第四节 2012年至今
一、典型事件
华为海外收购受阻。早在2008年,华为试图收购美国电信企业3COM公司,因美国政府对国家安全的担忧而放弃。2010年,华为再次收购3COM公司和摩托罗拉网络设备部门仍受阻。2011年11月,美国众议院情报委员会调查华为、中兴等中国企业在美扩张业务过程中是否会给美国国家安全带来潜在威胁。2012年8月,美国国际贸易委员会宣布对来自中国等多个国家和地区的企业生产的无线电子设备发起大规模的“337调查”,以确定这些企业是否侵犯美国企业的专利,华为、中兴、宏达等知名企业均为被调查对象。前述情况,反映出中国通信设备企业走出去面临的国际环境。
2013年6月发生斯诺登事件。斯诺登将美国国家安全局关于“棱镜计划”监听项目的秘密文档披露给了《卫报》和《华盛顿邮报》,通过该计划,美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据,这是一起美国有史以来最大的监控事件。
2014年索尼影业被黑。11月12日黑客组织“和平卫士”公布索尼影业员工电邮,涉及公司高管薪酬和索尼非发行电影拷贝等内容。同年12月15日,两名前索尼影业员工以索尼影业不保护他们被黑客泄露的数据为由,将索尼公司诉至法院。
2015年中国军人被起诉。2015年7月28日美国司法部起诉前中国军人陈伟,称其于2013年在科威特担任美国国防部外包人员期间,损坏美国军方计算机,复制美方机密文件,并隐瞒背景来通过机密级别安全审查。
2015年《瓦森纳协定》修改。该协定全称为《关于常规武器和两用物品及技术出口控制的瓦森纳安排》。2015年5月,美国商务部工业与安全局公布《瓦森纳协定》的修改草案。2016年12月在维也纳召开的《瓦森纳协定》会议上,美国试图再次修订《瓦森纳协定》。此次修订后网络安全工具出口将更容易,但该修订最终未获通过。
2015年中美网络安全谈判。2015年9月美国和中国讨论了首个网络空间军备控制协议,双方共同承诺在和平时期不首先使用网络武器破坏另一方的关键基础设施。据分析,该协议可能成为国际网络空间行为准则的范本。中美谈判,就打击网络间谍等网络安全问题达成共识,拟构建新型大国关系。
2015年12月,乌克兰电网遭受攻击。黑客攻击乌克兰电网的控制系统,造成其首都基辅附近断电超一小时,数百万户家庭被迫供电中断。这是有史以来首次导致停电的网络攻击。
2016年中兴供应链事件。2016年3月7日,美国商务部认为中兴违规向伊朗销售禁运产品,旋即对中兴发出限制采购零部件令。此次禁令虽于3月24日暂时解除,但暴露出中兴等中国电信设备企业在供应链上对外的依赖,在高端原材料生产科学技术方面相对落后。
2016年7月,土耳其政变。土耳其时间2016年7月15日,土耳其武装部队总参谋部部分军官企图发动军事政变,部分军人通过控制土耳其广播电视协会电视台宣布军队已接管政权。政变期间多人伤亡、汇率波动、机场停飞,社交媒体一度瘫痪,如“推特”、“脸书”和“YouTube”等不能连接至互联网,用户无法正常使用社交网络。
2017年“想哭”蠕虫病毒爆发。5月12日,一款直译名为“想哭”(WannaCry)的蠕虫式勒索病毒在英国爆发,并在全球范围迅速蔓延。近一周时间有100多个国家的数十万名用户中招,政府、医疗、教育、能源、通信、金融等多个重点领域受到影响。此次事件对我国也造成了一定程度的影响。
二、立法情况
2012年12月28日全国人大常委会发布《关于加强网络信息保护的决定》
以决定的形式从维护信息内容安全、保障个人信息安全、落实实名制等角度加强网络信息保护。
2013年11月9日十八届四中全会《中共中央关于全面深化改革若干重大问题的决定》中强调,“加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全”。
2014年2月27日,我国成立了“中央网络安全和信息化领导小组”,习近平总书记发表重要讲话指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”。
2014年3月实施《中华人民共和国保守国家秘密法实施条例》。该条例适应贯彻实施保密法及社会经济发展的需要,对《保密法》的制度进行了细化,促进落地。例如,条例规范了国家秘密保护与信息公开的关系,对保密事项范围基本内容和形式做出统一规定,体现了保密事项范围的规范性要求,为机关、单位准确定密提供了可直接对照的依据,大大提高了《保密法》的操作性。
2014年10月23日十八届四中全会《中共中央关于全面推进依法治国若干重大问题的决定》强调贯彻落实总体国家安全观,加快建设社会主义法治国家,建设中国特色社会主义法治体系,强调加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为,推进社会治安综合治理,依法强化破坏网络安全等重点问题的治理。
2015年中俄签订网络安全协定,全称《中华人民共和国政府和俄罗斯联邦政府关于在保障国际信息安全领域合作协定》。协定规划两国合作的主要方向,如建立共同应对国际信息安全威胁的交流沟通机制,在打击恐怖主义和犯罪活动、人才、科研、应急响应等领域展开合作。
2015年7月1日通过《国家安全法》,以法律的形式确立了总体国家安全观的指导地位和国家安全领导体制。特别规定国家安全保障内容,强调国家健全国家安全法律制度体系,推动国家安全法治建设。
2015年11月,《刑法(修正案九)》加强公民个人信息保护,去掉相关犯罪主体的限制,即删掉履行职务的国家机关、金融、电信等单位工作人员的规定,强调履行职务过程中或提供服务过程中获取的公民个人信息,不得出售或提供给他人,并且同样将此条规定为单位犯罪。严惩恐怖主义、极端主义犯罪活动,维护网络信息安全,新增编造虚假信息罪。加强非法侵入计算机信息系统罪、破坏计算机信息系统罪的处罚力度。例如,增加第二百八十五条、第二百八十六条、第二百八十七条对单位犯罪的规定。与此同时,增加网络安全服务提供者违法安全管理义务罪。故意帮助网络违法犯罪活动的,同样构罪。
2015年12月27日全国人大常委会通过《反恐怖主义法》,作为一项基本法对恐怖活动组织和人员的认定、安全防范、情报信息、调查、应对处置、国际合作、保障措施、法律责任等方面进行了规定。特别强调各监管部门的职责及电信业务经营者、互联网服务提供者的屏蔽与报告义务。
2016年3月17日《十三五规划纲要》明确指出要拓展网络经济空间,把握信息技术变革趋势,实施网络强国战略,加快建设数字中国,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大。构建泛在高效的信息网络,发展现代互联网产业体系,实施国家大数据战略,强化信息安全保障。
2016年习近平总书记“4·19”讲话,继续明确了国家安全与网络安全的关系,指出网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。讲话特别指出国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。
2016年7月,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》,并发出通知,要求各地区各部门结合实际认真贯彻落实。该纲要是根据新形势对《2006—2020年国家信息化发展战略》的调整和发展。基于国家信息化基本形势、指导思想、战略目标和基本方针,提出战略核心要点如大力增强信息化发展能力,着力提升经济社会信息化水平。强调不断优化信息化发展环境,推进信息化法治建设,加强网络生态治理,维护网络空间安全并重视体制保障和制度实施。
2016年11月16日习近平总书记在第三届世界互联网大会讲话,指出互联网发展是无国界、无边界的,利用好、发展好、治理好互联网必须深化网络空间国际合作,携手构建网络空间命运共同体。在强调坚持网络主权理念的前提下,中国愿与国际社会一道推动全球互联网治理,推动网络空间实现平等尊重、创新发展、开放共享、安全有序的目标。
2016年12月27日国家互联网信息办公室发布《国家网络空间安全战略》作为建设网络强国的动员令,强调完善网络治理体系,依法治理网络空间,健全网络安全法律法规体系,制定出台《网络安全法》、《未成年人保护条例》等法律法规。加快对现行法律的修订和解释以适用于网络空间。促进行政监管法治化水平,鼓励公众参与网络治理。
2017年6月《网络安全法》作为我国第一部网络空间综合性法律,有效地弥补了我国网络安全法律领域的空缺,在我国网络空间立法进程中具有里程碑式的意义,同时也是依法治国基本方略的重要体现。该法特别重视贯彻落实总体国家安全观的法制理念。在应对网络空间治理问题中,既重视传统安全,又重视非传统安全;既重视发展问题,又重视安全问题;既重视自身问题,又重视共同安全。在具体规定上既重视网络入侵,又重视网络攻击;既重视网络风险,又重视网络威胁;既重视基础性安全,又重视应急处置;既重视网络运营商法规遵从,又重视违法犯罪的打击惩治。中国以实际行动提升网络空间治理水平,彰显一个负责任大国的形象。
三、本阶段立法特征
《网络安全法》是我国首部网络安全领域基本法律,在我国网络安全立法历史上具有里程碑的意义,网络安全法治体系建设显现初步成果。立法层级升高,多部安全方面的立法出台。网络安全战略性、全局性凸显,引战略入法。法律规范紧跟产业发展,监管深入细致,权责更加清晰,法规可操作性增强。
以上四个阶段的网络安全事件及相关立法发展情况充分体现了我国立法与时俱进、不断完善的整体特征。网络空间面临的威胁类型呈现由技术简单、目的单一到技术难度提高、多层面、复合化的发展趋势,因此以此为基础的网络威胁治理模式也需要与时俱进、不断完善。未来网络空间治理,一方面需要基于本国国情不断创新、夯实技术与经济基础;另一方面需要走出去,加强国际合作与交流,借鉴优秀经验,共同抵御网络安全威胁;防治结合,共建国际层面多边、民主、透明的互联网治理体系。