网安法实施五周年的制度建设与带来的改变
作为我国第一部网络安全管理的基础性保障法,其全面落地实施是网络空间法治建设的重要里程碑事件。网安法以发现、消除网络安全威胁和风险,提升恢复能力为轴心,构建了“防御、控制与惩治”三位一体的立法架构,其配套制度的制定与出台正不断夯实丰满这一立法架构。
近年来,全球网络安全威胁伴随科技发展日趋复杂与严峻,深入社会的方方面面。据调查显示,超过80%的安全主管认为,自身单位面临的内外部威胁正在逐步增加,为了保障互联网良性发展,需要以法律法规的形式对网络行为主体的权力、义务进行规范,在问题发生时提供依法解决的措施。
以车联网为例,车联网借助新一代信息和通信技术,实现云、车、路、人全方位网络互联,并结合大数据、云计算、人工智能等技术,全面提升汽车智能化水平。不过其在提供舒适服务的同时也引入了更多的网络安全风险。
近几年车联网安全事件频发:2015年汽车遭到远程破解,导致其找回140万辆汽车;2018年tesla被远程无接触式破解,实现对车辆远程控制;2018年宝马汽车被曝14个漏洞,这些漏洞涉及车载娱乐系统、车辆控制系统、无线通信系统,受影响汽车可追溯至2012年。
不仅是智能汽车行业,对各行业来说都是如此,网络安全合规建设既是自身安全建设的起点,也是推动自身业务更好发展的重要因素。
2017年6月1日,《中华人民共和国网络安全法》正式实施。作为我国互联网领域第一部专门法律,《网络安全法》为我国有效应对网络安全威胁和风险、全方位保障网络安全提供了充分的法律依据。
至今,网安法实施五周年以来,不仅申明了网络主权原则,建立了关键信息基础设施保护制度,明确了互联网信息内容管理部门、网络运营者与个人在网络安全保护领域的权利与义务,进一步完善了个人信息保护规则,并为构建网络安全法律法规体系提供了基础性依据。
网络安全法
实现网络安全的法治保障
《网络安全法》落地五年来,通过不断健全完善网络安全法律制度、加强网络安全领域执法力度与协作,取得了一系列实施成就,构建了切实有效的网络安全保障体系,为我国数字经济高质高效发展提供了坚实基础。
2016年12月27日发布的《国家网络空间安全战略》,是我国首次发布关于网络空间安全的战略。
战略与网安法提出的构建网络空间的“和平、安全、开放、合作”原则相衔接,从国家战略层面诠释了网安法主张的网络空间主权原则,将“坚定捍卫网络空间主权”作为九大战略任务之首。
强调“根据宪法和法律法规管理我国主权范围内的网络活动,保护我国信息设施和信息资源安全,采取包括经济、行政、科技、法律、外交、军事等一切措施,坚定不移地维护我国网络空间主权。
坚决反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为”;战略将“保护关键信息基础设施”作为九大战略任务之三,进一步拓展了关键信息基础设施的外延,将重要互联网应用系统纳入其中。
强调着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度;同时,战略再次强调要建立实施网络安全审查制度,加强供应链安全管理。
2017年3月1日发布的《网络空间国际合作战略》,全面宣示了我国在国际互联网治理问题上的基本原则和行动要点,奠定了我国在国际社会竞争中的话语权和软实力。
该战略站在各国共同维护网络空间安全的角度,重申了网安法的和平、主权原则;战略主张的“促进企业提高数据安全保护意识,支持企业加强行业自律,就网络空间个人信息保护最佳实践展开讨论。
推动政府和企业加强合作,共同保护网络空间个人隐私”的行动倡议与网安法第四章“网络信息安全”的个人信息保护规定紧密契合。
网安法从运行安全、信息安全和事件应对三个维度立体化、全方位保护网络安全。相关部门正制定或出台相应的下位法与之配套,切实保障网安法的可操作性,避免流于表面化。
在网络运行安全方面,网络安全审查和关键信息基础设施保护制度是下位法制定的重点。国家互联网信息办公室2017年5月2日发布的《网络产品和服务安全审查办法(试行)》中进行了具体规定。
根据该办法,关系国家安全和公共利益的信息系统使用的重要网络产品和服务以及关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,都要经过网络安全审查;网络安全审查重点在于网络产品和服务的安全性、可控性。
信息安全等级保护制度是国家对基础信息网络和重要信息系统实施重点保护的关键措施。网安法第21条提出国家实行网络安全等级保护制度,第31条进一步要求关键信息基础设施要落实国家安全等级保护制度,突出保护重点,是深化信息安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要。
网安法第31条规定建立关键信息基础设施保护制度,授权国务院制定关键信息基础设施的具体范围和安全保护办法。关键信息基础设施安全保护办法是法律中唯一明确规定“由国务院制定”的行政法规,也是网络安全法律体系的重中之重。
网安法第37条首次在法律中确立了对个人信息及重要数据出境的安全评估制度,并授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。
国际网络安全相关战略和立法迅速进行改革,美欧纷纷建立全方位、更立体、更具弹性与前瞻性的网络安全立法体系。
美国接连通过多部网络安全战略及立法,以加强美国网络安全和抵御网络攻击的能力,如2016年通过《信息自由法案促进法》、“应对重大网络攻击最新政策指令”等。2017年通过《国家网络事件响应计划(NCIRP)》、《2017NIST网络安全框架、评估和审查法案》等。
此前,美国总统特朗普签署了《关于加强联邦网络和关键基础设施网络安全的总统行政令》,要求美国采取一系列措施来增强联邦政府、关键基础设施和国家这三个领域的网络安全,明确要求联邦机构必须遵守NIST的网络安全框架。
欧盟2016年7月通过第一部网络安全法案《网络与信息系统安全指令》,致力于在欧盟范围内实现统一的、高水平的网络与信息系统安全。
英国2016年底颁布史上最严协助执法法《调查权法案》,旨在进一步理清执法机构在通信及通信数据拦截、获取、留存及设备干扰等方面的权力,帮助执法机构调查犯罪和防控恐怖主义。
从制度设计层面来看,网安法规定了近20项制度,其中,网络安全等级保护制度、网络信息内容管理、网络安全教育和培训、个人信息保护等制度较为成熟。
网络关键设备和网络安全专用产品认证、漏洞等网络安全信息发布、关键信息基础设施保护制度、数据留存和协助执法制度、境外网络攻击制裁等更多的制度亟需完善设计和后续落地,在制度的贯彻实施过程中必然存在各种挑战和问题。
而恰恰国际立法变革的内容可以为我国网安法后续制度落地提供参考方向。必须强调的是,相关制度借鉴应考虑其制定和实施的特殊场景,不能照搬国外经验,需根据国情实施本土化改造。
END
参考资料:
1.《网安法实施五周年:制度建设与实施成就》央广网
2.《网络安全法》实施:实现网络安全的法治保障》网信中国
3.《网络安全动漫说:网络安全合规篇》北京日报
4.《网络安全动漫说:车联网安全》北京日报
5.《【民法典宣传月】网络安全在身边》澎湃新闻