源于我國(guó)面臨國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)的客觀實(shí)際和緊迫需要��,2016年11月7日��,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱(chēng)“網(wǎng)安法”)經(jīng)第十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過(guò)����,已于2017年6月1日施行。網(wǎng)安法為我國(guó)有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)、全方位保障網(wǎng)絡(luò)安全提供了上位法依據(jù)���。
一���、戰(zhàn)略發(fā)布:不斷強(qiáng)化網(wǎng)安法提出的原則和政策
2016年12月27日發(fā)布的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》,是我國(guó)首次發(fā)布關(guān)于網(wǎng)絡(luò)空間安全的戰(zhàn)略����。戰(zhàn)略與網(wǎng)安法提出的構(gòu)建網(wǎng)絡(luò)空間的“和平、安全����、開(kāi)放、合作”原則相銜接�,從國(guó)家戰(zhàn)略層面詮釋了網(wǎng)安法主張的網(wǎng)絡(luò)空間主權(quán)原則,將“堅(jiān)定捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)”作為九大戰(zhàn)略任務(wù)之首�,強(qiáng)調(diào)“根據(jù)憲法和法律法規(guī)管理我國(guó)主權(quán)范圍內(nèi)的網(wǎng)絡(luò)活動(dòng),保護(hù)我國(guó)信息設(shè)施和信息資源安全��,采取包括經(jīng)濟(jì)����、行政、科技���、法律��、外交���、軍事等一切措施��,堅(jiān)定不移地維護(hù)我國(guó)網(wǎng)絡(luò)空間主權(quán)。堅(jiān)決反對(duì)通過(guò)網(wǎng)絡(luò)顛覆我國(guó)國(guó)家政權(quán)�����、破壞我國(guó)國(guó)家主權(quán)的一切行為”��;戰(zhàn)略將“保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施”作為九大戰(zhàn)略任務(wù)之三���,進(jìn)一步拓展了關(guān)鍵信息基礎(chǔ)設(shè)施的外延����,將重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)納入其中�����,強(qiáng)調(diào)著眼識(shí)別���、防護(hù)�����、檢測(cè)���、預(yù)警��、響應(yīng)�����、處置等環(huán)節(jié)���,建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度;同時(shí)�,戰(zhàn)略再次強(qiáng)調(diào)要建立實(shí)施網(wǎng)絡(luò)安全審查制度,加強(qiáng)供應(yīng)鏈安全管理�。
2017年3月1日發(fā)布的《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》,全面宣示了我國(guó)在國(guó)際互聯(lián)網(wǎng)治理問(wèn)題上的基本原則和行動(dòng)要點(diǎn)�����,奠定了我國(guó)在國(guó)際社會(huì)競(jìng)爭(zhēng)中的話(huà)語(yǔ)權(quán)和軟實(shí)力�。該戰(zhàn)略站在各國(guó)共同維護(hù)網(wǎng)絡(luò)空間安全的角度�,重申了網(wǎng)安法的和平��、主權(quán)原則��;戰(zhàn)略主張的“促進(jìn)企業(yè)提高數(shù)據(jù)安全保護(hù)意識(shí)����,支持企業(yè)加強(qiáng)行業(yè)自律,就網(wǎng)絡(luò)空間個(gè)人信息保護(hù)最佳實(shí)踐展開(kāi)討論���。推動(dòng)政府和企業(yè)加強(qiáng)合作,共同保護(hù)網(wǎng)絡(luò)空間個(gè)人隱私”的行動(dòng)倡議與網(wǎng)安法第四章“網(wǎng)絡(luò)信息安全”的個(gè)人信息保護(hù)規(guī)定緊密契合����。
這兩個(gè)戰(zhàn)略開(kāi)啟了我國(guó)網(wǎng)絡(luò)空間治理的全新范式,鞏固和強(qiáng)化了網(wǎng)安法構(gòu)建的由內(nèi)而外��、自上到下的原則和政策�,為我國(guó)網(wǎng)絡(luò)安全相關(guān)政策和配套法律的出臺(tái)指明了方向,有助于繼續(xù)深入推進(jìn)網(wǎng)絡(luò)主權(quán)保障���、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)��、個(gè)人信息保護(hù)��、國(guó)家安全審查等方面的法律構(gòu)建��。
二���、配套規(guī)定出臺(tái):有效銜接網(wǎng)安法構(gòu)筑的制度和規(guī)則
網(wǎng)安法從運(yùn)行安全����、信息安全和事件應(yīng)對(duì)三個(gè)維度立體化�����、全方位保護(hù)網(wǎng)絡(luò)安全�。相關(guān)部門(mén)正制定或出臺(tái)相應(yīng)的下位法與之配套,切實(shí)保障網(wǎng)安法的可操作性��,避免流于表面化�。
在網(wǎng)絡(luò)運(yùn)行安全方面,網(wǎng)絡(luò)安全審查和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度是下位法制定的重點(diǎn)����。網(wǎng)安法第35條規(guī)定應(yīng)該對(duì)可能影響國(guó)家安全的關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行國(guó)家安全審查,該條已在國(guó)家互聯(lián)網(wǎng)信息辦公室2017年5月2日發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》中進(jìn)行了具體規(guī)定�����,該規(guī)定是首個(gè)正式生效的網(wǎng)安法重要配套規(guī)定,并已于6月1日同步施行�����。該辦法旨在提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平����,防范供應(yīng)鏈安全風(fēng)險(xiǎn)。根據(jù)該辦法���,關(guān)系國(guó)家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)����,可能影響國(guó)家安全的�����,都要經(jīng)過(guò)網(wǎng)絡(luò)安全審查����;網(wǎng)絡(luò)安全審查重點(diǎn)在于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性���、可控性���。
信息安全等級(jí)保護(hù)制度是國(guó)家對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)實(shí)施重點(diǎn)保護(hù)的關(guān)鍵措施。我國(guó)的信息安全等級(jí)保護(hù)工作初步實(shí)現(xiàn)了標(biāo)準(zhǔn)化�����、規(guī)范化,但是仍呈現(xiàn)體系不完善���、重點(diǎn)不突出�、保護(hù)效果不佳�����、保護(hù)對(duì)象不完整等問(wèn)題。網(wǎng)安法第21條提出國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,第31條進(jìn)一步要求關(guān)鍵信息基礎(chǔ)設(shè)施要落實(shí)國(guó)家安全等級(jí)保護(hù)制度,突出保護(hù)重點(diǎn)�����,是深化信息安全等級(jí)保護(hù)制度��、保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施和大數(shù)據(jù)安全的迫切需要�����。為落實(shí)網(wǎng)安法第21條和第31條的規(guī)定,必須科學(xué)合理地推動(dòng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的演進(jìn)與變革,構(gòu)建和完善等級(jí)保護(hù)2.0制度體系�。
網(wǎng)安法第31條規(guī)定建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度,授權(quán)國(guó)務(wù)院制定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法����。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法是法律中唯一明確規(guī)定“由國(guó)務(wù)院制定”的行政法規(guī),也是網(wǎng)絡(luò)安全法律體系的重中之重���。主管部門(mén)已開(kāi)展了相關(guān)條例的具體調(diào)研��、安全檢查�����、起草編寫(xiě)�����、部門(mén)論證和企業(yè)座談等工作��。在與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)配套的強(qiáng)制性標(biāo)準(zhǔn)方面����,全國(guó)信安標(biāo)委2017年工作重點(diǎn)之一即為落實(shí)網(wǎng)安法要求��,加快推動(dòng)重點(diǎn)標(biāo)準(zhǔn)研制,網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)�、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的研究�����。由此可見(jiàn),與網(wǎng)安法第31條配套的法規(guī)�����、國(guó)家標(biāo)準(zhǔn)等正在經(jīng)歷著縝密的夯實(shí)歷程�。
網(wǎng)安法第37條首次在法律中確立了對(duì)個(gè)人信息及重要數(shù)據(jù)出境的安全評(píng)估制度��,并授權(quán)國(guó)家網(wǎng)信部門(mén)會(huì)同其他監(jiān)管部門(mén)制定詳細(xì)的安全評(píng)估實(shí)施辦法。數(shù)據(jù)本地化屬于境內(nèi)外實(shí)體的重大關(guān)切��,《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》已于5月11日結(jié)束公開(kāi)征求意見(jiàn)�����。評(píng)估辦法以《國(guó)家安全法》和《網(wǎng)絡(luò)安全法》等為上位法依據(jù)���,擴(kuò)大了數(shù)據(jù)本地化及安全評(píng)估義務(wù)適用對(duì)象的范圍��,解釋了重要數(shù)據(jù)的概念����,數(shù)據(jù)評(píng)估的重點(diǎn)內(nèi)容�,不得出境的條件等,正式制度出臺(tái)和具體實(shí)施有待在實(shí)踐中進(jìn)一步觀察����。
在網(wǎng)絡(luò)信息安全方面����,《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》也于6月1日同步施行�����,規(guī)定第13條第一款和十六條第二款分別銜接了網(wǎng)安法第24條用戶(hù)身份管理制度的要求和第47條處置違法信息的義務(wù)要求��,互聯(lián)網(wǎng)新聞信息服務(wù)提供者違反這兩款的適用網(wǎng)安法的行政處罰����。
兩高《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(《解釋》)5月10日正式發(fā)布,解釋降低入罪門(mén)檻�,嚴(yán)懲侵犯公民個(gè) 人信息犯罪。在個(gè)人信息保護(hù)基本立法暫時(shí)缺位的情況下���,《解釋》及時(shí)彌補(bǔ)了個(gè)人信息刑事責(zé)任追責(zé)的短板�,并實(shí)質(zhì)性的構(gòu)成了網(wǎng)安法行刑銜接的進(jìn)一步配套和細(xì)化制度��,為基本立法提供了案例素材��,有利于立法的精準(zhǔn)����、充分。
三���、國(guó)際立法變革:網(wǎng)安法后續(xù)制度落地的參考方向
國(guó)際網(wǎng)絡(luò)安全相關(guān)戰(zhàn)略和立法迅速進(jìn)行改革�,美歐紛紛建立全方位�、更立體、更具彈性與前瞻性的網(wǎng)絡(luò)安全立法體系����。鑒于事件驅(qū)動(dòng)重大立法規(guī)律的存在����,可以預(yù)見(jiàn)的是,國(guó)際立法變革將一直持續(xù)����。
美國(guó)接連通過(guò)多部網(wǎng)絡(luò)安全戰(zhàn)略及立法�,以加強(qiáng)美國(guó)網(wǎng)絡(luò)安全和抵御網(wǎng)絡(luò)攻擊的能力,如2016年通過(guò)《信息自由法案促進(jìn)法》���、“應(yīng)對(duì)重大網(wǎng)絡(luò)攻擊最新政策指令”、“安全漏洞披露政策”�����、《波特曼-墨菲反宣傳法案》,2017年通過(guò)《國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃(NCIRP)》����、《2017NIST網(wǎng)絡(luò)安全框架、評(píng)估和審查法案》(NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017)(H.R.1224)等����。5月11日���,美國(guó)總統(tǒng)特朗普簽署了《關(guān)于加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的總統(tǒng)行政令》����,要求美國(guó)采取一系列措施來(lái)增強(qiáng)聯(lián)邦政府�����、關(guān)鍵基礎(chǔ)設(shè)施和國(guó)家這三個(gè)領(lǐng)域的網(wǎng)絡(luò)安全,明確要求聯(lián)邦機(jī)構(gòu)必須遵守NIST的網(wǎng)絡(luò)安全框架���。歐盟2016年7月通過(guò)第一部網(wǎng)絡(luò)安全法案《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》���,致力于在歐盟范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的�、高水平的網(wǎng)絡(luò)與信息系統(tǒng)安全��,歐盟成員國(guó)必須在21個(gè)月內(nèi)將其轉(zhuǎn)化為國(guó)內(nèi)法�����,11月發(fā)布了三個(gè)有關(guān)歐盟《一般數(shù)據(jù)保護(hù)條例》內(nèi)容的指南�����,為落實(shí)《一般數(shù)據(jù)保護(hù)條例》提供更詳盡的指引�����。英國(guó)2016年底頒布史上最嚴(yán)協(xié)助執(zhí)法法《調(diào)查權(quán)法案》�,旨在進(jìn)一步理清執(zhí)法機(jī)構(gòu)在通信及通信數(shù)據(jù)攔截����、獲取、留存及設(shè)備干擾等方面的權(quán)力�����,幫助執(zhí)法機(jī)構(gòu)調(diào)查犯罪和防控恐怖主義。
從制度設(shè)計(jì)層面來(lái)看��,網(wǎng)安法規(guī)定了近20項(xiàng)制度��,其中���,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度���、網(wǎng)絡(luò)信息內(nèi)容管理、網(wǎng)絡(luò)安全教育和培訓(xùn)���、個(gè)人信息保護(hù)等制度較為成熟��,網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品認(rèn)證����、漏洞等網(wǎng)絡(luò)安全信息發(fā)布�、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、數(shù)據(jù)留存和協(xié)助執(zhí)法制度�����、境外網(wǎng)絡(luò)攻擊制裁等更多的制度亟需完善設(shè)計(jì)和后續(xù)落地�,在制度的貫徹實(shí)施過(guò)程中必然存在各種挑戰(zhàn)和問(wèn)題。
而恰恰國(guó)際立法變革的內(nèi)容可以為我國(guó)網(wǎng)安法后續(xù)制度落地提供參考方向。如美國(guó)2016年應(yīng)對(duì)重大網(wǎng)絡(luò)攻擊最新政策指令公布了對(duì)網(wǎng)絡(luò)攻擊嚴(yán)重程度進(jìn)行定性的標(biāo)準(zhǔn)����,從0級(jí)到5級(jí)共分6個(gè)層次,分別是基準(zhǔn)���、低�����、中���、高、嚴(yán)重和緊急����,其中3級(jí)及以上被視為“重大網(wǎng)絡(luò)事件”�����,將觸發(fā)政策指令中的威脅應(yīng)對(duì)����、資產(chǎn)應(yīng)對(duì)和情報(bào)支持活動(dòng)等反應(yīng)機(jī)制,可以為我國(guó)網(wǎng)絡(luò)安全事件應(yīng)急處置和境外攻擊制裁制度落地提供參考。美國(guó)國(guó)防部“安全漏洞披露政策”可以為漏洞等網(wǎng)絡(luò)安全信息發(fā)布和漏洞的合法挖掘����、合理披露制度構(gòu)建提供參考。美國(guó)《2017NIST網(wǎng)絡(luò)安全框架�、評(píng)估和審查法案》則可為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)辦法、關(guān)鍵信息技術(shù)保護(hù)安全要求方面的國(guó)家強(qiáng)制性標(biāo)準(zhǔn)制定提供參考���。英國(guó)《調(diào)查權(quán)法案》涉及面廣���,規(guī)定細(xì)致,可以為數(shù)據(jù)存留和協(xié)助執(zhí)法制度的完善提供參考等�����。必須強(qiáng)調(diào)的是���,相關(guān)制度借鑒應(yīng)考慮其制定和實(shí)施的特殊場(chǎng)景�,不能照搬國(guó)外經(jīng)驗(yàn)���,需根據(jù)國(guó)情實(shí)施本土化改造���。
作為我國(guó)第一部網(wǎng)絡(luò)安全管理的基礎(chǔ)性保障法���,其全面落地實(shí)施是網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑事件。網(wǎng)安法以發(fā)現(xiàn)����、消除網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn),提升恢復(fù)能力為軸心���,構(gòu)建了“防御��、控制與懲治”三位一體的立法架構(gòu)����,其配套制度的制定與出臺(tái)正不斷夯實(shí)豐滿(mǎn)這一立法架構(gòu)����。
