摘要:
我国信息安全法律领域的权威专家和重要推动者、西交苏州信息安全法律研究中心主任马民虎接受了我刊的专访,就法律实施效果、完善建议,以及对新基建网络安全的指导作用等阐述了专家观点。... 值此《网络安全法》实施三周年之际,我国信息安全法律领域的权威专家和重要推动者、西交苏州信息安全法律研究中心主任马民虎接受了我刊的专访,就法律实施效果、完善建议,以及对新基建网络安全的指导作用等阐述了专家观点。
记者:《网络安全法》实施已三周年,您如何评价法律的实施情况,以及对我国的网信工作有何推动作用?
马民虎:当前国际局势风云激荡,在“技术脱钩”“逆全球化”环境下,我国正在部署供给侧结构性改革,在稳定传统产业的同时,积极发展战略性产业、避免核心技术步入“长期战略依赖”窘境,提高科技水平,打造核心竞争力,参与并引领全球产业链重构。《网络安全法》自2017年6月1日正式施行以来,为应对新的网络安全态势,在保障网络安全,维护网络空间主权和国家安全,保护公民、法人等合法权益,以及促进网络产业发展等方面都发挥了重要作用,提升了国家网络安全法律保障能力。
三年来,《网络安全法》的实施推动我国网信工作取得了新突破,开创了新局面,为推动国家“网络强国”建设提供了法律保障。
首先,我国网络安全法律体系已经基本形成,法律法规、规范性文件和技术标准体系逐步完善。《密码法》等法律通过并正式施行,与《网络安全法》中的相关制度有效衔接,在网络安全保障的具体方面各有侧重,相得益彰。个人信息保护法、数据安全法纳入2018年立法计划,有望完善后早日提请全国人大常委会审议。网络安全标准化工作发展迅速,网络安全标准化体系已初具规模,我国的网络安全司法与执法实践已迈入实质性的有法可依阶段。
其次,国家网络安全管理体制机制顺畅,围绕关键信息基础设施保护、网络安全等级保护、个人信息保护、网络信息内容治理等方面的网络安全行政监管和执法力度持续加强。从实践来看,网络安全监管机构执法行动持续推进,执法方式和手段不断创新,长效联席监管工作机制和净网、护网、App治理、网络爬虫治理、暗网治理等专项行动协同创新,强化网络信息内容生态治理。同时,网络安全司法体制改革和互联网智慧法院建设全面深化,网络犯罪指导性案例陆续发布,类案参考、裁判指引等工作不断推进。
最后,《网络安全法》的实施,推动网络安全人才培养取得突破性进展,全社会网络安全意识明显加强。可以看到, 在《网络安全法》的实施推动下,近年来,我国的网络安全学科专业建设得到高度重视,网络安全人才,特别是交叉型人才的创新培养模式已取得社会普遍认可,青少年上网安全保护等问题也得到更多的关注。同时,《网络安全法》的实施, 使全社会网络安全意识明显加强,还有效促进了我国网络安全产业、服务业的蓬勃发展,网络安全国际交流合作也稳步推进。
总体而言,网络空间法治化建设成果卓著,为推动我国网络空间治理体系和治理能力现代化发挥了积极作用。
记者:请您介绍一下《网络安全法》实施以来,相关法律法规配套实施的情况?还有哪些方面需要完善?
马民虎:我国《网络安全法》坚持总体国家安全观,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,为维护国家主权、安全、发展利益,实现建设网络强国的战略目标做出了全面部署。
《网络安全法》实施以来,以中央网信办为主的多个监管部门相继制定出台了一系列配套法律法规,切实保障了《网络安全法》的可操作性,明确了相关主体的职责以及监管部门的监管方式,为网络运营者、网络产品和服务提供者、网络安全服务机构等提供了具有可操作性的合规指引,其规范层次多元形式多样,涵盖密码管理、关键信息基础设施保护、网络安全等级保护、个人信息保护、数据安全治理、网络安全审查、网络信息内容治理、网络安全监测预警与应急处置等主要方面。
(一)网络安全等级保护、关键信息基础设施保护、网络安全审查和数据跨境等配套立法积极推进。第一,等保制度建设基本完成。《网络安全等级保护条例(征求意见稿)》和《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》等标准相继发布,标志着中国等保2.0时代的开启。第二,关键信息基础设施安全保护制度建设全面铺开,保护条例进入立法实质性阶段,《网络安全审查办法》已由国家互联网信息办公室、国家发改委等12部门联合发布,并于2020年6月1日正式实施。第三,在数据本地化与数据出境安全评估方面,2019年发布的《个人信息出境安全评估办法(征求意见稿)》及《数据安全管理办法(征求意见稿)》已经取得实质性进展。同时,《公安机关互联网安全监督检查规定》、公安部《违反网络安全法行为名称及使用条款》等为网络安全执法检查提供了法治保障。
(二)个人信息保护配套法治建设全方位展开。2018年5月1日,由全国信安标委组织制定的《GB/T 35273-2017信息安全技术个人信息安全规范》正式实施;2019年3月13日,国家认证认可监督管理委员会发布《移动互联网应用程序(App)安全认证实施细则》;2019年4月10日,公安部网络安全保卫局发布《互联网个人信息安全保护指南》《儿童个人信息网络保护规定》; 2019年6月1日,全国信安标委发布《网络安全实践指南——移动互联网应用业务功能个人信息收集必要性规范》; 2019年8月8日,国家标准化委员会发布《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》(草案),向社会征集意见建议。以上相关规定的发布和实施,共同构成了我国App安全认证及数据合规管理的体系基础。
(三)网络信息内容生态治理法律供给充足。网络信息内容生态治理,是指政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展的弘扬正能量、处置违法和不良信息等相关活动。《网络信息内容生态治理规定》《互联网信息内容管理行政执法程序规定》等配套规定,推动网络安全生态法律治理现代化得到明显改善。
(四)网络安全监测预警与应急处置得以优化统筹。中央网信办制定《网络安全威胁信息发布管理办法(征求意见稿)》,工信部制定出台《公共互联网网络安全威胁监测与处置办法》、《公共互联网网络安全突发事件应急预案》、《网络安全漏洞管理规定(征求意见稿)》,细化了网络安全监测预警与应急处置过程中的具体要求。
(五)青少年网络保护立体框架基本形成。目前,我国已经在法律、监管、教育等多方面加强对未成年人的网络保护机制,为青少年成长营造健康的网络氛围。一是在法律建制上,《未成年人保护法》将增加网络保护内容,对网络保护的理念、网络环境管理、网络企业责任、网络信息管理、个人网络信息保护、网络沉迷防治、网络欺凌及侵害的预防和应对等作出全面规范,力图实现对未成年人的线上线下全方位保护;二是在产业监管上,《未成年人节目管理规定》等要求企业不得宣传、介绍不利于未成年人身心健康的网络游戏。国家新闻出版署发布的《关于防止未成年人沉迷网络游戏的通知》提出六项举措,防止未成年人沉迷网络游戏的工作要求和具体安排,为坚决遏制沉迷、保护青少年健康成长明确了产业规范。
三年来,《网络安全法》的实施推动我国网信工作取得了新突破、实现了新发展、开创了新局面,从根本上推进我国从“网络大国”向“网络强国”的迈进,并为依法治网提供了重要的法律依据,促使我国网络安全综合治理能力水平不断提升。
面向未来,《网络安全法》法律体系还有若干方面需要进一步完善。一是加快《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》、《网络安全等级保护条例》的立法进程,保障供应链安全,全面审视疫情等重大事件对网络安全保障的法律特殊要求。二是法律的数字化转型和改革势不可挡,网络安全保障尤其是关键信息基础设施保护从传统基于规则分析向基于数据威胁态势感知转变,合规遵从需求向威胁情报共享、主动防御理念转变,迫切需要建立完善网络安全漏洞规制、网络安全信息共享等法律体系,以提供法律支撑并细化规范内容。三是围绕物联网、5G、人工智能、区块链等新一代技术应用普及引发的新问题,网络安全配套法规也应当予以积极回应。最后,针对国外断供、利用供应链掣肘我国ICT产业发展,对外斗争法律的供给方面,需要加强对国际发展趋势的战略研判,以《网络安全法》第75条为基础,创新实体清单措施,积极推进技术进出口管制立法。
记者:从我国现有法规体系与网络安全有关法律出发,如何理解《网络安全法》是基础性、核心性的法律?
马民虎:当今社会国家主权已从传统领域拓展到网络空间,网络空间安全已成为各国战略竞争的新疆域。我国《网络安全法》的颁布实施,为维护国家安全与利益,规范网络主体行为等提供了法律依据。
《网络安全法》中确立了国家网络空间安全发展战略等重要内容,明确了我国网络空间治理的规则以及国际参与,将网络安全上升为国家安全的高度,为提升我国网络空间竞争力、增强国家综合实力提供给了有力的法制保障。
《网络安全法》特别重视贯彻落实总体国家安全观的法制理念。在应对网络空间治理问题中,《网络安全法》既重视传统安全,又重视非传统安全;既重视发展问题,又重视安全问题;既重视自身问题,又重视共同安全。在具体规定上,既重视网络入侵又重视网络攻击,既重视网络风险又重视网络威胁,既重视基础性安全又重视应急处置,既重视网络运营商法规遵从又重视违法犯罪的打击惩治,足以彰显《网络安全法》的基础性和核心地位。
记者:除了继续完善网络安全法的配套法规体系以外,在司法和执法方面,我们还需要加强哪些工作?
马民虎:三年来,《网络安全法》及其配套法律法规体系的不断建立与完善,意味着我国的网络安全司法与执法实践已迈入实质性的有法可依阶段。从实践来看,网络安全监管机构执法行动持续推进,执法方式和手段不断创新,各类长效联席监管工作机制不断建立,净网、护网、App治理等专项行动空前有力,网络信息内容生态治理渐入佳境。司法体制改革和互联网智慧法院建设全面深化,网络犯罪指导性案例陆续发布,类案参考、裁判指引等工作不断推进。
随着网络安全执法走向常态化,接下来网络安全司法与执法能力建设应成为重点,应加强推进以下工作:
第一,根据《网络安全法》的规定,亟待加强跨部门、跨区域、跨行业的执法协作,建立各部门之间协同联动的高效互动机制,并进一步明晰各部门之间的权责划分。
第二,推进有关疫情期间远程执法、网络爬虫治理、暗网治理、智慧司法等网络安全执法司法规范化与现代化。
第三,针对网络安全司法与执法实践中尚存在行刑衔接、责任竞合等有关法律适用与责任认定难题,明确法律适用,完善行政执法电子数据取证规范、行政执法裁量基准等。
第四,重视网络安全综合型人才培养,不断拓展信息安全测试员等新职业,打造高端国家智库,确保网络安全战略保障能力。
记者:今年个人信息保护和数据安全法有望出台,您认为这两者如何与《网络安全法》相配合,共同加强国家整体网络安全保障工作?
马民虎:依据我国网络安全法的综合性定位,网络安全包括数据安全要素,同时基于网络安全保障对个人信息保护也不乏明确规定。但随着国际局势的发展变化,以及新网络技术、应用的发展,对数据安全和个人信息保护提出更为迫切的法律要求,以加强国家整体网络安全保障工作。
当前,网络空间的大数据已成为极为重要的国家基础性资源,“数据即武器”已越来越得到国际社会认可。海量、实时、动态数据的收集与分析早已突破了技术和存储障碍。另一方面,随着中国对外开放打开新局面,我国大量个人信息等用户数据、企业活动产生的商业数据,以及政府活动产生的业务数据和秘密信息等重要数据,被窃取和被泄露的风险也日益加剧。
大数据监管立法技术的控制和反控制能力已成为国家间博弈和竞争的重要砝码。棱镜门事件、美国对我国《网络安全法》第37条的质疑和抵制、欧盟GDPR的严厉处罚措施、CLOUD法的单边和延伸管辖、Facebook事件的持续发酵等,均意味着数据资源国际争夺战的不断升级。如何寻求有效措施应对国外立法对我国企业发展的限制?如何解决立法缺失和执法困难?这些都使数据安全立法成为现实必然要求。
关于个人信息立法,《网络安全法》虽然在“网络信息安全”一章中规定了个人信息保护,但其并非针对个人信息保护制定的专门性立法。《个人信息保护法》的出台不仅有利于全方位保护个人信息安全,对于人信息保护的基本原则和基本制度,特别是政府部门、企业等个人信息处理规则,以及个人信息保护的监督管理、侵权救济、法律责任等规范性要求方面做出更为合理的规定,弥补了《网络安全法》相关规范的缺失,为政府机构、企业等收集和处理个人信息提供具有可操作性的合规指引。此外,《民法典》《消费者权益保护法》《刑法》《刑事诉讼法》等规定将成为《个人信息保护法》的重要支撑,有效保障个人信息安全。
《个人信息保护法》与《数据安全法》出台后,我国涵盖个人数据、非个人数据、重要数据的数据安全保障体系将基本确立,与《网络安全法》共同构建起一个横向内部体系更加协调、外部辐射范畴更为广泛,纵向制度、原则、规则更为立体化的国家网络安全保障体系。
记者:在新基建的浪潮中,企事业单位如何在《网络安全法》指导下,加强合规性和自身安全体系建设?对此您有何建议?
马民虎:新型基础设施以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,为社会提供数字转型、智能升级、融合创新等服务。网络安全是新基建的基础,而新基建的提出,又进一步推动了网络世界和物理世界的深度融合。新基建浪潮中,国家要重点打造维护数字主权、威胁监测预警和数据共享体系,企事业单位应确保在《网络安全法》指导下,加强自身数据合规体系建设、确保核心供应链安全、推动5G网络部署和商用进程。
第一,在数字化转型与改革进程中,新基建的实质在于推进以数据为核心的数字经济发展与数字化建设,探索非接触、远程等数字化业务形态。但数据的不当利用与数据安全风险加剧将给企事业单位的发展提出更多的挑战,企事业单位应当首先加强自身数据合规体系建设,在其产品和服务设计、研发、运营等环节嵌入数据合规元素,明确规划企事业单位内部数据合规体系构建方案,密切关注有关新基建行业数据合规的定制化要求。
第二,在新基建的供应链安全管理方面,企事业单位应持续关注关键信息基础设施保护与网络安全等级保护的制度化要求,加强自主研发投入,扩展开源社区,高度重视网络产品和服务采购的供应链安全可信,保障业务连续化运营。
第三,新基建以技术创新为驱动,以信息网络为基础,这就要求企事业单位积极探索区块链等新技术信任机制,在智能升级和5G网络部署方面加大投入,加快5G商用步伐。
(本文刊登于《中国信息安全》杂志2020年第6期)
