网络安全技术路径的解释重塑与分类适用
2021-12-04陈禹衡
陈禹衡
(东南大学 法学院,江苏 南京 211189)
伴随着我国社会步入Web3.0 时代,网络犯罪呈现智能化特征,网络安全成为当下社会需要重点关注的问题[1],在网络安全保障体系和能力建设的具体过程中,技术路径扮演了重要角色,在法律规范框架下如何整合适用网络安全技术,关系到是否能够实现网络安全社会转型的战略目标。在“十四五规划”中,提出要“坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设”,因而需要在网络安全战略规划的指引下,从多方面解决网络安全技术路径的问题,基于法律规范体系对网络安全技术路径的基础理念进行重新解读,并且整合适用不同类型的网络安全技术路径,在规范构建的过程中最大程度地发挥技术效能。
一、问题的提出:网络安全技术路径的适用困局
在网络安全保障体系和能力建设的过程中,网络安全技术的规范发展面临诸多适用困局,表现为实质层面的解释模糊和形式层面的整合失衡,导致网络安全技术的适用陷入困局,只有梳理网络安全技术适用的问题并分析其成因,才能解决这一困局,消弭网络时代新类型风险对网络安全保障体系所构成的新挑战[2]。
(一)网络安全技术路径的基础理念解释模糊
网络安全技术路径的基础理念决定了其最终的治理效果,只有厘清网络安全技术的内涵,确定其基础理念,并提供切实可行的网络安全技术,才能构建对应的网络安全保障体系,落实具体的网络安全战略规划,而具体的网络安全技术基础理念中有以下几点问题需要探讨:
第一,一直以来网络安全技术的使用经验是否适格需要深入分析,尤其是“技术万能论”的观点需要反思。我国网络安全技术虽然起步较晚,但是一直以来坚持问题导向意识,针对新出现的网络安全风险进行及时的技术改进,并且不断调整网络安全技术研发和使用的各方主体组成,促使网络安全技术产业化发展。在此过程中,如何在既有经验上进一步优化网络安全技术使用模式,摒弃传统意识下“技术万能论”的狭隘观点,并且依据已有的技术经验制定对应的技术规范体系,协调技术发展与规范制定之间的关系,都成为亟需解决的问题。
第二,网络安全技术的价值取向为何需要厘定,要求通过对技术手段的分析,挑选出合适的网络安全技术创新的价值取向基调。判断网络安全技术创新的价值取向需要对技术本身的发展模式进行分析,网络安全技术在整个网络社会中居于保障地位,并且配合网络安全保障规范形成“技术-制度”的耦合适用模式,那么在此背景下网络安全技术创新的价值取向选择意味着整体保障体系的价值理念转变,因此在价值取向选择上,应该结合技术创新的现有发展程度和制度规范的适用效果进行综合评判。
第三,需要在现有的制度框架内总结归纳出网络安全技术的研发理念,并探讨如何基于该理念进一步推动技术发展。对于网络安全技术而言,采用何种研发理念不仅关系到技术本身的适用效果和升级频率,而且也关系到网络安全保障体系的整体保障效果。在“以保障安全为前提的发展观”的网络安全战略规划指引下,对于相对安全理念和绝对安全理念之间的选择,需要首先分析网络安全技术的本质特征和目标追求,选择切合实际的网络安全技术研发理念,避免其陷入绝对安全的“死胡同”,相反,如若探讨为何坚持相对安全理念,以及如何落实相对安全理念,则可能更有效地保障技术可持续发展的内生动力。
第四,不同国家、地区间的网络安全技术如何合作与交流,如何消弭技术衔接上的端口差异,关系到人类命运共同体背景下的网络安全一体化建设的实际效果。网络安全技术要追求互利共赢的目的,而非创设网络安全技术交流壁垒,那么在具体措施的落实上,如何真正将互利共赢的目标落实到具体的网络安全保障体系制定中,成为网络安全技术规范化发展所必须要面临的问题,其中主要包括如何制定对应的技术合作标准,如何将合作理念转化为现实的合作程序,以及如何通过规范体系消弭技术合作过程中龃龉。
(二)不同网络场景制度中技术路径适用失衡
在网络安全保障体系和能力建设中,网络安全制度拥有不同的形式侧面,包括网络运行安全制度、网络信息安全制度以及网络空间主权保障制度,而当下的网络安全技术没有针对不同类型的使用场景进行调整,所以无法很好地应对不同的网络安全风险。有鉴于此,网络安全技术必须根据不同类型的网络安全制度的需求,调整技术自身的特点,实现有针对性的网络安全保障,并和保障体系衔接避免出现保护疏漏,着重解决以下几点问题:
第一,在网络运行安全制度中,如何利用网络安全技术构建对应的网络运行安全规范体系,并划分出清晰合理的网络安全等级制度,以实现网络运行安全梯次化治理模式,同时强化对网络安全技术的审查,成为横亘在网络运行安全技术发展适用过程中所必须解决的问题。网络运行安全制度有其自身独特的适用场域,因为制度本身的特征,导致其技术发展必须立足于制度本身的适用情境,并且将技术发展的方向和制度发展的方向相适配,从而探讨如何将网络运行安全技术适用在具体的制度中,形成一体化的保障体系。
第二,在网络信息安全制度中,如何结合实际情况调整网络安全技术的适用方向,以及如何规范网络安全技术的使用范围,都是网络信息安全中技术和制度结合所必须面临的问题。网络信息安全技术主要针对个人信息收集使用技术、个人信息审查保密技术以及网络服务商收集、使用信息监管技术展开,参考域外的相关经验,在技术适用的同时必须发挥规范制度的效力,而我国的相关法律规范也已经做出了调整,因此根据实际情况展开网络信息安全技术适用,需要根据适用主体的不同做出对应的调整,面对国家主管机关和网络服务商需要在制度上选择不同的侧重点,并且依据制度规范上的差异调整技术的使用。
第三,在网络空间主权保障过程中,应该探讨如何消除不同国家、地区间的网络安全技术壁垒,促进不同网络安全技术的交流和融合,筹划构建全球性的网络安全保障体系。如何促进不同网络安全技术的合作与发展需要从利用规范制度消除技术交流壁垒、统一网络安全技术交换标准以及畅通网络安全技术信息交流通道三个方面展开,网络空间命运共同体的构建意味着面对网络安全风险并非一国的问题,而是全人类共同面临的问题,网络安全风险肆意扩散的现实情况要求技术的发展需要和制度的构建相协调,在保护技术知识产权的基础上,推动技术的交流与融合,实现对网络犯罪活动的全方位打击。
二、网络安全技术路径理念的解释重塑
在网络安全保障体系和能力建设中,必然要将关注重点转移到网络安全技术路径上,基于网络安全技术的实际需求,在摒弃“技术万能论”的基础上,反思技术使用过程中的经验教训,并探讨制定相应的规范治理体系。规范视野下对网络安全技术路径理念的解释重塑需要坚持以效率保障为价值取向,遵循相对安全理念开展网络安全技术研发,从而追求互利共赢,实现全球视野下的网络安全技术合作,构建网络空间命运共同体[3]。
(一)摒弃技术万能:网络安全技术应用的经验反思
我国网络安全技术的研发应用由来已久,但长久以来因为对网络安全的概念理解不深入,导致网络安全技术的应用陷入“技术万能论”的误区。网络安全技术的发展和我国网络产业的发展密切联系,并受到网络安全政策、规范构建观念的影响,主要分为四个阶段:
1.萌芽时期(1987-1993年)
此时网络安全风险较为单一,出现了第1 例“小球”计算机病毒,虽然很快被公安部计算机病毒研究小组消灭,并随之推出了国内第一款杀毒软件,但是依旧给当时的网络安全系统造成了挑战。这一阶段,我国将网络安全风险更多地视为一种对国家安全的威胁,因而由政府主导网络安全技术创新。
2.启动时期(1994-1999年)
伴随《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》等规范相继颁布,标志着我国网络安全技术的规范体系初步启动建立[4]。在规范体系初步构建后,成立专门机构通过技术手段解决网络安全问题,并在政府主导外,引入了企业升级研发技术,丰富网络安全的保障手段,扩张技术应用范围。在引进技术手段的基础上,发布规范文件意味着我国已经着手制定针对网络安全技术的法律规范体系,通过法律规范实现对技术发展的初步监管,将其纳入到国家法律体系的规范框架内。
3.发展与调整时期(2000-2013年)
网络安全技术的研发和创新从政府主导转向市场主导,网络安全技术快速更新且形成一定规模,通过市场竞争的方式细化了网络安全技术的类别。但此时对网络安全技术的单一依赖趋势加强,甚至因为过分依赖网络安全技术而忽视网络产业发展效率。此时“技术万能论”坏处凸显的原因在于技术高速发展和法律规范监管之间的“脱节”,法律监管体系的空缺导致技术路径走向无序化发展,网络安全技术甚至成为侵犯公民个人隐私数据的“帮凶”,“3Q 大战”引发公众对于网络安全技术是否侵犯自身信息决策权的疑虑,从而倒逼网络安全技术规范体系的出台。
4.技术产业强化时期(2014年至今)
时至今日,对于网络安全技术的过分崇拜导致网络产业发展受阻,网络安全技术甚至出现了“脱实向虚”的隐忧。出于对网络安全技术可能导致的对网络空间秩序的扰乱、对公民个人信息的侵害等情形的担忧,需要逐步升级网络安全技术,并将以往发展经验融入到技术迭代升级中,打破“技术万能论”的桎梏。在迭代升级的过程中,必然需要规范体系进行指引和保障,通过出台《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》(以下简称《网络安全法》《个人信息保护法》)等法律规范,在指引网络安全技术发展方向的同时又避免技术发展干扰公民的正常生活。
习近平总书记曾明确地提出:在网络时代要做到“聪者听于无声,明者见于未形”,对于网络安全技术发展的反思需要分析其风险来源和技术演化,并在此基础上反思“技术万能论”的理念缺陷,总结得出“技术万能论”的不可行性,并针对网络安全技术的发展构建对应的规范体系,明确其保护目标和监管范围。
第一,“技术万能论”过分强调网络安全技术的机械发展,缺乏对网络安全技术规范体系的构建,导致网络安全技术的无序化发展,并损害网络空间的社会秩序。如若仅单一重视网络安全技术发展,可能会因为无序化发展而导致类似于“3Q 大战”之类的网络安全技术之争,造成对公民个人隐私、网络空间安全管理秩序等多重法益的损害。在法益损害上,以损害公民个人隐私法益为例,主要是指由于过分注重网络安全技术,导致其为了更好地达成表面上的“保护效果”而更大规模地攫取公民个人隐私作为基础数据,反过来又增加公民隐私泄露的风险,违背网络安全技术的初衷[5]。除此以外,由于缺乏监管,网络安全技术容易造成技术内部冲突,无法形成技术合力,从而被外国网络安全技术及相关企业打败,导致我国在网络安全技术领域受制于人,丧失对网络安全技术产业的主导权。有鉴于此,要充分意识到“技术万能论”的局限性,将对网络安全技术的发展和扶持,从仅注重技术的单一重心转向技术和规范双重发展的路径,规范体系的构建围绕技术路径的发展而展开,法律规范体系是对技术发展的现实应对,尤其是在面临新技术引发的社会风险时,法律规范需要发挥自身的监管作用,并引入强制力措施。简而言之,只有摒弃了“技术万能论”的桎梏,正视网络安全技术的地位,完善相对应的网络安全技术规范体系的构建,才能有序地发展网络安全技术,避免造成对网络空间社会秩序的法益损害。
第二,“技术万能论”导致网络安全技术监管和网络产业发展之间的重心失衡,过分强调利用网络技术保障网络的绝对安全只会限制网络产业的蓬勃发展,导致网络安全技术“反噬”网络产业发展的红利[6],因此需要通过制定规范来框定网络安全技术监管的范围。要处理好网络安全技术和网络产业发展之间的联系,在规范文件中贯彻“以安全保发展、以发展促安全”的理念。“以安全保发展”要求在规范制定过程中将网络安全技术置于正确地位,围绕网络安全保障体系制定规范,并在其中强调保障网络安全法益,将与保护法益相对应的技术措施转化为具体的条文内容,最终着力于网络安全能力建设,实现促进网络产业整体发展的目标,保障网络产业发展的技术红利。与之相对,“以发展促安全”则点明了网络安全技术发展的实质来源是网络产业的发展,网络产业发展为网络安全技术提供多重保障。一方面,网络产业的发展暴露出网络安全风险,倒逼网络安全技术迭代升级,基于网络产业发展中的安全漏洞来为技术发展指明具体方向,避免技术发展陷入“空对空”的误区。另一方面,根据网络安全技术发展的历史经验可以得出,单一由政府主导的网络安全技术发展缺乏持久性,要在规范文件中倡导引入市场资源来助力网络安全技术的发展,解决网络技术发展的资金问题和人才队伍建设问题,通过网络产业的“红利”来促进网络安全技术升级。
(二)坚持效率保障:网络安全技术创新的价值取向
网络安全技术创新发展需要坚持效率保障的价值取向,加快技术创新速度。效率是技术迭代升级的前提,离开了效率保障,网络安全技术不仅难以投入实用,而且会在处理网络安全风险时“疲于奔命”,比如无力应对新类型的算法威胁等。效率保障本身和网络安全法益的保护效果密切相关,网络安全技术是为了保障网络安全法益而生的,规范体系内有序的技术创新本身就能保障网络空间的安全秩序,其是规范体系和技术发展的有效结合。
第一,网络安全技术创新要保障技术自身的使用效率,进而扩大网络安全技术的适用范围,基于已有的法律规范来构建严密的网络安全保障体系,整体上提升网络安全能力建设。由于双层社会下网络安全风险的场域发生转换,从以往的线下硬件系统转向了当前的线上软件系统,因此网络安全技术也需要随之转型,防范层出不穷的新类型网络安全攻击[7],包括网络安全被动攻击以及网络安全主动攻击。被动攻击的类型包括信息泄露和流量劫持,其目标在于获得网络线路上的传输信息,侵害的保护法益是网络数据安全法益。主动攻击的类型包括伪装攻击(Impersonation Attack)、重放攻击(Replay Attack)、消息篡改(Message Modification)、拒绝服务攻击(Denial of Service),伪装攻击是指某个实体假装成其他实体(比如网络认证信息)来对目标发动网络安全攻击,重放攻击是指多次发送某目标信息,形成叠加式的信息攻击,以找到网络安全漏洞实现不法目的,消息篡改是指攻击者对所截获的合法消息中的一部分进行修改,或者延迟消息的发送,以实现其非授权的目的,拒绝服务攻击则是篡改网关配置,阻止或禁止公民正常地使用网络服务[8]。主动攻击的实行行为为以上四种,但是侵害的保护法益则不仅包括网络数据安全法益,还扩展至网络安全秩序法益,其损害范围大于被动攻击。综合来看,当下网络安全风险呈现从被动攻击转向主动攻击的趋势,这意味着网络安全技术所面临的风险大幅提升,因此需要以规范文件的形式倡导网络安全技术创新,并将创新的内容通过法律规范的形式加以保障,从而促使技术有序发展,并且在规范体系的框架下将技术应用于风险防范,避免技术创新侵犯公民个人权利。
第二,网络安全技术创新要保障网络产业的发展效率,通过技术创新保障网络产业的整体发展,在规范文件中增加有关技术创新的内容形成整体的保障规范体系。其一,网络安全技术创新需要在Internet协议层面实现安全监管①,保障网络产业交互运行的安全性,提升网络产业的信息传输效率,最终实现保障网络产业发展效率的目标[9]。在Internet 协议层面信息交互的安全监管上,应该通过规范文件确认使用动态信息认证、网络安全密钥等多种监管方式,并借助法律规范构建全方位的网络信息传输和认证保护体系,比如在《福建省国土资源厅INTERNET 信息网站、政务信息网络管理办法》(闽国土资文[2003]129 号)中,就对网站的信息监管措施进行规定,第6 章专门规定“网站运行维护与安全管理”,实现监管措施的规范化和实用化。其二,在大数据时代,针对新技术所构成的网络安全风险,需要借助大数据技术来提升网络安全技术水准,做到防患于未然,保障网络产业自身的可持续发展。大数据技术虽然指数级地增加了网络安全漏洞,但是客观上也促进了网络安全技术的迭代升级,提升网络安全技术处理风险的效率,将《网络安全法》中第16 条规定的“扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用”落到实处。比如在自动驾驶领域,大数据技术的发展导致自动驾驶汽车面临极大的网络安全风险,但是只要合理地借助大数据技术,则可以在基础层面实现实时的技术安全性监控和预防[10]。针对流量劫持、算法歧视、网络爬虫等新类型的网络犯罪手段,网络安全技术也会有针对性地随之创新,包括反爬虫技术、算法纠偏等手段[11],系统性地提升网络产业的效率。
(三)秉持相对安全:网络安全技术研发的理念遵循
网络安全技术研发所遵循的理念关系到后续的技术进步和适用效果,根据当下的网络安全风险,秉持相对安全的理念主导网络安全技术研发,可以避免技术发展陷入“越走越窄”的怪圈,同时也符合网络安全保障体系的实际需求。与网络绝对安全的概念相反②,网络相对安全是指平衡网络技术安全和网络产业效率、信息自由之间的冲突,将网络安全保护控制在适度的范围内,不能为了获得绝对的网络安全而不计成本,更不能对网络的使用者和运营者加诸过于严苛的安全保护义务,乃至于扼杀了网络产业的生命力,而是要使其可持续发展。在网络相对安全的理念下,网络安全法益的内涵也发生变化,相对安全理念下的保护法益无法遵从积极刑法观的犯罪圈扩大的理念[12],对于刑法保护的范围也进行一定程度的限缩,在网络安全保护上让渡一部分保护权限用以技术试错的空间,促进产业整体升级。
第一,秉持相对安全理念要求针对网络风险等级制度研发不同类型和强度的网络安全技术,实现对网络安全的针对性、体系性保护。在规范体系内,网络风险等级制度依据行为手段的激烈程度、损害后果的严重程度、发生场域的重要程度来划分等级,对于非敏感网络场域、手段并不激烈、没有构成严重损害后果的情况,视为较低等级的网络安全风险,对于在敏感场域内、手段剧烈、造成重大损失的行为,则视为较高等级的网络安全风险,对风险进行类型化分析[13]。在规范文件中,需要规定不同级别网络安全风险的应对措施,参考《通信网络安全防护管理办法》第7 条规定的“遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级”,有针对性地发展网络安全技术,贯彻相对安全的理念,在低级别的风险监控上采用泛化的监管模式,在高级别的风险监控上采用精密化的监管模式,将网络安全技术进行分类,以规范体系的方式确认相对化的层级监管体系。总之,只有秉持相对安全理念,才能在网络安全技术的研发和使用时更加具有针对性,在网络技术安全和网络生产效率间寻求平衡。
第二,秉持相对安全理念影响刑事制裁过程中对于网络安全是否被破坏的认定标准,在网络安全监管领域坚持谦抑性的司法观,在法益损害后果和实行行为程度上采用相对安全作为认定标准。在法益损害后果上采用相对安全标准,意味着在某些行为造成网络安全被破坏时,如若损害后果并非核心性的损害后果,且损害法益可以弥补,则不必认为构成犯罪,形成实质性出罪路径。在实行行为程度上,网络安全风险对网络安全技术所造成的威胁和破坏,如若行为本身没有构成绝对性的安全破坏,那么秉持相对安全理念则不构成破坏。相对安全理念下刑事司法对于网络安全的保障看似出现了退让,但是实际上是提供了不同技术路径的发展空间,避免刑法的介入程度过高扼杀技术发展的生命力,从而体现了刑法的谦抑性。有鉴于此,采用相对安全作为网络安全技术的研发理念,一方面是降低了技术研发的标准和压力,促使技术能够快速地投入生产使用,另一方面也为网络安全技术提供了试错空间,当安全技术因为自身原因无法达到技术标准时,秉持相对安全理念可以为其失效行为做出解释,并体现谦抑性司法观下网络安全技术研发和使用的未来走向。
(四)追求互利共赢:网络安全技术合作的目标追求
在构建网络空间命运共同体的背景下,不同国家、地区间网络安全技术合作成为应对网络安全风险滥觞的应然之举,而合作应该以追求互利共赢为目标。习近平总书记多次提出共同构建网络空间命运共同体,推动互联网全球治理体系变革[14],并提出四项原则和五点主张③,为实现互利共赢的目标指明具体方向。
实现互利共赢的网络安全技术合作目标,需要将四项原则的精神实质转化为规范文件内容,以消除技术合作的嫌隙。第一,尊重网络主权原则要求技术合作尊重《联合国宪章》所确立的主权平等原则,将现实中的当代国际关系基本准则转换到互联网语境下使用,依托理念惯性消除网络空间安全合作的嫌隙,可以有效遏制跨境网络安全犯罪。在规范文件中,尊重网络主权原则应该是规范施行的基础,如若没有对网络主权的保护,那么将破坏网络安全技术合作的公平公正,形成不正当的竞争优势,所以需要在规范中加以规制。第二,维护和平安全原则要求网络安全技术置重于打击网络恐怖主义、网络反人类主义,监管网络空间中涉及恐怖、淫秽、贩毒、洗钱、赌博等犯罪活动的信息[15],并坚持网络安全技术标准统一化,加强网络安全技术间的联系。将和平安全作为规范文件的保护目标,意味着规范文件有了明确的目标追求,配合刑法上的破坏计算机信息系统功能罪等罪名实现对重点领域的打击,构造网络安全法益的具体内涵,为刑法罪名的适用提供方向。第三,促进开放合作原则要求网络安全技术合作完善全球网络治理体系、维护网络空间秩序,在具体技术合作上,推崇网络领域的开放合作,推动不同网络安全技术在网络空间优势互补、共同发展。网络安全保障体系推崇技术开放合作,主要是在开放的语境下强化知识产权领域的保障,坚持《网络安全法》第16 条规定的“保护网络技术知识产权”,并且通过知识产权法和刑法的良好配合,最大程度地发挥技术的效果。第四,构建良好秩序原则要求技术合作保持良好的网络空间运行秩序,通过维护秩序实现保障自由,并保障公民在网络空间中的合法权益,加强网络伦理、网络文明建设,塑造网络空间命运共同体中的网络道德教化,并发挥其引导作用,以网络安全的技术手段维护良好的网络生态。良好秩序原则本身是解释网络安全法益的形式要件,网络安全秩序是良好网络生态的基础,网络安全法益的内涵中必然包括良好的网络安全秩序,并且通过对秩序的维护实现对信息、数据等实质法益的保护,为刑法规制指明方向。
实现互利共赢的网络安全技术合作目标,需要在网络安全保障体系的规范构建中融入五点主张的实质内容,以规范文件的方式指导技术合作的开展。第一,“加快全球网络基础设施建设,促进互联互通”需要以规范文件的形式强调网络信息基础设施的设立和保护,强化硬件层面的保障能够有效避免遭受被动攻击,并且以技术标准的形式加强不同设施间的交流,制定相对统一的技术指标,避免技术合作时的衔接消耗。第二,“打造网上文化交流共享平台,促进交流互鉴”是在软件层面注重网络安全能力体系建设,而平台的建设与保障也需要法律规范发挥作用。网络安全技术交流平台是大型的技术交互平台,作为组织生产力的新型主体,具有强大的支配力和影响力[16],因此需要以法律规范体系作为平台的价值框架,而平台规制的制定和实施应遵循基本的程序正义和实体正义标准,通过法律规范提供平台交流的强制力保障。第三,“推动网络经济创新发展,促进共同繁荣”的主张不仅注重网络安全技术自身的效率保障,而且注重对网络产业效率的保障。不同网络安全技术之间的交流和创新,不仅推进“数字中国”和“互联网共享经济”的建设,也是推动全球合作、构建网络空间命运共同体的“福音”。网络经济创新需要网络安全技术在已有的规范体系框架下发挥作用,而经济创新的法律保障需要诸多部门法协调发挥作用,借助民法、经济法对网络经济创新发挥前置性指引作用,而通过刑法发挥后置性的强制力保障作用。第四,“保障网络安全,促进有序发展”中的安全和发展是“一体之两翼、驱动之双轮”的关系,安全是发展的保障,发展是安全的目的。其中有序在安全之后,意味着通过规范体系确保技术安全,而通过技术来维护整体的网络安全秩序,借此强调了对网络安全秩序法益的维护,从而通过规范体系实现对秩序法益的维护。第五,“构建互联网治理体系,促进公平正义”强调了构建互联网治理体系,通过制定法律规范形成网络安全治理体系,能够及时应对网络安全新风险,消除网络安全技术交流的壁垒,避免人为设置的网络安全技术交流障碍导致风险扩散。公平正义理念下构建网络治理体系,是基于技术逻辑和规范导向的综合性治理体系,一方面强调网络安全技术的应用,另一方面通过规范文件制定技术应用的标准,在多重规制的框架下实现对网络安全的全方位监管,实现公平正义的价值追求。
三、不同网络安全制度中安全技术的分类创设
在网络安全保障体系的建设过程中,在不同的使用场域下出现了网络安全技术适用失灵的情形,影响技术效果的发挥。在总体国家安全观的指引下,网络安全技术应该在不同的制度语境下分类创设,在不同制度框架下探讨网络安全技术的规范适用,发掘不同制度的特点,并且以规范文件的形式指导网络安全技术的发展,实现对重点领域的有效保护。
(一)网络运行安全制度中的技术路径构建
网络运行安全制度中的技术优化,需要参考制度现有的使用效果,由网络运行安全的规范体系构建、等级保护划分、安全技术审查三个层面入手,由表及里地构建网络运行安全制度中梯次化、专业化的技术路径,将技术路径和规范体系相结合。
第一,构建网络运行安全规范体系,能够指引网络运行安全技术的具体适用,在保障技术效率的同时,消弭其可能构成的网络运行安全风险。网络运行安全规范体系可以分为一般规范体系(软件层面)和基础设施规范体系(硬件层面)④⑤,统筹规划硬件设施和软件应用。网络运行安全规范体系是网络运行安全技术的制度保障,技术适用需要参照规范体系中的具体内容,参考相关规范事前告知技术风险、定期检修和维护关键信息技术设施等,将技术适用的具体措施以制度化的形式予以体现,形成常态化监管。针对计算机病毒入侵、网络身份认证攻击、网络流量劫持等新型犯罪行为,网络运行安全技术在遏制的同时需要消除现行管理体制中“多头管理、职能交叉、权责不一、效率不高”的弊端,通过精准高效的规范体系,在引入创新的网络运行安全技术的同时,尽可能消除新技术对网络安全的未知风险。
第二,依据现有法律规范划分清晰合理的网络安全等级制度,并根据不同的等级适用不同强度的网络运行安全技术,构建网络运行安全梯次化治理模式,避免浪费技术资源。网络安全等级的划分,既要依据宏观的规范文件⑥,又要参考微观的技术标准⑦,并秉持基本的网络安全等级划分原则⑧,将网络安全划分为5 个等级:第一级是自主保护级,是指仅对公民、法人和其他组织的合法权益造成损害,但不损害国家公共安全、社会秩序和公共利益;第二级是指导保护级,是指会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但是不损害国家安全;第三级是监督保护级,是指对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级是强制保护级,是指对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级是专控保护级,是指对国家安全造成特别严重损害。在划分了网络安全等级后,规范体系中对应的网络运行安全技术也需要进行调整,对低级别的网络安全风险不必采用过分强制的手段,而对高级别的网络安全风险,则应该采用尽可能高级别的网络运行安全技术,将网络运行安全技术和等级制度本身相结合,从而实现全方位、梯次化、有针对性的网络运行安全保护。
第三,加强网络运行安全技术的审查,以规范文件的方式强调消除技术适用的“副作用”,借助规范体系将技术审查制度化。审查网络运行安全技术是世界各国的通用措施,美国是世界上最早审查网络运行安全技术的国家,比如对当下高速发展的网络云计算安全技术进行审查[17]。在我国,合理审查网络运行安全技术,有助于维护国家安全和社会公共利益,在网络运行安全制度的语境下维护使用者的合法权益,营造良好的营商环境。首先,现行制度中需要审核网络运行安全技术的研发机关和研发目的,避免关系到国家安全的网络运行安全技术被境外势力渗透,保证其能够维护国防、经济等重点领域的网络安全。其次,以制度形式对网络运行安全技术的源代码进行前置性审核,对于技术的运行理念、算法逻辑等基础信息,由专门机关进行精准审核和查验,通过审查其价值内核,确保其不会被设置算法后门程序[18]。最后,对于已经投入使用的网络运行安全技术要坚持备案登记制度,实现对网络运行安全技术的可溯源追踪,当在网络运行安全技术出现“副作用”时进行回溯,找到技术的漏洞并加以修正,形成高效、准确的“反馈-修复”机制。
(二)网络信息安全制度中的技术路径构建
网络信息安全制度和一般社会公众的联系最为紧密,关系到公民个人数据权利的保护,因此公众对其尤为关注。网络信息安全是指规制并阻断网络上对社会、国家、公众造成危害和不良影响的有害信息,保证信息流动的可控能力[19],保障网络信息系统能够安全运行,而网络信息安全技术则应该基于保护网络信息安全的目标,从国家主管机关和网络服务商两个方面加以完善,消弭不同语境下责任分配与规范构建上的争议。
在国家主管机关层面,应该从个人信息收集使用技术、个人信息审查保密技术以及网络服务商收集、使用信息监管技术这三个方面着手,完善对应的网络信息安全技术管理制度。参照澳大利亚《网络安全战略》的分类,网络信息安全分为两种:一种是Cyber Security,是指信息通信技术的可用性、完整性和保密性,另一种是Cyber Safety,是指为了协助个人,特别是儿童,免受不良网络信息的欺凌、跟踪和侵害。针对个人信息收集使用的网络信息安全技术对应Cyber Safety,需要在具体制度中规定技术收集个人信息的范围,确保技术在收集信息时保障信息收集过程的私密性,防止信息泄露。针对个人信息审查保密的网络信息安全技术对应Cyber Security,在制度中需要围绕信息数据安全展开保障,在审查保密相关个人信息时,技术本身不能逾矩,并接受国家主管机关的常态化监督。针对网络服务商收集、使用信息监管的网络信息安全技术,应该在制度中规定政府主管机关有权限审查此类网络信息安全技术,并且规定通过技术手段防止网络服务商收集、使用的信息外泄。在俄罗斯2012年颁布的《网络审查法》中,规定了政府主管机关在发现网站传播儿童色情、毒品、诱导儿童自残等内容的信息时,若网站在接到通知后没有及时进行处理,主管机关有权使用网络安全技术直接对其进行删除,并将IP 地址列入黑名单,从而在制度层面许可了网络信息安全技术的使用。而在我国《网络安全法》第50 条中,同样规定了相应的监管、消除和阻断措施⑨,通过在制度层面许可此种网络信息安全技术后,可以针对儿童色情、软暴力、邪典作品等敏感领域进一步强化监管,构建全面的信息安全保障体系[20]。
在网络服务商层面,其作为责任平台,应该从信息收集技术、网络信息筛选技术、网络信息备案技术这三个方面完善对应的网络信息安全技术,并在技术研发伊始进行技术合规审查,通过合规的方式确保相关技术的安全使用。信息收集的安全技术,需要从信息收集的方式入手,确保收集的方式合规,消除隐藏的技术后门,避免因为收集信息的保管不当而泄露信息,使用的技术手段包括信息加密保护、动态信息密码验证、区块链信息加密等,对网络信息进行数字化加密,采用合规制度规定网络信息安全技术的使用要求,能够以刑事合规的方式来预防犯罪风险,保证企业在信息收集时有准确的行为参照依据。网络信息筛选的安全技术,需要从网络信息筛选技术的源头进行分析,其规范义务来源于网络服务商有责任对在其平台由其发布的信息进行审查,筛选出其中的有害信息并删除⑩。为了实现网络信息筛选技术的合规,对应的网络信息安全技术要重视审查和核验被筛选信息,核查关键字节、敏感信息等,实现持续性监管。网络信息备案相关的网络信息安全技术,需要将技术本身和备案审查制度结合到一起,坚持合规化技术监管路径,鉴于网络服务商具有配合监督检查和信息记录的义务⑪,因此需要网络服务商对其平台内的网络信息进行留存备案,对应的网络信息安全技术也要对应展开,包括备案信息录入技术、备案信息传输保密技术以及备案信息过期自动销毁技术等,并规定较为准确的留存时间,规范网络信息备案的流程并保障其安全。
(三)网络空间命运共同体的技术路径构建
在网络安全保障体系和能力建设技术路径的构建过程中,除了在国内优化网络安全技术,同时也要基于网络空间命运共同体的宗旨来完善全球互联网治理体系,维护网络空间秩序。在网络安全技术路径的构建上,必须强化国际间网络安全技术的交流合作,不能人为地设置技术交流的壁垒,不能为了追求自身的绝对网络安全而牺牲他国的网络安全。简而言之,应该从消除网络安全技术交流壁垒、统一网络安全技术交换标准、畅通网络安全技术信息交流通道这三个方面入手,促进不同国家、地区间的网络安全技术交流,不断更新网络安全技术的内核,构建全面的网络安全保障体系。
第一,利用规范制度消除不同国家、地区间的网络安全技术交流壁垒,协调不同国家、地区间的网络安全技术合作。当前网络空间中信息传输非常迅速,导致网络犯罪呈蔓延之势,其可能从A 国的网络系统侵犯到B 国的网络系统,并将网络犯罪的违法所得藏匿在C 国的网络系统,为了全方位打击网络犯罪,必须促进不同国家、地区间的网络安全技术互通互联,形成监管合力,才能在追踪打击网络犯罪中“占得先机”,避免网络犯罪行为借助新技术快速地在不同区间进行网络犯罪,抑或通过技术交流的壁垒的监管空隙实施网络犯罪。换言之,如果不能消除不同国家、地区间网络安全技术交流壁垒,那么在网络空间中打击网络犯罪则效率较低,无法对其进行根除,容易使得网络犯罪“死灰复燃”,而只有消除技术交流壁垒,才能高效、精准、持续地打击网络犯罪,缩小危害范围,降低损害后果。
第二,统一网络安全技术的交换标准是提升处理效率的关键,借助统一的交换标准降低技术合作损耗。在不同网络安全技术的交流协作过程中,其合作信息依托数字信息进行交换,而不同的交换标准会导致对网络犯罪行为的打击尺度不同,那么对于同一行为的评价尺度不一则会导致犯罪行为成立与否的标准混乱,可能违反罪刑法定原则。网络安全技术需要一定的基础标准作为判断网络犯罪的依据,以网络密钥技术为例,其通过链路加密、节点加密、端到端加密、混和加密等多种手段,实现网络数据加密,而对于加密算法和加密标准的选择,则应该尽可能地趋于一致,避免对行为性质造成误判,否则加密标准不同,容易将原本已经加密的信息认定为未加密,从而构成犯罪。总之,网络安全技术只有基于统一的标准形成互通,才能保障网络数据的传输安全,阻止网络犯罪的蔓延和扩散,避免在认定来自其他国家、地区的技术是否构成犯罪时发生误判,从而增强技术适用性。
第三,借助制度模式规定畅通的网络安全技术信息交流通道,确保不同网络安全技术能够及时预警其所遇到的新型网络风险,并在预警后整合不同网络安全技术的处理能力,及时给出应对策略,共同构建网络安全保护网。在网络命运共同体中,对于网络安全的保障不再是单一网络安全技术的任务,而是需要从多方面完善网络安全技术的组合运用,并且以制度规范的方式对下列措施予以规定:其一是在发现网络安全风险后及时预警,提供充足的预警时间给其他网络安全技术,使得其他网络安全技术能够结合自身实际准备解决方案,做好预防工作,防止网络安全风险的蔓延。其二是定期交流处理网络安全风险的经验,以制度化形式构建畅通的技术交流渠道,降低网络安全技术的运行成本,增强网络安全保障体系的整体保护能力。其三是可以在制度中规定当其他网络安全技术已经处理完自身网络安全风险后,可以利用自身技术算力帮助正在面临网络安全风险的其他网络安全技术,最大程度地整合利用技术算力,共同抵制日益严峻的网络安全风险。
四、结语:网络安全技术的时代转型
当下网络社会发展迅速,传统的技术思维和处理逻辑在网络安全态势中已经逐渐落伍,而网络安全技术作为网络社会发展的保障核心,应该跟随网络社会的发展而不断转型升级,构建制度化的保障体系。长久以来网络安全技术的适用困局,本质上仍然是对网络社会的认识不足所致,导致在以互联网科技为引领的科技时代中从技术层面到规范层面的集体落后[21]。有鉴于此,转型并优化网络安全技术路径,既不能夸张网络安全技术的效用,也不能贬低网络安全技术的价值,而是应该从理论解释和路径整合两方面入手,配合网络安全战略规划的指引,以制度规范保障网络安全技术可持续发展,并在网络安全保障体系和能力建设过程中“大放异彩”,构建适应现代社会协同治理理念的网络安全社会治理模式[22]。
[注释]
① Internet 协议包括国际层协议(Internet Protocol)、传输层协议(Transmission Control Protocol)以及应用层协议(Application Layer Protocol)。
② 网络绝对安全是指为了网络空间秩序的稳定,避免网络空间的威胁影响具体的权益,从而对网络技术和网络产业进行严格审查和监管,甚至不惜牺牲网络技术的效率,以保障网络产业的安全。
③ 网络空间命运共同体四项原则是指尊重网络主权、维护和平安全、促进开放合作、构建良好秩序,五点主张是指加快全球网络基础设施建设,促进互联互通;打造网上文化交流共享平台,促进交流互鉴;推动网络经济创新发展,促进共同繁荣;保障网络安全,促进有序发展;构建互联网治理体系,促进公平正义。
④ 网络运行安全的一般规范体系,包括网络安全等级保护制度、网络产品和网络服务提供者的安全义务规定、网络关键设备和安全专用产品的认证检测标准、网络用户身份管理制度、网络运营者的应急处置措施规定、网络安全服务规范、网络运营者的技术支持和协助义务规定、网络运行安全风险的合作应对规定、执法信息的用途限制规定等。
⑤ 网络运行安全的基础设施规范体系,包括关键信息基础设施保护制度、关键信息基础设施安全保护工作部门的职责规定、关键信息基础设施建设的安全要求、关键信息基础设施运营者的安全保护义务规范、关键信息基础设施采购的国家安全审查规定、关键信息基础设施采购的安全保密义务规定、关键信息基础设施的境内储存和境外交流管理规定、关键信息基础设施的定期安全评估规定等。
⑥ 宏观的网络安全等级划分的规范文件包括:1994年由国务院颁布的《中华人民共和国计算机信息系统安全保护条例》、1999年发布的《计算机信息系统安全保护等级划分准则》以及2007年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定的《信息安全等级保护管理办法》。
⑦ 微观的网络安全等级划分的技术标准包括:《信息安全技术、网络安全等级保护安全设计要求》(GB/T 25070-2019)《信息安全技术、网络安全等级保护测评要求》(GB/T 28448—2019)《信息安全技术、网络安全等级保护定级指南》(GB/T 22240-2020)《信息安全技术、网络安全等级保护基本要求》(GB/T 22239—2019)《信息安全技术、网络安全等级保护测评过程指南》(GB/T 28449-2018)等。
⑧ 网络安全等级划分的原则包括:明确责任、共同保护原则;依照标准、自行保护原则;同步建设、动态调整原则;指导监督、重点保护原则。
⑨ 《中华人民共和国网络安全法》第50 条规定:国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
⑩ 《互联网广告管理暂行办法》第12 条规定:网络广告的发布者应对互联网广告等商业性信息进行审核,应当查验有关证明文件,核对广告内容,对内容不符或者证明文件不全的广告,不得设计、制作、代理、发布。
⑪ 《中华人民共和国网络安全法》第21 条规定:网络运营者应当留存网络日志不少于6 个月。《中华人民共和国保守国家秘密法》第28 条规定:互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查。
