专家谈:秉持科学精神 关注网络安全

时间:2017-09-28 09:18:42     信息来源:中国科学报

 近年来,随着互联网技术的发展,网络安全日益成为关乎国家安全和社会公共利益的重要问题。作为我国第一部全面规范网络空间安全管理的基础性法律,《中华人民共和国网络安全法》(以下简称《网络安全法》)也于今年6月1日正式施行。它的施行,标志着我国网络安全从此有法可依,网络空间治理、网络信息传播秩序规范、网络犯罪惩治等即将翻开崭新的一页,对保障我国网络安全、维护国家总体安全具有深远而重大的意义。

近日,国家网信办公布《互联网群组信息服务管理规定》,规定互联网群组建立者、管理者应当履行群组管理责任,即“谁建群谁负责”“谁管理谁负责”,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。

《中国科学报》就相关话题约请专家进行了探讨。

《中国科学报》:《网络安全法》颁布的意义是什么?

左晓栋:当前,网络和信息技术迅猛发展,极大地改变和影响着人们的社会活动和生活方式,在促进技术创新、经济发展、文化繁荣、社会进步的同时,网络安全问题也日益凸显。习近平总书记强调,互联网不是法外之地,要加快网络立法进程,完善依法监管措施,化解网络风险。为此,全国人大常委会审议通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),于2017年6月1日正式施行。为了解《网络安全法》《全国人大常委会关于加强网络信息保护的决定》实施情况,查找问题,剖析原因,提出建议,着力推进法律实施中重点、难点问题的解决,全国人大常委于8月25日宣布,将在多个省区市开展“一法一决定”执法检查。

李晓兵:以前我们是通过倡导网络文明行为的呼吁、宣传、约定等非国家强制性的方式规范网络安全行为。现在我们把经过这些年经验的总结、实践中的案例等背后的法律性的问题做了提炼,最后形成了我们目前比较系统和全面,特别是在一些基本问题上有了基础性规定的网络安全的法律规定。

王振伟:《网络安全法》的颁布可以极大地提高对个人网络行为的安全意识,对公民有很好的宣传教育作用。因为网络安全现在已经到了非常重要的地位,深入影响到我们的政治、经济和每个人的日常生活。

《中国科学报》:《网络安全法》有哪些亮点?

李晓兵:《网络安全法》在总则部分提到要保障网络安全、维护网络空间主权和国家安全、社会公共利益。我们制定《网络安全法》的基本目标就是要保障网络安全,同时我们要实现维护网络空间主权,这是此次法律中首次明确的。这为对其他国家对我国网络安全的渗透和干预的制裁提供了依据。很多国家秩序的失控是与网络空间的失序有关系的。

网络安全不是纯粹的网络安全本身的问题,除了使我们使用网络时有基本的安全保障,还立足于保障整个国家的安全。因为网络信息的传递和网络对于人们生活的影响、对国家政治、经济的影响已经足以产生撼动国家安全的影响,所以我们在国家安全形势日益严峻的背景下提出的新的国家安全观当中就有网络安全,超越了传统意义上的领土、领空等等的安全。

公共利益方面,网络是公共信息的交汇、表达、互换的平台,网络本身对实现公共利用具有基础支撑作用。我们现在如果不加强网络安全的话,实际上损害的是社会公共利益。谣言、不正当言论、虚假信息、个人信息的泄露、国家特定机构的信息安全问题,这些都涉及到社会公共利益的问题。同时,我们还要兼顾公民、法人和其他社会组织的合法权益,包括提供网络技术的机构。

另外,网络安全问题还承担着促进经济、社会信息化健康发展的使命,这是我们当前和未来的发展目标。我国信息化建设已经推进了一二十年了,也深深地改变了我们的生活,最近五年,是我们的网络和社会经济生活全面融合的过程,带动了整个中国经济的发展和社会生活方式的变化。在这个意义上,我们更要促进信息化建设的健康发展。所以说,我们制定《网络安全法》有多元的目标,既有网络安全,也有国家安全,既有公共利益,也有个人利益,要促进整个网络的健康发展。

《中国科学报》:对于网络安全来说,技术和法律如何协调?

王振伟:技术上永远无法完全解决网络安全的问题,因为影响网络安全的技术也是不断更新的,可以说这是一个正义和邪恶相互较量的过程。要解决网络安全问题,一定要技术和法律相配合。

左晓栋:网络安全牵一发而动全身,《网络安全法》的实施和执法检查是我国经济和社会发展进程中的一件大事情。但网络空间本身是新生事物,未知远远大于已知,网络空间管理的方式、方法仍在不断探索之中,很多问题还没有定论。加之,网络安全的专业性非常强,行政决策必须慎之又慎。为了确保《网络安全法》能够切实发挥维护国家安全、规范信息传播秩序、惩治网络违法犯罪的重要作用,有必要强调科学精神,以求真、务实的作风,审慎对待、认真解决《网络安全法》实施中出现的有关问题。

李晓兵:网络安全要解决两个基本的问题:技术和法律,二者要结合起来。我们现在的问题是技术的发展超越了法律规范,技术的更新、变革,发展的速度远远超出了法律规范的发展,二者不是同步的,从这个意义上说,有些企业在法律资源空白的情况下,运用技术从事的某些行为,由于使用者是不知情的,国家有关部门的监控也是无法落实的,这些企业有可乘之机。法律的制定可以对企业的行为进行明确,哪些是违法的,比如未经许可搜集公民个人信息数据、提供的网络服务含有故意安全漏洞等等,在没有明确法律责任时,有可能有逃脱法律制裁的理由。明确法律责任之后,就对企业行为有了强制性要求,要求企业在经营时守底线。《网络安全法》中对一些技术性要求也进行了法律规范化、制度化。技术的发展可能超过法律规范,我们的法律规范要在我们可以对技术有认识和掌握的情况下对现有的技术进行规范。另外,我们也对一些技术规范进行了法律化,这都是我们认识的提升。

为了使法律能够跟上技术的高速发展,我们还会出台一系列的补订性法律。《网络安全法》有总则,与其他章节是相结合的。总则部分提供了更大的原则性的指引和规范,一般法律的总则部分比较简洁,但《网络安全法》的总则部分占了相当大的篇幅。这说明在网络基础性的要求上规定的还是比较全面的,具体和细节性的部分根据我们的认识和网络的发展水平作出相应的规定。

《中国科学报》:关注网络安全,我们要秉持什么原则?

左晓栋:关注网络安全,我们要坚持科学的精神。坚持科学精神,就要尊重网络安全的客观规律。习近平总书记指出,要树立正确的网络安全观。即,网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。这就是网络安全的客观规律,不以人的意志为转移。这一规律使然,再坚固的系统都可能在新的攻击方式或新的漏洞出现时被突破。但在实际执法时,一些人简单地把网络运营单位出现安全事件认定为违反《网络安全法》,并据此进行处罚,就未免太武断了些。这会带来一种后果:受害者不但没有得到法律的救济,反而因为受害而得到处罚,这显然是荒谬的。

应该看到,《网络安全法》的确提出了若干项防护措施的要求。如果没有落实这些要求而被入侵、攻破,例如没有留存日志、重要数据没有加密存储等,毫无疑问是违反了法律的要求。但不能将此扩展为只要发生安全事件便违法,这不是立法者的本意,也违背了网络安全的客观规律。

坚持科学精神,就要正视未知世界,继续深化对网络安全的科学探索。《网络安全法》的起草坚持问题导向,主要针对实践中存在的突出问题,将近年来一些成熟的好做法作为制度确定下来,为网络安全工作提供切实法律保障。但同时,还有一些制度安排确有必要,但尚缺乏实践经验,《网络安全法》对此进行了原则性规定,为需要制定的配套法规政策预留了接口。这在以往的很多立法活动中是不多见的,很少有法律在正式施行后还存在较多过于原则、难以立即落实的条款。

对这些条款,需要持续进行技术和管理两方面的深入研究。例如,如何使实名制既能起到责任追溯的作用,又能充分保护用户个人隐私?如何在大数据时代确保个人信息“去标识化”后不可恢复?这些问题暂时都还没有答案,但却关系到《网络安全法》中重要条款的落实。遗憾的是,一些主管部门把注意力更多地放在了“执法”“执法检查”方面,却忽视了对很多未决问题的继续研究。

坚持科学精神,就要从技术角度为优化管理体制机制提供论证依据。近年来,我国网络安全管理体制机制不断健全完善,但仍有一些问题有待解决,当前突出体现在关键信息基础设施保护制度与网络安全等级保护制度的关系。在《网络安全法》的立法过程中,这是争论较大的问题,各方意见和认识不一致。

法律起草组考虑到网络安全等级保护制度在我国已推行19年,积累了经验,形成了体系,但与国际社会的关键信息基础设施保护制度的理念不完全匹配。根据我国的实践和需要,确立了关键信息基础设施保护是“在网络安全等级保护制度的基础上,实行重点保护”。这只是在立法时暂时搁置了矛盾,但矛盾又在法律的后续实施中暴露无疑,导致多个管理部门之间出现职责冲突。

从技术角度而言,我国等级保护制度借鉴了美国的TESEC(《可信计算机系统安全评估准则》)标准,并且创造性地解决了在网络环境下的TCSEC适用问题,为高等级安全系统建设提供了依据。等级保护制度的实质是对信息系统提出安全防护要求,关键信息基础设施安全保护制度既包含对系统的安全防护要求,也保护其他一系列的工作制度(如应急处置、产品审查、数据出境安全评估等)。这本来是很清楚的事情,遗憾的是,在关于管理体制机制的争论中,支持者为支持而支持(支持等级保护的很多人,并不了解这项制度的技术内涵所在),反对者为反对而反对,已经脱离了对技术本源的讨论,使问题复杂化。

《网络安全法》的实施使我国网络安全工作进入新的时代。新的时代,尤要秉持科学精神,才能使我们在建设网络强国的征程上走得更稳健。