计算机网络安全法规(计算机网络安全机制)

　　法制网记者 王开广

　　 *** 主席在第二届世界互联网大会上发表主旨演讲时，强调互联网是人类的共同家园，各国应该共同构建网络空间命运共同体，推动网络空间互联互通、共享共治，为开创人类发展更加美好的未来助力。

　　7月5日，作为网络空间基础性法律的《中华人民共和国网络安全法（草案二次审议稿）》正式向社会公布。

　　在第四届中国互联网安全大会即将召开之际，就相关问题，西安交通大学信息安全法律研究中心主任马民虎接受了《法制日报》记者的采访。

　　记者：您怎么看待网络空间命运共同体和网络 *** 之间的关系？如何构建网络空间命运共同体，我国目前落实的怎样？

　　马民虎：当前网络安全威胁不断攀升，网络安全已成为全球性挑战。构建网络空间命运共同体，重中之重是国际协同治理，价值基础则是网络 *** 。从1990年代后期起，从“去 *** 化”到“再 *** 化”，国家 *** 随着跨境数据流动、跨境执法的深入得到了日益广泛的承认，各国开始在不同程度上、以不同形式在该空间行使 *** ，这是一种看上去非常有趣，但又有着复杂逻辑支撑的现象。2003年联合国信息社会世界峰会通过《日内瓦原则宣言》，明确“互联网公共政策的决策权是各国的 *** ”。2013年6月，第6次联合国大会通过联合国“从国际安全的角度来看信息和电信领域发展 *** 专家组”所形成的决议，决议第20条规定“国家 *** 和源自 *** 的国际规范和原则适用于国家进行的信息通讯技术活动，以及国家在其领土内对信息通讯技术基础设施的管辖权。”该条本质在于确认网络空间的国家 *** 。2013年3月，《塔林网络战国际法手册》直接宣告“一国有权对其领土内的网络基础设施和网络活动行使控制。” 2015年7月1日第十二届全国人大常委会第十五次会议通过了新《国家安全法》，该法在国内法层面首次明确了“网络空间 *** ”概念，是我国国家 *** 在网络空间的体现、延伸和反映。

　　构建网络空间命运共同体的前提是网络空间规则体系的建设，这是实现各国维护好网络空间安全的基础。构建好网络空间规则体系需要从国内立法、重要双边或多边条约以及全球网络空间基本原则等多层面共同努力。

　　从国际层面来看：我国尊重各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利，不搞网络霸权，不干涉他国内政，不从事、纵容或支持危害他国国家安全的网络活动。2014年7月，习主席在巴西提出了与世界各国“共同构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的国际互联网治理体系”的设想。2015年12月，习主席在第二届世界互联网大会上进一步明确了推进全球互联网治理体系建设的四项原则和构建网络空间命运共同体的五点主张。2016年6月，习主席和俄罗斯总统普京在北京正式签署了《中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明》，强调各国均有权平等参与互联网治理，倡导建立多边、民主、透明的互联网治理体系，支持联合国在建立互联网国际治理机制方面发挥重要作用。声明还提出，中俄两国将共同倡导推动尊重各国网络 *** ，反对侵犯他国网络 *** 的行为；反对通过信息网络空间干涉他国内政，破坏公共秩序，煽动民族间、种族间、教派间敌对情绪，破坏国家治理的行为，两国承诺共同致力于构建和平、安全、开放、合作的信息网络空间新秩序。在这一治理模式下，各国 *** 的话语权将会大大加强，利用网络空间干涉别国内政的企图可能被及时发现和制止。即使在主张域外法权或对长臂原则作扩大理解和适用的某些国家，在向境外数据中心要求访问信息时，也可能因缺乏国际认同基础而面临着产业界和境外 *** 国家的强力反对。这意味着，网络空间治理的中国方案已开始落地，并迈出了坚实一步。

　　从国内立法层面来看： 2016年7月5日《中华人民共和国网络安全法（草案二次审议稿）》向社会公开，其中关于维护网络 *** 和战略规划做出了说明：网络 *** 是国家 *** 在网络空间的体现和延伸，网络 *** 原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此，草案将“维护网络空间 *** 和国家安全”作为立法宗旨，草案第2条规定：在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。同时，按照安全与发展并重的原则，草案设第二章为专章对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定。由此可以看出，草案进一步了推进网络安全与发展协同，切实维护了国家网络 *** 、安全和发展利益，这使得我国网络空间治理基础性法律能够更好地纳入网络空间规则体系，也为网络空间规则体系建设做出了贡献。

　　记者：面对网络空间日益复杂的网络威胁，您认为，我国应如何构建网络威胁信息共享制度体系？ *** 、企业以及其他的网络空间参与方应当扮演什么样的角色？

　　马民虎：网络空间面临的威胁类型呈现出复合化的发展趋势，所以以此为基础的网络威胁治理模式也需要与时俱进、不断完善。习主席于2016年4月19日网络安全和信息化工作座谈会上明确提出要加快构建全天候全方位感知网络安全态势，要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。

　　网络威胁信息共享是欧美等发达国家的通行做法。美国 *** 2003年发布《网络空间安全国家战略》旨在改善和增强公私部门对于网络攻击、威胁和漏洞的信息共享。2012年《网络安全法案》明确规定为了保护信息系统不受网络安全威胁或减轻威胁造成的不利后果，联邦 *** 应当与企业共享包括技术漏洞、网络入侵和攻击技术细节在内的网络安全威胁指标。2015年10月27日，美国参议院以72票对21票通过了《网络安全信息共享法案(CISA)》，旨在“通过强化有关网络安全威胁之信息的共享改善美国的网络安全“。欧盟在2013年《网络安全战略》中强调各机构在网络安全中的责任，提倡多方合作，要求私营企业，尤其是为能源、运输、银行、股市、教育提供信息系统的私营企业，以及重要的互联网服务运营商，向各国的网络安全机构报告重大事故，并运用经济杠杆原理鼓励私营企业主动积极参与网络安全建设。英国 *** 于2013年3月成立了“网络安全信息共享联盟”（CISP），旨在促进公共和私营部门间的网络安全威胁信息共享，确保所有参与者将能够及时获取有关网络攻击的实时警报、网络攻击的技术细节、策划攻击的手段及应对措施等信息。

　　我国也逐步开始认识到加强网络安全信息共享对于实现网络安全保障的必要性和迫切性。《网络安全法（草案二次审议稿）》第 37条，《反恐怖主义法》第 43 条、第 47 条均对信息共享做出了规定，要求促进相关主体之间的网络安全信息共享。结合我国实际的情况下，可以从以下几个方面促进我国信息共享制度的体系化完善：首先，建立网络安全信息共享的制度体系。建立行之有效的网络安全信息共享机制，明确网络安全信息共享的范围、主管机构、参与主体、程序、例外规定等内容。其次，构建网络安全信息共享的组织机构体系，指导、统筹和协调、规定统一发布网络威胁信息。再次，建立国家层面的网络威胁情报共享和分析中心。建议在网信办内部建立一个国家层面的网络威胁情报共享和分析中心，负责汇总、协调、整合、分析上述机构以及来自互联网企业、互联网安全公司等收集的网络威胁、漏洞和事件信息，提升国家整体的网络安全态势感知能力。最后，确立网络威胁情报共享的激励机制，同时通过法律法规为企业与 *** 共享网络安全信息提供相应的责任豁免，并为其设置明确的网络安全信息共享义务和责任、隐私保护要求等。

　　记者：您认为，在网络空间安全治理，共建网络空间命运共同体过程中，互联网企业的社会责任如何体现和实现？

　　马民虎：安全和发展是一体之两翼、驱动之双轮。安全是发展的保障，发展是安全的目的。关于互联网企业的法定责任，《中华人民共和国电信条例》、《网络安全法（草案二次审议稿）》、《中华人民共和国反恐怖主义法》等法律中均有明确规定。与此同时，互联网企业来在维持自身发展的同时，必须要把目光看得更加长远，承担起它们应有的社会责任，共同推动互联网更好地造福人类。这个概念可以理解成类似上市公司的企业社会责任，但不应仅限于传统意上的环境、劳动范畴，也不应是基于所谓的道义、慈善、可有可无的、无法律后果的非强制性义务。从国际上来看，最低限度的企业社会责任的强制化趋势不可避免。目前，跨国互联网企业承担的企业社会责任，大多来自于 *** 监管和用户监督的多重压力，比如源码审查，其与国家安全、社会公众利益息息相关，但从提出到目前的普遍接受，经历了相当长的博弈过程，因为企业需要让渡部分经济利益，而这和追求利润最大化的目标在短期内是不一致甚至是相悖的，这就需要 *** 、社会和行业的多重引导。在网络空间中，如果细化行业领域会发现，在某一特定领域中，几乎只有第一、第二，其他的参与方很难占有市场份额和发挥话语，因此聚焦跨国互联网企业、行业领军企业的社会责任就尤为重要，它们对社会责任中的担当和角色，几乎可以作为行业整体风范表率和正反典型，实施效果良好，往往就可以起到牵一发而动全身的示范作用；反响恶劣，则会产生多米诺骨牌效应，割裂和破坏命运共同体。

　　社会责任是互联网企业作为现代重要经济参与者必须承担的义务。不管是传统巨头还是新兴的互联网企业都承载着一定的社会责任。互联网企业作为一种特殊的组织形式应更加积极地履行社会责任，在实现其发展的同时必须追求达到经济、社会和环境的综合价值最大化。未来，可能会有越来越多的互联网企业将社会责任的落实和遵循写入年报、和呈现社会。

　　记者：请您就网络安全漏洞治理现状和相关案例，提几点建议？

　　马民虎：漏洞是计算机软硬件、协议和系统安全策略中固有的、不可避免的缺陷，不能完全杜绝。当前全球安全漏洞数量快速增长，危险级别不断提升。漏洞成为各国争先抢夺的战略资源和博弈资本，安全漏洞攻击构成全球最严重的网络安全威胁。在国内，未公开漏洞成为一种商品，安全漏洞成为黑客地下经济产业链的源头，漏洞恶意利用的危害日益加大，电力、交通、能源、教育、医疗等关键基础设施的漏洞攻击更对国家安全、社会稳定、经济发展和用户权益造成不可估量的破坏影响。

　　网络安全漏洞的治理已成为国家网络安全保障的基础性环节，我国亟需从管理、技术和法律层面综合提高应对网络攻击的防御能力，最大限度减少安全漏洞可能产生的危害。

　　从实践层面来看，存在漏洞黑市交易取证困难、第三方漏洞披露平台缺乏监管、漏洞恶意利用打击不力等一系列问题。

　　从法律层面来看，我国关于安全漏洞规制的立法规范相对缺失，基本未涉及漏洞的挖掘、报告、披露、利用等内容。7月5日公布的《网络安全法（草案二次审议稿）》在保留原来21条和58条规定的基础上，新增第25条“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”和第60条即违反25条规定的惩罚责任。但是第25条中“国家有关规定”目前还是一个模糊的概念。且《网络安全法（草案二次审议稿）》第三章第二节“关键信息基础设施的运行安全”中关键信息基础设施的安全漏洞管控的规定属于完全空白。

　　总体来说，现有法律对漏洞的法律规制有限，基本未涉及漏洞的报告、披露、利用等内容。漏洞挖掘、报告与披露等行为的法律性质尚未明确，存在大量的灰色地带，漏洞的报告和披露缺乏完善的制度规范。

　　在此我提出几点完善建议：首先，法律中可对关键信息基础设施的安全漏洞管控的进行规定，如“任何单位、个人发现关键信息基础设施安全漏洞、隐患的，应当向相关主管部门报告，未经授权和允许，任何单位、个人不得披露、散布、传播关键信息基础设施安全漏洞、隐患信息”。其次，针对域外《瓦森纳协定》限制漏洞信息的出口会影响草案相关规定的实施的情况，法律可通过适当限制及其例外措施以规制安全漏洞的发掘、披露、交易、进出口，如可以从国家安全责任豁免的角度鼓励漏洞的合法挖掘、报告与披露。最后，法律中可进一步明确漏洞挖掘、报告与披露行为的法律风险，明确特定目的下漏洞披露、攻击、非授权访问的行为边界，构建安全研究的例外制度。

　　近日，媒体报道“白帽子”袁炜向乌云平台提交世纪佳缘网站漏洞被司法机关刑拘的事件。我认为：从互联网安全的角度认定，“白帽子”是网络安全领域不可或缺的补充力量，该类技术行为有利于网络运行安全，应受到互联网安全行业的肯定和鼓励。我国关于“白帽子”行为的认定的法律制度有待进一步完善，其作为新的利益关系产生，具有法律保护需求，法律也应该维系这种利益关系的稳定。虽然现阶段我国刑法有对于“非法侵入”行为构成犯罪的范围区分重要系统和非其他系统而分别定罪量刑，并在具体的司法解释《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中明确了罪与非罪的量化指标，但随着对数据分析的认识深入和立法更加严密的必然趋势，对行为人的主观意图、后果的严重程度，乃至身份认证信息的定义和理解都在发生着变化，这些都是我国立法需要不断补充完善的。一方面，法律应该真正将“白帽子”通过适当的衡量标准纳入到安全产业当中，确实给予他们合法的地位，让白帽子的道义行为与法律规定协调，使得他们真正成为互联网安全行业既讲道义又不违背法律的江湖大侠。另一方面，法律亦需要明确界定“白帽子”行为的定义和活动范围以及超出该范围构成犯罪的法律要件。这些方面，境外也已经有一些相对成熟的法案、协议参考。

　　法制网北京7月7日讯

　　延伸阅读

　　第四届中国互联网安全大会筹委会相关负责人表示，本届大会将在8月16日专门召开网络安全与法治论坛，本届论坛将邀请马民虎教授和国内外专家以“网络安全命运共同体的法律保障”为主题，围绕积极进行网络安全监测预警，及时修补或防范网络安全漏洞等展开广泛的研讨和交流，为完善我国网络安全法治出谋划策。