下载掌阅APP,畅读海量书库
立即打开
网络信息安全监管是维护和塑造网络信息安全的重要途径。监管是手段,安全是目的。网络信息安全的属性和特点决定了网络信息安全监管的原则和模式。网络信息安全既涉及国家利益,也涉及社会公共利益和个人利益,是一个复合安全领域。在总体国家安全观视域下,网络信息安全是我国国家安全体系的重要组成部分。总体国家安全观所确立的安全治理的基本原则和模式,对确立网络信息安全监管的原则和模式具有指引意义。
第一,统筹发展与安全原则。统筹发展与安全是总体国家安全观的重要组成部分,中共十九届五中全会将其确立为我国经济社会发展的基本原则。在网络信息安全领域,由于我国发展相对滞后,部分领域还存在“卡脖子”问题,尤其需要坚持统筹发展和安全。既要防止只顾发展不顾安全的问题,也要防止为追求短期和局部安全而牺牲发展的问题。坚持统筹发展和安全,要求网络信息安全监管工作在范围和力度上把握好分寸,防止监管过宽过严妨碍技术创新、技术转化和产业发展。基于统筹发展和安全原则,2016年4月,习近平总书记在网络安全和信息化工作座谈会上提出要树立正确的网络安全观:一是网络安全是整体的而不是割裂的;二是网络安全是动态的而不是静态的;三是网络安全是开放的而不是封闭的;四是网络安全是相对的而不是绝对的;五是网络安全是共同的而不是孤立的。我国《国家网络空间安全战略》将“统筹网络安全与发展”作为四项原则之一,明确提出没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮。正确处理发展和安全的关系,坚持以安全保发展,以发展促安全。安全是发展的前提,任何以牺牲安全为代价的发展都难以持续。发展是安全的基础,不发展是最大的不安全。没有信息化发展,网络安全也没有保障,已有的安全甚至会丧失。
第二,风险防范原则。在国家安全治理的各个领域,从风险源到危机一般会有一个或长或短的演变过程。习近平总书记曾对风险演化过程作出精准、恰当的阐释:各种矛盾风险挑战源、各类矛盾风险挑战点是相互交织、相互作用的。如果防范不及、应对不力,就会传导、叠加、演变、升级,使小的矛盾风险挑战发展成大的矛盾风险挑战,局部的矛盾风险挑战发展成系统的矛盾风险挑战,国际上的矛盾风险挑战演变为国内的矛盾风险挑战,经济、社会、文化、生态领域的矛盾风险挑战转化为政治矛盾风险挑战,最终危及党的执政地位、危及国家安全。网络信息安全风险是一种综合性风险,风险来源多样、风险类型多元、风险之间关系错综复杂,防范不力可能向政治、经济、社会、文化等各领域传导,也可能一步步升级为重大危机。由于网络空间的虚拟性、匿名性、变动性、跨界性,风险治理在网络信息安全治理中极为关键。网络信息安全监管应将风险防范作为基本原则,注重加强对风险源和早期风险的监管,力争将风险化于无形,防止风险演变升级。
第三,社会共治原则。传统国家安全带有鲜明的“国家中心”特点,国家往往既是唯一指涉对象,又是核心治理主体。总体国家安全观内涵极为丰富,推动了国家安全理念革新和治理变革。总体国家安全观之“总体”具有多重意涵,其中就包括统筹多方力量保障国家安全。社会共治强调治理主体、治理资源、治理方式的多元化和主体间协同,相关理论资源包括多中心治理、整体性治理、综合治理等。我国《国家安全战略(2021—2025年)》《国家网络空间安全战略》以及《国家安全法》《网络安全法》《数据安全法》等法律法规均确立了国家安全社会共治的基本原则。基于这些战略和法律,网络信息安全监管不能让政府唱独角戏,而是应注重发挥其他社会力量的作用,实行合作监管。
第四,依法监管原则。全面依法治国背景下,网络信息安全监管必须纳入法制轨道。在网络信息安全监管领域,实行依法监管是法治中国建设的必然要求和题中应有之义。从功能角度讲,法治对网络信息安全监管具有保障和规范双重作用。一方面,通过构建网络信息安全法治体系,能够为网络信息安全监管提供合法性依据和法律规制工具;另一方面,法治也有助于加强对网络信息安全监管的规范和约束,防止过度监管、违法监管或不履行监管职责。自进入21世纪以来,我国就积极推进网络信息安全法治体系建设,中共十八大以来,随着党和政府高度重视网络信息安全,相关领域法治建设进一步加强,取得前所未有发展成果。尤其是《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络信息内容生态治理规定》等多层次、立体化法律法规的制定实施,对推进依法监管发挥了重要作用。
网络信息安全是一个复杂巨系统,网络信息安全监管模式必须对应于网络信息安全的构成要素和特性而展开。方滨兴教授认为,网络空间的构成要素可以分为载体、资源、主体和操作四个方面,基于这种分类,他认为应当建立四个层次的网络空间安全框架:一是设备安全,主要包括网络空间中信息系统设备所需要获得的物理安全、环境安全、设备安全等与物理设备相关的安全保障。二是系统安全,主要包括网络空间中信息系统自身所需要获得的网络安全、计算机安全、软件安全、操作系统安全、数据库安全等与系统运行相关的安全保障。三是数据安全,主要包括网络空间中在数据处理的同时所涉及的数据安全、身份安全、隐私保护等与信息自身相关的安全保障。四是应用安全,主要包括在信息应用过程中所涉及的内容安全、支付安全、控制安全、物联网安全等与信息系统应用相关联的安全保障。
我国《国家网络空间安全战略》从风险角度把网络空间安全风险分为网络政治安全风险、网络经济安全风险、网络文化安全风险、网络社会安全风险、网络国际安全风险五类,为探索网络信息安全监管模式提供了方向性框架。基于总体国家安全观确立的网络信息安全监管原则,对探索网络信息安全监管模式具有指引意义。综合来看,我国在网络信息安全监管实践中,逐渐形成了以下主要监管模式:
第一,全要素监管。网络信息安全是一个由硬件、软件、内容、信息、行动者等构成的互动空间场域,这些要素缺一不可。维护网络信息安全,就要维护所有构成要素的安全。全要素监管是一个总体目标,也是一个动态实现的过程。全要素监管的基本逻辑是将构成网络信息安全的核心要素、关键要素和重要要素全部纳入监管范围,实现监管全覆盖。伴随着网络信息安全战略、政策和法律的不断实施和完善,网络信息安全监管的覆盖范围不断扩大,各个关键要素逐渐都纳入监管体系。全要素监管模式在我国网络信息安全思想、网络信息安全战略、网络信息安全系列法律法规中都有体现。中央网络安全信息化委员会的成立和运转,对推进全要素监管发挥了重要作用。从主要国家网络安全监管实践来看,全要素监管也是一种主流模式。
第二,穿透式监管。穿透式监管是基于风险演化过程的监管模式。与其他安全领域风险类似,网络信息安全风险也存在一个从风险源到重大危机的演化过程。穿透式监管就是着眼于网络信息安全风险演化的全过程,实现对网络空间潜在风险、显性冲突、突发事件、重大危机的监管全覆盖。穿透式监管着眼于监管链条的纵深,与全要素监管形成互补效应。全要素监管涉及的四个主要环节不是相互割裂的,而是一个完整过程的四个组成部分。穿透式监管是一种连续性的监管,致力于将风险演化的主要环节都纳入监管体系。在我国国家安全战略、国家安全法、网络安全法、数字安全法等之中,都可以看到穿透式监管的逻辑和制度设计。
第三,包容审慎监管。全要素监管和穿透式监管致力于建设横到边、纵到底、全覆盖的监管体系。但是,也不能忽视监管的双刃剑效应。密不透风的监管可能窒息网络信息技术创新和产业发展的意愿,造成网络信息技术停滞、产业落后的局面。总体国家安全观强调坚持统筹发展和安全。我国《国家网络空间安全战略》强调不发展是最大的不安全。中央网络安全与信息化委员会的体制架构也充分彰显了统筹发展和安全的原则。在网络信息安全监管方面,贯彻落实统筹发展与安全原则,要求采取包容审慎监管模式。包容审慎监管旨在追求效率与安全的动态平衡,其要求政府给予新业态必要的发展时间与试错空间,并根据公共风险的大小进行适时适度干预,是有利于破解传统监管困局的新型监管模式。
包容性监管要求注重考虑监管对象的合理利益诉求,注重运用比例原则设计和实施监管举措。《优化营商环境条例》第55条规定政府及其有关部门应当按照鼓励创新的原则,对新技术、新产业、新业态、新模式等实行包容审慎监管。《法治中国建设规划(2020—2025年)》要求探索包容审慎监管等新型监管方式。
第四,合作监管。网络信息安全监管涉及的事项、环节和任务极为庞杂,仅靠哪一个部门都无法胜任,必须实行合作监管。在我国,党和政府是促成合作监管的主导力量。具体来说,中央国家安全委员会、中央网络安全和信息化委员会是推动合作监管的体制架构安排。实践中,参与合作监管的部门既包括党的组织,也包括立法机关、行政机关、司法机关、监察机关、平台企业、社会组织和新闻媒体等。《国家安全法》《网络安全法》等一系列法律法规以及《中国共产党政法工作条例》《中国共产党宣传工作条例》等党内法规规定了各部门参与网络信息安全监管的职责。合作监管模式在很多监管领域都有体现,例如,习近平总书记在中共中央政治局第三十八次集体学习时,针对平台经济等领域资本无序扩张的突出问题,强调指出要深化监管体制机制改革,坚持依法监管、公正监管、源头监管、精准监管、科学监管,加强行业监管和金融监管、外资监管、竞争监管、安全监管等综合监管的协调联动。