当前位置:首页>>详情页面 

网络安全保障迈入法治时代
2017年第5期 —— 立法经纬 作者:◆文/田圣斌 刘吉念 图/本刊资料

《中华人民共和国网络安全法》将于201761日起施行,这是我国第一部关于网络安全方面的法律,标志着我国互联网安全治理正式步入有法可依的阶段,具有划时代的价值与意义。

    一、立法的制度设计

  落实国家安全的重要举措。党的十八大以来,以习近平同志为核心的党中央,从总体国家安全观出发,对加强国家网络安全工作作出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定网络安全法是适应我国网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措。

  维护网络安全的客观需要。我国是名副其实的网络大国,网民人数全球第一,网络创新活跃,网络商务如火如荼,处处展现出欣欣向荣的景象,但也是面临网络安全威胁最严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全的保护水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。

  保护网络利益的现实需求。一是关键信息基础设施安全保障工作亟待加强。电信、能源、交通、金融、政务等关键信息基础设施支撑着相关行业或领域的重要业务,存储着大量个人和业务数据,已经成为网络攻击的重点对象。目前我国关键信息基础设施安全保障整体水平还不高,难以有效抵御有组织、大强度的网络攻击。二是个人和企业权益保护亟待加强。网上非法获取、倒卖个人信息,侵犯知识产权等事件时有发生,严重损害企业和个人的权益,甚至危害个人生命安全。三是国家安全和社会公共利益面临挑战。恐怖和犯罪组织等,利用网络策划组织暴力、恐怖活动,传播极端、淫秽等信息,甚至意图颠覆国家政权、推翻社会主义制度,严重破坏社会和谐稳定,危害公共利益和国家安全。

  规范网络行为的迫切要求。网络已经成为人们学习、工作、生活的新空间新平台,人们每天在网上进行各种各样的活动,创造巨大价值,也会碰到各种各样的问题。保证网络空间持续健康发展,需要社会形成一致性的价值认同和行为认同。以法律的形式对网络行为提出规范,对网络行为主体权利义务进行规定,发生问题时提供法律解决途径。网络空间不是法外之地,加快网络空间的法制化建设,是落实中央全面依法治国战略部署,加强和改进网络管理工作的要求。网络安全法作为网络安全的基本法,对网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题作出明确规定,可以有效化解长期以来各部门工作缺乏统筹,工作存在交叉重复等问题。

  国际网络合作的基本导向。网络领域的竞争是当前国家间最重要的竞争领域之一,网络领域的国际规则尚未形成。各国普遍重视网络领域的立法,对关键信息基础设施保护、个人信息安全保护、数据安全管理等方面事项进行法律规定。在与其他国家进行合作和竞争过程中,如何保证本国利益的最大化,如何保障本国公民和企业利益的最大化是各国政府高度重视的问题。通过加强我国网络安全领域的立法和执法,不断完善相关规定,积累网络管理经验,以国内立法形式确定社会各群体的权益,能够为今后国际合作竞争中保障国家和国民利益争取更多主动。

  二、立法亮点纷呈

  网络安全法共计七十多条,对网络安全各方面事项作了规定。从宏观来看,网络安全法的出台将解决长期困扰网络安全工作的一些基础性问题。

    ()明确了网络安全内涵

  最大程度地取得社会共识,是网络安全立法首要问题。网络安全法制定过程中,通过广泛征求社会意见,集中社会各方面智慧,综合社会各方诉求,最大可能地凝聚了社会共识。该法明确网络安全指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠的运行状态,以及保障网络数据的完整性、保密性、可用性的能力。以法律形式明确上述内容,廓清了长期以来社会对网络安全含义的争论,有利于在一个较长时期内,统一社会各方的思想和行动。此次列入关键信息基础设施范围的,涵盖涉及国家安全、经济安全和保障民生等领域,具体范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。保障关键信息基础设施的安全,从世界各国实践来看,是国家网络安全战略中最为重要和主要的内容,这与人们日常生活对网络关键基础设施的强烈依赖密不可分。有效的识别和分析威胁的来源,并采取相应的安全保障措施,是问题的关键。又如对网络服务提供者安全义务的规定,从已经有的实践来看,一定程度上可以满足保障国家网络安全的需求,应对由非国家行为体、从国内外可能实施的网络攻击所带来的威胁;但就中长期前景来看,中国面临的战略任务是如何在持续开放互联的全球网络空间内,有效预防来自强势行为体,包括占据优势能力地位的国家行为体,对我国关键信息基础设施构成的威胁挑战;基于条线分工形成的多点静态网络安全保障体系,很难有效胜任应对这种真正的国家级的安全威胁,这将是后续修订相关法律,完善战略,构建新的实践操作程序时,必须认真思考的问题。

    ()明确了网络安全工作体制

  网络安全法第八条提出国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责按照国家有关规定确定。这反映了中央对国家网络安全工作的总体布局,体现统一领导、统筹协调、分工负责的网络安全工作架构。我国应采取怎样的网络安全保护体制,是本次修法中的关键问题。例如,关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全,与前者不完全一致,但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点,有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我国在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”,并且在实践中明确了基础信息网络是广电网、电信网、互联网,重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统,即俗称的“2+8”,相关保护工作也常抓不懈。但整体而言,我们与国外差距很大,已是国家安全的软肋,网络安全法为此设立了“关键信息基础设施的运行安全”一节。

此举优势在于:一是扩展了保护范围。纵观世界各国,凡是已经开展网络安全建设的国家,其关键基础设施的范围几乎都远超过我们,例如美国有17类,而我们则有很多重要系统尚未纳入保护视野。立法首次明确关键信息基础设施范围,包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营,运营者可能对其列为国家关键信息基础设施不适应,但当网络服务商的用户达到一定规模时,其安全已经不再是企业自身问题,而成为一个公共问题、社会问题甚至国家安全问题。二是明确保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度,其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用,这个要求只能是基线(即基本要求),其有必要但并不足够,特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外,保护关键信息基础设施涉及很多工作,不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单,还包括一系列的管理工作和公共平台建设,不能由一项制度取代其他制度,理应对此建立专门制度。因此,网络安全法提出,关键信息基础设施安全保护办法由国务院制定。对于某些重点要求,如网络安全审查、风险评估等,则在具体条款中进行了明确。三是划定保护责任。网络安全法规定了关键信息基础设施运营者的安全保护义务,解决了其保护责任模糊不清的问题。

    ()明确了网络安全工作重点

  网络安全法第二章至第五章分别从网络安全支持与促进、网络运行安全一般规定、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置五个方面,对网络安全有关事项进行了规定,勾勒了我国网络安全工作的轮廓:以关键信息基础设施保护为重心,强调落实运营者责任,注重保护个人权益,加强动态感知快速反应,以技术、产业、人才为保障,立体化地推进网络安全工作。上述规定体现了网络安全工作整体动态的理念,反映了网络安全为人民、网络安全靠人民的思想,也体现了技术、产业、人才等在网络安全工作中的重要地位。今天的网络安全不仅关乎国家安全、社会稳定,也越来越多的影响到老百姓的工作生活,关系广大人民群众的切身利益。国家安全和人民安全是统一的。“没有网络安全就没有国家安全”。没有七亿网民的安全,国家安全也失去了意义。网络安全法坚持以人民安全为宗旨,对个人信息保护、未成年人保护等方面提出了明确要求,对于网络产品和服务提供者、网络运营者收集用户信息进行了严格规范,最大程度地维护人民群众的切身利益。值得注意的是,法律附则中对“个人信息”的内涵进行明确说明,确保各方在执行过程落实到位。

  当前,利用网络进行欺诈活动、散布色情材料、进行人身攻击、兜售非法物品等违法犯罪行为屡禁不止,给人民群众生命财产安全和身心健康带来严重危害,对此要坚决予以打击,决不能任其大行其道。相比于现实社会,网络空间犯罪成本低、发生频度高、追查难度大,因此,在工作思路上要坚持防护与震慑并举,行业、企业加强网络安全防护的同时,公安执法部门要加大网络犯罪打击力度,依法、公开、严厉打击网络犯罪活动,让犯罪分子付出高昂代价,起到震慑作用。网络安全法的“法律责任”部分对哪些网络行为应当受到处罚进行了详细规范,让全社会知道网上“红线”是什么,将促使一些恶意人员主观上“不愿”“不敢”犯罪,同时也为相关部门依法监管提供了法律依据。习近平总书记指出,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。当前,关系国计民生的关键信息基础设施与现实社会紧密结合,一旦发生安全问题,影响的不仅仅是网络和信息系统本身,还会对经济社会发展和广大人民人身财产安全带来重大危害。网络安全法用专门章节规范“关键信息基础设施的运行安全”,明确了国家网信部门、负责关键信息基础设施安全保护工作的部门、关键信息基础设施运营者等各方的安全保护职责和义务,提出关键基础设施保护应采取的措施。

     三、贯彻落实路径选择

  (一)加强宣传普及

  知法懂法是保证法律贯彻落实的基础。网络安全与每个人、每个组织息息相关。首先需要做好网络安全法的宣传普及工作,将法律的有关规定准确地传达到对应的个体。应当将网络安全宣传作为公益,持续广泛地通过网络、电视、广播、纸媒等在公共场所、机关单位、居民生活区域开展,让网络安全观念深入人心,让网络安全意识植根人心。

    ()加快配套制度建设

  网络安全法是网络安全工作的基本法,为相关法规制度提供了接口。如法律中提出制定关键信息基础设施安全保护办法、公布网络关键设备和网络安全专用产品目录、制定各级网络安全事件应急预案、建立网络安全监测预警和信息通报制度等。该法及其配套的法规规章共同构成网络安全领域的法律规范文件体系,在国家研究制定配套的法规文件的同时,湖北宜抓紧组织专家研究制定实施条例等配套制度机制,保证我省网络安全各项工作在61日后能够顺利开展。

    ()加强基础支撑力量建设

网络安全是技术过程也是管理过程。网络安全法明确提出国家要对关键信息基础设施重点保护,要加强网络安全信息收集、分析等工作,采取措施防御处置网络安全风险和威胁等。落实上述法律责任,必须建立一支能力卓越、反应迅速、安全可靠的支撑力量,需要更多懂技术、懂管理的人才加入到网络安全支撑队伍,需要更多有创造力、有热情的人参与到国家网络安全工作。我省是科教大省,结合我省高校科研院所优势,宜采取更加有针对性的措施,支持网络安全技术、法律政策等方面的研究,为网络安全各方面人才培养营造更为有利的条件。


期刊阅览 | 网上投稿 | 联系我们
版权所有:楚天主人杂志社     鄂ICP备13016411号     鄂公网安备 42010602001686号