源于我國面臨國內(nèi)外網(wǎng)絡(luò)安全形勢的客觀實(shí)際和緊迫需要,2016年11月7日,《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“網(wǎng)安法”)經(jīng)第十二屆全國人大常委會(huì)第二十四次會(huì)議表決通過,已于2017年6月1日施行。網(wǎng)安法為我國有效應(yīng)對網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)、全方位保障網(wǎng)絡(luò)安全提供了上位法依據(jù)。法律的生命力在于實(shí)施,在網(wǎng)安法正式生效前,Wannacry勒索軟件攻擊事件再次給我國網(wǎng)絡(luò)安全法律治理敲響了警鐘,進(jìn)一步彰顯了法律實(shí)施的緊迫性和必要性。
一、戰(zhàn)略發(fā)布:不斷強(qiáng)化網(wǎng)安法提出的原則和政策
2016年12月27日發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》,是我國首次發(fā)布關(guān)于網(wǎng)絡(luò)空間安全的戰(zhàn)略。戰(zhàn)略與網(wǎng)安法提出的構(gòu)建網(wǎng)絡(luò)空間的“和平、安全、開放、合作”原則相銜接,從國家戰(zhàn)略層面詮釋了網(wǎng)安法主張的網(wǎng)絡(luò)空間主權(quán)原則,將“堅(jiān)定捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)”作為九大戰(zhàn)略任務(wù)之首,強(qiáng)調(diào)“根據(jù)憲法和法律法規(guī)管理我國主權(quán)范圍內(nèi)的網(wǎng)絡(luò)活動(dòng),保護(hù)我國信息設(shè)施和信息資源安全,采取包括經(jīng)濟(jì)、行政、科技、法律、外交、軍事等一切措施,堅(jiān)定不移地維護(hù)我國網(wǎng)絡(luò)空間主權(quán)。堅(jiān)決反對通過網(wǎng)絡(luò)顛覆我國國家政權(quán)、破壞我國國家主權(quán)的一切行為”;戰(zhàn)略將“保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施”作為九大戰(zhàn)略任務(wù)之三,進(jìn)一步拓展了關(guān)鍵信息基礎(chǔ)設(shè)施的外延,將重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)納入其中,強(qiáng)調(diào)著眼識(shí)別、防護(hù)、檢測、預(yù)警、響應(yīng)、處置等環(huán)節(jié),建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度;同時(shí),戰(zhàn)略再次強(qiáng)調(diào)要建立實(shí)施網(wǎng)絡(luò)安全審查制度,加強(qiáng)供應(yīng)鏈安全管理。
2017年3月1日發(fā)布的《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》,全面宣示了我國在國際互聯(lián)網(wǎng)治理問題上的基本原則和行動(dòng)要點(diǎn),奠定了我國在國際社會(huì)競爭中的話語權(quán)和軟實(shí)力。該戰(zhàn)略站在各國共同維護(hù)網(wǎng)絡(luò)空間安全的角度,重申了網(wǎng)安法的和平、主權(quán)原則;戰(zhàn)略主張的“促進(jìn)企業(yè)提高數(shù)據(jù)安全保護(hù)意識(shí),支持企業(yè)加強(qiáng)行業(yè)自律,就網(wǎng)絡(luò)空間個(gè)人信息保護(hù)最佳實(shí)踐展開討論。推動(dòng)政府和企業(yè)加強(qiáng)合作,共同保護(hù)網(wǎng)絡(luò)空間個(gè)人隱私”的行動(dòng)倡議與網(wǎng)安法第四章“網(wǎng)絡(luò)信息安全”的個(gè)人信息保護(hù)規(guī)定緊密契合。
這兩個(gè)戰(zhàn)略開啟了我國網(wǎng)絡(luò)空間治理的全新范式,鞏固和強(qiáng)化了網(wǎng)安法構(gòu)建的由內(nèi)而外、自上到下的原則和政策,為我國網(wǎng)絡(luò)安全相關(guān)政策和配套法律的出臺(tái)指明了方向,有助于繼續(xù)深入推進(jìn)網(wǎng)絡(luò)主權(quán)保障、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、個(gè)人信息保護(hù)、國家安全審查等方面的法律構(gòu)建。
二、配套規(guī)定出臺(tái):有效銜接網(wǎng)安法構(gòu)筑的制度和規(guī)則
網(wǎng)安法從運(yùn)行安全、信息安全和事件應(yīng)對三個(gè)維度立體化、全方位保護(hù)網(wǎng)絡(luò)安全。相關(guān)部門正制定或出臺(tái)相應(yīng)的下位法與之配套,切實(shí)保障網(wǎng)安法的可操作性,避免流于表面化。
在網(wǎng)絡(luò)運(yùn)行安全方面,網(wǎng)絡(luò)安全審查和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度是下位法制定的重點(diǎn)。網(wǎng)安法第35條規(guī)定應(yīng)該對可能影響國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行國家安全審查,該條已在國家互聯(lián)網(wǎng)信息辦公室2017年5月2日發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》中進(jìn)行了具體規(guī)定,該規(guī)定是首個(gè)正式生效的網(wǎng)安法重要配套規(guī)定,并已于6月1日同步施行。該辦法旨在提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平,防范供應(yīng)鏈安全風(fēng)險(xiǎn)。根據(jù)該辦法,關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,都要經(jīng)過網(wǎng)絡(luò)安全審查;網(wǎng)絡(luò)安全審查重點(diǎn)在于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性。
信息安全等級保護(hù)制度是國家對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)實(shí)施重點(diǎn)保護(hù)的關(guān)鍵措施。我國的信息安全等級保護(hù)工作初步實(shí)現(xiàn)了標(biāo)準(zhǔn)化、規(guī)范化,但是仍呈現(xiàn)體系不完善、重點(diǎn)不突出、保護(hù)效果不佳、保護(hù)對象不完整等問題。網(wǎng)安法第21條提出國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度,第31條進(jìn)一步要求關(guān)鍵信息基礎(chǔ)設(shè)施要落實(shí)國家安全等級保護(hù)制度,突出保護(hù)重點(diǎn),是深化信息安全等級保護(hù)制度、保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施和大數(shù)據(jù)安全的迫切需要。為落實(shí)網(wǎng)安法第21條和第31條的規(guī)定,必須科學(xué)合理地推動(dòng)網(wǎng)絡(luò)安全等級保護(hù)制度的演進(jìn)與變革,構(gòu)建和完善等級保護(hù)2.0制度體系。
網(wǎng)安法第31條規(guī)定建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度,授權(quán)國務(wù)院制定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法是法律中唯一明確規(guī)定“由國務(wù)院制定”的行政法規(guī),也是網(wǎng)絡(luò)安全法律體系的重中之重。主管部門已開展了相關(guān)條例的具體調(diào)研、安全檢查、起草編寫、部門論證和企業(yè)座談等工作。在與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)配套的強(qiáng)制性標(biāo)準(zhǔn)方面,全國信安標(biāo)委2017年工作重點(diǎn)之一即為落實(shí)網(wǎng)安法要求,加快推動(dòng)重點(diǎn)標(biāo)準(zhǔn)研制,網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等強(qiáng)制性國家標(biāo)準(zhǔn)的研究。由此可見,與網(wǎng)安法第31條配套的法規(guī)、國家標(biāo)準(zhǔn)等正在經(jīng)歷著縝密的夯實(shí)歷程。
網(wǎng)安法第37條首次在法律中確立了對個(gè)人信息及重要數(shù)據(jù)出境的安全評估制度,并授權(quán)國家網(wǎng)信部門會(huì)同其他監(jiān)管部門制定詳細(xì)的安全評估實(shí)施辦法。數(shù)據(jù)本地化屬于境內(nèi)外實(shí)體的重大關(guān)切,《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》已于5月11日結(jié)束公開征求意見。評估辦法以《國家安全法》和《網(wǎng)絡(luò)安全法》等為上位法依據(jù),擴(kuò)大了數(shù)據(jù)本地化及安全評估義務(wù)適用對象的范圍,解釋了重要數(shù)據(jù)的概念,數(shù)據(jù)評估的重點(diǎn)內(nèi)容,不得出境的條件等,正式制度出臺(tái)和具體實(shí)施有待在實(shí)踐中進(jìn)一步觀察。
在網(wǎng)絡(luò)信息安全方面,《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》也于6月1日同步施行,規(guī)定第13條第一款和十六條第二款分別銜接了網(wǎng)安法第24條用戶身份管理制度的要求和第47條處置違法信息的義務(wù)要求,互聯(lián)網(wǎng)新聞信息服務(wù)提供者違反這兩款的適用網(wǎng)安法的行政處罰。
兩高《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(《解釋》)5月10日正式發(fā)布,解釋降低入罪門檻,嚴(yán)懲侵犯公民個(gè)人信息犯罪。在個(gè)人信息保護(hù)基本立法暫時(shí)缺位的情況下,《解釋》及時(shí)彌補(bǔ)了個(gè)人信息刑事責(zé)任追責(zé)的短板,并實(shí)質(zhì)性的構(gòu)成了網(wǎng)安法行刑銜接的進(jìn)一步配套和細(xì)化制度,為基本立法提供了案例素材,有利于立法的精準(zhǔn)、充分。
三、國際立法變革:網(wǎng)安法后續(xù)制度落地的參考方向
國際網(wǎng)絡(luò)安全相關(guān)戰(zhàn)略和立法迅速進(jìn)行改革,美歐紛紛建立全方位、更立體、更具彈性與前瞻性的網(wǎng)絡(luò)安全立法體系。鑒于事件驅(qū)動(dòng)重大立法規(guī)律的存在,可以預(yù)見的是,國際立法變革將一直持續(xù)。
美國接連通過多部網(wǎng)絡(luò)安全戰(zhàn)略及立法,以加強(qiáng)美國網(wǎng)絡(luò)安全和抵御網(wǎng)絡(luò)攻擊的能力,如2016年通過《信息自由法案促進(jìn)法》、“應(yīng)對重大網(wǎng)絡(luò)攻擊最新政策指令”、“安全漏洞披露政策”、《波特曼-墨菲反宣傳法案》,2017年通過《國家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃(NCIRP)》、《2017NIST網(wǎng)絡(luò)安全框架、評估和審查法案》(NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017)(H.R.1224)等。5月11日,美國總統(tǒng)特朗普簽署了《關(guān)于加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的總統(tǒng)行政令》,要求美國采取一系列措施來增強(qiáng)聯(lián)邦政府、關(guān)鍵基礎(chǔ)設(shè)施和國家這三個(gè)領(lǐng)域的網(wǎng)絡(luò)安全,明確要求聯(lián)邦機(jī)構(gòu)必須遵守NIST的網(wǎng)絡(luò)安全框架。歐盟2016年7月通過第一部網(wǎng)絡(luò)安全法案《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》,致力于在歐盟范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的、高水平的網(wǎng)絡(luò)與信息系統(tǒng)安全,歐盟成員國必須在21個(gè)月內(nèi)將其轉(zhuǎn)化為國內(nèi)法,11月發(fā)布了三個(gè)有關(guān)歐盟《一般數(shù)據(jù)保護(hù)條例》內(nèi)容的指南,為落實(shí)《一般數(shù)據(jù)保護(hù)條例》提供更詳盡的指引。英國2016年底頒布史上最嚴(yán)協(xié)助執(zhí)法法《調(diào)查權(quán)法案》,旨在進(jìn)一步理清執(zhí)法機(jī)構(gòu)在通信及通信數(shù)據(jù)攔截、獲取、留存及設(shè)備干擾等方面的權(quán)力,幫助執(zhí)法機(jī)構(gòu)調(diào)查犯罪和防控恐怖主義。
從制度設(shè)計(jì)層面來看,網(wǎng)安法規(guī)定了近20項(xiàng)制度,其中,網(wǎng)絡(luò)安全等級保護(hù)制度、網(wǎng)絡(luò)信息內(nèi)容管理、網(wǎng)絡(luò)安全教育和培訓(xùn)、個(gè)人信息保護(hù)等制度較為成熟,網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品認(rèn)證、漏洞等網(wǎng)絡(luò)安全信息發(fā)布、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、數(shù)據(jù)留存和協(xié)助執(zhí)法制度、境外網(wǎng)絡(luò)攻擊制裁等更多的制度亟需完善設(shè)計(jì)和后續(xù)落地,在制度的貫徹實(shí)施過程中必然存在各種挑戰(zhàn)和問題。
而恰恰國際立法變革的內(nèi)容可以為我國網(wǎng)安法后續(xù)制度落地提供參考方向。如美國2016年應(yīng)對重大網(wǎng)絡(luò)攻擊最新政策指令公布了對網(wǎng)絡(luò)攻擊嚴(yán)重程度進(jìn)行定性的標(biāo)準(zhǔn),從0級到5級共分6個(gè)層次,分別是基準(zhǔn)、低、中、高、嚴(yán)重和緊急,其中3級及以上被視為“重大網(wǎng)絡(luò)事件”,將觸發(fā)政策指令中的威脅應(yīng)對、資產(chǎn)應(yīng)對和情報(bào)支持活動(dòng)等反應(yīng)機(jī)制,可以為我國網(wǎng)絡(luò)安全事件應(yīng)急處置和境外攻擊制裁制度落地提供參考。美國國防部“安全漏洞披露政策”可以為漏洞等網(wǎng)絡(luò)安全信息發(fā)布和漏洞的合法挖掘、合理披露制度構(gòu)建提供參考。美國《2017NIST網(wǎng)絡(luò)安全框架、評估和審查法案》則可為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)辦法、關(guān)鍵信息技術(shù)保護(hù)安全要求方面的國家強(qiáng)制性標(biāo)準(zhǔn)制定提供參考。英國《調(diào)查權(quán)法案》涉及面廣,規(guī)定細(xì)致,可以為數(shù)據(jù)存留和協(xié)助執(zhí)法制度的完善提供參考等。必須強(qiáng)調(diào)的是,相關(guān)制度借鑒應(yīng)考慮其制定和實(shí)施的特殊場景,不能照搬國外經(jīng)驗(yàn),需根據(jù)國情實(shí)施本土化改造。
作為我國第一部網(wǎng)絡(luò)安全管理的基礎(chǔ)性保障法,其全面落地實(shí)施是網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑事件。網(wǎng)安法以發(fā)現(xiàn)、消除網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn),提升恢復(fù)能力為軸心,構(gòu)建了“防御、控制與懲治”三位一體的立法架構(gòu),其配套制度的制定與出臺(tái)正不斷夯實(shí)豐滿這一立法架構(gòu)。為降低網(wǎng)安法全面落地實(shí)施的難度,網(wǎng)安法配套制度的制定與出臺(tái)仍需嚴(yán)謹(jǐn)、審慎論證。(公安部第三研究所副研究員 黃道麗)
Copyright(C) 1998-2024 wxrb.com All Rights Reserved無錫日報(bào)報(bào)業(yè)集團(tuán)無錫新傳媒網(wǎng) 版權(quán)所有未經(jīng)授權(quán)禁止復(fù)制或鏡像
互聯(lián)網(wǎng)新聞信息服務(wù)許可證:32120170007 信息網(wǎng)絡(luò)傳播視聽節(jié)目許可證:110330069 廣播電視節(jié)目制作經(jīng)營許可證:(蘇)字第00306號
蘇新網(wǎng)備2006009 蘇ICP備05004020號