中国-东盟信息港落户南宁,将成为建设21世纪“海上丝绸之路”的信息枢纽,为中国-东盟实现网络互连、信息互通搭建平台。网络主权是国家主权在网络空间中的延伸,在开展与东盟各国网络信息共享的同时,必须确保我国网络信息安全,以保障我国网络主权。文章在网络安全已经成为国家战略的前提下,结合中国-东盟信息港建设中我国网络信息安全面临的危机、问题,从宏观和微观两个层面厘清我国网络信息安全保障制度的缺失,提出要建立网络信息分类管理机制、个人信息保护制度和网络信息安全防控制度等具体对策。
一、网络空间安全已经上升为国家战略
如何协调好新兴科技与人类基本权利的关系,构建安全的网络空间,促进网络社会的健康有序发展,成为当前世界各国面临的至关重要的司题。网络信息是网络空间的核心元素,是网络空间安全的有机组成部分,应当成为国家网络空间安全战略的重要关注焦点。
党的十八届三中全会通过《中共中央关于全面深化改革若干重大司题的决定》,明确提出“坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全”,以及“设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全”。根据此决定,中共中央于2014年1月24日成立由习近平总书记任主席的中央国家安全委员会,2月27日成立由习近平总书记任组长的中央网络安全和信息化小组,同时提出“没有网络安全就没有国家安全”,要求把我国建设成为网络强国。“大数据”时代下的我国网络信息安全成为国家安全的重要组成部分,被提升至前所未有的战略高度,但是我国网络信息安全保障法律制度尚为缺乏,导致我国不仅对于网民个人信息权和隐私权的保障有心无力,而且面临国外网络强国的网络监听监控、网络霸权主义和信息殖民主义威胁。
二、“棱镜门”事件凸显国家网络信息安全面临巨大挑战
2013年6月“棱镜门”事件爆发,美国政府利用九大顶级互联网公司微软、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、苹果等的服务器,肆意监控和收集各国政府、政要和网络用户信息的行为大白于天下,石激起千层浪,遭到了世界各国的纷纷谴责,美国鼓吹“网络自由”的虚伪面具亦被瞬间撕毁。受到美国国安局信息监视项目“棱镜”监控的主要电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节等十类信息。“棱镜门”事件揭露出来的美英政府监控世界各国、窃取全球用户信息不过是其监控计划的冰山一角,可是该事件却敲响了各国网络信息安全保护的警钟。
云计算作为一种新兴的互联网服务模式,正在引发全球第三次信息技术革命。凭借云计算技术强大的运算能力,信息的传输、处理和存储向集中化、规模化的方向发展,网络空间安全更加紧密地与国家政治与经济、国家的主权与安全联系在起,成为国家独立自主、稳定繁荣的重要基石。
但是,反观我国网络信息产业,无论是基础设施还是核心技术都已经由外资企业,特别是美国企业所控制。我国的信息产业链条上,路由器、交换机、芯片和软件等基础设备用的是思科、英特尔的;操作系统用的是微软的;Office等应用软件用的是美国的;而国人热衷使用苹果手机,三大手机操作系统iOS、An-droid、Windows都是美国的。近年来些国家和地区发生的“颜色革命”“Twitter革命”“茉莉花革命”等一系列政治变革事件中,以Facebook、Twitter、Youtube等社交和视频网站为代表的互联网发挥了推波助澜的作用,在这个过程中,外国政府通过网络信息技术这只无形的手直接操控了阿拉伯国家的政变,并导致了一系列国家的政权更迭。目前,国外信息产品占据了我国主流市场,操作系统核心技术被国外掌握,应用软件缺乏安全审查机制,网络空间的国家安全已经面临空前严峻的挑战。
三、我国宏微观层面网络信息安全保障制度的缺失
“网络空间安全”已经获批成为国家一级学科,我国《网络安全法》(草案)完成了意见征集,我国网络安全提升到 个新的高度。《网络安全法》(草案)第二章标题为“网络安全战略、规划与促进”,明确提出国家要“制定网络安全战略”,以立法方式来确定网络安全战略的制定,在全世界网络安全立法都属罕见,从另一个角度而言,也反映了我国网络安全宏观战略的缺失。
(一)宏观层面我国缺乏网络安全总体战略
网络安全战略是英美发达国家借以维护其国家安全,同时争夺网络世界主导权、延伸其在现实世界中霸权主义的顶层制度设计,放眼世界,美国、欧盟、俄罗斯、日本等国家和地区都已制定信息时代的网络空间安全国家战略,将网络空间安全提高到前所未有的程度,其中美国作为互联网的发源地,自克林顿时代到奥巴马时代已经发布了一系列关于网络安全的国家战略。
2011年发布的《网络空间国际战略》更是成为涵盖经济、网络安全、执法、军事、网络管理、国际发展和网络自由等七大领域的网络空间全盘计划。2013年8月15日,我国国务院印发了《国务院关于促进信息消费扩大内需的若干意见》将“信息消费”提到了前所未有的高度,并将成为拉动经济的助推器。作为该意见的配套,2013年8月17日,国务院发布了《“宽带中国”战略及实施方案》,部署了未来8年宽带发展目标及路径,正式将“宽带战略”从部门行动上升为国家战略。
这是我国首份明确关于网络空间安全保障的战略文件,宽带首次成为国家战略性公共基础设施,虽然比1993年美国政府提出了“国家信息基础设施”(National Information Infrastructure,NI—I)计划整整晚了20年,但是却是我国信息化发展史上的重要里程碑。我国之前还发布了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和《2006-2020年国家信息化发展战略》(中办发[2006]11号)两个涉及网络空间安全的重要文件,但是到目前为止尚未制定具有全局性、宏观性和前瞻性的国家网络空间安全战略,成为我国网络信息安全保障的重大掣肘。
在国家网络安全战略的框架下,让信息产业在保障网络安全的基础上构建国家的整体安全,强化我国在网络空间中主导地位,对网络信息进行有效监管,促进网络信息的合理收集、利用与流通,让人们得以享受信息技术带来的福利,让科技更好地服务于生活,让网络社会健康、有序地运行,让国家、社会、人民共同构筑网络空间安全。
(二)微观层面网络信息安全保障法律机制的缺乏
面对网络信息安全,我国陆续制定了《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》《计算机软件保护条例》《计算机病毒防治管理办法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《信息安全等级保护管理办法》等法律法规,2012年12月28日全国人大常委会表决通过《关于加强网络信息保护的决定》,首次在法律层面确立了网络信息规范,是中国政府实施网络空间管理立法的里程碑,是中国网络信息保护立法进程中的重大突破,遗憾的是该决定总共仅12条,只是从宏观层面对于网络信息的收集、利用、安全进行了框架性的规定,仍然未从个人信息权、网络信息传播、网络信息安全监控预警等具体制度层面构建法律保障机制。
另外,对于网络信息技术产品的安全测评机制缺乏法律规范,导致现在作为国家网络安全物质体现的网络信息技术产品被美国等外国企业垄断的局面。“由于网络信息技术产品是国家安全的直接载体,必须确保其符合相应的标准,特别是外资企业提供的网络信息技术产品,更应该通过严格的标准测评其是否具有收集国家机密、向境外私自传输我国信息等方面的漏洞或后门程序,确保产品不会危害我国国家安全”。因此,必须从微观方面加强网络信息技术产品安全测评法律机制建设,确保国家网络安全的“神经末梢”安全可靠。
三、完善我国网络信息安全保障的法律机制构建
结合我国《网络安全法》(草案)和中国-东盟信息港建设的需要,完善我国网络信息安全保障的法律机制,具体而言,包括构建网络信息传播规则、个人信息保护与利用制度、网络信息安全防控制度等方面。
(一)构建网络信息传播分类管理机制
网络空间中一切事物的本质均为信息,网络信息的无序传播,造成网络谣言泛滥、网络病毒成灾、网络犯罪猖獗等网络乱象,解决这些司题的基础在于构建网络信息传播规则,让网络信息有序传播。
网络信息传播规则的构建,首先在于将网络信息分为“公共信息”和“私人信息”两大类别,分类管理。公共信息,包括诸如涉及国家利益和公共利益等方面的新闻信息、时政动态等信息;私人信息,为纯属个人私生活领域的信息。公共信息的传播,容易造成大范围的影响,必须加以严格控制,以保障网民获取纯净、准确、可信的公共信息,防止网络谣言和虚假信息的泛滥。
1.公共信息传播的管理从四个方面着手
第一,发布主体限制,建立公共信息发布准入制度,即未经过政府许可、审批的机构或个人,均不得擅自发布公共信息;
第二,传播内容管理,公共信息的发布内容必须经过严格的内外部审查机制审查(云计算技术可以高效便捷实现海量信息审查),避免不当内容的发布(如误报台风、地震信息等)给社会秩序造成混乱;
第三,公共信息发布标识制度,公共信息的发布必须加以标识,让网民能直观感知该信息为公共信息,并根据标识追求不当信息发布者的责任;
第四,传播行为管理,即公共信息的传播应当在合法的轨道内进行,在传播过程中,任何机构或个人不得歪曲、篡改。
2.私人信息传播的管理主要遵循两个基本规则
第一,信息传播中不得侵犯信息主体的人格权利,包括其隐私权、个人信息权、名誉权等;
第二,信息传播必须遵循公序良俗的原则依法传播积极、健康的信息内容。
(二)完善个人信息保护法律制度
虽然2003年我国已经将个人信息保护立法纳入规划,但是12年过去了,信息技术飞速发展,个人信息成为更加重要的权利与资源,可是我国仍然没有出台规范个人信息的收集、处理和利用的专门法律,目前只有依靠框架性的全国人大常委会《关于加强网络信息保护的决定》作为基本法律依据。
云计算时代的到来,需要完善的个人信息保护法律制度来明晰用户权利,规范用户个人信息的收集与共享利用。鉴于中国的信息产业发展程度和立法资源有限的状况,未来个人信息保护立法应当分两步走
首先,借助中国正在制定《民法典》的契机,将个人信息权正式纳入《民法典·人格权编》,实现个人信息权的民事确权,并构建基本的保护制度。事实上个人信息权作为一种具体人格权的理论业已成熟,将个人信息权纳入人格权法可以充实人格权的类型与丰富人格权法的内容,发展人格权法的内涵使之与时俱进,同时个人信息权纳入人格权法使民法的人文关怀得以体现,符合信息社会人格保护的需要,实现马克思所说的“人的全面解放”。
其次,在时机成熟时,制定专门的《个人信息保护法》,统规制个人信息的收集、处理和利用行为,捍卫云计算时代个人人格,保障个人权利。个人信息权是应当是包含个人信息决定权、保密权、查询权、更正权、封锁权和删除权等六大内容的权利体系,并且通过民事责任、行政责任和刑事责任等三大法律责任予以保障,方能适应信息社会人格权发展的需要。实现个人信息权的保障,才能有效捍卫网络空间“数字人”的人格,保障网络信息安全。
(三)建立网络信息安全防控制度
网络信息泄露将极大地损害到个人基本权利乃至国家安全,因此有必要构建网络空间中信息安全防控机制,具体包括网络空间中信息安全预警机制和应急机制
1.网络信息安全预警机制
网络信息安全预警是指网络服务提供商通过安全监测,发现有威胁到网络信息安全的情形时,按照威胁的程度,以相应的危险等级通知用户,以便用户积极采取措施维护自身权益。网络服务提供商首先应当设置信息安全中心负责系统安全的全面维护、网络信息安全的总体监控;同时还要负责日常的信息安全通报,对可能出现的安全司题向用户进行预测和预报。其次,网络服务提供商应当建立例行性的信息安全通报制度;再次,网络服务提供商应当建立网络信息安全预警等级标准,安全预警等级般包括轻微、一般、重大、特别重大四个等级,并拟定每个等级所对应的网络信息危险标准。
2.网络信息安全应急机制
为了保障网络用户权益,维护云计算环境中网络信息安全,云计算服务提供商应当构建网络信息安全应急机制,该机制包括维护网络信息安全的应急程序、应急操作过程中对于用户权益的保障标准、应急操作结束后与用户的沟通等方面,以保证在网络信息安全事故发生时能够及时响应,将事故造成的损失控制在最低限度内。
作者:陈星 来源:法制与经济·上旬刊 2016年2期
