返回上一页 文章阅读 登录

洪延青:“以管理为基础的规制”

——对网络运营者安全保护义务的重构

更新时间:2016-12-12 23:55:21
作者: 洪延青  

   摘要:  和世界上大多数国家一样,我国的网络运营者主要是党政军和国有企事业单位之外的私营部门。因此,如何妥善地界定他们所需承担的网络安全保护义务,是改善我国网络安全状况的关键问题之一。在此方面,现行制度和两次公开征求意见的《网络安全法(草案)》,均采用了“关注安全底线的、静态的、具体的措施性规定”,作为网络运营者安全保护义务的核心内容。而在网络安全形势瞬息万变的今天,“关注安全底线的、静态的、具体的措施性规定”实际上并不足以为网络和信息系统提供实质性的安全。因此,《网络安全法》中对于安全保护义务的制度设计,应该致力于让网络运营者在内部决策环节就足够重视风险管理,使安全义务从外部“至上而下”地施加转变为“内化于心”。

   关键词:  网络安全,网络运营者,安全保护义务,以管理为基础的规制

  

   目前,我国网络安全形势不容乐观:据国家互联网应急中心(CNCERT)发布的《2014年我国互联网网络安全态势报告》,中国数据信息保护正面临严峻挑战。仅2014年,中国就有多家知名电商、快递公司、招聘网站、考试报名网站等发生数据泄露事件;2014年5月,某知名手机厂商论坛数据泄露,由于用户管理模块存在漏洞,导致包括账号、密码和社交账号等800万用户个人信息泄露。[1]最新发布的《2015年我国互联网网络安全态势综述》显示,2015年,我国同样发生了严重的数据泄露事件:约10万条应届高考考生信息泄露事件、某票务系统近600万用户信息泄露事件等等。[2]

   当然,数据泄露并非我国一家独有。美国智库对外关系委员会将2014年评为“商业网络攻击的一年”。2014年,除针对索尼影业的网络攻击外,美国还发生数起“千万级”的数据泄露事件,造成了不可估量的经济损失,如2014年1月,著名零售公司Target宣布黑客窃取了超过7000万顾客包括姓名、地址等在内的个人信息,以及4000万张信用卡的数据;2014年8月,摩根大通银行承认,在其遭受的网络攻击中,7600万家庭用户和700万小型企业的信息被泄露,涉及人数超过美国人口的四分之一。[3]

   毫不夸张地说,当下国内外一起起数据泄露事件正在“抢着上头条”。在数字经济时代,数据的重要性无需赘述。其中,个人信息因“能够单独或者与其他信息结合识别用户”[4],更是“价值堪比石油和黄金”。反过来,数据泄露也给这些企业带来巨大的负担。根据IBM和美国数据安全保护权威研究机构Ponemon Institute于2016年发布的报告,2016年数据泄露事故中每条记录的成本达到158美元,单起数据泄露事故的平均总成本高达400万美元。[5]可以说,数据泄露等网络安全事件频发,已经成为任何使用计算机和互联网的单位、个人都无法回避的问题。

   2015年7月6日,全国人大公布了《中华人民共和国网络安全法(草案)》,向社会公开征求意见。[6]2016年7月6日,全国人大又公布了《中华人民共和国网络安全法(草案)》(二次审议稿)。[7]作为网络安全领域最重要的立法,《网络安全法(草案)》对网络运营者[8]的安全保护义务做出明确规定。一审稿的立法说明指出,“保障网络运行安全,必须落实网络运营者第一责任人的责任”[9],清晰明确地规定了网络运营者是保护网络安全和个人信息的主要责任人。而在确定责任主体后,《网络安全法(草案)》和现行制度对网络运营者安全保护义务内容的规定是否充分、能否达到效果,就成为改善、保障我国网络安全最重要的问题之一。如果不足,又该如何改进?和世界上大多数国家一样,我国的网络建设、运营方主要是党政军和国有企事业单位之外的私营部门。在网络安全保护上,党政军和国有企事业单位所承担的义务也与私营部门有所不同,[10]本文将主要关注私营部门的网络安全保护义务。

   对比《网络安全法(草案)》一审和二审稿文本,对网络运营者安全保护义务的主要规定仅有略微变化,可见立法者延续了网络运营者安全保护义务的立法思路。因此,如无特别说明,下文将主要引用《网络安全法(草案)》(二审稿)的文本。

  

一、网络运营者的安全保护义务—中国的逻辑

   保障我国网络安全,核心问题之一是“如何让私营部门动起来”,切实做到“守土有责”、“守土负责”、“守土尽责”。其中首要问题是把“责”规定好。

   (一)网络安全和数据保护的责任主体—“谁运营谁负责”

   按照现行规定,网络安全和数据保护的责任主体是网络运营者。“谁运营谁负责”是一个简明的概括。例如,在法律层面,全国人大常委会《关于加强网络信息保护的决定》第四条规定,“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”

   在法规层面,《中华人民共和国计算机信息系统安全保护条例》第十三条规定,计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作;《中华人民共和国电信条例》第五十九条规定,电信业务经营者应当按照国家有关电信安全的规定,建立健全内部安全保障制度,实行安全保障责任制。[11]

   综合《网络安全法(草案)》第十条[12]和立法说明[13]的内容,可以看出草案也遵循了“谁运营谁负责”的理念:“建设、运营网络或者通过网络提供服务”的一方承担主要的安全保护义务,政府部门更多的是协调、监督、管理。[14]换句话说,《网络安全法(草案)》对“建设、运营网络或者通过网络提供服务”的一方施加了安全保护义务,政府将主要监管这些义务是否履行到位和充分。

   (二)安全保护义务的主要内容

   1.《网络安全法(草案)》

   目前《网络安全法(草案)》对“责”的主要规定体现在第十条、第十四条、第二十条中,网络安全等级保护制度是网络安全保护的基本制度;同时国务院标准化行政主管部门和国务院有关部门组织制定网络安全相关的国家标准、行业标准;网络建设、运营方按照网络安全等级保护制度的要求和国家标准、行业标准的强制性要求,采取相应的管理措施、技术防范及其他必要措施。

   也就是说,网络运营者安全保护义务的“责”,主要来自于三部分:一是网络安全等级保护制度;二是国家标准、行业标准(两者共同规定了管理措施和技术措施的内容);三是“其他必要措施”。这一点也明确体现在《网络安全法(草案)》第四十一条对网络运营者维护信息安全的规定中:“网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。”《网络安全法(草案)》在第三十二条还对关键信息基础设施的安全保护义务做出了额外规定,同样遵循了上述逻辑。

   2.网络安全等级保护制度(信息安全等级保护制度)

   在公布一审稿时,全国人大常委会法工委对“网络安全等级保护制度”做出如下立法说明:“草案将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。”[15]值得注意的是,我国现行的是“信息安全等级保护制度”,并没有所谓的“网络安全等级保护制度”。笔者推测,并非法工委犯了错误,而是为了在网络安全立法中保持概念上的一致。因此可以认为,草案中的“网络安全等级保护制度”将沿袭现行的“信息安全等级保护制度”。

   在现行体制中,信息安全等级保护在国家信息安全保障体系中是一项基本制度”,是指“对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置”。[16]

   信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督(见图一)。分级的依据是“信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素”。[17]

   总的来说,信息安全等级保护的基本逻辑是:(一)针对不同等级,制定相应的管理规范和技术标准;(二)根据信息和信息系统的不同重要程度,以及每一等级的管理规范和技术标准,组织行政机关、公民、法人和其他组织开展有针对性的保护工作;(三)政府对不同安全保护级别的信息和信息系统实行不同强度的监管政策。因此,在信息安全等级保护制度中,不同分级配套的管理规范和技术标准构成了安全保护义务的主要内容。

   3.信息安全等级保护国家标准、行业标准的内容和特征

   《网络安全法(草案)》中,“国家标准、行业标准”贯穿于安全保护义务的有关条文。信息安全等级保护制度则采用了“管理规范和技术标准”的表述。根据全国人大法工委的立法说明,可以认为“国家标准、行业标准”与“管理规范和技术标准”具备相同内涵。信息安全等级保护制度涉及众多国家标准。[18]这里的分析将以系统定级和建设中涉及的标准为主,原因是系统定级是实施信息系统安全等级保护的前提和基础,而定级后不同安全保护等级信息系统的基本保护要求,则规定了安全保护义务的主要内容。

   (1)标准的内涵

   从本质上讲,标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协商一致,由主管机构批准,以特定形式发布,作为共同遵守的准则和依据。[19]而信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。[20]

   (2)定级标准

   《信息系统安全保护等级定级指南》规定,“信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。”其中客体是指“受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益”。上述逻辑可用图二直观表示:[21]

图二:信息系统等级划分示意

   (3)基本安全保护能力

《信息系统安全保护等级定级指南》规定,网络运营者应当保证系统具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。因此,系统完成定级后,就需根据《信息系统安全等级保护基本要求》进行建设。在该标准中,安全保护能力是指“系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度”。《信息系统安全等级保护基本要求》详细阐述了各级的安全保护能力目标,并把如何实现各级的安全保护能力进行了具体分解(见图三)。(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/102533.html
收藏