第4章 《网络安全法》的基本原理
第一节 《网络安全法》的制定背景
一、时代背景
当前我国面临的国内和国际信息安全形势相当复杂和严峻,境外敌对势力的网络浸透日益泛化,国内各种极端势力进行的网络恐怖活动及社会矛盾交融所产生的国家安全和社会稳定任务更加迫切。“多网域跨际”和“供应链渗透”威胁着能源、通信、金融、工业等国家关键基础设施安全。大数据挖掘和数据跨境流动广泛融入现代商业的发展模式中,给涉及我国商业运行数据、公民个人敏感数据等国家数据主权,特别是国家独立的司法权力架构带来了结构性的挑战。同时,我国企业走出国门的“拐点”已经来临,国家经济发展“走出去”与“引进来”的发展战略需要进行重大调整。
世界层面,和平与发展仍为时代主题,随着世界多极化、经济全球化、文化多样化、社会信息化深入发展,国家间竞争空前激烈,传统安全与非传统安全交织,国际关系复杂程度前所未有。网络空间已成为各国竞争与博弈的新疆域,网络安全的战略性、全局性凸显。网络安全问题成为全球共同面对的问题,斯诺登事件、乌克兰电网遭遇攻击,“想哭”蠕虫病毒全球扩散,反映网络空间并非孤岛,国家间合作亟待加强。2016年第三届世界互联网大会就以“创新驱动造福人类——携手共建网络空间命运共同体”为主题。
面对当前国内、国际网络安全战略性、全局性凸显的新形势,国家迫切需要一部综合性的统领信息化发展的立法。2014年2月27日,我国成立了“中央网络安全和信息化领导小组”,习近平总书记发表重要讲话指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”。习近平总书记在2016年“4·19”重要讲话中继续明确了国家安全与网络安全的关系,指出当前网络安全威胁和风险日益突出,并日益向政治、经济、文化、社会、生态、国防等领域传导渗透;强调目前我国针对国家关键信息基础设施的网络安全防护能力较为薄弱。
同年,《十三五规划纲要》
明确要求拓展网络经济空间,重点实施网络强国治理战略,强化信息安全保障。随后,国家互联网信息办公室发布《国家网络空间安全战略》。强调完善网络治理体系,依法治理网络空间,健全网络安全法律法规体系,加快制定出台《网络安全法》。2017年6月1日,作为我国第一部网络空间综合性法律的《网络安全法》正式生效,该法特别重视贯彻落实总体国家安全观的法制理念,在我国网络空间立法进程中具有里程碑式的意义,同时也是依法治国基本方略的重要体现。
二、技术背景
当今时代,又被称为大数据时代,大数据意味着数据体量巨大、种类繁多。网络空间的海量数据不仅关系个人隐私、社会经济发展状况,更关系国计民生与国家安全。一方面,大数据是国家的重要资源,是互联网产业发展壮大的重要支撑。十三五规划着眼对数据经济价值的发挥,强调把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。另一方面,大数据的又一价值即威胁情报分析。换言之,数据本身既是网络安全保护的对象,又是可用于进行网络安全保护的重要信息来源和技术工具。
云计算技术的发展,改变以往数据的存储方式,使得数据流动变得自动化或难以控制监管,尤其是跨境数据流动成本更加便宜。云安全是数据安全的保证,与此同时,云计算促进数据跨境流动常态化,引发人们对数据主权问题的思考。
三、国际背景
网络安全问题无国界,国家间竞争激烈、矛盾冲突的同时有合作的可能性。
(一)网络安全事件影响广泛深刻
网络技术日新月异,促进社会经济繁荣发展的同时,人们对网络“恶”的利用也尽显网络之恶,网络的“双刃剑”性质体现突出。当前的网络攻击事件已经远非黑客个人炫耀技能之目的,攻击的目标性更强,已经严重损害关键信息基础设施安全,因网络而起的恐怖暴动事件甚至危及政府统治。以乌克兰电网遭遇攻击为例,国家关键信息基础设施已成为攻击目标。突尼斯茉莉花革命甚至颠覆了国家政权。最近的“想哭”蠕虫病毒,通过改造被公开的美国国家安全局武器库的“永恒之蓝”,利用Windows系统漏洞发起攻击。其影响范围广泛、深刻。近一周时间,100多个国家的数十万名用户中招,医疗、教育、能源、通信、金融等行业受到波及,给全球网络安全保护工作提出了值得重视的问题。
(二)国家间合作交流深化
随着贸易全球化,跨国公司不断发展壮大,国家间经济合作交流频繁。在网络安全方面,各国开始寻求合作,共同治理。
2010年7月,包括美国、俄罗斯和中国在内的15个国家向联合国秘书长递交一系列磋商建议,呼吁各国开展更为有效的合作,这是首次世界主要国家在网络安全问题上达成共识。
2013年6月,奥巴马与普京联合宣布,美俄已经达成了在网络领域建立信任措施的首份双边协议,内容包括信息交换和危机沟通等。
2015年美国和中国讨论了首个网络空间军备控制协议,双方共同承诺在和平时期不首先使用网络武器破坏另一方的关键基础设施。双方就打击网络间谍等网络安全问题达成共识,双方愿意构建新型大国关系。
2016年德国联邦情报局与美国国家安全局恢复了网络监控合作。同年2月11日,北约和欧盟达成一项技术协议以加强网络安全合作,共同应对日益严峻的网络威胁。5月5日,韩国与美国就共同开发技术、进一步分享全球网络威胁信息、加强网络安全政策对接、携手打击网络恐怖主义等达成合作共识。
(三)各国的网络安全战略与立法
为应对层出不穷的网络安全威胁,各国纷纷加大了网络安全治理与立法的力度。网络安全战略紧跟当前国际、国内网络安全形态,规划符合新形势的网络安全战略目标。立法层面,以战略为指导,综合立法与专门立法相结合,着眼具体制度、问题对维护网络安全进行明确指引,以几个典型国家为例。
1.战略方面
美国政府较早关注网络空间固有特征对关键信息基础设施的威胁,并逐步发布战略性文件。美国主要的战略性文件包括《网络空间安全国家战略》、《网络空间国际战略》和《网络空间行动战略》。2016年年底,美国战略与国际研究中心发布《从认知到行动——第四十五任美国总统安全议程》报告,为特朗普政府提供未来五年网络安全战略建议,其中包括国际战略、打击网络犯罪、保护全球数据安全、“基准”网络安全、关键性基础设施NIST框架,数据保护、隐私与网络安全,提高网络事件透明度,保障物联网安全、支持强加密策略,减少安全漏洞,提升功效与云服务的利用率,加强人才建设等。
2011年英国政府发布了《国家网络安全战略》,报告提出将在2016—2021年投资约19亿英镑用于加强网络安全能力。该战略包含三大要点:防御、威慑和发展。
2013年7月欧盟委员会颁布《欧盟网络安全战略:公开、可靠和安全的网络空间》。该战略是欧盟在网络安全领域的首个政策性文件,强调提升网络的抗打击能力、大幅减少网络犯罪、在欧盟共同防务的框架下制定网络防御政策和发展防御能力、发展网络安全方面的工业和技术、为欧盟制定国际网络空间政策。
2.立法方面
美国截至2017年颁布了超过50部法案来规范网络安全领域相关活动。2010年美国延长了《爱国者法案》的效力。美国“9·11事件”以后,网络与信息安全在美国引起了更强烈的重视。美国政府以保障国土安全和反恐为名颁布了《爱国者法案》,按照该法案,有关部门可对公民进行窃听,查看公民上网记录、私人信件和电子邮件,甚至允许联邦调查局监视公民阅读书籍的情况,从图书馆收集读者的读书记录,从而判断读者是否受到恐怖主义影响。《外国情报监听法》同《爱国者法案》一道被作为实施信息监听的法律依据。2012年,美国将《联邦信息安全管理法》更新为《联邦信息安全改革法》,强调对计算机网络进行实时、自动监控,加强联邦政府网络安全保护。2014年通过了《国家网络安全保护法》,强化了国土安全部的国家网络安全和通信集成中心在联邦部门和私有部门共享网络安全信息方面的重要作用,为立足国家层面部署和加强公共和私有部门网络安全信息共享提供法律依据。2015年美国通过了将《网络安全法》作为《2016年综合拨款法案》中的一部分,网络安全信息共享为其核心内容。
2016年7月欧盟通过了《网络与信息安全指令》,欧盟层面的首部网络安全法案正式出台。在宏观层面,要求欧盟各国应制定自身的网络与信息安全国家战略,加强网络安全方面的合作交流。在微观层面,强调加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。同年,欧盟修订《通用数据保护规则》,加强对数据安全保护。
我国《网络安全法》的出台,是我国依法治国、依法治网的重要法律依据,成为我国网络空间法治建设里程碑式的标志,是对 “总体国家安全观”及“安全与发展一体两翼”的国家战略在国家法律层面做出的积极应对。