① 網路安全法開始的時間是哪一年
網路安全法開始的時間是2017年。
2017年6月1日,《中華人民共和國網路安全法》正式施行。《網路安全法》共七章七十九條,體現了三個基本原則,即網路空間主權原則、網路安全與信息化發展並重原則、共同治理原則。
《網路安全法》是我國第一部全面規范網路空間安全管理方向問題的基礎性法律,是我國網路空間法制建設的重要里程碑,以制度建設掌握網路空間治理和規則制定方面的主動權,是維護國家網路空間安全發展的利器。
(1)美國什麼時候頒布網路安全法案擴展閱讀
網路安全法的實施亮點:
一、個人和組織有權對危害網路安全的行為進行舉報
網路安全法明確了公民對危害網路安全行為的舉報權利,政府部門受理、處置公民舉報的責任,保障了公民通過網路舉報參與網路空間治理的有效性。
二、網路運營者應當加強對其用戶發布的信息的管理
網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
② 美國網路空間安全 立法 多少部
自2002年以來,美國通過了近50部與網路空間安全有關的聯邦法律,其中包括《1984年偽造接入設備及計算機欺詐與濫用法》、《1986年電子通信隱私法》、《1987年計算機安全法》、《1995年削減公文法》、《1996年信息技術管理改革法》、《2002年國土安全法》、《2002年網路安全研發法》、《2002年電子政務法》、《2002年聯邦信息安全管理法》等。
近年美國國會關於網路安全主要綜合性立法建議包括《2012年網路安全法案》、《確保IT安全法案》、眾議院共和黨工作組提出的綜合性建議,促成了眾議院的5個專門性法案以及奧巴馬政府向國會遞交的綜合性網路安全立法建議等。其中,《2012年網路安全法案》是美國第112屆國會關於網路安全最重要的法案。
③ 網路安全法頒布日期
網路安全法頒布日期2016年11月7日
《中華人民共和國網路安全法》於2017年6月1日正式實施
④ 《關於網路犯罪的公約》主要內容
隨著信息時代的到來,全球網路的興起,電信領域的創新與信息技術的發展,可以說是日新月異。國際互聯網的觸角已延伸到世界的各個角落,引發了各個領域的應用革命,創造了新的生活、工作模式。新技術的發展,提高了效率,方便了生活,造福了社會。然而,如同所有新生事物一樣,互聯網在它的發展過程中也是十分稚嫩和脆弱的,這就為互聯網犯罪提供了滋生的土壤。電子速度所實施的交易指令的快速性、數字化和交易的非物質因素,既是網路社會所特有的繁花似錦,也是網路社會最容易受到犯罪侵害的脆弱之處。據法國內務部打擊信息犯罪中央大隊的統計數據,法國與信息技術相關的犯罪案件數量1998年比1997年增長 33.49%,案件由1997年424件升至1998年的566件,1999年達到716件。1999年統計的犯罪類型主要有詐騙、侵害數據自動處理系統、假冒、電信欺詐、信息與自由、非法侵入蜂窩電話和其它犯罪(1)美國聯邦調查局的IFCC網路從2000年5月8日至11月3日短短半年時間內就收到了19490件投訴。美國聯邦調查局互聯網犯罪中心所作的互聯網犯罪分類涉及有拍賣、不交貨、安全舞弊、信用卡、身份盜竊、謀利、服務和其它犯罪〔2〕。
面對迅猛發展的網路社會,面對日益增長的網路犯罪,國際社會早已開始著手與電子信息網路相關的立法工作,在初步建立有關電子信息網路標准化統一規則的同時,也在積極地開展預防和打擊網路犯罪立法方面的工作,法國、美國、歐盟、澳大利亞、日本等國在這方面起步較早,在立法原則、對網路犯罪的定義和分類、刑罰的設置、刑事程序法、管轄權、國際合作,以及預防措施等方面有許多值得我國相關部門進行深入研究和借鑒的內容。為促進我國網路安全,加快網路犯罪立法工作的步伐,增進在網路安全、預防和打擊網路犯罪方面與國際社會的交流與合作,特別是確保2008北京數字奧運的圓滿成功,研究、利用和共享這方面的資源,具有極其重要的意義。鑒於此,本文將從以下幾方面進行分析對比。
一、與電子信息網路相關的立法概況
與電子信息網路相關的立法從內容上看涉及面較為寬泛,大致可以分為:1、與民商法相關的電子信息網路法,主要是民商法原則在網路環境下的延伸,如電子商務合同法、互聯網知識產權法、電子商務涉及的稅法、網上支付的法律問題、安全與隱私權、電子證據、電子商務中的廣告法律問題、電子商務的管轄權等等。2、與行政法相關的電子信息網路法,主要涉及政府、企業、社會組織和個人在電子信息網路安全方面的規則,網上統計調查法律規則,如政府網上統計規則和民間網上統計規則等。3、與證據法相關的電子信息網路法,既包括民事方面的電子商務證據,如數據電文、數字簽名證據,也包括刑事電子證據的認定和保存規則。4、與程序法相關的電子信息網路法,主要是網路交易糾紛和網路犯罪的管轄權,偵察、監控規則,法庭辯論和調查規則等。5、與刑法相關的電子信息網路法,包括網路犯罪的定義、分類和刑罰。6、與國際公約相關的電子信息網路立法,主要是各國政府就已經加入或者將來有可能加入的國際公約,制定國內法。
從時間跨度上看,國際社會的立法經歷了從統一標准化規則到民商事立法,再到網路犯罪立法的過程。而國內網路犯罪立法與網路民商事立法基本上是同步發展的。
(一)主要的國際立法
1996年12月聯合國國際貿易法委員會制定了《電子商務示範法》,該示範法主要是解決電子合同、電子提單等的效力問題,對各國合同法影響較大;1997 年歐盟提出《歐洲電子商務行動方案》,為規范歐洲電子商務活動制定了框架;1998年歐盟頒布《關於信息社會服務的透明機制的指令》;1999年又通過了《關於建立有關電子簽名共同法律框架的指令》〔3〕;2001年歐洲理事會通過《關於網路犯罪的公約》,並實行開放簽署,目前已有20 多個國家加入該公約。
(二)網路犯罪方面主要的國內立法
世界各國從20世紀60年代就開始對計算機安全與犯罪進行立法保護〔4〕。1970年美國頒布《金融秘密權利法》,對金融業計算機存儲數據的保護作了規定,1984年通過《偽造存取手段以及計算機詐騙與濫用法》,並修改了美國刑法的相關內容,1986年美國相繼通過了《計算機詐騙與濫用法》、《國家信息基礎保護法》,明確了對網路犯罪的處罰,1987年頒布《聯邦計算機安全處罰條例》。
法國自1978年起就已經開始在全國范圍內對記名信息〔5〕進行法律保護,如關於信息、文檔和自由的第78—17號法律,法國刑法典第226—16至 226—25條(侵犯信息處理或文檔而對他人人身權利造成侵害的犯罪);1980年關於司法檔案自動化的法律;1994年關於在衛生領域以研究為目的的記名資料處理的法律,該法除規定了未經批准擅自處理信息的犯罪以外,還規定了幾種專門的犯罪,如進行記名數據自動處理事先未向相對人告知訪問全權、更正權、異議權,未向其告知傳送信息的性質、接受數據的自然人與法人情況的,處5年監禁和200萬法郎罰金〔6〕等。
(三)我國的立法情況
我國頒布的條例和部門規章有1994年的《中華人民共和國計算機信息系統安全保護條例》;1997年《計算機信息網路安全保護管理辦法》;1996年《中華人民共和國計算機信息網路國際聯網暫行規定》;2000年全國人大常委會《關於維護互聯網安全的決定》;1997年《刑法》的有關規定;2000年《互聯網信息服務管理辦法》;2001年《互聯網上網營業場所管理辦法》;公安部1997年《計算機信息系統安全專用產品分類原則》等。
從以上立法情況可以看出,我國在隱私權和衛生領域的信息網路安全立法和網路犯罪立法方面尚有欠缺。
二、對歐盟《關於網路犯罪公約》的借鑒
歐洲理事會《關於網路犯罪的公約》(以下簡稱公約)的宗旨是,通過敦促締約國進行適當的立法,建立有效的國際合作,以達成共同的刑事政策,加強社會防衛,打擊盜版、網路欺詐、兒童色情和危害網路安全等嚴重的網路犯罪〔7〕。
1989年歐盟部長委員會通過了與計算機有關的犯罪第R(89)9號建議,1995年通過與信息技術有關的刑事訴訟程序若干問題的第R(95)13號建議,1997年成立了網路空間犯罪專家委員會,從1997年至2000年網路空間犯罪專家委員會共舉行了10次全體會議,15次草案專家組會議,公約草案修改27稿,於2001年11月8日正式通過。
這部長達4年時間完成的公約,是國際社會第一個防範網路犯罪的國際公約,公約充分體現了以人為本、尊重科學和國際協作的理念。以下幾點值得我們研究和借鑒。
(一)以人為本的立法原則
公約的實體法、程序法都體現了以人為本的原則,從其打擊的犯罪內容不難看出,體現了人文關懷,對人的關愛,對公眾利益的維護。在維護社會穩定方面所採取的是積極的措施,而非消極的措施,所規定的內容是深受大眾歡迎,並且能為公眾所接受的。公約對法人刑事責任的規定,充分體現了保護公眾利益的原則。公約規定無論是法人本身還是法人組織中的個人為謀取法人的利益,以法人的名義進行犯罪的,該法人及其自然人均須承擔責任,法人的責任可以是刑事、民事或行政責任,但同時並不排除自然人的刑事責任,這種處罰形式也是值得我們研究和借鑒的。
公約在程序法中特別規定了適用條件和保障措施,這在我國一般的立法中是很難見到的。如公約第15條在條件和保障措施中規定,締約國應確保在適用本節中提到的權利和措施時,必須符合國內法所規定的適用條件並提供相應的保障措施,以有效地保護人權和自由,同時應對這種權利和程序實施適當的獨立監督,並應考慮其對第三人的權利、責任和合法利益的影響〔8〕。這種立法原則不僅對我國網路犯罪立法有所借鑒,對其它方面的立法也具有積極的意義和參考價值。我國在網路犯罪刑事程序法方面基本上屬於空白,今後在制定對網路犯罪的偵察、監控等措施方面應當對公約的相關內容加以考慮。
(二)以科學為基礎的定義
公約對網路犯罪的定義較好地綜合了目前世界各國所採用的概括式定義法和列舉式定義法的優點,將網路犯罪定義為:「危害計算機系統、網路和計算機數據的機密性、完整性和可用性,以及對這些系統、網路和數據進行濫用的行為」〔9〕。這種定義較之此前的定義更具科學性。我國刑法第285條至287條對與計算機有關的犯罪作了規定,這三條可以說只包含了純正的計算機犯罪的一部分,而刑法第196條、363條和364條的規定也僅包含了不純正的網路犯罪(即利用信息科學技術實施傳統犯罪的行為)的一部分。通過對比,不難看出,我國刑法的相關規定有待進一步的完善。
(三)友善的國際合作機制
首先,公約在大多數條款中都規定締約國可以依據國內法和本國的實際行使保留權。其次,公約在國際合作一章中,規定了在打擊網路犯罪方面進行國際合作的三個原則和一個程序,即國際合作的總體原則、引渡原則、多邊協助總體原則和在缺少可適用的國際協議情況下進行多邊協助的程序〔10〕。對於協助程序公約規定,在緊急情況下一國可以請求另一國協助,而當被請求國認為該項請求1、涉及政治犯罪或與政治犯罪有關;2、若提供協助可能危害國家主權、安全、公共秩序或其它重要利益時可以拒絕提供協助。這種靈活、友善的國際合作機制,可以促使各個國家更加容易接受該公約。
三、關於我國網路犯罪立法的思考
伴隨經濟發展的全球化和網路發展的全球化,我國的網路社會不可能永遠是一塊凈土,在巨大商機和利潤的誘惑下,我國的網路犯罪也將會呈上升趨勢。對此我國的相關部門應早作準備,未雨瘳謀。�
⑤ 網路安全法什麼時候開始施行
2017年6月1日起施行。《中華人民共和國網路安全法》是為保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展制定。由全國人民代表大會常務委員會於2016年11月7日發布,自2017年6月1日起施行。
《中華人民共和國網路安全法》
第一條為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。
⑥ 誰能給我介紹各國關於網路的相關規定
網路傳播的負面影響,已經引起各國各界的廣泛關注。人們越來越意識到,進入網路時代以後,一方面,過去在現實空間中遇到的各種道德和法律問題,不可避免地會反映到網路空間中來;另一方面,網路空間又產生了許多現實空間中沒有過的新的道德和法律問題。因此,各國政府都高度重視網路管理,陸續頒布了一系列有關計算機網路的法律法規。 美國是世界上互聯網路最為發達的國家。早在1978年8月,美國佛羅里達州就率先通過了《佛羅里達計算機犯罪法》。該法規涉及了侵犯知識產權、侵犯計算機裝置和設備、侵犯計算機用戶權益等問題,並作出了種種規定。隨後,美國共有47個州相繼頒布了計算機犯罪法。1984年,美國國會通過了《聯邦禁止利用電子計算機犯罪法》。1987年,國會通過一項方案,批准成立國家計算機安全技術中心,並制定了《計算機安全法》。美眾院司法委員會要求,色情郵件須加標注,使得用戶可以不打開郵件直接將郵件刪除;網際網路接入服務提供商可以起訴濫發垃圾郵件者,並提出索賠要求。1996年2月,美國總統簽署了國會通過的《通訊凈化法》,明確規定互聯網不得向未成年人傳播有傷風化的文字及圖像。這一法案盡管受到健康輿論的廣泛支持,但卻遭到美國公民自由聯盟、出版界(包括網上刊物出版界)和電腦界一些組織的反對,聲稱它違反了關於言論自由的憲法修正案,從而引起了一場訴訟。1997年美國最高法院判定這一法案違憲,使它終於未能實行。不過2000年4月美國貿易委員會制定的《兒童網上保護法》卻得到了實施。該法規定商業網站收集年齡在13歲以下少年的個人信息以及這些未成年人進入網上聊天室時必須得到其父母的同意。① 在德國,政府明確表示不能讓互聯網成為傳播色情和宣揚新納粹思想的場所,強調要防止互聯網路受到「污染」,要求經營聯網業務的企業承擔義務,使青少年免受不良信息的危害。1997年8月,德國制訂的《信息和通訊服務法》(即《多媒體法》)正式實施。這是世界上第一部對互聯網空間的行為實施全面的法律規范的專門立法,法案確立了傳播自由和責任並重的原則。該法關於網路服務商的責任提到了三點:1.對自己提供的網上信息內容負全部責任;2.對網上提供來自他人的內容只是在一定條件下才負有責任;3.對於僅僅提供了進入通道的網上信息不負責任.。一般認為它將對世界各國的相關立法會產生重要影響。 英國在1996年以前主要依據《黃色出版物法》、《青少年保護法》、《錄像製品法》、《禁止泛用電腦法》和《刑事司法與公共秩序修正法》懲處利用電腦和互聯網路進行犯罪的行為。1996年9月23日,英國政府頒布了第一個網路監管行業性法規《3R安全規則》。「3R」指的是分級認定、舉報告發、承擔責任。1999年英國政府公布了《電子通信法案》的徵求意見稿。這一草案醞釀已久,其主要目的是為促進英國電子商務發展,並為社會各界樹立對電子商務的信心提供法律上的保證。英國廣播電視的主管機關--獨立電視委員會(ITC)宣稱,依照英國1990年的《廣播法》,它有權對互聯網上的電視節目以及包含靜止或活動圖象的廣告進行管理,但它目前並不打算直接行使其對互聯網的管理權力,而是致力於指導和協助網路行業建立一種自我管理的機制。 新加坡政府在1996年3月頒布了有關網路的管理條例,要求提供聯網服務的公司對進入網路的信息內容進行監督,以防止傳播色情和容易引發宗教及政治動盪的信息。1996年7月,新加坡廣播管理局依法對互聯網路實行管制,宣布實施分類許可證制度,以便鼓勵正當使用互聯網路,促進其在新加坡的健康發展,保護網路用戶、尤其是年輕人免受非法和不健康信息傳播的侵害。 在韓國,為了加強對信息通信網的管理,政府的情報通信部2001年出台了《關於保護個人信息和確立健全的信息通信秩序》的法規。這一法規明確規定個人信息管理者的許可權和責任,對向第三者泄漏個人信息者將予以重罰。與此同時,這一法規還將加強對淫穢、暴力、犯罪等非法信息流通的管理。 由於網路傳播的國際性,各國政府越來越意識到,要有效地規范網上行為、尤其是打擊網路犯罪,單靠一國立法是遠遠不夠的。各國執法部門在工作中遇到的許多挑戰,只有通過國際條約來解決。為此,歐盟委員會曾於1996年10月通過了《互聯網有害和違法信息通信》和《在新的電子信息服務環境中保護未成年人和人的尊嚴》綠皮書。綠皮書中規定網路主機服務商和檢索服務商應該對其主機和伺服器上的違法和有害信息承擔法律責任。歐盟委員會還建議對互聯網信息建立評級制度,鼓勵開發和採用過濾軟體和評級系統,鼓勵網民報告違法和有害網址。從1998年起,泛歐組織歐洲委員會決定由歐洲犯罪問題委員會下屬的網路空間犯罪專家委員會負責起草《網路犯罪公約》草案,美國也參與了起草。這是國際社會第一個正在草擬的有關計算機系統、網路或數據的犯罪行為的多邊協定。人們預期它會帶來在網路管理方面更多的國際合作。 回顧歷史,人類的傳播活動和新聞事業,總是隨著傳播技術的進步、傳播方式的更新而不斷發展的。而新的傳播技術和傳播方式往往是把雙刃劍,既能帶來新的飛躍也會帶來新的挑戰。世紀之交興起的互聯網路的情況也是如此。相信經過世界各國政府、組織和進步人類的共同努力,互聯網事業也必定能興利除弊,把人類的傳播活動和世界新聞事業帶進一個全新的時代。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/2.html 互聯網路的迅猛發展,給人類的信息交流和新聞傳播提供了極大的便利,產生了廣泛的影響。但是它的發展也帶來某些負面後果,出現了一些新的問題。其中最為突出的有: 首先,由於網路傳播具有開放性,任何人都可以在沒有檢查控制的情況下在網上傳播信息,因而為有害信息的傳播帶來極大的方便。特別在一些非正規的網站網頁或個人傳播活動中,各種信息泥沙俱下,良莠混雜。散布虛假消息、謠言傳聞者有之,宣揚迷信、傳播邪教者有之,煽動民族仇恨、助長種族歧視者有之,這些都會危害社會穩定和發展。資料顯示,世界各種邪教組織如日本的奧姆真理教、義大利的末世派等都設有網站,法**組織在全球25個國家都設有網站,光在美國就擁有八十多個網站,還有13種語言版本。至於傳統媒介上常見的色情內容更是網路天地間揮之不去的有害氣體。據卡內基-梅隆大學一個專家組在1995年的調查報告稱,在美國多數家庭電腦連通的網路中,有85%帶有不同程度色情內容的圖片、文章和錄像,電子公告板儲存的數據圖像有五分之四含有淫穢內容。這些都嚴重污染著社會風氣,對青少年成長更有極為不利的影響。 其次,網路傳播具有很強的自由度,發布的言論不易查究責任,因而很容易出現侵害他人權利的行為。在網上散布流言蜚語、造謠誹謗他人,損害別人的名譽權,侵犯他人的隱私權,這些現象時有所見。也有的故意在網上製造輿論,傷害法人或自然人的信譽,為不正當的商業競爭或政治斗爭服務。另外,網路服務商為了管理或個性化服務的需要,一般都要求消費者登記自己的有關情況,這里也往往存在收集和使用不當的問題,造成對個人隱私的侵犯。 第三,由於網路空間的虛擬性,網上行為不象現實世界中那樣可觸可摸、有據可查,因而也為某些刑事犯罪帶來了可乘之隙。通過網路詐騙錢財、從事毒品交易、密謀恐怖活動、甚至為賣淫嫖娼牽線,諸如此類的犯罪活動並不罕見。也有些計算機高手,通過網路竊取商業機密、政治軍事情報。還有一些出於種種目的蓄意攻擊破壞網路的「黑客」,嚴重威脅著計算機的安全。據美國軍方一份報告透露,1999年五角大樓計算機網路受到「黑客」攻擊達25萬次之多,其中60%達到了目的。2000年2月7-9日,由美國開始的一起嚴重的黑客襲擊事件,包括Yahoo!(雅虎)、ebay.com(電子港灣)、amazon.com(亞馬遜網上書店)、CNN(美國有線電視新聞網)在內的8家世界著名網站遭到有組織的猛烈攻擊,網站運作癱瘓數小時,震驚了全世界。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/1.html 中國網址導航 www.pronoti.com
⑦ 專家解讀2019年《網路安全法》草案
一、重大歷史進步
網路安全不是今天才重要,網路安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務,可見決心之巨。只是網路安全立法之路實在艱辛,時國務院信息辦審時度勢,由信息安全條例角度入手,並連續數年推動其列入國務院法制辦二類立法計劃,之後未能再進一步。2008年後,國務院信息辦職能整體劃轉至工業和信息化部,有關方面意識到制定條例未必就比人大立法容易,且國務院行政法規無力調整現行上位法的法律規定,遂決定返回制定信息安全法。然而國民經濟和社會發展頗多領域亟待立法,國家立法資源有限,每個部門允許提出的立法建議屈指可數。工業和信息化部既要考慮信息化立法,還要考慮工業立法,一半指標已不得用,而信息化方向還有一部歷史更為悠久的電信法望眼欲穿,信息安全法終究連個隊都沒排上。期間,人大建議、政協提案不計其數,社會公眾翹首以盼,均無果。
此次草案公開徵求意見,表明這項工作進入了實質性立法程序,這是一個重大歷史進步。歡欣鼓舞之所在,不是因為草案具體內容,而源於徵求意見本身的象徵意義。時至今日,我們對網路安全立法不是搞清楚、看明白了,而是問題更多、更復雜了,很多觀點分歧可能更大了,網路安全立法難度不降反升,但突破恰恰在此時。中央網路安全和信息化領導小組成立後,中央領導同志英明決策,切實將網路安全提升到了國家安全和發展的高度,不但作出「網路強國」的全局戰略部署,更扎實推進各項工作取得積極進展。網路安全宣傳周、網路空間安全一級學科等,無一不歷經多年論證而蹉跎,今朝方開花結果。
誠然,網路安全立法工作十分艱巨,草案肯定有這樣那樣的問題,但今天的一小步,是國家網路安全工作的一大步。我們應該寬容它、呵護它,使其不斷成熟、更加科學,成長為護佑國家網路安全和信息化發展的參天大樹。
二、彰顯國家意志,確立基本原則
草案在「總則」和「網路安全戰略、規劃與促進」部分提出的宣示性條款遠較其他法律為多,還設立一條倡導性條款(即「倡導誠實守信、健康文明的網路行為」)。作為我國網路安全的基本法,這些「軟性」法律規定確有必要,其意在於宣示國家網路安全工作的基本原則,明確建設網路安全保障體系的主要舉措,從而為整體推進保障體系建設提供法律依據。
一是堅持網路安全和信息化發展並重原則。網路安全和信息化是一體之兩翼,驅動之雙輪,要堅持以安全保發展、以發展促安全,不能簡單地通過不上網、不共享、不互聯互通來保安全,或者片面強調建專網。要努力實現技術創新和體制機制創新,不斷增強維護網路安全的新思路、新方法、新舉措、新本領,而不是因噎廢食、自甘落後。
二是提出了網路空間主權。網路空間主權是國家主權在網路空間的體現和延伸,網路空間主權原則是我國維護國家安全和利益、參與網路空間國際合作所堅持的重要原則。草案雖未作解釋,且一筆帶過,然猶有石破天驚之意。
三是開展國際合作。網路安全是全球面臨的共同問題,中國對廣泛開展國際合作持積極態度,合作重點包括但不限於網路治理、技術與標准、打擊違法犯罪等,目標是推動構建和平、安全、開放、合作的網路空間。
四是建立統籌協調、分工負責的網路安全管理體制。多年 實踐 和各國經驗表明,網路安全工作離不開統籌協調。隨著中央網路安全和信息化領導小組的成立,有必要通過立法增強領導小組及其辦公室的權威性。草案規定,國家網信部門負責統籌協調網路安全工作和相關監督管理工作。具體包括,對監測預警和信息通報、網路安全應急、關鍵信息基礎設施安全防護等跨部門工作,由網信部門統籌協調;對網路安全審查、重要數據跨境流動安全評估等新出現的綜合性管理工作,由網信部門會同國務院有關部門制定辦法或組織實施。由此,政府向解決分散、多頭和重復管理邁出了關鍵一步。
五是加強行業自律。要充分發揮行業組織作用,指導行業組織成員加強網路安全防護,促進行業健康發展。
六是強化網路安全頂層設計。頂層設計至關重要,首先是要制定網路安全國家戰略,對外宣示主張,對內指導工作;其次要由行業主管部門、其他有關部門制定重點行業、重點領域網路安全規劃,確保戰略落地,確保這些行業和領域的網路安全工作有目標、有任務、有舉措、有監督。
七是建立和完善網路安全標准體系,充分發揮標准在網路安全建設中的指導性、規范性作用。
八是加大財政投入,以加快產業發展,深化技術研發,提升網路安全創新能力。
九是做好宣傳教育和 人才 培養工作。首先,要開展經常性的網路安全宣傳教育;其次,要通過學歷教育和在職培訓,採取多種方式培養網路安全人才。
三、關鍵信息基礎設施保護工作進入正軌
關鍵信息基礎設施保護(CIIP)是各國的通行舉措。雖然關鍵基礎設施保護(CIP)涉及物理設施安全,與前者不完全一致,但兩者在多數情況下已可以混用。CIIP/CIP一直是各國網路安全戰略的重點,有的國家甚至以CIIP/CIP戰略代指國家網路安全戰略。我們國家在2003年時已經要求「重點保障基礎信息網路和重要信息系統安全」,並且在實踐中明確了基礎信息網路是廣電網、電信網、互聯網,重要信息系統是銀行、證券、保險、民航、鐵路、電力、海關、稅務等行業的系統,即俗稱的「2+8」,相關保護工作也常抓不懈。但整體而言,我們與國外差距很大,已是國家安全的軟肋,草案為此設立了「關鍵信息基礎設施的運行安全」一節。
一是擴展了保護范圍。縱觀世界各國,凡是已經開展了網路安全建設的國家,其關鍵基礎設施的范圍幾乎都遠超過我們,例如美國有17類,而我們則有很多重要系統尚未納入保護視野。草案首次明確了關鍵信息基礎設施范圍,包括基礎信息網路、重點行業信息系統、公共服務領域重要信息系統、軍事網路、地市級以上國家機關政務網路、用戶數量眾多的網路服務商系統。最後一類系統中很多由私企運營,運營者可能對其列為國家關鍵信息基礎設施不適應,但當網路服務商的用戶達到一定規模時,其安全已經不再是企業自身問題,而成為一個公共問題、社會問題甚至國家安全問題,理應承擔更多責任。一些國外機構可能會拿這個做文章,但事實上美國的關鍵基礎設施有87%受私營企業控制。
二是明確了保護要求。等級保護是1994年《計算機信息系統安全保護條例》提出的制度,其對全國各類信息系統提出了分五個等級的通用安全要求。恰恰因為通用,這個要求只能是基線(即基本要求),其有必要但並不足夠,特別是不足以反映應用模式日趨復雜的異構系統的動態防護需求。此外,保護關鍵信息基礎設施涉及很多工作,不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單,還包括一系列的管理工作和公共平台建設,不能由一項制度取代其他制度,理應對此建立專門制度。草案提出,關鍵信息基礎設施安全保護辦法由國務院制定。對於某些重點要求,如網路安全審查、風險評估等,草案則在具體條款中進行了明確。
三是劃定了保護責任。草案規定了關鍵信息基礎設施運營者的安全保護義務,解決了其保護責任模糊不明的問題。他們有必要從國家安全形度承擔防護責任,但這個責任畢竟是有界限的。大家希望知道做到什麼程度就無責了,也關心自身的權利如何保障。對很多重點行業的信息技術或網路安全部門來說,這不僅僅是免責的需要,也是推動工作的需要,因為這些內設機構如果沒有強制性依據,很難得到業務部門的配合。此外,以前我國重點行業的網路安全監管責任也很不明確。似乎誰都可以進入機房檢查,但誰都不用負責,重點行業往往無所適從、疲於應付。為此,草案明確了行業主管部門的監督指導職責,這是一個重要進步。考慮到關鍵信息基礎設施保護的確涉及多個部門,草案授權國家網信部門統籌協調有關部門,建立協作機制。特別是在網路安全檢查工作中,要杜絕某個部門前腳走,另一部門後腳來的現象。
四、兼具綜合法與專門法的特點
網路安全包含的內容太多,當前需要立法規范的事項也很多,於是就有了綜合法與專門法的爭議。一個基本事實是,目前世界上鮮見網路安全的綜合法,有名的美國《計算機安全法》實際上針對的是美國聯邦政府信息系統安全保護,近幾年美國國會討論的《網路安全法》或《網路安全增強法》則主要解決關鍵基礎設施的安全保護問題。
作為第一部網路安全法(《電子簽名法》不應該計算在內),草案首先要體現綜合性,其側重點應該在以下四個方面:
一是要明確部門、企業、社會組織和個人的權利、義務和責任。
二是規定國家網路安全工作的基本原則和理念。
三是將成熟的政策規定和措施上升為法律,為政府部門的工作提供法律依據,體現依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實施網路通信管制等);其次,這些規定和措施往往經過了實踐檢驗,部門間爭議較小,有利於提高立法效率。
四是建立國家網路安全的一系列基本制度、形成制度框架,這些基本制度帶有全局性、基礎性,是推動基礎性工作、夯實基礎能力所必需。
此外,為了突出實用性,草案還應部分體現專門法的特點。這應從三個方面去考慮:
一是實施重點防護,對關鍵信息基礎設施、網路信息內容等重點安全關注予以優先考慮。
二是防範重大威脅。例如,信息系統安全受控於人是我們面臨的心腹大患,斯諾登事件使我們進一步看清風險所在,這就要對供應鏈安全進行規范。
三是對普遍性、長期存在的社會訴求予以響應。
總體看,草案比較好地處理了綜合法與專門法的關系問題,但個別條款還是過於糾結細枝末節(如網路運營者的分項安全保護義務不必展開),或細致到了足可取代部分專門法的地步(如個人信息保護應制定專門法,原有條款似可刪減後將重心轉向規范信息內容安全)。除了個人信息外,草案沒有突出對公民個人權益的更多保護,如對危害網路安全行為的舉報並不是為了解決公民作為受害者「報案無門」的困窘,這不能不說是小的遺憾。
五、「網路安全」的定義還可以更為妥帖
「網路」和「網路安全」是「網路安全法」的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色,效果有雲泥之別。近年的工作中,我們用過「信息安全」,也用過「網路安全」,學者們各抒己見,一些部門也喜歡朝向有利於自身職能的角度去解釋,這些自不待言。但中央網路安全和信息化領導小組成立後,已經基本將其統一為「網路安全」。當然,國安委還是使用「信息安全」,《國家安全法》使用的是「網路與信息安全」,但這些已不會造成工作上的障礙。
只是這個「網路安全」實是「CyberSecurity」之譯,非「NetworkSecurity」。這裡面的「網路」其實指的是「網路空間」(Cyberspace)。因此,當草案試圖從「網路空間」的內涵上去解釋「網路」時,便挑戰了大眾的科技常識底線,且出現了「網路是指網路和系統」的尷尬。當然,如果就這么用下去,倒也自成一脈,但草案轉眼就去使用狹義的「網路」了,如「建設、運營、維護和使用網路」、「網路基礎設施」、「網路數據」、「網路接入」等,這里都是指的「network」。由此,草案中頻繁出現自己與自己打架的情況。
而草案中的「網路安全」定義也需修改。現有定義不但丟掉了信息內容安全,更是與「網路空間主權」沒有關聯。
解決這個問題的途徑是,網路就是網路,不要讓網路去包括信息系統。即,自始至終使用傳統意義上的「Network」概念。對於「網路安全」,則按「網路空間安全」去解釋即可。
另外,草案的起草堅持問題導向,對一些確有必要,但尚缺乏實踐經驗的制度安排做出原則性規定。這一處理十分務實、有益,但對於什麼是「原則性規定」則要仔細琢磨。