我国网络空间安全立法的技术基础和逻辑起点
2016-11-08寿步
寿 步
聚焦网络安全法
我国网络空间安全立法的技术基础和逻辑起点
寿步
寿步 上海交通大学凯原法学院教授,博士生导师,上海交通大学知识产权研究中心主任。
为使法律的调整范围与法律的名称保持一致,我国审议中的《网络安全法》应当更名为《网络空间安全法》。为使我国《网络空间安全法》具有无懈可击的技术基础,应当以ISO/IEC 27032:2012 为依据,以Cyberspace / Cyber、Cybersecurity / Cyberspace security、Cybersafety、Cybercrime 这四个术语为逻辑起点,将cybersecurity 与另外五个术语 information security、application security、network security、Internet security、Critical Information Infrastructure Protection(CIIP)进行明确区分,由此构建我国《网络空间安全法》的逻辑框架和科学体系。
网络;网络空间;安全
我国的网络空间安全立法,首要的问题是“正名”问题。名不正则言不顺,言不顺则事不成。其次要解决该法的技术基础问题。网络空间安全问题涉及很多技术术语,在该法中这些术语必须有具有国际共识的、国际公认的定义,这样才能使该法具备无懈可击的技术基础。有了这样坚实的技术基础,该法才可能具备完备的逻辑体系。这就是讨论《网络安全法》(草案二次审议稿)的修改问题时首先需要解决的基础问题。
一.该法的名称应该是什么
(一)同类法律在各国的不同名称
相关的法律,由于法律涉及内容的不同、术语使用习惯不同等原因,在不同的国家有不同的称呼。
1.网络安全(Network Security)
2015年6月全国人大常委会初次审议《中华人民共和国网络安全法(草案)》。此后该草案在中国人大网公布,向社会公开征求意见。该法律草案的英文名称就常被译为“Network Security Law”。如:
China Issues Draft Network Security Law[1];
China Releases Draft of New Network Security Law: Implications for Data Privacy & Security[2]。
2.信息安全(Information Security)
如2002年美国《联邦信息安全管理法案》(Federal Information Security Management Act of 2002), 2012年更新为《联邦信息安全改革法》(Federal Information Security Reform Act of 2012)。
3.网络与信息安全(Network and Information Security )
如2016年7月6日欧洲议会通过的《网络与信息安全指令》(Network and Information Security Directive)。
4.网络空间安全(Cybersecurity或Cyberspace Security )
如2014年美国《国家网络空间安全保护法》(National Cybersecurity Protection Act of 2014);2014年11月日本《网络安全基本法》的日本外务省官方英译名称(The Basic Act on Cybersecurity)。
(二)中国该法名称应该是《网络空间安全法》
在相关领域的立法进程和学术研究中, “网络安全”、“信息安全”、“网络与信息安全”、“网络空间安全”等用法有同有异。各界人士各抒己见。
例如,“中央网络安全和信息化领导小组”的中文名中是用“网络安全”,但其英文名中却是使用“Cyberspace ……”
国家安全法的规定又与此不同。《国家安全法》第二十五条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”这里是将“网络安全”和“信息安全”合二而一称为“网络与信息安全”。
我国目前给出的法律名称是“网络安全法”。究竟应该是“Network安全法”还是“Cyber安全法”?值得商榷。事实上,该法要规制的安全问题显然不仅存在于Network 之中、而是存在于Cyber / Cyberspace 之中。但该法草案二审稿中给出“网络安全”的定义却与其名称“网络安全法”并不一致。
该法草案二审稿第七十二条定义:网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
注意,该定义既没有涉及“个人信息保护”,也没有涉及“违法信息管控”。从该法草案二次审议稿的整体内容看,该法所要规制的问题、调整的范围是:“网络运行安全”(第三章)+“网络信息安全”(第四章),即“网络安全”+个人信息安全+信息内容安全,也即“网络安全”+个人信息保护+违法信息管控。显然,该法调整的范围已经超出了草案定义的“网络安全”的范围。
因此,该法应更名为外延更广的《网络空间安全法》 (Cybersecurity Law )。
(三)为什么应该是《网络空间安全法》
在1998年Kevin Shafer 的 Novells Dictionary of Networking 中给出了Cyberspace(中文译名有“赛博空间”/“网络空间”/“网电空间”/“电脑空间”/“信息空间”等)词条,这是描述通过计算机网络可以获得的信息资源的术语。这个术语源于Willian Gibson的小说 Neuromancer (神经浪漫者)。
我国该法草案所涉及的个人信息和违法信息都包含在Cyberspace中可以获得的信息资源之中。
如果该法名称是“网络空间安全法”,则便于在该法中准确而有区别地使用“网络”、“网络安全”、“网络空间”、“网络空间安全”等一系列关键术语。更可以避免目前在草案中“网络”一词有时指“网络”(network)、有时又指“网络空间”( Cyber / Cyberspace)的歧义情况。
如果该法名称是“网络空间安全法”,则目前在草案第一章总则中出现了四次的“网络空间”一词也有了出现与该法名称对应的理由——维护网络空间主权(第一条);维护网络空间安全和秩序(第五条);积极开展网络空间治理(第七条);推动构建和平、安全、开放、合作的网络空间”(第七条)。
“网络空间主权”概念,在《国家安全法》第二十五条中首次提到。如果将审议中的“网络安全法”更名为“网络空间安全法”,正能够呼应《国家安全法》第二十五条的要求,维护国家在网络空间的主权、安全和发展利益。
二、我国网络空间安全法的技术基础
在该法草案二次审议稿中,“网络”、“网络空间”、“网络安全”、“网络空间安全”、“信息”、“网络信息”、“信息安全”、“网络信息安全”、“数据”、“网络数据”、“网络数据安全”等许多关键术语定义不明、交叉混用,这样将不利于法律的实施。
在国际标准ISO/IEC 27032:2012 信息技术-安全技术-网络空间安全指南(ISO/IEC 27032:2012 Information technology - Security techniques -Guidelines for cybersecurity)及其所属的ISO27000(信息安全管理体系)标准族中已经给出了相关术语的标准定义。
因此,我国网络空间安全法应该以国际标准ISO/IEC 27032:2012作为技术基础,以“网络空间”( Cyberspace / Cyber)、“网络空间安全”(cybersecurity)、“网络空间安全性 / 网络空间安全状态”(cybersafety)、“网络犯罪”(Cybercrime)这四个定义作为该法的逻辑起点,进而使该法的逻辑框架无懈可击。
(一)在该法中应当明确定义四个术语
1.网络空间的定义
4.21①此处和以下的类似序号及注释中的英文均来自ISO/IEC 27032:2012
the Cyberspace
the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form.
4.21 网络空间 :不以任何物理形式存在的,通过技术设施和网络接入其中的,由因特网上的人员、软件、服务的相互作用所产生的复杂环境。
6.2 网络空间可以描述为一个虚拟环境[3]。
2.网络空间安全的定义
4.20 Cybersecurity
Cyberspace security
preservation of confidentiality, integrity and availability of information in the Cyberspace
NOTE 1 In addition,other properties,such as authenticity,accountability,non-repudiation,and reliability can also be involved.
NOTE 2 Adapted from the definition for information security in ISO/IEC 27000:2009.
4.20 网络安全 网络空间安全
在网络空间里保护信息的保密性、完整性、可用性。
注释1 此外,像真实性、可追责性、不可抵赖性、可靠性等特性,也可以提及。
注释2 根据 ISO/IEC 27000:2009 中信息安全(information security)的定义改写。
【评论】“网络空间安全”的定义比“信息安全”的定义只是增加了“在网络空间里”( in the Cyberspace)。虽然4.20 Cybersecurity 的定义没有提供保护个人信息和管控违法信息的技术基础。 但是 4.19 Cybersafety 的定义则可作为保护个人信息和管控违法信息的技术基础。
3. 网络空间安全性/网络空间安全状态的定义
4.19 Cybersafety
condition of being protected against physical,social, spiritual, financial, political, emotional,occupational, psychological, educational or other types or consequences of failure, damage, error,accidents, harm or any other event in the Cyberspace which could be considered non-desirable
NOTE 1 This can take the form of being protected from the event or from exposure to something that causes health or economic losses. It can include protection of people or of assets.
NOTE 2 Safety in general is also defined as the state of being certain that adverse effects will not be caused by some agent under defined conditions.
4.19 网络空间安全性/网络空间安全状态
一种状态,可免受物理的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。
注释1 这可采用避免将引起健康损害或经济损失的某种经历或披露某事的形式。它包括对人和对财产的保护。
注释2 安全性(safety )通常也定义为一种特定的状态,这时负面影响将不会通过某种代理引发或者在设定条件下引发。
【评论】网络空间安全性/网络空间安全状态(Cybersafety)区别于网络空间安全(Cybersecurity)。保持网络空间安全性/网络空间安全状态的要求本身,已经为保护个人信息和管控违法信息提供了依据。Cybersafety定义中涉及的在网络空间中出现的“精神的”、“情感的”、“心理的”等方面的负面情况就与保护个人信息直接相关。Cybersafety定义中涉及的在网络空间中出现的“社会的”、“政治的”、“教育的”等方面的负面情况就与管控违法信息直接相关。
因此,建议在该法附则中,应该对“网络空间安全性/网络空间安全状态(cybersafety)”下定义,为该法保护个人信息和管控违法信息提供依据。
4.网络犯罪的定义
4.18 Cybercrime
criminal activity where services or applications in the Cyberspace are used for or are the target of a crime, or where the Cyberspace is the source, tool,target, or place of a crime
4.18 网络空间犯罪
是指网络空间中的服务或应用程序被用于犯罪或者成为犯罪目标的犯罪活动,或者网络空间是犯罪来源、犯罪工具、犯罪目标、或者犯罪地点的犯罪活动。
【评论】网络空间犯罪(cybercrime)与网络空间安全状态(cybersafety)是网络空间安全的两种极端状态。
(二)在该法中应当明确区分六个术语
6.3 网络空间安全(cybersecurity)依赖信息安全(information security)、应用安全( application security)、网络安全(network security)和因特网安全(Internet security)作为基础性的构建模块。网络空间安全是关键信息基础设施保护(Critical Information Infrastructure Protection, CIIP)的必要活动之一,同时,对关键基础设施服务的足够保护有助于满足为达到网络空间安全之目标的基本安全需求(即关键基础设施的安全性、可靠性、可用性)。
然而,网络空间安全并不是因特网安全、网络安全、应用安全、信息安全、或关键信息基础设施保护的同义词。它有独一无二的范围,需要利益相关者发挥积极作用以维持(如果不是改善的话)网络空间的可用性和可信性。
信息安全(Information security)通常涉及对信息的保密性、完整性、可用性的保护,以满足可用信息的用户需求。[4]
应用安全(Application security)是通过对机构的应用程序实施控制和量度以管理其使用风险所完成的过程。这种控制和量度可以施加于应用程序本身(它的进程、组件、软件和结果),施加于应用程序的数据(配置数据、用户数据、组织数据),施加于应用程序生命周期中涉及的所有技术、进程和参与者。[5]
网络安全(Network security) 涉及网络的设计、实施和运营,以达到在机构内部的网络上、机构与机构之间的网络上、机构与用户之间的网络上的信息安全。[6]
因特网安全(Internet security)作为机构中和家庭中的网络安全的扩展,涉及保护因特网相关的服务和相关的信息通信技术系统与网络,以达安全目的。因特网安全也确保因特网服务的可用性和可靠性。[7]
关键信息基础设施保护(CIIP)涉及由能源、电信和水务部门之类的关键基础设施提供商提供或运营的系统的保护。关键信息基础设施保护确保这些系统和网络受到保护,并可承受信息安全风险、 网络安全风险、因特网安全风险以及网络空间安全风险。[8]
网络空间安全与其它安全领域的关系图如下图所示。
上图展示了网络空间安全和其他安全领域的关系。这些安全领域与网络空间安全的关系非常复杂。某些关键基础设施服务,如水务和交通,不会直接地或者显著地影响网络空间安全的状态。然而,网络空间安全的缺失却可能对关键基础设施提供商提供的关键信息基础设施系统的可用性产生负面影响。
另一方面,网络空间的可用性和可靠性在许多情况下依赖于与之相关的关键基础设施服务的可用性和可靠性,例如电信网络基础设施。网络空间的安全通常也与因特网安全、企业/家庭的网络安全和信息安全密切相关。
值得注意的是,标准中本节所定义的安全域都有其自己的目标和关注范围。关于网络空间安全的话题,需要来自不同国家和组织的不同的私有和公共实体间的实质性的交流与合作。关键基础设施服务被一些国家视为国家安全相关的服务,因此可能不会公开探讨和披露这些服务。此外,关于关键基础设施脆弱点的知识,如果被不当使用,将直接牵涉国家安全。因此,有必要建立用于信息共享、问题或事故合作的基础框架以缩小差距,为网络空间的利益相关方提供充分的保障。
【评论】在我国,除因特网(Internet )应用外,还有大量事务在不与因特网连接的其它网络( network )中处理。例如:(1)我国党政机关使用的电子政务网络平台。(2)军队内部网。(3)各单位内不与因特网连接的内部网。
不与因特网连接的其它网络(network)的安全问题,就是前述网络安全(Network security)定义所涉及的安全问题。通过前述“网络空间安全与其它安全领域的关系图”中所示的网络安全与网络空间安全之间的交叉关系可以看到,我国不与因特网连接的其它网络(network)的安全问题,仍可在网络空间安全法(Cybersecurity Law)中进行规范,并无遗漏。
三、结论
我国审议中的《网络安全法》应当更名为《网络空间安全法》。我国《网络空间安全法》(Cybersecurity Law)的技术术语,应当以ISO/ IEC 27032:2012 为依据,以Cyberspace / Cyber、Cybersecurity / Cyberspace security、Cybersafety、Cybercrime 这四个术语为逻辑起点,将cybersecurity与另外五个术语 information security、application security、network security、Internet security、Critical Information Infrastructure Protection(CIIP)进行明确区分,以此为技术基础构建我国《网络空间安全法》的逻辑框架和科学体系。
[1]https://www.globalpolicywatch.com/2015/08/china-issuesdraft-network-security-law/
[2]https://www.insideprivacy.com/uncategorized/chinasreleases-draft-of-new-network-security-law-implicationsfor-data-privacy-security/
[3]The Cyberspace can be described as a virtual environment.
[4]Information security is concerned with the protection of confidentiality, integrity, and availability of information in general, to serve the needs of the applicable information user.
[5]Application security is a process performed to apply controls and measurements to an organization's applications in order to manage the risk of using them. Controls and measurements may be applied to the application itself (its processes, components, software and results), to its data (configuration data, user data,organization data), and to all technology, processes and actors involved in the application's life cycle.
[6]Network security is concerned with the design,implementation, and operation of networks for achieving the purposes of information security on networks within organizations, between organizations, and between organizations and users.
[7]Internet security is concerned with protecting Internetrelated services and related ICT systems and networks as an extension of network security in organizations and at home, to achieve the purpose of security. Internet security also ensures the availability and reliability of Internet services.
[8]CIIP is concerned with protecting the systems that are provided or operated by critical infrastructure providers, such as energy, telecommunication, and water departments. CIIP ensures that those systems and networks are protected and resilient against information security risks, network security risks, Internet security risks, as well as Cybersecurity risks.
(责任编辑:钟宇欢)
G20
A