网络安全已成为关系国家安全和发展、关系人民群众切身利益的重大问题,我国作为网络大国,正面临着十分严峻的网络安全形势,制定《网络安全法》正当其时。
“要制定‘互联网+’行动计划,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场。”这是今年两会上,李克强总理在《政府工作报告》中,对未来经济提出的明确愿景。“互联网+”战略落地,互联网信息安全再成风口。国家“互联网+”战略提速,网络信息安全被认为是保障“互联网+”战略实施的重要环节。
伴随着我国正式接入国际互联网20多年来,有关互联网的立法一直相随左右,时至今日,相关立法已蔚为壮观。但法律专家指出,我国现有的互联网法律法规仍存在不少问题,其中主要包括专门立法整体层次较低、立法主体间的系统性与协调性较差等。2003年,中办23号文《国家信息化领导小组关于加强信息安全保障工作的意见》提出“抓紧研究起草《信息安全法》”的要求,7月6日,全国人大常委会公布的《中华人民共和国网络安全法(草案)》全文在全国人大网上全文刊登,征求公众意见,迄今12年整,草案终于同公众见面了。
工信部:制定《网络安全法》正当其时
随着云计算、物联网等新技术的发展和移动支付、社交网络等新业务的大量涌现,网络中传输和存储的个人信息数量呈现指数式、爆炸式增长,同时出于经济利益等目的的网络攻击行为也越来越多,不法黑客利用系统漏洞窃取整个数据库的“拖库”和通过收集已泄露的用户信息生成字典表后批量登陆其他网站的“撞库”方式等手段盗取大量用户信息,如手机号码、身份证号码、家庭住址、支付宝及网银信息等,给广大互联网用户带来经济利益损失,同时也极大影响了网络信任体系的建设,破坏了互联网安全环境。
日前,国家工信部网络安全管理局相关负责人在接受记者采访时表示,目前该部正在积极参与《中华人民共和国网络安全法(草案)》(以下简称“草案”)等相关法律法规的制修订工作,积极推动在立法中强化网络数据和用户个人信息保护,明确企业主体责任。在公开征求意见的草案中,已明确提出“网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护”。下一步,工信部将按照《全国人大常委会关于加强网络信息保护的决定》等法律法规要求,继续监督指导电信和互联网企业落实网络数据和用户个人信息安全防护措施,对用户数量和社会影响较大的重点互联网企业开展用户个人信息安全专项检查;充分发挥行业组织和专业机构的作用,鼓励行业自律组织制定、实施行业数据安全自律规范,促进数据安全管理和技术交流;建立健全数据安全社会监督举报机制;开展面向社会公众的数据和用户个人信息安全宣传教育活动,提升全社会网络信息自我保护意识。
该负责人指出,正如草案说明中所强调的,网络安全已成为关系国家安全和发展、关系人民群众切身利益的重大问题,我国作为网络大国,正面临着十分严峻的网络安全形势,制定《网络安全法》正当其时,十分必要也十分迫切。
从内容上看,草案确立了保障网络安全的基本制度,在保护各类主体相关权利和利益的同时,也通过战略和规划促进网络技术创新和产业发展,在保障网络安全的同时也促进信息化的发展。从作用上看,《网络安全法》将是我国互联网法律体系的重要组成部分,将成为我国网络安全法律体系的基石。在我国互联网法律体系中,部门规章和规范性文件所占比例一直很大,2000年出台的《电信条例》和《互联网信息服务管理办法》是我国互联网管理和执法的主要依据。草案出台后,将成为我国网络安全领域的基本法,在网络运行安全、信息安全、安全保障等方面引领其他层级的立法工作,并与《电子签名法》《全国人大常委会关于维护互联网安全的决定》《全国人大常委会关于加强网络信息保护的决定》一起,构成我国互联网基本法律体系的核心组成部分。总体上,我国较为完善的互联网法律体系正在加快形成,网络法治化进程全面提速。
在谈到目前我国现有的互联网法律法规存在的主要问题时,工信部该负责人表示,突出体现在以下几个方面:一是层级低。缺乏上位法,现有关于互联网业务管理、网络与信息安全、用户个人权益保护方面的法律文件均为部门规章,对违法行为的处罚力度不够、执行力较弱、实施效果欠佳。二是不健全。如针对电子商务、信息资源开放利用、用户信息保护等领域仍未有明确的法律制度予以规范。三是“碎片化”现象突出。传统行业管理部门的法律法规缺乏对互联网的兼容性和包容性,导致“政出多门”,难以形成约束合力,在网络基础设施保护、互联网信息服务市场准入管理等领域,都不同程度上存在法律条块分割、部门多头管理等现象。四是部分立法需要尽快修订完善或出台新的制度。如《电信条例》中关于电信业务分类、互联网信息服务市场准入、无线电频率规划分配制度等,在不同程度上存在着与实践管理脱节的问题,亟需调整和完善。
在互联网管理方面,我国一直以来秉持“积极利用、科学发展、依法管理、确保安全”的十六字方针,坚持以安全保发展、以发展促安全,安全与发展并重,这一理念也一直贯穿于互联网领域相关立法的始终。“近期公开征求意见的草案就明确体现了这一理念,在注重对网络安全制度作出规范的同时,注意保护各类网络主体的合法权利,保障网络信息依法有序自由流动,促进网络技术创新和信息化持续健康发展。”该负责人这样说道,实际上,从各国立法的实践情况看,大家都在结合本国实际,努力在发展与安全方面寻找平衡点。比如,跨境数据流动方面,互联网经济的发展、信息和知识的分享传播等,都依赖于全球信息的自由流动。但从维护国家安全的角度出发,数据已经成为国家重要的战略资产,很多国家都在采取不同措施对数据跨境流动进行限制。再如个人隐私安全是基本的公民权利,但是互联网的业务应用、大数据的发展都依赖于对个人数据等信息的挖掘与使用,立法在数据的自由流动和重要数据跨境限制、在个人信息保护和促进互联网产业发展等方面都需要作出权衡和统筹。
下一步,在互联网领域立法工作中,工信部表示将继续坚持十六字方针,将以安全保发展、以发展促安全的理念贯穿始终,进一步推进《电信法》、关键信息基础设施保护、用户数据安全和保护等方面的相关立法,促进网络基础设施建设,鼓励业务创新与发展。良法是善治之前提,对行业和产业而言,增强法律的确定性,有助于企业明确责任边界,通过规则的制定来形成网络空间发展的良好环境,进一步激发和保护互联网创新活力。
吴伟光:
网络安全法规是整个网络活动的基础和保障
互联网立法呼吁了很多年,学者也研究了相当多的成果,但由于国家立法资源有限,网络安全立法之路实在坎坷艰辛,进展始终不尽如人意。清华大学法学院教授吴伟光这样解释道:有关互联网的立法,由于不同的领域,其立法的轻重缓急也不同,有一些有关互联网的法律一直处于立法的过程之中,只是有不同的阶段区别。例如电子商务法、个人数据信息保护法以及有关互联网金融等方面的法律。而网络安全法规是整个网络活动的基础和保障,如果安全问题没有解决好,其他方面的活动是很难顺利进行的,因此,草案是继《电子签名法》之后第二部重要的、立法层级高的、基础性的法律。
吴伟光认为,草案为网络安全提供了法律基础,包括网络安全的内容和要求,相关各方的义务和责任,网络安全方面的发展方向和规划等。这一法律将我国与网络安全有关的技术和服务、应急和监管、企业的义务和责任、政府的责任等各个方面进行协调和明确,为一些重要的措施提供了法律基础,这也是依法治国、依法行政的需要,因此是一部重要的和基础性的法律。
如今,“互联网+”推动大众创新、万众创业的浪潮奔涌,但备受社会各界关注的商业信息、个人信息泄露和滥用等潜在风险也在加剧。在吴伟光看来,应该受法律保护的商业信息,例如商业秘密、知识产权以及个人数据信息在网络上被不当披露或者使用的情形确实较多,而且企业或者个人对此又没有特别有效的办法来进行自我保护。尤其在大数据时代,如果这一问题不能得到很好地解决,那么对这些有价值的数据信息的使用、开发或者利用便是建立在一个没有法律根基的沙滩之上,其现实的和潜在的危险可能是不可估量的。
吴伟光说,互联网是新技术,但是技术对于人类来说却不是新东西。人类就是依赖技术手段才获得了竞争优势,从而在自然界的激烈竞争中生存并发展壮大,其中信息技术对人类的组织能力有着至关重要的作用。互联网是新的信息技术,它会改变社会的组织结构和组织能力,但是技术是为人所用的,是人的行为决定了技术的发展和使用。因此,有技术史学者说:“技术既不是好的,也不是坏的,也不是中性的。”对于技术的规范,本质上是对人的行为的规范,是构建健康合理的社会关系。人类之所以形成社会组织,是为了提高人类自身的竞争力,这是一个合作过程,而不是相互厮杀和倾轧的关系。因此,在网络时代如何保护公民免遭名誉侵权、版权侵权、个人隐私泄露等侵害,应该从社会道德、法律规治和技术措施三个方面三管齐下,协同作用。
“互联网本质是为人类服务的,是人类行为的一种表现。因此,技术可以有很大的变化,但是人类行为的规律是相对稳定和可预测的。那么在平衡两者之间的关系时,我们应该更注重对人的行为的评估和规范,从而使我们的道德、法律和规范通过人的行为要求来影响互联网技术的发展和完善。”在被问到互联网立法应如何在技术的常变常新与法律的稳定性之间找到合理平衡点时,吴伟光这样解释,例如保护版权是法律对人的行为的要求和规范,那么互联网企业就应该将这种要求和规范体现在技术的发展和完善之中。
而困扰互联网管理的难题——多头管理,在吴伟光看来,则是因为传统产业的多头管理造成的,互联网对传统的各个行业都产生了深刻影响,但是这种影响的具体内容和挑战是什么,只有这些传统的管理部门才能够准确掌握,这是社会分工和专业化决定的。毋庸置疑,有一个能够统领各个部门的专门的网络管理机构的想法是好的,但他并不确定这样的机构是否能够理解和掌握金融、交通、通讯、商业、医疗、教育、军事、国防安全、公共安全、外交以及司法等全部的知识和技能,从而了解互联网技术面对这些专门产业时产生的问题和挑战,并设计出应对措施。他认为,目前的多头管理尽管有很多问题,但却是过去的社会发展阶段造成的。是否以及如何能够有一个统领的专业部门来管理互联网还需要进一步观察和研究。当然,如果有一个能够协调各方关系、行为和利益的高级别机构,对互联网的发展和规治应该是有益的。
王英军:
比制定法律更重要的是落实执行
据媒体报道,针对网络信息安全立法工作,国家有关部门召集了三大运营商和包括华为、阿里、腾讯、百度、360在内的互联网巨头进行讨论和修改。“我觉得以后民间参与立法的力量会逐渐加大,现在的立法,包括一些地方的立法,会让企业等利益相关方参与,在法律法规制定过程中也确实会征求他们的意见。”北京有律科技有限公司CEO、北京中关律师事务所副主任律师王英军赞同现在的立法过程比以前有进步,以前基本属于一个闭门造车的过程,他认为,民间的意愿在日后的立法过程中可能会得到越来越多的体现。
“众所周知,每个法律从产生到成为条文颁布的过程都需要经历一定的时间,特别是一个陌生的领域更是如此,因为没有特别多的可借鉴做法。法律作为一个严肃的事情,一旦颁布了,就意味着将对很多人产生直接的影响,所以相对来说还是需要特别慎重。”针对立法先天的滞后性,王英军这样解释。
王英军告诉记者,按照法律的基本原则,法无禁止就是可以做的,“法律的一个作用是规定你不能做哪些事情,还有一个就是授权你做哪些事情”。而法律法规又分不同层次,在目前的中国司法实践当中,基本面的法律还是相对有限的。“我认为,互联网领域的几部法律作为基本原则是够用的,即使有特别新的东西出现,也可以通过修正来弥补,这是极个别的情况,不会是普遍现象。”王英军说,目前来看,可以通过相应的法律法规来规范互联网范围内的权利和义务等内容,现行法律并不是完全不能适应时代的发展。
同样地,王英军对现在频发的个人信息泄露表现出无奈,由于原来的法律法规不够规范,侵权行为发生以后有些时候追究不到位。他说,法律有两个层面的东西,一个层面是法律要制定出来,而另一个层面更重要,就是法律要得到执行。“必须说,法律缺失是一部分,但执行不到位也是很重要的一个原因。从我们法律工作者的角度来说,目前遇到的更多的是执行问题,而不是法律规章不到位,如果得不到执行,法律其实没有任何意义。”谈到个人信息泄露问题时,王英军举例解释这种侵犯个人隐私的行为,他说即使没有网络方面的法律诞生,按照现有的法律,侵犯他人的名誉、对他人的生活造成影响,甚至情节严重构成刑事犯罪,这时可以适用民法或者刑法来保护公民的权益。
谈到草案的公布,阅读了草案原文的王英军分析,立法者的初衷应该从立法宗旨来看,就草案来说,分国家和个人两个层面。其中保护个人层面,一般来说是界定了哪些信息是应该被保护的,拥有这些信息的单位应该承担什么样的保护义务,如果泄露信息应该负什么样的责任,而在侵犯过程中又要区分主观故意和客观过失的差别。“草案详细规定了侵犯国家权利怎么办,侵犯个人信息怎么办,主要还是规定了民事责任,以罚款、吊销营业执照等行政处罚为主,如果违法行为构成刑事犯罪,就可以依照刑法来处理。”王英军向记者这样解释。
腾讯:
“安全+”布局 服务国家安全战略
随着信息安全上升至国家战略,互联网安全领域将迎来安全厂商的大融合时代。作为互联网巨头企业的腾讯公司,在绿盟科技以4450万元投资与金山安全正式结盟进军企业安全领域之后,也宣布与国内安全领域领军企业启明星辰达成战略合作,组建中国最具实力的企业安全战略联盟,吹响进军企业安全领域的号角,将为“互联网+”国家战略落地提供系统安全服务。
腾讯副总裁马斌认为,“互联网+”时代,国家给了企业自主经营的土壤,企业安全一定要服务于国家安全;国内企业只有彼此开放合作才能形成竞争力,更好地服务国家战略。在日前开幕的国家网络安全周上,腾讯公司宣布了一系列互联网安全领域的举措——投资知道创宇、与启明星辰达成企业级安全战略合作,并与中国信息安全测评中心签署了全面战略合作。同时,腾讯还在互联网安全周上大篇幅介绍“天下无贼”反信息诈骗联盟,向民众普及反信息诈骗常识。据了解,腾讯是该联盟的主要发起者之一,这个成立于2013年末、最初只有十余家成员的公益组织,如今已经拥有百余家成员。
腾讯公司称,其已与中国信息安全测评中心、国家计算机病毒应急响应中心等政府权威机构达成安全战略合作,未来将在国家网络领域展开多方位的深度合作,不断探索国家网络安全的有效措施,共同为国家互联网安全提供有力支撑。
在与中国信息安全测评中心的合作中,双方针对信息安全漏洞、恶意代码、钓鱼网站、新生互联网犯罪模式等进行共同研究和防护,针对研究出的安全隐患和漏洞以及互联网违法源头进入测评中心漏洞通报程序,进行综合研判,定期发布漏洞通报,发挥漏洞隐患和销控作用。
“互联网的未来是连接一切,而安全是连接一切的基石。”马斌介绍称,近年来腾讯安全致力于推动互联网安全开放平台建设,积极开展产业链协同模式,整合旗下四大联盟并以开放的姿态与警方、银行、金融公司、安全厂商、运营商等产业链各方合作,并呼吁联盟成员共同努力,输出各自核心优势,发挥整个产业链资源的联动作用,为企业安全构筑坚实可靠的免疫系统。