下载掌阅APP,畅读海量书库
立即打开
网络信息安全事关国家核心利益和重大利益,事关社会公共利益和个人利益,维护和塑造网络信息安全,既要发挥党和政府的主导作用,也要发动全社会的力量。网络信息安全监管作为防范应对网络空间综合性风险的重要工具,具有坚实的理论、战略和法律依据。
对于网络信息安全监管而言,网络主权是一个前提性、基础性概念。只有在承认网络主权的前提下,一国才能合法有效地行使网络治理权,才能为网络信息安全监管构筑坚实的法理和法律基础。
自互联网兴起以来,围绕传统主权概念能否适用于网络空间的问题,曾引发长期的争论。早期的网络主权否定论者认为,网络空间无主权,网民与传统主权国家之间不存在社会契约,网民通过自由联合建立一个全新的虚拟空间和社会共同体,主权国家不应以任何方式染指网络空间。在“雷诺诉美国公民自由联盟”一案中,互联网无国界、网络空间独立自治的主张获得美国司法机构的认可。有的研究者把网络主权否定论概括为三种类型,一是基于网络特征否定网络主权,二是基于网络空间作为一种全球公域而否定网络主权,三是基于网络空间自由秩序论而否定网络主权。
不过,随着网络信息技术向人类政治、经济、社会、文化等各领域的广泛渗透,全球政治经济不断发展变化,互联网领域国际竞争日趋激烈,网络主权否定论很大程度上失去了现实基础。近年来,随着网络安全风险不断加大,尤其是网络政治安全风险威胁日益突出,即便是美国政府也逐渐改变其长期宣扬的网络自由主义立场,更大程度上接受网络主权概念。网络主权是主权概念在网络时代的新发展,虽然外部条件发生了变化,但其内涵和逻辑并未颠覆主权范畴。
而从网络信息技术发展和应用的真实实践来看,美国政府自始至终都对其国互联网乃至国际互联网的核心部分保持着实际控制,网络空间从未彻底摆脱国家主权,网络空间始终是现实世界的组成部分,最终仍然要从属于国家主权。
从世界范围看,在网络空间这一新疆域,各国网络资源和网络攻防力量的不均衡、不平等问题尤为突出,“网络鸿沟”“数据鸿沟”是一种冰冷的政治社会现实,网络霸权主义已经成为全球公害。
近年来,网络主权肯定论逐渐成为国际共识。2003年,联合国信息社会世界峰会通过的《日内瓦原则宣言》提出“互联网公共政策的决策权是各国的主权”。2013年6月,第68届联合国大会通过“从国际安全的角度来看信息和电信领域发展政府专家组”所形成的决议,提出国家主权和源自主权的国际规范和原则适用于国家进行的信息通信技术活动,以及国家在其领土内对信息通信技术基础设施的管辖权,该决议事实上承认了网络主权。2015年,二十国集团领导人《安塔利亚峰会公报》指出:确认国际法,特别是《联合国宪章》,适用于国家行为和信息通信技术运用,并承诺所有国家应当遵守进一步确认自愿和非约束性的在使用信息通信技术方面的负责任国家行为准则。2016年,欧洲议会通过《通用数据保护条例》(
GDPR
),取代1995年的《数据保护指令》,体现出加强数据主权的鲜明立场和明确政策主张。2016年6月25日,中俄签署《关于协作推进信息网络空间发展的联合声明》,在推动尊重各国网络主权,反对侵犯他国网络主权等七个方面达成共识。2016年10月16日,金砖国家领导人第八次会晤《果阿宣言》重申:在公认的包括《联合国宪章》在内的国际法原则的基础上,通过国际和地区合作,使用和开发信息通信技术。这些原则包括政治独立、领土完整、国家主权平等、以和平手段解决争端、不干涉别国内政、尊重人权和基本自由和隐私等。这对于维护和平、安全与开放的网络空间至关重要。
关于网络主权或网络空间主权的定义,学界尚未形成一致看法。一种观点认为,网络空间主权是指:(1)国家按其意志在领域内对网络设施、网络主体和网络行为所拥有的“最先权力”“最终权力”“普遍权力”;(2)国家向其他国家主张的、对网络设施、网络主体、网络行为享有的“单边权力”和“共治权力”以及相应的合作义务。
由武汉大学、中国现代国际关系研究院、上海社会科学院联合发起,中国社会科学院、清华大学、复旦大学、南京大学、对外经贸大学、中国网络空间安全协会联署发布的《网络主权:理论与实践(2.0版)》,从权利和义务两个维度定义网络主权,其中指出在权利维度,网络主权是国家主权在网络空间的自然延伸,是一国基于国家主权对本国境内的网络设施、网络主体、网络行为及相关网络数据和信息等所享有的最高权和对外独立权,具体包括独立权、平等权、管辖权(立法规制权、行政管理权、司法管辖权)、防卫权;在义务维度,网络主权包括不侵犯他国、不干涉他国内政、审慎预防义务、保障义务。
在网络主权肯定论者中,对于网络主权的内涵也有不同看法,形成强主权和弱主权的差异化主张。基于克拉斯纳(StephenDavidKrasner)的主权分类法(威斯特伐利亚主权、国际法主权、相互依赖主权、内部主权),结合网络空间的分层特性,研究者提出一种分层建构网络主权概念的主张,认为在物理层可以直接适用传统威斯特伐利亚主权概念,在逻辑层需要将主权概念转化为一国平等参与互联网基础资源分配决策的权利,在内容层面,一方面需要坚持传统主权,塑造符合一国社会文化观念体系的内容治理制度,另一方面需要接受相互依赖的主权概念,参与并推动数据跨境流动的国际合作。
对于网络主权,我国政府态度非常明确,是网络主权肯定论的重要倡导者和践行者。2014年中央网络安全与信息化领导小组(2018年改为中央网络安全和信息化委员会)成立以来,习近平总书记在多个重要场合对网络主权作出系统阐述,反复强调要理直气壮维护我国网络空间主权。2015年12月,习近平总书记在第二届世界互联网大会开幕式上的讲话明确指出尊重网络主权。《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。我们应该尊重各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动。
我国法律也明确写入“网络空间主权”概念。2015年7月1日起施行的《中华人民共和国国家安全法》(以下简称《国家安全法》),在维护国家安全的任务一章中,对维护网络信息安全的任务作出原则性规定,其中包括加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
2016年11月7日审议通过、2017年6月1日正式施行的《网络安全法》总则中规定:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”与《国家安全法》相比,《网络安全法》不再是从国家利益角度相对模糊地阐述网络空间主权利益,而是将“网络空间主权”予以单独表述,消除立法语言的模糊性,更加明确清晰地确立“网络空间主权”概念。在法律上确立“网络空间主权”概念,是《网络安全法》以及相关法律法规实施的基石,网络信息安全监管也因此具有了更加坚实和厚重的法理和法律基础。
针对网络空间日益突出的诸多问题,各国不断完善网络信息安全战略、法律和政策,不断加强和优化网络信息安全监管,持续提升网络信息安全治理能力。
美国在网络安全战略谋划方面具有领先性和借鉴意义。2011年,美国奥巴马政府发布《网络空间国际战略》,这是美国也是国际社会第一份网络空间治理的战略性文件。同年,美国国防部发布首份《网络空间行动战略报告》,对美国军方网络攻防能力建设以及相关事项进行谋划部署。2014年,奥巴马政府宣布启动美国网络安全框架(CCSF),进一步完善和强化美国网络安全战略。特朗普政府时期,美国先后出台涉及网络空间安全的《国家安全战略报告》《国家网络战略》,以及《增强联邦政府网络与关键性基础设施网络安全》行政令等战略文本。拜登政府时期,美国在网络安全领域动作频频。2022年12月,美国众议院通过《量子计算网络安全防范法案》,旨在应对信息技术系统向后量子密码学时代迁移的状况。在亚洲,日本在《网络安全战略》中明确提出“网络安全立国”。印度于2011年出台《国家网络安全策略(草案)》。在网络空间国际治理方面,2018年,法国提出《网络空间信任与安全巴黎倡议》。
我国政府和社会在21世纪初就认识到网络信息安全领域存在诸多风险隐患,并围绕一些突出问题不断探索防范应对方法。进入新时代,网络空间风险挑战日益突出和复杂化,引起中央高度重视。中共十八大以来,习近平总书记发表一系列重要讲话、作出一系列重要指示批示,对网络信息安全工作作出战略定位和周密部署。
2013年11月,《中共中央关于全面深化改革若干重大问题的决定》的说明中明确指出,网络和信息安全涉及国家安全和社会稳定,是我们面临的新的综合性挑战。基于这种重大判断,中央决定成立网络安全和信息化领导小组,着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会、军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强网络信息安全保障能力。
2014年2月27日,习近平总书记在中央网络安全和信息化领导小组第一次会议上指出,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。同时强调指出,没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。
2015年12月16日,习近平总书记在第二届世界互联网大会开幕式上的讲话指出:《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间;一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。”网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。国际网络空间治理,应该坚持多边参与、多方参与,由大家商量着办,发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各个主体作用,不搞单边主义,不搞一方主导或由几方凑在一起说了算。
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上指出,网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。谁都不愿生活在一个充斥着虚假、诈骗、攻击、谩骂、恐怖、色情、暴力的空间。互联网不是法外之地。利用网络鼓吹推翻国家政权,煽动宗教极端主义,宣扬民族分裂思想,教唆暴力恐怖活动,等等,这样的行为要坚决制止和打击,决不能任其大行其道。同时强调指出,互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。
在这次座谈会上,习近平总书记还指出,从世界范围看,网络安全威胁和风险日益突出,并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。还强调,要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。企业要重视数据安全。如果企业在数据保护和安全上出了问题,对自己的信誉也会产生不利影响。
2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》。《国家网络空间安全战略》是我国网络信息安全领域的第一个国家战略。从风险防控角度,该战略将我国网络空间安全风险分为五大类。一是网络政治安全风险,包括利用网络干涉他国内政、攻击他国政治制度、煽动社会动乱、颠覆他国政权,以及大规模网络监控、网络窃密等活动严重危害国家政治安全和用户信息安全。二是网络经济安全风险,是指网络信息系统遭受攻击破坏、发生重大安全事件,将导致能源、交通、通信、金融等基础设施瘫痪,造成灾难性后果,严重危害国家经济安全和公共利益。三是网络文化安全风险,包括网络上各种思想文化相互激荡、交锋,冲击优秀传统文化和主流价值观,以及网络谣言、颓废文化和淫秽、暴力、迷信等违背社会主义核心价值观的有害信息侵蚀青少年身心健康,败坏社会风气,误导价值取向,危害文化安全。四是网络社会安全风险,包括恐怖主义、分裂主义、极端主义等势力利用网络煽动、策划、组织和实施暴力恐怖活动,直接威胁人民生命财产安全、社会秩序,以及计算机病毒、木马等在网络空间传播蔓延,网络欺诈、黑客攻击、侵犯知识产权、滥用个人信息等不法行为大量存在,一些组织肆意窃取用户信息、交易数据、位置信息以及企业商业秘密,严重损害国家、企业和个人利益,影响社会和谐稳定。五是网络国际安全风险,是指国际上争夺和控制网络空间战略资源、抢占规则制定权和战略制高点、谋求战略主动权的竞争日趋激烈,个别国家强化网络威慑战略,加剧网络空间军备竞赛,世界和平受到新的挑战。
对于新兴安全领域而言,法律具有多重作用。从法治实施的四个环节来说,立法有助于巩固新兴安全领域的“安全化”成果,确立新兴安全领域在国家安全体系中的正式地位;执法、司法是推进和加强新兴安全领域治理的重要途径和内容;守法有助于凝聚社会力量共同参与新兴安全领域工作。对于网络信息安全监管而言,网络信息安全法律法规既具有规范引导作用,也为其运行和实施提供了合法化依据。
网络信息安全是一个复杂巨系统,也是一个不断发展变化的安全领域,该领域的立法带有较为明显的回应型法特点。从世界主要国家来看,针对网络信息安全的特点,网络信息安全立法基本上都采取了分散立法模式。例如,美国1986年《计算机欺诈和滥用法》、1986年《电子通信隐私法》、1987年《计算机安全法》、2001年《关键基础设施信息安全法案》、2002年《国土安全法》、2002年《网络安全研究和发展法》、2002年《电子政府法》、2002年《联邦信息安全管理法》、2019年《开放政府数据法案》等。在欧洲,欧洲议会于2016年通过《通用数据保护条例》,经过两年缓冲期后于2018年5月正式施行。新加坡于2019年5月通过《防止网络虚假信息和网络操纵法案》。俄乌冲突爆发后,为了应对西方发起的信息战,俄罗斯紧急修改刑法,加大对网络虚假信息的刑事惩治力度。
多年来,我国在网络信息安全领域的立法工作取得长足进步,先后出台《全国人民代表大会常务委员会关于维护互联网安全的决定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电子签名法》《电子商务法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《网络信息内容生态治理规定》《网络安全审查办法》《关键信息基础设施安全保护条例》等系列法律法规。