2016年11月7 日,《网络安全法》正式公布。作为网络安全领域的基本法,《网络安全法》的发布引发各方高度关注。该法案以总体安全观为指导思想,在总则部分提出国家要不断完善网络安全战略,全方位提升网络安全治理水平,同时在分则部分通过全面性的制度设计对总则进行细化,最终逐步实现对网络社会治理法律体系的完善。从该法案可以看出,构建系统全面的网络安全法律体系已经引起了立法机构的重视,兼顾“监测、预警、免责”的全面事态感知立法新模式正在逐渐形成。放眼国际,该立法模式也被越来越多的国家和组织采纳。例如,2013年欧洲议会和理事会通过了《欧洲议会和理事会第2013/40/EU号指令》,将针对信息系统攻击的规制扩展至事前、事中及事后的全过程,构建出一个涵盖事先监测预警、事中应急响应、事后惩治与恢复的“三位一体”的治理框架,通过对网络攻击中各个连接要点的控制来实现对网络攻击的有效防范与治理。
将《网络安全法》与现有《刑法》进行对比可以看出,在关于网络攻击治理方面,《网络安全法》有了巨大的进步。
首先,《网络安全法》构建了涵盖事先监测预警、事中应急响应、事后惩治与恢复的“三位一体”的治理体系。基于网络攻击的低成本性、隐藏性以及影响范围广等特征,仅仅依靠事后惩治显然不能起到对网络攻击的威慑,更难以实现对网络安全的保障。我国《刑法》第285条、第286条、第287条规制的行为是已经实施的入侵计算机信息系统的行为,或者造成实体损害的行为,显然其作用只是起到了对犯罪行为人的处罚,对于已经造成的损害无法进行弥补。而《网络安全法》“三位一体”的治理体系,从源头对网络攻击进行防范,在攻击发生时确保能够迅速响应与处置,将损害降至最低,最后再对犯罪行为人进行惩处。例如,第25条规定网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告;第51条明确要求国家也要建立网络安全监测预警和信息通报制度。
其次,《网络安全法》建立了信息共享机制,确保信息的及时、准确。习近平主席于4月19日网络安全和信息化工作座谈会上明确提出要建立统一高效的网络安全情报共享机制,准确把握网络安全风险发生的规律、动向和趋势。近年来,我国在信息公开方面做出了许多努力,而《刑法》在经过2015年第九次修订后尚未增加网络安全信息共享的内容。《网络安全法》作为网络安全领域的基本法对该部分内容进行了完善与补充,其中,第39条明确规定国家网信部门应当统筹协调有关部门,促进有关部门、关键信息基础设施运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。
再次,《网络安全法》保护与规制的范围较之《刑法》更加广泛。依据《刑法》第285条第1款的规定,国家事务、国防建设、尖端科学技术领域是关键基础设施领域的重要组成部分。显然,仅依靠这部分的安全并不能实现网络安全真正的安全。而《网络安全法》对这方面的规定就更加全面和科学。法案设立“关键信息基础设施的运行安全”专门章节对关键信息基础设施进行统一且全面的规定,其中第31条规定,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系;第34条还具体明确了关键信息基础设施网络运营者的安全义务。
最后,《网络安全法》新增了漏洞披露等规定。目前,安全漏洞攻击成为全球网络安全最大的威胁之一。作为网络大国的中国,也亟需提升防御能力,最大限度减少安全漏洞可能产生的危害。我国《刑法》仅在第285条、第286条、第287条规定了关于入侵计算机信息系统的犯罪,并未明确漏洞挖掘、披露等内容。《网络安全法》要求开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定,并在第62条规定了相应的惩罚责任。
可以看出,在借鉴国际经验、结合我国国情的情况下,在应对各类突发网络安全攻击事件方面,《网络安全法》是对《刑法》的一大突破。构建“三位一体”治理体系,对关乎民生的重要领域的网络安全重点保护顺应了社会的发展趋势,其中网络安全信息共享与漏洞披露更是法案的一个亮点。考虑到《网络安全法》作为网络安全领域基本法的地位,只能从宏观上对网络安全治理进行原则上的规定,为了确保法律的效力和实施效果,还需要制定相配套的立法与之相结合,共同提升我国网络安全治理水平。(来源:理论网)
作者:西安交通大学信息安全法律研究中心 马民虎