论《网络安全法》对信息经济的保障支撑作用
2017-01-24赵睿斌熊晓帅
赵睿斌+熊晓帅
2016年11月7日,全国人大常委会第二十四次会议高票通过《中华人民共和国网络安全法》(以下简称《网络安全法》),将于2017年6月1日起施行,受到国内外高度关注。早在2014年2月27日,习近平总书记在中央网络安全和信息化领导小组第一次会议上,明确了网络安全和信息化“一体之两翼、驱动之双轮”的关系,强调“没有网络安全就没有国家安全”。《网络安全法》作为国家实施网络空间管辖的第一部法律,应该属于国家基本法律,是网络安全法制体系的重要基础。
一、网络安全法出台顺应时代潮流
从1994年全功能接入国际互联网至今,短短22年,中国在推动互联网发展取得的成就令人瞩目。来自中国互联网网络信息中心的报告显示,截至2016 年6月,中国网民规模达7.1亿,互联网普及率达到51.7%,超过全球平均水平3.1个百分点。网络在深度融入经济社会发展、融入人民生活的同时,但是网络带来的威胁和风险问题也愈发凸显。
(一)网络信息安全事件层出不穷
2016年1月8日,美国最大的有线电视公司时代华纳约有32万用户的邮件和密码信息被黑客窃取。1月29日,保监会发函通报信诚人寿存在内控缺陷,要求进行整改,按照监测报告显示,信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。2.7亿Gmail、雅虎和Hotmail账号遭泄露,数以亿计的数据目前正在“俄罗斯的地下黑市”出售。而且,超过3200万Twitter用户的登录信息正在暗网黑市出售,价格为10比特币(超过人民币38000元)。3亿6000万MySpace用户的电子邮件地址以及密码被黑客宣称已经拿到数据。开源的加密工具OpenSSL继“心脏出血”漏洞事件后,又被爆出新的安全漏洞“水牢漏洞”,这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息。4月3日,土耳其爆发重大数据泄露事件,近5000万土耳其公民个人信息牵涉其中,包括姓名、身份证号、父母名字、住址等一连串敏感信息被黑客打包放在芬兰某IP地址下,人们可通过P2P任意下载他们感兴趣的数据。网曝1.5万名Jeep车主信息遭到泄露,资料包括买家姓名,住址,联系电话,购买车型等信息。
(二)世界各国网络安全相关政策
2013年斯诺登棱镜门事件之后,世界各国对网络安全越来越重视,纷纷出台相应的政策、法规予以规范或者支持。2014 年12 月美国通过了《2014 年国家网络安全保护法》等四个法案,2015 年初通过《网络情报共享和保护法案》,推动网络信息在公司和政府之间的共享,意在辅助美国政府对网络威胁进行提前防控,主要包括:加大网络安全投资规模、出台网络和信息安全法规、调整组建网络安全机构、修订完善网络和信息安全标准、强化网络空间军事能力、扩充网络空间军事力量、开展网络安全多方合作、举行网络安全演练、严格网络空间治理、研发信息安全关键技术、培养网络安全人才、开展网络安全审计等。2016 年4 月欧洲议会通过《数据保护法》,用以保护消费者的数据和隐私;2016年7 月欧盟通过首部网络安全法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统安全。俄罗斯、日本、韩国、印度、伊朗都在网络和信息安全方面制定相应政策,在完善网络安全法规、打击网络恐怖主义、研发网络关键技术、扶持本国信息技术产业、开展国际网络安全合作等出台相应的政策法规。因此,在后棱镜门时代,我国及时推出《网络安全法》是与时俱进、跟上时代脚步的举措,从法律上进一步界定关键信息基础设施范围,对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施,增加惩治网络诈骗等新型网络违法犯罪活动的规定。
(三)网络安全法出台是时代需要
2016年11月18日,第三届世界互联网大会在浙江乌镇召开,来自110多个国家和地区的1600多位境内外嘉宾相聚于此,进一步加强和加深互联网领域国际间的合作,引领全球互联网共谋发展大业,会议期间,互联网安全话题继续受到高度关注。因此,中国及时出台《网络安全法》基本法规是为了跟上世界脚步,从原有的行政法规和部门规章中走出去,从单纯的国内立法格局中走出去,从单向管理的传统思维中走出来,走进治理能力和治理体系现代化的总目标,走进网络强国的快车道,走进为人民谋福祉的总布局。党的十八大以来,以习近平同志为核心的党中央,从总体国家安全观出发,对加强国家网络安全工作作出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定网络安全法是适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措。因此,制定网络安全法是落实国家总体安全观的重要举措,《网络安全法》明确提出了国家网络主权的概念、明确了网络安全和信息化发展并重原则、强调了保障关键信息基础设施的运行安全、加强了我们对个人信息的保护,对网络运营者的主体的法律责任和义务做出了全面的规定。
二、网络安全法的重点内容
《网络安全法》内容十分丰富,共有七章79条,对国家网络安全态势发展主要突出以下几点,第一,信息安全等级保护制度进入基本法;第二,建立了关键信息基础设施安全保护制度;第三,进一步完善了个人信息保护规则。
(一)信息安全等级保护制度进入基本法
信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》,2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27 号),2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定了《信息安全等级保护管理办法》,都明确了信息安全等级保护的具体要求。
《国家网络安全法》第十七条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:1、制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;2、采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;3、采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存网络日志;4、采取数据分类、重要数据备份和加密等措施;5、法律、行政法规规定的其他义务。网络安全等级保护的具体办法由国务院规定,实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
(二)建立关键信息基础设施安全保护制度
习近平总书记指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。” 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法,建立健全网络安全保障体系,提高网络安全保护能力。《网络安全法》专门强调了保障关键信息基础设施的运行安全,在强调网络安全等级保护制度的基础上,对关键信息基础设施实施重点保护,并且规定了关键信息基础设施的运营者在采购网络安全产品和服务可能影响国家安全的应当通过国家网络安全审查。《网络安全法》第二十五条规定,国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(即关键信息基础设施),实行重点保护,关键信息基础设施安全保护办法由国务院制定。
(三)进一步完善了个人信息保护规则
《网络安全法》规定,网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据;公民个人信息,是指以电子或者其他方式记录的公民的姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息,以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。《网络安全法》第二十四条规定,国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。第三十四条规定,网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护。第三十五条规定,网络运营者收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。第三十六条规定,网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
三、网络安全行业的发展前景
网络安全是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。保障国家网络安全需要网络安全核心技术、从业人员及逐步壮大的网络安全产业等,《网络安全法》在这些方面进行了相应规定。
(一)网络安全核心技术发展前景广阔
2016年10月9日,习近平总书记在主持中央政治局第三十六次集体学习时再次强调,“我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现‘弯道超车。” 《网络安全法》第十四条规定,国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发、应用和推广,保护网络技术知识产权,支持科研机构、高等院校和企业参与国家网络安全技术创新项目。建设网络强国,核心技术是关键,通过推进网络信息技术自主创新,提升信息经济对经济发展的推动作用。对网络核心关键技术的研发,增强网络空间安全防御能力,利用网络信息技术推进社会治理,提升我国对网络空间的国际话语权和规则制定权,朝着建设网络强国目标不懈努力。习近平总书记强调,要制定全面的信息技术、网络技术研究发展战略,下大气力解决科研成果转化问题,要出台支持企业发展的政策,让他们成为技术创新主体,成为信息产业发展主体。为落实这些目的,法制手段是最有效、最长效的机制,因此,《网络安全法》就是在国际上信息鸿沟不断扩大、国内网络安全形势日趋严峻、核心技术缺乏优势、网络治理面对更加复杂的局面情形下及时出台的法治手段。
(二)信息安全服务业进一步发展壮大
习近平总书记强调,“没有网络安全就没有国家安全”。网络安全不仅仅是技术与工具的对抗,而且还是智慧与经验的对抗,由于必需是人的高度参与,使得网络信息安全产品很难做成傻瓜式的即开即用,通常专业化程度越高,易用性就越差。因此,网络信息安全行业的特点是除了销售安全解决方案,还要提供专业的安全服务,为技术力量不是十分强大的用户提供专业的安全技术支持,如信息安全咨询、信息安全设计、信息安全风险评估、信息安全策略优化、信息安全应急处理、信息安全监理、信息安全渗透性测试、信息安全等级保护测评等,目的是提供信息安全支撑服务,确保信息安全业务的安全运营。《网络安全法》第二十八条规定,关键信息基础设施的运营者还应当履行下列安全保护义务:1、设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;2、定期对从业人员进行网络安全教育、技术培训和技能考核;3、对重要系统和数据库进行容灾备份;4、制定网络安全事件应急预案,并定期组织演练;5、法律、行政法规规定的其他义务。第三十二条规定,关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并对检测评估情况及采取的改进措施提出网络安全报告,报送相关负责关键信息基础设施安全保护工作的部门。所以,在《网络安全法》的倡导下,各有关行业建立健全本行业的网络安全保护规范和协作机制,加大对行业信息安全服务的支撑力度,开展对网络安全分析的风险评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险从而促进网络信息安全服务的快速发展。
(三)网络信息安全产业得到快速增长
中国的网络安全产业规模达到700亿元以上,年均增长率超过40%,但相对国外来说,整体规模还是小,甚至比起传统的IT产业也小很多,可能当下整个网络安全产业都不到华为一个公司市值,还有很大的发展空间。李克强总理提出的“互联网+”思维就是通过“万物互联”把网络强国建设和国家各行各业发展结合起来,以《网络安全法》出台作为长效机制来推动网络安全行业创新资源配置更加灵活、更精准,营造公平公正的竞争环境。《网络安全法》第十二条规定,国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门应当依据国家网络安全战略,编制关系国家安全、国计民生的重点行业、重要领域的网络安全规划,并组织实施。《网络安全法》第二十四条规定,国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。国家重点行业提升网络安全的意思及能力,就能够对网络安全行业进行有效促进。《网络安全法》第十六条规定,国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全技术人才,促进网络安全技术人才交流。而且,中国有众多的中小企业,他们信息化程度比较低,网络安全措施确实,也是将来网络安全产业的巨大目标群体。
作者简介
赵睿斌
博士,国家信息中心高级工程师,中国智慧城市发展研究中心高级研究员,国信卫士网络空间安全研究院特聘研究员,北京航空航天大学工学博士毕业,主要研究方向为:大数据、云计算、移动互联、工控安全等方面的信息安全研究;以泛安全理念推进国家信用体系平台建设现代化研究;基于空间地理信息系统GIS的大数据应用增强国家新型城镇化规划作用的研究;以基于北斗卫星导航在智能交通产业应用为基础对智慧交通领域大数据、云计算方面展开研究等。已经发表多篇SCI、EI学术文章。
熊晓帅
硕士,毕业于中国人民大学信息学院,曾就职于中国航天二院、国家信息中心,现任教育部信息中心高级工程师,是华为云安全等级保护测评带头人,国家“金教工程”、国家“金税工程”、“天翼云”安全专家。主要研究方向为:云计算、大数据、移动互联网、工控等方面的安全研究;等级保护、风险评估、安全检查、分级保护的研究;基于农村教育信息安全和农村管理体制改革的研究,以及我国企业管理和“一路一带”信息化经济的研究。已在国家级期刊发表多篇文章。