① 网络安全法开始的时间是哪一年
网络安全法开始的时间是2017年。
2017年6月1日,《中华人民共和国网络安全法》正式施行。《网络安全法》共七章七十九条,体现了三个基本原则,即网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则。
《网络安全法》是我国第一部全面规范网络空间安全管理方向问题的基础性法律,是我国网络空间法制建设的重要里程碑,以制度建设掌握网络空间治理和规则制定方面的主动权,是维护国家网络空间安全发展的利器。
(1)美国什么时候颁布网络安全法案扩展阅读
网络安全法的实施亮点:
一、个人和组织有权对危害网络安全的行为进行举报
网络安全法明确了公民对危害网络安全行为的举报权利,政府部门受理、处置公民举报的责任,保障了公民通过网络举报参与网络空间治理的有效性。
二、网络运营者应当加强对其用户发布的信息的管理
网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
② 美国网络空间安全 立法 多少部
自2002年以来,美国通过了近50部与网络空间安全有关的联邦法律,其中包括《1984年伪造接入设备及计算机欺诈与滥用法》、《1986年电子通信隐私法》、《1987年计算机安全法》、《1995年削减公文法》、《1996年信息技术管理改革法》、《2002年国土安全法》、《2002年网络安全研发法》、《2002年电子政务法》、《2002年联邦信息安全管理法》等。
近年美国国会关于网络安全主要综合性立法建议包括《2012年网络安全法案》、《确保IT安全法案》、众议院共和党工作组提出的综合性建议,促成了众议院的5个专门性法案以及奥巴马政府向国会递交的综合性网络安全立法建议等。其中,《2012年网络安全法案》是美国第112届国会关于网络安全最重要的法案。
③ 网络安全法颁布日期
网络安全法颁布日期2016年11月7日
《中华人民共和国网络安全法》于2017年6月1日正式实施
④ 《关于网络犯罪的公约》主要内容
随着信息时代的到来,全球网络的兴起,电信领域的创新与信息技术的发展,可以说是日新月异。国际互联网的触角已延伸到世界的各个角落,引发了各个领域的应用革命,创造了新的生活、工作模式。新技术的发展,提高了效率,方便了生活,造福了社会。然而,如同所有新生事物一样,互联网在它的发展过程中也是十分稚嫩和脆弱的,这就为互联网犯罪提供了滋生的土壤。电子速度所实施的交易指令的快速性、数字化和交易的非物质因素,既是网络社会所特有的繁花似锦,也是网络社会最容易受到犯罪侵害的脆弱之处。据法国内务部打击信息犯罪中央大队的统计数据,法国与信息技术相关的犯罪案件数量1998年比1997年增长 33.49%,案件由1997年424件升至1998年的566件,1999年达到716件。1999年统计的犯罪类型主要有诈骗、侵害数据自动处理系统、假冒、电信欺诈、信息与自由、非法侵入蜂窝电话和其它犯罪(1)美国联邦调查局的IFCC网络从2000年5月8日至11月3日短短半年时间内就收到了19490件投诉。美国联邦调查局互联网犯罪中心所作的互联网犯罪分类涉及有拍卖、不交货、安全舞弊、信用卡、身份盗窃、谋利、服务和其它犯罪〔2〕。
面对迅猛发展的网络社会,面对日益增长的网络犯罪,国际社会早已开始着手与电子信息网络相关的立法工作,在初步建立有关电子信息网络标准化统一规则的同时,也在积极地开展预防和打击网络犯罪立法方面的工作,法国、美国、欧盟、澳大利亚、日本等国在这方面起步较早,在立法原则、对网络犯罪的定义和分类、刑罚的设置、刑事程序法、管辖权、国际合作,以及预防措施等方面有许多值得我国相关部门进行深入研究和借鉴的内容。为促进我国网络安全,加快网络犯罪立法工作的步伐,增进在网络安全、预防和打击网络犯罪方面与国际社会的交流与合作,特别是确保2008北京数字奥运的圆满成功,研究、利用和共享这方面的资源,具有极其重要的意义。鉴于此,本文将从以下几方面进行分析对比。
一、与电子信息网络相关的立法概况
与电子信息网络相关的立法从内容上看涉及面较为宽泛,大致可以分为:1、与民商法相关的电子信息网络法,主要是民商法原则在网络环境下的延伸,如电子商务合同法、互联网知识产权法、电子商务涉及的税法、网上支付的法律问题、安全与隐私权、电子证据、电子商务中的广告法律问题、电子商务的管辖权等等。2、与行政法相关的电子信息网络法,主要涉及政府、企业、社会组织和个人在电子信息网络安全方面的规则,网上统计调查法律规则,如政府网上统计规则和民间网上统计规则等。3、与证据法相关的电子信息网络法,既包括民事方面的电子商务证据,如数据电文、数字签名证据,也包括刑事电子证据的认定和保存规则。4、与程序法相关的电子信息网络法,主要是网络交易纠纷和网络犯罪的管辖权,侦察、监控规则,法庭辩论和调查规则等。5、与刑法相关的电子信息网络法,包括网络犯罪的定义、分类和刑罚。6、与国际公约相关的电子信息网络立法,主要是各国政府就已经加入或者将来有可能加入的国际公约,制定国内法。
从时间跨度上看,国际社会的立法经历了从统一标准化规则到民商事立法,再到网络犯罪立法的过程。而国内网络犯罪立法与网络民商事立法基本上是同步发展的。
(一)主要的国际立法
1996年12月联合国国际贸易法委员会制定了《电子商务示范法》,该示范法主要是解决电子合同、电子提单等的效力问题,对各国合同法影响较大;1997 年欧盟提出《欧洲电子商务行动方案》,为规范欧洲电子商务活动制定了框架;1998年欧盟颁布《关于信息社会服务的透明机制的指令》;1999年又通过了《关于建立有关电子签名共同法律框架的指令》〔3〕;2001年欧洲理事会通过《关于网络犯罪的公约》,并实行开放签署,目前已有20 多个国家加入该公约。
(二)网络犯罪方面主要的国内立法
世界各国从20世纪60年代就开始对计算机安全与犯罪进行立法保护〔4〕。1970年美国颁布《金融秘密权利法》,对金融业计算机存储数据的保护作了规定,1984年通过《伪造存取手段以及计算机诈骗与滥用法》,并修改了美国刑法的相关内容,1986年美国相继通过了《计算机诈骗与滥用法》、《国家信息基础保护法》,明确了对网络犯罪的处罚,1987年颁布《联邦计算机安全处罚条例》。
法国自1978年起就已经开始在全国范围内对记名信息〔5〕进行法律保护,如关于信息、文档和自由的第78—17号法律,法国刑法典第226—16至 226—25条(侵犯信息处理或文档而对他人人身权利造成侵害的犯罪);1980年关于司法档案自动化的法律;1994年关于在卫生领域以研究为目的的记名资料处理的法律,该法除规定了未经批准擅自处理信息的犯罪以外,还规定了几种专门的犯罪,如进行记名数据自动处理事先未向相对人告知访问全权、更正权、异议权,未向其告知传送信息的性质、接受数据的自然人与法人情况的,处5年监禁和200万法郎罚金〔6〕等。
(三)我国的立法情况
我国颁布的条例和部门规章有1994年的《中华人民共和国计算机信息系统安全保护条例》;1997年《计算机信息网络安全保护管理办法》;1996年《中华人民共和国计算机信息网络国际联网暂行规定》;2000年全国人大常委会《关于维护互联网安全的决定》;1997年《刑法》的有关规定;2000年《互联网信息服务管理办法》;2001年《互联网上网营业场所管理办法》;公安部1997年《计算机信息系统安全专用产品分类原则》等。
从以上立法情况可以看出,我国在隐私权和卫生领域的信息网络安全立法和网络犯罪立法方面尚有欠缺。
二、对欧盟《关于网络犯罪公约》的借鉴
欧洲理事会《关于网络犯罪的公约》(以下简称公约)的宗旨是,通过敦促缔约国进行适当的立法,建立有效的国际合作,以达成共同的刑事政策,加强社会防卫,打击盗版、网络欺诈、儿童色情和危害网络安全等严重的网络犯罪〔7〕。
1989年欧盟部长委员会通过了与计算机有关的犯罪第R(89)9号建议,1995年通过与信息技术有关的刑事诉讼程序若干问题的第R(95)13号建议,1997年成立了网络空间犯罪专家委员会,从1997年至2000年网络空间犯罪专家委员会共举行了10次全体会议,15次草案专家组会议,公约草案修改27稿,于2001年11月8日正式通过。
这部长达4年时间完成的公约,是国际社会第一个防范网络犯罪的国际公约,公约充分体现了以人为本、尊重科学和国际协作的理念。以下几点值得我们研究和借鉴。
(一)以人为本的立法原则
公约的实体法、程序法都体现了以人为本的原则,从其打击的犯罪内容不难看出,体现了人文关怀,对人的关爱,对公众利益的维护。在维护社会稳定方面所采取的是积极的措施,而非消极的措施,所规定的内容是深受大众欢迎,并且能为公众所接受的。公约对法人刑事责任的规定,充分体现了保护公众利益的原则。公约规定无论是法人本身还是法人组织中的个人为谋取法人的利益,以法人的名义进行犯罪的,该法人及其自然人均须承担责任,法人的责任可以是刑事、民事或行政责任,但同时并不排除自然人的刑事责任,这种处罚形式也是值得我们研究和借鉴的。
公约在程序法中特别规定了适用条件和保障措施,这在我国一般的立法中是很难见到的。如公约第15条在条件和保障措施中规定,缔约国应确保在适用本节中提到的权利和措施时,必须符合国内法所规定的适用条件并提供相应的保障措施,以有效地保护人权和自由,同时应对这种权利和程序实施适当的独立监督,并应考虑其对第三人的权利、责任和合法利益的影响〔8〕。这种立法原则不仅对我国网络犯罪立法有所借鉴,对其它方面的立法也具有积极的意义和参考价值。我国在网络犯罪刑事程序法方面基本上属于空白,今后在制定对网络犯罪的侦察、监控等措施方面应当对公约的相关内容加以考虑。
(二)以科学为基础的定义
公约对网络犯罪的定义较好地综合了目前世界各国所采用的概括式定义法和列举式定义法的优点,将网络犯罪定义为:“危害计算机系统、网络和计算机数据的机密性、完整性和可用性,以及对这些系统、网络和数据进行滥用的行为”〔9〕。这种定义较之此前的定义更具科学性。我国刑法第285条至287条对与计算机有关的犯罪作了规定,这三条可以说只包含了纯正的计算机犯罪的一部分,而刑法第196条、363条和364条的规定也仅包含了不纯正的网络犯罪(即利用信息科学技术实施传统犯罪的行为)的一部分。通过对比,不难看出,我国刑法的相关规定有待进一步的完善。
(三)友善的国际合作机制
首先,公约在大多数条款中都规定缔约国可以依据国内法和本国的实际行使保留权。其次,公约在国际合作一章中,规定了在打击网络犯罪方面进行国际合作的三个原则和一个程序,即国际合作的总体原则、引渡原则、多边协助总体原则和在缺少可适用的国际协议情况下进行多边协助的程序〔10〕。对于协助程序公约规定,在紧急情况下一国可以请求另一国协助,而当被请求国认为该项请求1、涉及政治犯罪或与政治犯罪有关;2、若提供协助可能危害国家主权、安全、公共秩序或其它重要利益时可以拒绝提供协助。这种灵活、友善的国际合作机制,可以促使各个国家更加容易接受该公约。
三、关于我国网络犯罪立法的思考
伴随经济发展的全球化和网络发展的全球化,我国的网络社会不可能永远是一块净土,在巨大商机和利润的诱惑下,我国的网络犯罪也将会呈上升趋势。对此我国的相关部门应早作准备,未雨瘳谋。�
⑤ 网络安全法什么时候开始施行
2017年6月1日起施行。《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。
《中华人民共和国网络安全法》
第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
⑥ 谁能给我介绍各国关于网络的相关规定
网络传播的负面影响,已经引起各国各界的广泛关注。人们越来越意识到,进入网络时代以后,一方面,过去在现实空间中遇到的各种道德和法律问题,不可避免地会反映到网络空间中来;另一方面,网络空间又产生了许多现实空间中没有过的新的道德和法律问题。因此,各国政府都高度重视网络管理,陆续颁布了一系列有关计算机网络的法律法规。 美国是世界上互联网络最为发达的国家。早在1978年8月,美国佛罗里达州就率先通过了《佛罗里达计算机犯罪法》。该法规涉及了侵犯知识产权、侵犯计算机装置和设备、侵犯计算机用户权益等问题,并作出了种种规定。随后,美国共有47个州相继颁布了计算机犯罪法。1984年,美国国会通过了《联邦禁止利用电子计算机犯罪法》。1987年,国会通过一项方案,批准成立国家计算机安全技术中心,并制定了《计算机安全法》。美众院司法委员会要求,色情邮件须加标注,使得用户可以不打开邮件直接将邮件删除;因特网接入服务提供商可以起诉滥发垃圾邮件者,并提出索赔要求。1996年2月,美国总统签署了国会通过的《通讯净化法》,明确规定互联网不得向未成年人传播有伤风化的文字及图像。这一法案尽管受到健康舆论的广泛支持,但却遭到美国公民自由联盟、出版界(包括网上刊物出版界)和电脑界一些组织的反对,声称它违反了关于言论自由的宪法修正案,从而引起了一场诉讼。1997年美国最高法院判定这一法案违宪,使它终于未能实行。不过2000年4月美国贸易委员会制定的《儿童网上保护法》却得到了实施。该法规定商业网站收集年龄在13岁以下少年的个人信息以及这些未成年人进入网上聊天室时必须得到其父母的同意。① 在德国,政府明确表示不能让互联网成为传播色情和宣扬新纳粹思想的场所,强调要防止互联网络受到“污染”,要求经营联网业务的企业承担义务,使青少年免受不良信息的危害。1997年8月,德国制订的《信息和通讯服务法》(即《多媒体法》)正式实施。这是世界上第一部对互联网空间的行为实施全面的法律规范的专门立法,法案确立了传播自由和责任并重的原则。该法关于网络服务商的责任提到了三点:1.对自己提供的网上信息内容负全部责任;2.对网上提供来自他人的内容只是在一定条件下才负有责任;3.对于仅仅提供了进入通道的网上信息不负责任.。一般认为它将对世界各国的相关立法会产生重要影响。 英国在1996年以前主要依据《黄色出版物法》、《青少年保护法》、《录像制品法》、《禁止泛用电脑法》和《刑事司法与公共秩序修正法》惩处利用电脑和互联网络进行犯罪的行为。1996年9月23日,英国政府颁布了第一个网络监管行业性法规《3R安全规则》。“3R”指的是分级认定、举报告发、承担责任。1999年英国政府公布了《电子通信法案》的征求意见稿。这一草案酝酿已久,其主要目的是为促进英国电子商务发展,并为社会各界树立对电子商务的信心提供法律上的保证。英国广播电视的主管机关--独立电视委员会(ITC)宣称,依照英国1990年的《广播法》,它有权对互联网上的电视节目以及包含静止或活动图象的广告进行管理,但它目前并不打算直接行使其对互联网的管理权力,而是致力于指导和协助网络行业建立一种自我管理的机制。 新加坡政府在1996年3月颁布了有关网络的管理条例,要求提供联网服务的公司对进入网络的信息内容进行监督,以防止传播色情和容易引发宗教及政治动荡的信息。1996年7月,新加坡广播管理局依法对互联网络实行管制,宣布实施分类许可证制度,以便鼓励正当使用互联网络,促进其在新加坡的健康发展,保护网络用户、尤其是年轻人免受非法和不健康信息传播的侵害。 在韩国,为了加强对信息通信网的管理,政府的情报通信部2001年出台了《关于保护个人信息和确立健全的信息通信秩序》的法规。这一法规明确规定个人信息管理者的权限和责任,对向第三者泄漏个人信息者将予以重罚。与此同时,这一法规还将加强对淫秽、暴力、犯罪等非法信息流通的管理。 由于网络传播的国际性,各国政府越来越意识到,要有效地规范网上行为、尤其是打击网络犯罪,单靠一国立法是远远不够的。各国执法部门在工作中遇到的许多挑战,只有通过国际条约来解决。为此,欧盟委员会曾于1996年10月通过了《互联网有害和违法信息通信》和《在新的电子信息服务环境中保护未成年人和人的尊严》绿皮书。绿皮书中规定网络主机服务商和检索服务商应该对其主机和服务器上的违法和有害信息承担法律责任。欧盟委员会还建议对互联网信息建立评级制度,鼓励开发和采用过滤软件和评级系统,鼓励网民报告违法和有害网址。从1998年起,泛欧组织欧洲委员会决定由欧洲犯罪问题委员会下属的网络空间犯罪专家委员会负责起草《网络犯罪公约》草案,美国也参与了起草。这是国际社会第一个正在草拟的有关计算机系统、网络或数据的犯罪行为的多边协定。人们预期它会带来在网络管理方面更多的国际合作。 回顾历史,人类的传播活动和新闻事业,总是随着传播技术的进步、传播方式的更新而不断发展的。而新的传播技术和传播方式往往是把双刃剑,既能带来新的飞跃也会带来新的挑战。世纪之交兴起的互联网络的情况也是如此。相信经过世界各国政府、组织和进步人类的共同努力,互联网事业也必定能兴利除弊,把人类的传播活动和世界新闻事业带进一个全新的时代。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/2.html 互联网络的迅猛发展,给人类的信息交流和新闻传播提供了极大的便利,产生了广泛的影响。但是它的发展也带来某些负面后果,出现了一些新的问题。其中最为突出的有: 首先,由于网络传播具有开放性,任何人都可以在没有检查控制的情况下在网上传播信息,因而为有害信息的传播带来极大的方便。特别在一些非正规的网站网页或个人传播活动中,各种信息泥沙俱下,良莠混杂。散布虚假消息、谣言传闻者有之,宣扬迷信、传播邪教者有之,煽动民族仇恨、助长种族歧视者有之,这些都会危害社会稳定和发展。资料显示,世界各种邪教组织如日本的奥姆真理教、意大利的末世派等都设有网站,法**组织在全球25个国家都设有网站,光在美国就拥有八十多个网站,还有13种语言版本。至于传统媒介上常见的色情内容更是网络天地间挥之不去的有害气体。据卡内基-梅隆大学一个专家组在1995年的调查报告称,在美国多数家庭电脑连通的网络中,有85%带有不同程度色情内容的图片、文章和录像,电子公告板储存的数据图像有五分之四含有淫秽内容。这些都严重污染着社会风气,对青少年成长更有极为不利的影响。 其次,网络传播具有很强的自由度,发布的言论不易查究责任,因而很容易出现侵害他人权利的行为。在网上散布流言蜚语、造谣诽谤他人,损害别人的名誉权,侵犯他人的隐私权,这些现象时有所见。也有的故意在网上制造舆论,伤害法人或自然人的信誉,为不正当的商业竞争或政治斗争服务。另外,网络服务商为了管理或个性化服务的需要,一般都要求消费者登记自己的有关情况,这里也往往存在收集和使用不当的问题,造成对个人隐私的侵犯。 第三,由于网络空间的虚拟性,网上行为不象现实世界中那样可触可摸、有据可查,因而也为某些刑事犯罪带来了可乘之隙。通过网络诈骗钱财、从事毒品交易、密谋恐怖活动、甚至为卖淫嫖娼牵线,诸如此类的犯罪活动并不罕见。也有些计算机高手,通过网络窃取商业机密、政治军事情报。还有一些出于种种目的蓄意攻击破坏网络的“黑客”,严重威胁着计算机的安全。据美国军方一份报告透露,1999年五角大楼计算机网络受到“黑客”攻击达25万次之多,其中60%达到了目的。2000年2月7-9日,由美国开始的一起严重的黑客袭击事件,包括Yahoo!(雅虎)、ebay.com(电子港湾)、amazon.com(亚马逊网上书店)、CNN(美国有线电视新闻网)在内的8家世界着名网站遭到有组织的猛烈攻击,网站运作瘫痪数小时,震惊了全世界。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/1.html 中国网址导航 www.pronoti.com
⑦ 专家解读2019年《网络安全法》草案
一、重大历史进步
网络安全不是今天才重要,网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务,可见决心之巨。只是网络安全立法之路实在艰辛,时国务院信息办审时度势,由信息安全条例角度入手,并连续数年推动其列入国务院法制办二类立法计划,之后未能再进一步。2008年后,国务院信息办职能整体划转至工业和信息化部,有关方面意识到制定条例未必就比人大立法容易,且国务院行政法规无力调整现行上位法的法律规定,遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法,国家立法资源有限,每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法,还要考虑工业立法,一半指标已不得用,而信息化方向还有一部历史更为悠久的电信法望眼欲穿,信息安全法终究连个队都没排上。期间,人大建议、政协提案不计其数,社会公众翘首以盼,均无果。
此次草案公开征求意见,表明这项工作进入了实质性立法程序,这是一个重大历史进步。欢欣鼓舞之所在,不是因为草案具体内容,而源于征求意见本身的象征意义。时至今日,我们对网络安全立法不是搞清楚、看明白了,而是问题更多、更复杂了,很多观点分歧可能更大了,网络安全立法难度不降反升,但突破恰恰在此时。中央网络安全和信息化领导小组成立后,中央领导同志英明决策,切实将网络安全提升到了国家安全和发展的高度,不但作出“网络强国”的全局战略部署,更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等,无一不历经多年论证而蹉跎,今朝方开花结果。
诚然,网络安全立法工作十分艰巨,草案肯定有这样那样的问题,但今天的一小步,是国家网络安全工作的一大步。我们应该宽容它、呵护它,使其不断成熟、更加科学,成长为护佑国家网络安全和信息化发展的参天大树。
二、彰显国家意志,确立基本原则
草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多,还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法,这些“软性”法律规定确有必要,其意在于宣示国家网络安全工作的基本原则,明确建设网络安全保障体系的主要举措,从而为整体推进保障体系建设提供法律依据。
一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼,驱动之双轮,要坚持以安全保发展、以发展促安全,不能简单地通过不上网、不共享、不互联互通来保安全,或者片面强调建专网。要努力实现技术创新和体制机制创新,不断增强维护网络安全的新思路、新方法、新举措、新本领,而不是因噎废食、自甘落后。
二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸,网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释,且一笔带过,然犹有石破天惊之意。
三是开展国际合作。网络安全是全球面临的共同问题,中国对广泛开展国际合作持积极态度,合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等,目标是推动构建和平、安全、开放、合作的网络空间。
四是建立统筹协调、分工负责的网络安全管理体制。多年 实践 和各国经验表明,网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立,有必要通过立法增强领导小组及其办公室的权威性。草案规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括,对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作,由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作,由网信部门会同国务院有关部门制定办法或组织实施。由此,政府向解决分散、多头和重复管理迈出了关键一步。
五是加强行业自律。要充分发挥行业组织作用,指导行业组织成员加强网络安全防护,促进行业健康发展。
六是强化网络安全顶层设计。顶层设计至关重要,首先是要制定网络安全国家战略,对外宣示主张,对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划,确保战略落地,确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。
七是建立和完善网络安全标准体系,充分发挥标准在网络安全建设中的指导性、规范性作用。
八是加大财政投入,以加快产业发展,深化技术研发,提升网络安全创新能力。
九是做好宣传教育和 人才 培养工作。首先,要开展经常性的网络安全宣传教育;其次,要通过学历教育和在职培训,采取多种方式培养网络安全人才。
三、关键信息基础设施保护工作进入正轨
关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全,与前者不完全一致,但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点,有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”,并且在实践中明确了基础信息网络是广电网、电信网、互联网,重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统,即俗称的“2+8”,相关保护工作也常抓不懈。但整体而言,我们与国外差距很大,已是国家安全的软肋,草案为此设立了“关键信息基础设施的运行安全”一节。
一是扩展了保护范围。纵观世界各国,凡是已经开展了网络安全建设的国家,其关键基础设施的范围几乎都远超过我们,例如美国有17类,而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围,包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营,运营者可能对其列为国家关键信息基础设施不适应,但当网络服务商的用户达到一定规模时,其安全已经不再是企业自身问题,而成为一个公共问题、社会问题甚至国家安全问题,理应承担更多责任。一些国外机构可能会拿这个做文章,但事实上美国的关键基础设施有87%受私营企业控制。
二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度,其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用,这个要求只能是基线(即基本要求),其有必要但并不足够,特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外,保护关键信息基础设施涉及很多工作,不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单,还包括一系列的管理工作和公共平台建设,不能由一项制度取代其他制度,理应对此建立专门制度。草案提出,关键信息基础设施安全保护办法由国务院制定。对于某些重点要求,如网络安全审查、风险评估等,草案则在具体条款中进行了明确。
三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务,解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任,但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了,也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说,这不仅仅是免责的需要,也是推动工作的需要,因为这些内设机构如果没有强制性依据,很难得到业务部门的配合。此外,以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查,但谁都不用负责,重点行业往往无所适从、疲于应付。为此,草案明确了行业主管部门的监督指导职责,这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门,草案授权国家网信部门统筹协调有关部门,建立协作机制。特别是在网络安全检查工作中,要杜绝某个部门前脚走,另一部门后脚来的现象。
四、兼具综合法与专门法的特点
网络安全包含的内容太多,当前需要立法规范的事项也很多,于是就有了综合法与专门法的争议。一个基本事实是,目前世界上鲜见网络安全的综合法,有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护,近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。
作为第一部网络安全法(《电子签名法》不应该计算在内),草案首先要体现综合性,其侧重点应该在以下四个方面:
一是要明确部门、企业、社会组织和个人的权利、义务和责任。
二是规定国家网络安全工作的基本原则和理念。
三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供法律依据,体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次,这些规定和措施往往经过了实践检验,部门间争议较小,有利于提高立法效率。
四是建立国家网络安全的一系列基本制度、形成制度框架,这些基本制度带有全局性、基础性,是推动基础性工作、夯实基础能力所必需。
此外,为了突出实用性,草案还应部分体现专门法的特点。这应从三个方面去考虑:
一是实施重点防护,对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。
二是防范重大威胁。例如,信息系统安全受控于人是我们面临的心腹大患,斯诺登事件使我们进一步看清风险所在,这就要对供应链安全进行规范。
三是对普遍性、长期存在的社会诉求予以响应。
总体看,草案比较好地处理了综合法与专门法的关系问题,但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开),或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法,原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外,草案没有突出对公民个人权益的更多保护,如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘,这不能不说是小的遗憾。
五、“网络安全”的定义还可以更为妥帖
“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色,效果有云泥之别。近年的工作中,我们用过“信息安全”,也用过“网络安全”,学者们各抒己见,一些部门也喜欢朝向有利于自身职能的角度去解释,这些自不待言。但中央网络安全和信息化领导小组成立后,已经基本将其统一为“网络安全”。当然,国安委还是使用“信息安全”,《国家安全法》使用的是“网络与信息安全”,但这些已不会造成工作上的障碍。
只是这个“网络安全”实是“CyberSecurity”之译,非“NetworkSecurity”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此,当草案试图从“网络空间”的内涵上去解释“网络”时,便挑战了大众的科技常识底线,且出现了“网络是指网络和系统”的尴尬。当然,如果就这么用下去,倒也自成一脉,但草案转眼就去使用狭义的“网络”了,如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等,这里都是指的“network”。由此,草案中频繁出现自己与自己打架的情况。
而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全,更是与“网络空间主权”没有关联。
解决这个问题的途径是,网络就是网络,不要让网络去包括信息系统。即,自始至终使用传统意义上的“Network”概念。对于“网络安全”,则按“网络空间安全”去解释即可。
另外,草案的起草坚持问题导向,对一些确有必要,但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益,但对于什么是“原则性规定”则要仔细琢磨。