下载掌阅APP,畅读海量书库
立即打开
网络安全的治理观念,是一种通过治理达成安全的思维观念,体现为以网络事业全部范围为指向的一种通过特定管理体系运用公共权威去维护其安全运行以满足事业需要的思维。它在特点上,同样必须具备规制对象的领域性而非个别性、规制方法的体系性而非简单手段性、目的的事业性而非个别利益性、规制运行机制的互动性而非简单命令性等。
网络安全规制,其规范对象网络安全本身发生在人们的网络活动之中,本身涉及行为人之间复杂的利益关系。首先,其具有活动属性并在某种具体当事人之间的利害关系中展开,应该呈现一种行为规制的特点。但是,这种具体行为最终附属于网络领域事业活动的开展,属于整体领域的具体化部分,且当事人具体利益关系的背后受制于制度整体配置的复杂性,简单的行为规制本身是绝对不够的。这种情况,就不应该是那种简单适用于某种具体行为、具体利益关系为对象的单纯的行政规制、侵权法规制、刑事法规制手段等就可以实现关于安全的规制。而毋宁说,必须同时也从网络事业概念出发,引入行业治理或领域治理的概念,进行一种立体意义的网络安全规制,即应当引入网络安全治理思维。
有关治理思维,最早在行业管理领域出现,随着工业革命以来社会事业分工日趋发达,这种行业管理的治理观得到极大的延伸,包括各种产业、事业领域,前者如矿业,后者如金融、医疗、环境保护等。现代“治理原则”滥觞于1989年世界银行对非洲经济危机(Crisis in governance)的形容,从此治理被广泛用于政治、社会、经济学的研究中
。政治学者俞可平认为治理一词的基本含义是指官方民间的公共管理组织在一个既定的范围内运用公共权威维持秩序,满足公众的需要
。治理的目的是在各种不同的制度关系中运用权力去引导、控制和规范公民的各种活动,以最大限度地增进公共利益。治理与管理最大的不同在于其自身的高度包容性,其具有吸收非正式制度作为公共秩序规则补充的能力
,且参与主体多元、以自身的过程性实现对静态命令与服从关系的超越。此外,治理本身还有善治与非善治的区别。
诸多领域或实际部门对于网络安全治理的基本价值或必要性,已经从各自的视角进行了广泛而深入的研究和讨论。
计算机专家侧重于标准与应用技术的开发,如XML和Java
;电信专家侧重于从发展基础设施的角度加强网络安全治理;通信专家侧重于沟通安全的保护。这些表明,网络安全的价值问题是各种领域安全需求的组合问题。政治家通常更加重视媒体和选民所关心的话题,如技术乐观主义(更多计算机=更多教育机会)和威胁(在线儿童保护)等
。人权专家和自由主义者多侧重于言论自由等基本人权看待网络安全治理
。外交家更加侧重于对国家利益的实现和保护。法学家则是从维护网络空间不同主体合法、正当利益的角度对于网络安全治理的基本价值加以认识。
我国《网络安全法(草案)》在第1条规定了立法目的或价值,即“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”在我国,在当今网络空间时代,网络安全治理问题还具有特别的时效性,应作为国家治理体系的重要一环,即,在全面走向依法治国背景下,网络安全治理体系和能力成为国家治理体系和治理能力现代化的一种新要求、新内涵。
网络安全治理体现为战略、体制、机制三个重点要求。
首先是战略层面。网络安全体系与其他管理体系比较,具有战略的高度。当前世界各国认识到,这种网络安全本身不仅包含国家安全维度,同时网络安全所置身的网络信息化事业本身更是具有战略基础性价值,所以为了维护网络安全自身涉及的国家安全,以及为了通过网络安全保障更好地维护网络信息化事业基础,各国无一例外将网络安全问题上升到国家战略高度,将网络安全治理视为维护和强化国家竞争力、维护国家安全和主权安全的重大战略问题。在确立网络战略、网络空间战略和网络安全战略的基础上,进行这种治理体制布局。
近10年来,美国网络空间战略不断深化,经历了战略防御、综合行动、国际扩张三个阶段,其以《网络空间国际战略》为目标,将网络安全作为国家安全的重要支柱,率先构建起网络安全战略体系。英、德、法、俄、日等近50个国家都出台了国家网络安全空间战略,从体制机制、立法、基础设施、产业、贸易、攻防对抗等多个角度加速网络空间战略部署。此外,网络空间外交和话语权争夺越发激烈,美国等在网络安全治理方面,极力倡导信息自由流动,主张“跨国界、跨主权”的国际治理,并大力倡导“利益相关方”治理,借助非政府组织势力,削弱他国政府话语权。从理论上看似乎没有问题,但是由于美国网络技术、网络应用的领先性,这种自由主张对各国网络空间安全维护和实际平等管理权造成一定程度的威胁。有关国家甚至在网络领域开展军备竞赛,建立网络特种部队,更直接赋予网络安全以军事安全的意义。
我国也不例外。2015年7月1日,我国颁布《国家安全法》(第29号主席令),将网络安全上升为国家安全战略的内容,其地位不容小觑。该法第25条规定,国家建设网络与信息安全保障体系,维护国家网络空间主权、安全和发展利益。《网络安全法(草案)》确立和突出了网络安全的战略性,具体分为总则,网络安全战略、规划与促进,网络运行安全,网络信息安全,监测预警与应急处置,法律责任,附则七大板块,认为此种结构是“根据我国网络安全面临的严峻形势和网络立法的现状,充分总结近年来网络安全工作经验,确立保障网络安全的基本制度框架”。
其次是体制层面,网络安全治理需要进行主体设置。为了使得治理成为一种可能,必须设计主体机制并赋予其治理之权,具体包括其组织形式、权力依据、权力范围等制度规定。除了一般管理体系,各国大都设立国家级的网络与信息安全战略协调机构,强化集中领导和综合协调。美国设有直接面向总统的网络安全协调机构,领导白宫网络安全办公室,协调军民各部门工作。英、俄、日等国均都设立相关的管理机构,完善分工协作机制,全面统筹和协调网络空间各方力量。[我国关于网络安全的战略思维,有一个形成过程,2014年2月27日,中央网络安全和信息化领导小组成立,标志着互联网安全治理上升为国家战略层次。2015年7月,领导小组做出新指示,将信息化推进、网络信息安全协调等职责明确赋予中央网络安全和信息化领导小组办公室(国家互联网信息办公室),同时具体由工业和信息化部负责网络强国建设,致力于维护网络安全
。]从体系的角度,网络安全治理体系在很大程度上有着行业自律的要求。鉴于网络安全保障在很大程度上依赖于网络经营者、从业者的自觉性和合作立场,有必要发挥行业协会对于网络安全管理的重要自律作用。《网络安全法(草案)》第8条参照了其他国家的做法,规定了这种行业自律机制,网络相关行业组织要按照章程,加强行业自律,制定网络安全行为规范,指导会员依法加强网络安全保护,提高网络安全保护水平,促进行业健康发展。然而,遗憾的是,《网络安全法(草案)》对行业协会的规定表述上看仅仅具备宣示性的作用,对行业协会在网络安全管理当中应发挥的职责意识也尚显不足,这不得不说是一种遗憾。理想的做法是,立法应当明确行业协会对于网络安全的风险评估和等级保护评估职能,应当要求网络安全组织建立本行业的网络安全保护规范和协作机制,建立网络安全风险评估机制,定期向成员进行风险提示,协助成员应对网络安全风险。此外,源于对不同的客体的保护等级不同,行业协会还应当指导、协助成员评估自身系统对应的保护等级,从而建立和自身系统相匹配的等级保护体系
。
再次是机制方面。网络安全治理存在运行问题,需要通过特定手段、措施包括依据程序,促成运行方式和行动,达成各种实际的、及时的治理效果。这些机制,可以针对网络安全的功能分类,体现为物理安全的保障机制,也可以体现为信息安全方面的保障机制。它们依据手段本身的性质和特点,又可以或者表现为纯粹技术的手段,或者表现为行为规制的手段。应特别注意的是,网络空间本身是技术的产物。无论是物理的安全,还是信息的安全治理,本身都需要依赖技术的改进和应对。此外,这些机制,也可以依据针对网络安全的利益保障性质,表现为不同法律保障机制的设计,例如民事保障机制、行政保障机制、刑事保障机制,分别针对网络侵权或违约、网络行政违法、网络犯罪。它们也可以从治理阶段的角度,区分为预防手段、惩治手段和完善手段,包括系统建立网络安全促进技术发展机制、监管机制、应急保障机制和安全人才培养机制
。
网络安全治理机制,应该具有较大的灵活性。应该针对网络空间的复杂性和动态性,法律应当赋予网络安全治理机构必要的政策规章制定权以及管理上的灵活机动性。法律制定程序相对烦琐,很难及时应对网络技术对法律的冲击,诸多互联网领域的新问题尚无现行法律依据,游走于法律的灰色地带,需要治理机构积极依据程序,运用体制赋予的灵活性加以及时决断。以严格的教义学为出发点的传统法律规制路径,很难适应日新月异的网络安全治理要求,所以不能简单理解“依法行政”、“依法治理”。以《反不正当竞争法》为例,“流量劫持、深度链接、竞价排名”,本身没有得到立法明确,这就需要网络安全治理机构动用灵活性及时、合理加以解决。