文/谈剑锋

建章立制加快推动我国网络空间能力的新发展
——对《网络安全法（草案）》的思考

文/谈剑锋

十二届全国人大常委会第十五次会议在2015年7月6日发布了《网络安全法（草案）》（以下简称《草案》），这是继中央网络安全与信息化领导小组成立，以及习近平总书记提出“网络安全和信息化是一体之两翼，驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”重要讲话后，我国向“网络强国”迈进的坚实一步。作为首部《网络安全法》的草案稿，必定存在有待完善之处，值此全国征集意见，笔者立足网络安全从业者的视角，结合国外相关立法方面的新趋势，对《网络安全法（草案）》学习理解和评价分析。

一、国家网络空间能力是国家安全的关键要素

从某种角度来看，《草案》是以立法形式对国家网络空间的能力构建。综观数十年的全球网络实践，以及“没有信息安全就没有国家安全”大背景下的国际关系新走向，国家网络空间能力可以理解为：一国政府、企业、社会等层面在网络空间所具有的创新、保障和治理等诸多能力的综合，这既是在网络环境下民族国家谋发展的基础和目标，也是其在国际社会获取竞争优势的关键所在。归纳来看，国家网络空间能力大致涉及以下几个部分：

1.创新能力：“互联网+”战略下的拓展能力

在互联网发展的早中期，这种创新能力主要体现为国家对新技术的探索、学习、接受、推广和应用能力。中国互联网20年发展历程正是开放融入世界潮流的20年，加快社会应用的20年，所取得的斐然成绩确立了中国作为一个网络大国的地位。但在互联网快速发展并与经济社会紧密联系的今天，这种驾驭能力已经逐步表现为国家对网络空间核心资源（知识、信息、数据）的利用能力以及利用新技术和新平台对现实社会各个环节的创新能力。

当前，中国新一届领导集体提出的建设“网络强国”的目标以及“互联网+”的战略举措，就是对这种能力的一种新认知和新诠释。网络大国不等于网络强国，尾随意味着被动，模仿孕育着危机，前网络时代“落后就要挨打”的历史规律在今天的网络时代更无情地显示着其威力。只有自主创新才能安全可控，只有将网络应用转化为经济生产与国家治理的超强能力，才是网络国家能力的新目标。从目前来看，中国距离网络强国还有不小的差距。

2.保障能力：网络空间的运维能力

保障能力主要体现在国家对IT关键技术和产业的控制能力，以及维持关键基础设施和社会网络正常运行的系统保护能力（在内容安全层面包括网络安全监管能力），其中包括对重大突发网络安全事件的应急处理能力。

其中，技术能力是保障能力的重要支撑。目前，中国网络核心技术能力与西方国家差距较大，网络安全保障能力相对薄弱。一方面，我们在信息技术研发方面起步较晚，追随战略导致相关的创新体系和创新能力没有及时构建和培育。另一方面，以美国“八大金刚”为代表的国际产业巨头利用技术产业优势以及供应链主导优势在全球实施威慑控制战略。今天，如何摆脱国际巨头的控制已然成为中国网络保障能力建设一道必须逾越的坎。再一方面，由于我国网民个人信息素养发育不够成熟，企业社会责任欠缺，以及对关键卡位的防御能力明显不足，导致诸多公众网络处于未被保护或保护不全的极脆弱状态。

“斯诺登”事件敲响了警钟。在路线选择上坚持安全可控，并优先保证网络信息安全产品的自主研发、安全可控与技术先进，快速提升网络保障能力已经成为社会共识。

3.掌控能力：“网络战”背景下的攻防能力

信息战、网络战将是未来战争的新常态，在这个背景下对主动权的控制应该是网络强国的主要标志。因此，这种掌控能力既包括“网络强国”所必须具备的基于先进技术的运作自如的攻防能力，也包括基于强大观念意志的对价值观、规则标准甚至技术潮流的引领能力。这种能力主要体现在战略和战术两个层面，从战略层面看，这种能力体现为对国家权力的无限放大。由于网络空间代表的是一个新的地缘关系环境，国家权力的界限可以不断被突破，如2011年5月16日，美国政府发布了一份《网络空间国际战略》，其副标题是：构建一个繁荣、安全和开放的网络化世界。从战术层面看，这种能力既体现为国家网络战略、实实在在的网络行动以及虚实相交的“网络攻心战”和“放话”行为。例如美国的这份战略通篇透露出它的技术强势、价值强势和观念强势。美国率先把国家战略引向国际战略的升级，其背后的霸权思维昭然若揭，如果孤立地看必遭世人唾弃。但在新的地缘政治面前，在巧实力战略的包装下，我们不得不承认奥巴马政府对全球网络的娴熟把控能力。在这份报告中，志同道合、相关国家、盟友、合作伙伴和利益相关者等关系角色的词语被反复提及。由此，美国借输出国际关系新范式而确立的网络霸主地位必然会被其他国家所接受。近年来美国不断对中国的网络崛起施压，向国际社会指认中国从事“网络间谍”行动的阴影始终挥之不去，最近甚至升级到奥巴马政府“放话”要采取具有“创造性”的措施回击“中国黑客”，对中国发动经济制裁和攻破中国防火墙都在考虑的措施范围内。综观这几年美国在网络空间的行动轨迹，不难看出其超前超强的软硬实力。

4.适应能力：网络社会中的生存能力

网络安全包括国家网络安全、网络经济安全、网络社会安全、个人隐私权保护以及文明和谐的网络空间秩序等。这种适应能力是国家在网络社会中的一种生存能力。在“数据即资源”、“信息就是力量”的大背景下，从国家、企业和组织层面看，这种能力主要体现为对信息和数据的采集存储、挖掘处理、整合分析和保护利用的能力，这些在以往不入安全范畴的现象和能力已上升成为综合国力的一个重要考量指标。由此延伸的洞察力、判断力、融合力以及创新能力和纠错能力都是组织在网络社会中生存的基本能力。在社会层面看，个人信息安全问题的风险和矛盾已经上升为社会主要问题，近年来集中爆发的一系列动辄百万甚至千万级的个人信息安全事故所产生的威胁、侵害和影响已经远远超越个人范畴，成为全社会共同面临的系统性风险，并关乎整个社会经济的健康发展乃至国家的安全稳定。国际经验告诉我们，全民安全防线的构筑是国家网络空间能力建设的重要一环。

5.协同能力：监管层面的合作能力

网络安全是一个全球性问题，各国在网络空间是一个“命运共同体”，由此，在全球网络空间中的协同能力也应被纳入国家网络空间能力的范畴。“利用魅力而非威压手段实现目标的能力”，“有形权力约简的时代，也是权力‘软’的一面的重要性显现的时代”。协同和合作能力属于软权力范畴，约瑟夫·奈上述关于软权力的描述也同样适合这种网络空间能力的特征。协同能力的建设主要是基于对广泛开展国际合作持积极态度，在合作过程中对网络治理、技术与标准、打击违法犯罪等贡献智慧和方法，以及为推动构建和平、安全、开放、合作的网络空间目标的引领能力和话语权。

当然，这种体现为监管层面合作的协同能力同样适用于国内的网络监管。2014年2月，中央网络安全和信息化领导小组成立，国家最高领导人习近平亲自担任组长，由此宣告中国互联网监管中的“九龙治水”格局终成历史。但习近平描述的“从实践看，面对互联网技术和应用飞速发展，现行管理体制存在明显弊端，主要是多头管理、职能交叉、权责不一、效率不高”的问题不会马上得以解决，体制机制的创新也不可能一蹴而就，基于合作和协同的网络监管能力的聚合和提升将成为考验政府执行力的一个重要表征。

国家网络空间能力与国家安全息息相关。历史告诉我们，主权必定与能力相对应。网络时代的国家权力除了受国家网络空间能力制约外，还会受关系因素、环境因素等软性权力要素的影响。因此，国家网络空间能力的有效或强势发挥还必须具备聚合能力。

二、国家网络空间能力建设就是构筑缜密的国家安全防线

从《草案》的框架内容看，涉及“网络安全”的内涵很丰富，其统括的几个层面实际上都涉及国家网络空间能力建设问题：

1.“维护网络空间主权和国家安全”：国家网络空间能力的原则框定

《草案》第一条在“立法目的”中就开宗明义提出“网络空间主权和国家安全”的原则概念 。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。《草案》对网络空间主权的伸张以及将此与国家安全并论具有重要的战略意义。同时，按照安全与发展并重的原则，《草案》还设专章对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定，具有极强的现实意义。

《草案》对国家网络主权原则的确立将助于实现并推进中国在国家网络安全领域明晰战略意图，确立清晰目标，相关厘清行为准则。这是国家网络空间能力建设的宗旨和目标。据专家预测，一旦《草案》获得通过，中国政府将有义务公布并制定更加详细明确的国家网络安全战略文件。这是网络安全行业乃至全社会翘首以盼的大事。放眼全球，“网络安全国家战略”已经成为民族国家融入全球网络的一项最基本的战略选择。截至2014年，已有60多个国家颁布了信息安全或网络安全国家战略。在国内政治国际化的今天，国家战略视同国际战略，中国需要与强国目标相匹配的《网络安全国家战略》，对外宣示主张，对内指导工作。同时，我们要真正参与全球治理，最起码要有清晰的并与自身定位以及国际社会预期相匹配的国家网络安全战略。因此，《网络安全国家战略》的出台可以有效改变我国在网络空间的战略被动局面。

2.“网络运行安全”：激励社会成员整体能力的提升

《草案》以专门篇章强调了网络的稳定可靠运行，还特别提出了与此相呼应的网络安全等级保护制度、网络安全审查制度、关键基础设施保护制度等。

总体来看，《草案》对整个网络和信息安全行业/产业来说是重大利好，机遇和担当并存。中国信息安全产业界是关乎扭转我国目前网络信息安全保障体系脆弱性的主要力量。要把国外巨头抢占的阵地夺回来，才能确保《草案》提出的“网络运行安全”，履行职责，发挥能力，是中国信息安全产业界和相关企业必须要承担的历史责任。

与此同时，网络安全成为国家强制性要求后，社会对安全产品和安全服务的需求将会进入新的增长阶段。相较世界网络强国，无论是财政投入比还是市场发展空间，我国安全产业面临着新一轮的发展机遇。不过，机遇的把握也是一种能力。在“自主创新”、“安全可控”、“国产化替代”目标下，技术性的产品替代思路、市场化的推广机制、专业性的审核测评标准，以及高水准的服务等能力的综合要素必不可少。只有这些要素综合发力，才能解下国外巨头悬在中国国家信息安全上的“达摩克利斯之剑”。技术救国，技术强国最终还是靠产业能力。

3.“数据安全”：能力建设亟待与时俱进

数据是网络时代的重要战略资源。《草案》高屋建瓴，把保障网络数据安全纳入了国家网络安全的视野，并提出了数据分类，重要数据备份、加密等措施，以及与“个人信息”的安全保护相关的制度安排。《草案》力求在构建中国特色的数据安全保障体系、落实数据主权、保障数据安全方面有所突破和建树。

数据安全是全方位安全，是动态安全。大数据时代的一个重要特征是安全隐患无处不在——物联网、车联网、智慧城市、智慧生活、智能手机等等，安全问题不断出新；安全威胁无孔不入——对于我们每一个行动足迹，上网、聊天、消费、出行、就医等等，安全威胁无处不在。从所在企业这几年专注数据保护整体解决方案的创新实践来看，只有甘守寂寞，抵制诱惑，紧贴市场，勇于创新，坚持自主，才能在这个领域里有所作为，也才能在改变我国网络信息关键技术受制于人的格局中实现社会和企业的双赢。

三、国家网络空间能力建设需要理念和制度同步引领

基于《草案》的立法宗旨，着眼国情，立足危机，以及借鉴国外先进理念和最佳实践，本文在《草案》征集意见之际，对进一步加强我国网络空间能力建设提出以下建议：

1.从最基础的社会制度入手，提升全民安全意识

在信息时代初期，我们仅强调自律，以求网络空间有一个良好的运作环境。在风险和威胁陡增的今天，我们有了相关法律，更需要在法律原则下倡导一种“责任分担”和“自我保护”的新理念。这并不是政府藉以“不作为”的托辞，而是全社会主动绷紧安全这根弦的积极状态。当前，由于技术、目标、对象的不确定性，以及信息安全的不对称性，真正的安全和绝对的安全在可以预见的将来是无法实现的。因此，任何国家、企业组织和个人都必须时时刻刻对网络空间安全予以足够的重视和警惕。我们既需要法律透明，规范公开，但更需要全民“自我保护”意识和相应能力的提升。因此，在接下来的《草案》全民普及宣传中，注意宣传口径和正确理念的灌输，特别是在法律层面重视对责任和义务的诠释，从最基础的社会制度入手去提升全民的安全意识会更加有效。

2. 从最关键的技术层面突破，完善产业发展政策

李克强总理在今年政府工作报告中提出了“互联网+”行动计划，开启了信息化发展的新时代。新常态为中国经济进入下一个繁荣期提供了机遇，同时也必定会放大已知的和未知的风险。如放在我们面前的由前几年“去IOE”战略大讨论所引发的自主可控和国产化替代问题仍然举步维艰。目前，新常态下的技术创新和商业模式创新已见端倪，但对安全新问题的关注和解决方案却一直没有跟进。国产化替代主旨下的技术创新，是遏制犯罪和防范风险的有效手段。建议《网络安全法》在强调保护国家信息安全基础设施的同时，把关注点前移，明确基于国家信息安全考虑的技术创新和核心技术突破的目标，同时厘清各类主体的关系问题。

3. 从最紧迫的发展层面保障，拓展人才培养和发现机制

在国家战略和社会需求的呼唤下，2015年6月11日“网络空间安全”正式获国务院学位委员会和教育部批准为“工学”门类下的一级学科，其归属的二级学科包括网络空间安全基础理论、密码学、系统安全、网络安全和应用安全。这是中国教育史上的一个里程碑。

综观近年来国外网络信息安全人才教育培养的目标和举措，呈现出鲜明特征，其中注重实战性的精髓值得我们借鉴。主要表现为：（1）接地气，把网络安全人才培养扎根在“国民安全防线”中，确保人才队伍的安全可用。（2）输理念，将年轻一代培养成为互联网空间的未来保护者。从娃娃抓起，培养兴趣，形成志向，发现苗子。（3）重实战，把网络安全人才培养为网络战的生力军。强调基于高校、企业和国防军队系统合作教学的培养机制。（4）上档次，人才培养上升到国家安全部门的工作重点。其中国家安全机构放下身段为各类黑客大赛提供后援已成新常态。

另外，在注重实战的前提下对人才素质和能力的要求则偏向于攻防兼备，包括：（1）工程师的素养。如敏锐的观察和分析能力；果断的判断和动手能力；不竭的学习和创造能力；基本的沟通和交流能力等。（2）军人的素质。坚定的职业态度以及对崇高信念的执着和坚守；坚强的意志和灵活的应对能力；严明的纪律性和集体主义精神；基于职业需要的战略思维能力等。（3）“白帽”黑客的文化精神。这种白帽黑客文化非指那些网络“破坏者”，其文化精神是互联网精神的组成部分，其主要特征是崇尚创新乐趣和同行赞誉的价值观，是一种以自由、合作、互利和非正式为基础的技术创新文化。例如，迅速学习的能力；敏锐的观察能力和迅疾的反应能力；对新技术的爱好与崇拜精神等。

4.从最前沿的“设计保护”理念介入，有效预见并积极防范风险

鉴于个人信息被滥用、被篡改、被侵权的现象时有发生，近年来一些国家在信息安全立法的基础上正在着力推动一种基于前端保护的“设计保护”新理念。

“设计保护”的全称是“从设计着手保护个人信息”。这个新理念主张个人信息保护不能仅依赖“个人信息保护法”，而应当鼓励企业改善其内部流程，建立个人信息安全风险预评估机制，在产品或服务设计的初期就导入个人信息保护机制，最终成为组织运作上的“默认模式”。随着大数据时代的来临，这一概念已被欧盟、美国、澳大利亚以及一些国际组织和大企业所采纳，“设计保护”理念近期还成为各国相关立法着力推动的事项，并融入各国“大数据战略”中。

在个人信息安全事故发生前，有效预见并加以防范，这个路径值得中国在构建全方位的个人信息保护体系时加以借鉴。为保证理念植入产品或服务设计中的有效性，还需要技术标准和管理规范的同步跟进。这是有效削减网络安全威胁、降低社会风险、提升全社会网络应用能力的新理念和新方法，建议在《网络安全法》中予以借鉴，并为日后制定《个人信息保护法》做好铺垫。

5.从最容易被忽略的环节抓起：充分发挥行业组织作用

《草案》强调，要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。如果没有配套的法律和政策予以保障和推进，这个法律条文有可能会流于形式。主要问题：目前行业协会法规不完善，缺少合法性；行业协会的职能不明确，定位存在偏差；行业协会自身能力建设不足，自治性较差等。建议在完善《网络安全法》的同时对行业协会的定位、职能以及权限予以厘清，将行业管理同步纳入法制建设的轨道。其中，可优先对网络信息安全行业协会的地位、功能、权责和应发挥的作用予以明确的界定，优化环境条件，完善制度机制，使其走向健康的发展道路，真正承担起法律赋予的重任。

（作者：上海信息安全行业协会会长、众人网络安全技术有限公司董事长）X