柯 卫,林卓立
(广东财经大学 法学院,广东 广州 510320)
(一)网络空间安全的含义
2017年颁布的《网络安全法》第76条规定:“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”《网络安全法》从维护网络功能正常和风险防范两方面重新界定了网络安全的含义。在功能的正常运转上,网络空间安全包括三个方面的内容:一是保障互联网物理设备的正常运转,使其处于一个安全的环境。二是维护系统安全,即维护操作系统的正常运转和数据的正常传输。三是维护信息安全,要求将信息的可用性、完整性、保密性、可控性和不可否认性纳入保护的范围[1]。
而实现网络空间安全不可避免的就是提高网络空间的风险应对能力。奥地利学者将网络安全定位于对风险的防范能力上,即识别、评估、跟进威胁,加强抗干扰能力,减少损失和恢复能力[2]。网络空间安全既要使网络内容和相关设备处于安全状态,也要使各种可能的威胁远离网络这一空间,如网络犯罪、网络恐怖主义、网络间谍、技术故障等客观危险表现形式[3]。
(二)网络空间安全和网络安全
网络安全和网络空间安全在现实中的区分并不严格,往往可以交替使用。信息安全是二者的核心,也是二者正常运作的基础,但这两个概念的侧重点还是略有不同。第一,在背景上,网络安全的产生更多与互联网联系在一起,即侧重信息和操作系统安全。网络空间安全则是在网络成为全球第五大空间的背景下,为保护人类在数字空间这一公共活动领域内的安全而产生。第二,在外延上,网络安全的外延包括网络犯罪、网络侵权、网络言论自由等层面的安全。网络空间安全则在此基础上将安全的范围拓展至网络空间中所形成的一切安全问题,涉及网络政治、网络经济、网络文化、网络社会、网络外交、网络军事等领域[4]。第三,在理解上,网络安全更强调网络功能的正常运作,网络空间的安全作为信息环境下的综合性安全概念,更注重从制度,特别是法律制度角度出发,对来自空间内各领域的安全威胁进行防治。
(三)网络空间安全治理的法律基础
第一,从制度上来看,国家治理能力的外在表现和主要内涵都体现于法律制度上,有效的法律制度设计和供给是实现网络空间安全、秩序和自由的关键因素。完善网络空间安全的法律制度有利于规范治理主体间的权力分配和运行规则,并为治理对象提供明确可知的行为标准。
第二,从功能上来看,网络系统是网络运行的载体,网络信息是网络运行的内涵,网络空间是人类生存的一个独立的信息环境。维护网络系统安全和信息数据安全的意义正在于维护网络空间的安全,网络空间安全也只有在法律制度的保障下才能更好地维护前者安全运行产生的成果。
第三,《网络安全法》将网络安全定义为一种国家能力(1)《网络安全法》第76条规定:“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”。依循国家能力理论的研究线索,可将我国网络安全法治实践解读为制度供给、合法性塑造、多元共治、应对国际风险与开展国际合作等内容[5],而这些毫无疑问都在法治化治理的范围和任务之内。
针对越来越严峻的网络空间安全威胁,国家在近些年相继颁布了一系列法律法规。如2015年颁布的《国家安全法》强调维护关键措施和重要领域的系统和数据安全,并对网络违法犯罪行为进行规制。2017年实施的《网络安全法》首次系统规范了网络安全的管理问题。2021年通过的《数据安全法》和《个人信息保护法》旨在维护国家、网络和信息数据安全以及个人信息合法权益。然而,当前我国网络空间安全的法律治理还面临以下主要困境。
(一)《网络安全法》实施不到位
《网络安全法》是维护网络空间安全的基础性法律,它在保护公民合法权益、打击网络犯罪、明确网络运营者责任以及维护国家安全等方面发挥着重要的作用。然而,在具体实施过程中却面临着不少问题,这些问题主要是由法律的可执行性不足以及立法理念的偏差所造成。
第一,法律的可执行性不足。《网络安全法》的可执行性不足主要体现在三点:一是配套法规不完善,二是缺乏程序性法律规定,三是缺乏强制性法律规范。法律的生命在于实施,立法目的的实现依赖配套法规对法律体系的补充调整,在缺少配套法规的情况下,网络空间安全治理的全面性和效率都将大受影响。与此同时,增强法律的可执行性还要求在解决法律有无的基础上,通过程序性条款和强制性条款更全面地实现立法目的。然而,当前《网络安全法》不仅没有统一的执行标准以及配套法规,而且其许多规定都为原则性、禁止性的规定;
不仅缺乏刚性约束,而且偏向实体内容,欠缺程序性规定。
第二,立法理念的偏差。在立法理念上,纵观《网络安全法》,其立法理念更注重对网络安全秩序价值的维护,同时维护国家安全和公共秩序,对自由的保障内容仅粗略地提及。此外,《网络安全法》在具体实施中还面临着网络安全形势差、缺乏专业网络安全人才以及过于依靠专项监督检查,监督效率低下等问题。
(二)网络空间安全技术治理水平的制约
第一,与发达国家相比,我国的互联网技术水平尚有差距。发达国家可以利用网络科技中的软硬件优势,控制网络空间和信息发布权。面对层出不穷的利用技术实施的网络攻击,国家和个人信息泄露、关键领域基础设施瘫痪、公关危机爆发等事件也愈加频繁。这种技术上面临的网络威胁大体来自黑客攻击、计算机病毒入侵、间谍软件等等。同时,技术水平的不足还影响了网络安全基础设施的建设。当前,重要领域的网络安全设备的国产化程度较低,过于依赖国外技术,影响了安全保障的水平,进而增加了法律的调整难度。
第二,依据法治化协同治理,法律调整下的技术治理有利于更及时地发现问题和解决问题。技术水平的不足制约了多元治理力量在法律调整下参与网络安全的治理。完善的技术治理不仅可以在横向上整合不同治理主体的治理能力,还可以弥补政府安全治理的有限性,协调政府的内部治理结构,在纵向上提高政府的治理效率。
(三)关键信息基础设施保障制度亟待补充完善
关键信息基础设施不同于一般设施与网络服务,它是国家安全、稳定的基础,如果受到攻击,可能导致网络运行发生障碍,进而影响国家安全、国计民生和公共利益[6]。《网络安全法》对关键信息基础设施做了原则性规定。2021年颁布的《关键信息基础设施安全保护条例》在内容上明确了关键信息基础设施的定义范围、安全监管体系、安全检测机制和安全责任机制四个基本问题。尽管如此,当前相关保障制度还存在需要补充改善之处。
现有保障制度虽然规定了对于关键信息基础设施安全的保护职责,但原则性较强,缺乏可操作性。
当前保障体制没有根据保护对象重要程度的不同建立一套划分体系。《关键信息基础设施安全保护条例》第32条虽然规定了要优先保障能源、电信等关键信息基础设施安全运行,但不同行业领域,同一领域内的不同行业之间的关系十分复杂,而“优先保障”的用语过于模糊。
当前保障体系下,网信、公安等部门被赋予了较大的监管权力,对关键信息基础设施运营者也附加了较多的义务,但对运营者并无设立相应的激励机制,导致权利义务的失衡。关键信息基础设施的运营者多为国有企业和机关单位,不符合市场化趋势下的专业化运行要求。如果过于依赖行政规制的方式实现网络空间安全,还容易存在治理体制僵化和效率低下等问题。
(四)网络空间面临国家主权安全的威胁
2016年由国家互联网信息办公室发布实施的《国家网络空间安全战略》强调维护网络空间的主权安全,并将其作为网络空间发展的首要原则和战略任务。然而,当前我国网络主权安全正遭受外界不同程度的危害。
霸权主义国家对网络空间进行主导权的争夺对我国造成威胁。随着网络与社会各领域的充分融合,网络安全面临的威胁也很大程度从过去对互联网系统和信息内容的破坏演变为通过控制特定领域内的网络空间以获取本国的政治经济利益,并最终掌握国际社会主导权。而这一过程也破坏了网络空间中各国本应有的平等地位和主权安全。
“网络公地”挑战着国家主权。网络公地模式是一种跨越国土边界的网络治理模式,把互联网看作全世界网络使用者共同使用的公地,要求边缘化政府的作用,保护言论自由和网络自由连接的权利[7]。而当网络空间被视为一种国际公共领域,国家网络空间的主权安全也遭到了间接破坏,不同国家进行国际网络治理合作的基础随之被破坏。
国外势力还不断利用网络技术的无疆界特点和技术优势对我国意识形态和人权理念进行冲击,间接妨碍了国家对内最高统治权的行使效率。
(五)网络空间安全治理理念落后
第一,网络空间安全法治理念仅仅为传统安全治理理念向网络社会的简单移植,并无根据网络社会面临的全新安全挑战进行法治治理理念的更新完善。最为明显的一点是没有实现从碎片化治理转向整体性治理的转变。
第二,政府的治理理念还停留在单一治理的阶段,忽略了多元治理的重要性。多元合作式的治理模式以公共价值为追求,可以发挥出政府对信息共享机制的管理协调功能,并通过契约建立互信,在应对多元化的网络空间安全问题中可以实现更良好的治理效果。而在现有的治理尝试中,不同治理主体和治理环节间的协调并不通畅,不同的治理手段,如法律、技术、道德、社会规则也没有实现良好的衔接。
第三,民众的法律意识也处于滞后状态,网络安全被认为是政府的单方监管责任,民众间缺乏基本的网络安全危机意识和防范意识,同时也欠缺最基本的网络安全威胁识别能力。
(一)维护公共安全
刑法中的危害公共安全行为一般指危害不特定公众生命、健康和重大公私财产安全及公共生活安全的行为。网络空间安全对维护公共安全的意义在于其对公共安全的承载。
网络空间具有虚拟实在性,它借助计算机技术的力量,使网络空间成为一个独立的危害场域,危害公共安全的行为横跨了线上和线下两个空间,网络空间造成的威胁具有波及现实公共安全的能力。
危害网络安全的波及范围广,损害后果严重。大范围内的信息网络安全问题在司法实践中往往成为公共安全问题,如最高人民法院发布的《关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》就将其中造成严重后果的行为,归属于刑法中危害公共安全的行为(2)《关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》第1条规定:“造成火警、匪警、医疗急救、交通事故报警、救灾、抢险、防汛等通信中断或者严重障碍,并因此贻误救助、救治、救灾、抢险等,致使人员死亡一人、重伤三人以上或者造成财产损失三十万元以上的”,属于刑法第 124 条规定的“危害公共安全”。。
第三,网络的高传播性和开放性使得许多通过网络实施的非危害公共安全的传统犯罪,如危害市场经济秩序、财产安全、社会秩序类的犯罪,在实质上具有危害公共安全的能力,网络空间安全由此承载了更大范围内的公共安全。维护网络空间安全对维护公共安全同样具有重大意义。
(二)维护国家安全
习近平在全国网络安全和信息化工作会议上发表的讲话中指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”[8]代表国家生存和发展安全的国域安全包括陆域、水域、空域、底域、天域、磁域以及网域安全[9]。其中,网络正是通过与政治、经济、军事、文化等领域的融合与国家安全产生了紧密的联系。
第一,从国家安全与信息安全的联系来看,信息安全是国家安全体系的重要构成要素。2021年11月,国家互联网信息办公室审议通过的《网络安全审查办法》,聚焦当前的数据处理活动,希望通过完善网络安全审查机制,进一步保障数据安全、信息安全以及国家安全。数据可以呈现出一国网络用户的生活习惯、工作习性和出行规律,通过对数据信息的收集分析可以掌握一国的国防、科技和社会发展动态。正因如此,如果对数据的跨境流动不加以规制会对国家安全造成各个方面的威胁。而网络是存储信息数据的重要载体,没有网络安全就没有信息数据的安全,更没有国家安全。
第二,从国家安全与公共安全的联系来看,国家安全同样具有公共安全的性质,并且在公共安全的基础上融合了主权、领土、政权等要素。鉴于网络空间安全已经与公共安全充分融合,网络空间安全同样可以通过影响更广范围内的社会公共安全的稳定进而影响国家安全。
(三)维护网络命运共同体
习近平在首届世界互联网大会上提出了要构建“网络命运共同体”。同时,《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也对推动构建网络空间命运共同体做了专门的部署[10]。要解决网络监听、网络攻击、网络恐怖主义等国际网络问题,必须全球行动,加强网络空间安全的全球治理合作。
维护国际网络空间安全有助于各国网络空间的均衡发展,避免网络空间安全问题被少数发达国家所左右。特别是在主权安全方面,以往西方发达国家往往跳过联合国等国际机制,制定了《网络犯罪公约》和《塔林手册》等规则,强化自身在网络空间主导地位,威胁发展中国家的自主发展的安全性。
互联网全球治理包含三个层次,物理层、逻辑层和应用层,三个层次的治理机制相互影响、相互关联[11]。网络空间安全的国际协同治理有助于健全共治机制,发挥技术社群、国际组织、政府、互联网企业和全球公民各方治理主体在三个治理层次中各自的安全治理优势,并借助互联网治理论坛(IGF)和信息社会世界峰会(WSIS)等互联网国际会议,共同探讨建立网络空间安全的治理规则。
(一)完善《网络安全法》
第一,增强《网络安全法》的可执行性。一是为提升法律规范本身的细节性和全面性,应加强《网络安全法》配套法律法规的建设。包括加快关键信息基础设施安全保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度等方面的立法进度,在审慎的基础上尽快出台立法。二是加强程序性的立法规定,《网络安全法》本质上属于行政性法律,在权利义务的设定和保障上,不仅需要实体法的明文规定,还应增加程序法的保障,在程序上完善维权流程和责任追究方式,以改变过去过于依赖专项监督检查的运行模式。三是完善强制性规范条款,网络安全的实现依赖法律的强制性效力的保障,而当前法律多以柔性条款为主,缺乏强制性规定。因此,应在法律责任一章,细化不同主体的责任,特别是明确行政部门工作人员违法行为的法律责任。同时,在网络安全支持与促进一章中,明确不同部门对维护网络安全的具体协调职责,避免各部门出现职权交叉和规章内容重复的情况。
第二,改变立法理念,重视对自由的保障。一是《网络安全法》注重维护网络安全秩序,相对而言忽略了对网络自由和权利的保障,也无法引领配套法规自由理念的形成。在信息权利方面,为了更有力地保护个人信息,应该根据个人基本信息和特殊信息的不同,确立区分保护的原则,避免以维护安全秩序为由,盲目地损害个人信息合法权益。二是应在法条中增加关于维护公民、法人和其他组织各项合法权益不受侵害的具体保障条款。当网络安全的行为立法得到充分完善,并搭建起法律基本框架体系后,应该把立法的重心及时地转向权利立法上来。总的来说,当前的网络安全的立法任务在于构建起以《网络安全法》为核心,以其他配套法规为补充的法律调整体系。三是不断改进立法理念,在法治理念的推动下加强权利立法,夯实不同部门的监管职责,从而维护网络空间自由和秩序的平衡。
(二)提高网络空间安全技术治理水平
技术治理是网络空间安全治理的重要手段,通过技术手段掌握和控制网络社会的整体运行是网络社会中最为高效的治理方式。因此,必须要加大网络空间安全治理技术的创新步伐,并实现技术和法律的融合。对此应该做到以下几点:
第一,改进技术水平。网络操作系统和数据传输的正常运作是确保网络安全和信息安全的基础。因此,应该通过改进网络加密技术更有效地保护网络虚拟财产等的安全;通过完善入侵监测技术,更及时地防范网络攻击;通过优化信息过滤技术更合理地拦截不符合传播标准的网络内容。
第二,提高关键技术国产化水平。要实现技术本身安全就必须提高技术的国产化水平,因此有必要通过科研院所、高等院校建立多层级的安全保障及研发队伍,发动互联网企业、科研机构和智库进行技术研发,确保核心技术的自主可控。
第三,将技术与法治融合。技术治理存在非理性一面,需要法律的矫正。因此,应加强技术与法律法规的衔接,并对其进行合规监管。同时,网络空间安全的技术控制标准的不同还会导致网络安全防范不足或过度防范,对此政府应鼓励互联网企业在内的多元技术治理主体共同研制更高效合理的安全防范标准。例如在法律调整下,由多元治理力量共同协商,围绕分级程序、分级范围和分级层级,开展网络信息安全内容的分级制度建设。
(三)完善关键信息基础设施保障制度
当前,我国网络空间安全在很大程度上受制于关键信息基础设施的制度保障不力,关键信息基础设施是网络功能正常运作的基础,也是国家安全发展的重要支撑。在保障制度上,只有明确保护对象和保护标准,同时建立成熟的监督体系和激励机制,才能维持权利义务的平衡,提高国家整体风险防范能力。
第一,加强对保护对象的体系划分。由公安、网信部门、保护工作部门、运营者共同协商建立一套成熟的等级保护制度,严格规定关键信息基础措施的等级认定方式和认定标准,在准确识别的基础上,制定有针对性的保护方式。
第二,加快出台与《关键信息基础设施安全保护条例》有关的正式文件,如《关键信息基础设施安全检查评估指南》和《关键信息基础设施网络安全保护基本要求》,弥补关键信息基础设施在网络安全保护标准制定上的不完善。
第三,对关键信息基础设施运营者建立合理的考核机制,并在考核机制上进行“鼓励式”设计,使得网络安全的考核评价不仅有惩罚责任还有奖励机制,包括建立优先处置安全漏洞的个人和部门表彰制度。
第四,建立公私合作的关键信息基础设施安全保护模式,利用私营部门的创新性和行动力,以及行业自律和自我规制的力量,实现公共利益。同时,在政府和法律的规制框架下,借助合作伙伴式的运行模式,对公私部门的技术能力和信息能力进行整合,实现有效治理。
(四)维护网络空间主权安全
第一,完善的主权保障制度体系是捍卫本国网络空间主权安全,确保本国的网络系统不受其他国家、组织和个人非法侵害的基础。因此,有必要围绕国家“领网”,建立起一套立体化的主权制度体系。在立法上根据《网络安全法》这一基本法,制定《国家网络空间主权战略》,对国家网络空间主权的重要战略意义、理论基础和主要内容进行具体规定。同时在网络空间主权战略的引领下,完善有关主权安全的配套法规。
第二,应明确本国网络空间主权神圣不可侵犯的鲜明态度,并确立符合本国国情的网络自卫权战略。网络自卫权是维护本国网络不受侵犯,并在必要时候从消极防御及时转向自卫反击的权利。它要求提高对网络攻击的监测、防范能力,同时利用网络技术开展精确打击,以掌握维护本国网络空间主权安全的自主权。
第三,各国网络空间主权安全的国际互认是开展网络安全合作的基础,为加强全球网络安全治理合作,各国应该在平等协商的基础上就网络空间管辖、网络空间主权责任以及相应法律法规和技术标准达成共识,并在联合国的统一协调下积极参与国际网络治理合作。
(五)确立多元共治的网络空间安全治理理念
第一,面对网络空间安全的复杂性和多元性,迫切需要转变治理理念,改变过去政府单一治理的模式。在法律的统一调整下,构建起政府主导、行业自律、企业协调、技术保障、道德支撑、公众监督、国际合作的网络空间安全治理模式。协调运用法律规范、技术规则、信息伦理、自治规范四种管理手段,构建虚拟网络社会的治理规范与体系[12]。即通过发挥不同治理主体和不同治理手段各自的优势,构建在法律统筹下的多层治理机制的组合。
第二,广大群众网络空间安全的意识同样重要。第49次《中国互联网络发展状况统计报告》显示,我国网民规模达10.32亿[13]。面对良莠不齐的网络信息和参差不齐的网民素质,只有加强网民对网络空间安全意识的教育,才能避免网络去抑制化现象威胁网络空间的安全。对此,可以围绕着国家总体安全观、法律责任、网络主权、重要安全信息识别等方面,开展网络空间安全教育活动,在引导网络舆论的同时,提高公民的网络安全责任感和风险识别能力。
网络空间安全是在网络空间秩序和自由的双重价值主导下形成的总体国家安全需求。在新形势下,网络空间安全通过与国家安全和公共安全的融合,具有了全新的保护意义。但当前网络空间也面临着许多威胁和挑战,这些问题本质上都是由制度设计缺憾,特别是法律制度不完善所致。总的来说,应对网络空间安全威胁,应构建起一套完善的制度体系,将法律体系作为安全保障的基石。同时,以技术的创新作为安全保障的引擎,以群众的自觉行动作为安全保障的动力,以国际合作作为安全保障的外援,共同完善网络空间安全的法律治理。
猜你喜欢公共安全网络空间网络安全在公共安全面前别任性江苏安全生产(2020年4期)2020-05-30共建诚实守信网络空间公民与法治(2020年4期)2020-05-30网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29网络空间并非“乌托邦”传媒评论(2018年8期)2018-11-10上网时如何注意网络安全?小学生必读(中年级版)(2018年4期)2018-07-05军地联动共治涉军舆情 打造清朗网络空间中国军转民(2017年9期)2017-12-19人脸识别技术在公共安全领域中的应用中国公共安全(2017年7期)2017-10-13大数据背景下的城市公共安全应对机制山东工业技术(2016年15期)2016-12-01社会组织介入公共安全管理的策略浙江理工大学学报(自然科学版)(2015年6期)2015-03-01
