2016年10月9日中央政治局第三十六次网络强国战略集体学习时,习近平总书记再次强调实施网络强国战略。同期,《中华人民共和国网络安全法》(以下简称《网络安全法》)经第十二届全国人大常委会第二十四次会议表决通过,已于2017年6月1日施行,其在提高网络空间管理水平,增强网络空间安全综合防御能力,推进网络社会法治创新,提升我国在网络空间的国际话语权和规则制定权等方面都具有至关重要的保障作用。作为我国网络安全领域的基本法,《网络安全法》在借鉴国际经验、结合我国国情的基础上,在战略部署和制度构建方面都有突破与创新。在战略层面,提出国家要不断完善网络安全战略、人才战略、可信身份战略,全方位提升网络安全治理水平的宏观要求。在制度层面,综合、全面、针对性的提出加强关键信息基础设施保护力度;增加惩治网络诈骗等新型网络违法犯罪活动的规定;加强网络安全人才培养、保护未成年人上网,加强个人信息保护,建立信息等级保护制度等,构建起系统、全面、兼顾“监测、预警、免责”的全面事态感知立法创新模式。

    一、加强战略部署,提升网络安全保障能力

  新时期,我国网络信息安全战略秉承主权在先原则,坚持积极促进交流互鉴的态度。《网络安全法》践行总体国家安全观,认识到当前网络空间具有动态、开放、相对、共同的特征,从宏观层面明确提出:要制定并不断完善网络安全强国战略,保障网络安全的基本要求和主要目标之最终实现,强调重点领域的网络安全政策、工作任务和措施之重点落实。

  一方面,网络主权是网络安全战略的基础,是国家主权在网络空间的体现和延伸,是网络空间治理的重要原则。《网络安全法》以维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益为根本立法目的,进一步推进网络安全与发展协同,切实维护了国家网络主权、安全和发展利益。另一方面,增强防御和威慑能力是网络安全战略的重点。美国总统特朗普于5月11日签署一份行政命令,要求在联邦政府网络、关键基础设施网络、民众网络三方面加强安全措施。我国《网络安全法》以战略和立法相配合的形式,通过构建网络安全综合治理体系,夯实关键信息基础设施安全,保障公民信息安全,增强自身防御基础和威慑能力,积极巩固基础设施建设,防范和应对网络攻击、依法惩治网络攻击行为,维护国家主权、安全和发展利益。

    二、构建网络安全综合治理体系,有效应对网络攻击

  近日,一款勒索病毒席卷全球,网络安全问题再次引起全球的高度重视,同时也反映出我国应对网络安全突发事件的配套法律措施亟待进一步完善。基于网络攻击的低成本性、隐蔽性以及影响范围广等特征,仅仅依靠事后惩治显然不能起到对网络攻击的威慑作用,更难以实现对网络安全的有效保障。此次《网络安全法》力求从源头对网络攻击进行防范,在攻击发生时,确保能够迅速响应与处置,将损害降至最低,最后再对犯罪行为人进行惩处。其第25条规定网络运营者应当制定网络安全事件应急预案;第51条明确要求国家建立网络安全监测预警和信息通报制度,将针对信息系统攻击的规制扩展至事前、事中及事后的全过程,构建出一个涵盖事先监测预警、事中应急响应、事后惩治与恢复的“三位一体”的治理框架,通过对网络攻击中各个连接要点的控制来实现有效防范与治理。此外《网络安全法》还规定了网络运营者预防和应对网络攻击行为的责任义务:其中第21条规定,网络运营者应当按照网络安全等级保护制度的要求,履行采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;第26条规定,网络运营者具有遵守国家有关规定,开展网络安全认证、检测、风险评估等活动,向社会发布网络攻击等网络安全信息的义务,并于62条明确提出违反本法第26条规定的相关法律责任。

  正如我国外交部发言人华春莹在新闻发布会上所说“我们坚决反对并将严厉打击任何形式的网络攻击行为。我们也倡导国际社会要在相互尊重和平等互利的基础上,加强对话与合作,共同应对网络安全威胁。”因此,我们需要不断优化完善《网络安全法》有关网络攻击的相关规定,构建一套足以及时、可靠、有效应对网络攻击的制度体系。

    三、构建关键信息基础设施安全保障体系,以基础设施牢筑强国战略

  网络强国战略的重点在于构建关键信息基础设施安全保障体系,国家、行业组织、网络运营者各方需协同参与,进一步强化企业运营者责任,细化行业责任划分,通过立法形式严厉打击针对关键信息基础设施系统的网络攻击行为。《网络安全法》明确提出了关键信息基础设施概念和范围并对关键信息基础设施保护提出具体要求,从国家、行业、运营者三个层面明确规定了关键信息基础设施相关主体的安全保护义务,力求系统全面的构建关键信息基础设施安全保障体系,以基础设施牢筑强国战略。规定:国家网信部门统筹协调有关部门采取相应措施,加强国家的网络安全监测预警和应急制度建设,提高网络安全保障能力;负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作,建立、健全本行业的网络安全监测、预警和信息通报制度,并按照规定报送网络安全监测预警信息,制定本行业、本领域的网络安全事件应急预案,并定期组织演练;运营者应当履行的安全保护义务,主要包括设置专职人员,定期进行网络安全教育、培训和考核,对重要系统和数据库进行容灾备份,制定应急预案并组织演练等。

    四、保障公民个人信息不受侵犯,维护人民群众根本利益

  2017年世界电信日的主题为“发展大数据,扩大影响力”。随着新一代互联网技术的广泛应用,侵犯个人信息的违法案例屡见不鲜。在此背景下,《网络安全法》明确提出网络运营者的个人信息保护义务,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。《网络安全法》确立了个人信息保护的立法方向和基本思路,为我国个人信息保护具体政策的制定指明方向。2017年5月9日,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式公布,对公民个人信息范围,非法获取、出售或者提供公民个人信息的入罪标准,公民个人信息数量计算方法,非法购买、收受公民个人信息构成犯罪的情形,网络服务提供者拒不履行公民个人信息安全管理义务的惩罚措施都做出了相关规定,与《网络安全法》相互呼应,共同维护公民的个人信息权益。

  《网络安全法》作为我国网络安全领域的基本法,遵循网络运行和网络社会自身的发展规律、特点,从维护网络安全、国家安全、社会公共利益、促进经济社会信息化发展的客观需求出发,以国家总体安全观为现阶段网络治理的指导思想,将保障网络安全、维护网络空间主权和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展作为根本目标,其颁布与实施,既是依法治国基本方略的重要体现,也是实现我国从网络大国发展为网络强国的战略目标的重要保障,在我国网络空间立法进程中具有里程碑式的意义。(中国网络空间安全协会副理事长、西安交通大学教授 马民虎)