络安全保障的跨部门合作上:美国从2007-2008年间开始,借助部署网络入侵监测系统(爱因斯坦2)以及网络入侵预防系统(爱因斯坦3),将国土安全部、美国计算机应急响应工作组、国家安全局、国防部等部门实施有效的整合,确保有关网络攻击的威胁信息能够在国土安全、情报、国防三个条线内有效流转和共享,然后视情况需要,调用全部战略资源应对来自网络空间的战略威胁,并最终在高对抗性的战略博弈中获得压倒性的优势。坦率的说,相比美国的实践,并对比中国客观的国家网络安全需求来看,《网络安全法》(草案)中做出的尝试和努力,只能说是非常初步的,还有漫长而艰巨的任务有待完成。

  整体来看,《网络安全法》(草案)的出台,是中国在迈向网络强国道路上至关重要的阶段性成果,他意味着建设网络强国,维护和保障中国国家网络安全的战略任务,正在转化为一种可执行、可操作的制度性安排。与此同时,考虑到中国所处的国际环境、在网络领域显著而重大的利益需求、清晰而复杂的战略威胁以及艰巨的能力建设道路,未来《网络安全法》(草案)至少还可以在如下四个方向上做出更进一步的完善和努力:

  首先,中国必须构建适应开放环境下有效保障网络安全的大战略。《网络安全法》(草案)要明确认知中国所处的国际环境,即一个开放且数据呈现高速流动态势的全球网络空间。中国司法的具体管辖对象可以是中国境内具体的网络基础设施或者是行为者,但其真正生效的,是一个没有显著边界的全球网络空间。在这个空间中,拓展中国的国家网络能力,保障中国的网络利益,而不是简单的将地理边界投射到网络空间,应该成为中国构建网络安全战略,提升国家网络能力,建设网络强国努力的宏观目标。

  其次,中国在网络领域最重大的利益需求是用网络推进发展。“发展才是硬道理”,在冷战结束后的世界里,这点并没有过时,中国保障网络安全的目标,是为了确保中国能够从网络空间发展所带来的收益中获得综合国力的提升,提升自己在国际体系中的地位,缩小与最主要战略竞争对手的实力差距。换言之,中国网络安全战略是中国国家安全战略的组成部分,中国国家安全战略服从和服务于中国的大战略,中国大战略追求的核心目标之一,就是有效的通过可持续的发展,在国际体系中生存下去。中国网络安全战略当然会形成自己聚焦的具体目标,但不能让这种具体目标扭曲了国家总体的大战略目标;同样的,“发展才是硬道理”也意味着所有用于保障中国国家网络安全战略的措施都应该接受发展的检验,并在此基础上调整乃至淘汰那些不适用的手段、政策以及机制安排。

  第三,中国在网络安全领域面临的重大威胁,正从内部转向外部,从信息安全转向网络安全。中国在网络安全领域面临的最大威胁,随着中国整体实力的提升,正在从内部治理、社会治安问题,转化成为外部威胁、国际竞争问题。今天的中国,对关键基础设施的依赖,远远超过人们的想象,不说其他,但就股市而言,2015年6月至今的波动幅度牵动各方的神经,背后折射的是金融市场关键基础设施的安全对于国家安全的重要性持续飙升,试想在剧烈波动时期金融市场的数据中心突然遭遇网络攻击,或者发生意外事故,对社会以及国家安全可能造成的冲击,真真是细思恐极。

  第四,中国必须在《网络安全法》(草案)的修订中真正聚焦有效的国家网络能力建设。长期以来,中国的网络安全保障实践,是根据职能、条线的分工,在不同部门之间以行政管理、治安管理、社会管理的方式进行的;各种意义上的“合规性”检验取代了实质性的能力建设;在对抗性不强的非国家安全领域,合规性并不是太大的问题,金字塔形的资质需求也许是有效的,但是,上升到国家安全领域,挂在墙上的资质证书完全无法应对真刀真枪的战略威胁。2015年5月,美国国防部新发布的网络战略中,网络手段将和航母编队一样,成为美国总统和国防部长实施危机管控的有效工具之一。试想,如果再来一次类似1995-1996年的台海危机,而美国选择以网络攻击取代航母编队,威慑中国;《网络安全法》(草案)中包括等级保护在内的各项应对措施,有足以正面对抗美国网军司令部的网络安全能力么?在国家级的网络安全战略规划中,认真思考此类威胁场景,然后真正从国家网络安全战略需求出发,而不是从习惯做法以及部门需求出发,来构建中国的国家网络安全能力,应该成为《网络安全法》(草案)未来修订时的主要方向。

  建设网络强国的坚实步伐已经迈出,任重道远,需要所有有识之士共同求索。