close
????習近平主席在第二屆世界互聯網大會上發表主旨演講時,強調互聯網是人類的共同傢園,各國應該共同構建網絡空間命運共同體,推動網絡空間互聯互通、共享共治,為開創人類發展更加美好的未來助力。
????7月5日,作為網絡空間基礎性法律的《中華人民共和國網絡安全法(草案二次審議稿)》正式向社會公佈。
????在第四屆中國互聯網安全大會即將召開之際,就相關問題,西安交通大學信息安全法律研究中心主任馬民虎接受瞭《法制日報》記者的采訪。
????記者:您怎麼看待網絡空間命運共同體和網絡主權之間的關系?如何構建網絡空間命運共同體,我國目前落實的怎樣?
????馬民虎:當前網絡安全威脅不斷攀升,網絡安全已成為全球性挑戰。構建網絡空間命運共同體,重中之重是國際協同治理,價值基礎則是網絡主權。從1990年代後期起,從“去主權化”到“再主權化”,國傢主權隨著跨境數據流動、跨境執法的深入得到瞭日益廣泛的承認,各國開始在不同程度上、以不同形式在該空間行使主權,這是一種看上去非常有趣,但又有著復雜邏輯支撐的現象。2003年聯合國信息社會世界峰會通過《日內瓦原則宣言》,明確“互聯網公共政策的決策權是各國的主權”。2013年6月,第6次聯合國大會通過聯合國“從國際安全的角度來看信息和電信領域發展政府專傢組”所形成的決議,決議第20條規定“國傢主權和源自主權的國際規范和原則適用於國傢進行的信息通訊技術活動,以及國傢在其領土內對信息通訊技術基礎設施的管轄權。”該條本質在於確認網絡空間的國傢主權。2013年3月,《塔林網絡戰國際法手冊》直接宣告“一國有權對其領土內的網絡基礎設施和網絡活動行使控制。” 2015年7月1日第十二屆全國人大常委會第十五次會議通過瞭新《國傢安全法》,該法在國內法層面首次明確瞭“網絡空間主權”概念,是我國國傢主權在網絡空間的體現、延伸和反映。
????構建網絡空間命運共同體的前提是網絡空間規則體系的建設,這是實現各國維護好網絡空間安全的基礎。構建好網絡空間規則體系需要從國內立法、重要雙邊或多邊條約以及全球網絡空間基本原則等多層面共同努力。
????從國際層面來看:我國尊重各國自主選擇網絡發展道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利,不搞網絡霸權,不幹涉他國內政,不從事、縱容或支持危害他國國傢安全的網絡活動。2014年7月,習主席在巴西提出瞭與世界各國“共同構建和平、安全、開放、合作的網絡空間,建立多邊、民主、透明的國際互聯網治理體系”的設想。2015年12月,習主席在第二屆世界互聯網大會上進一步明確瞭推進全球互聯網治理體系建設的四項原則和構建網絡空間命運共同體的五點主張。2016年6月,習主席和俄羅斯總統普京在北京正式簽署瞭《中華人民共和國主席和俄羅斯聯邦總統關於協作推進信息網絡空間發展的聯合聲明》,強調各國均有權平等參與互聯網治理,倡導建立多邊、民主、透明的互聯網治理體系,支持聯合國在建立互聯網國際治理機制方面發揮重要作用。聲明還提出,中俄兩國將共同倡導推動尊重各國網絡主權,反對侵犯他國網絡主權的行為;反對通過信息網絡空間幹涉他國內政,破壞公共秩序,煽動民族間、種族間、教派間敵對情緒,破壞國傢治理的行為,兩國承諾共同致力於構建和平、安全、開放、合作的信息網絡空間新秩序。在這一治理模式下,各國政府的話語權將會大大加強,利用網絡空間幹涉別國內政的企圖可能被及時發現和制止。即使在主張域外法權或對長臂原則作擴大理解和適用的某些國傢,在向境外數據中心要求訪問信息時,也可能因缺乏國際認同基礎而面臨著產業界和境外主權國傢的強力反對。這意味著,網絡空間治理的中國方案已開始落地,並邁出瞭堅實一步。
????從國內立法層面來看: 2016年7月5日《中華人民共和國網絡安全法(草案二次審議稿)》向社會公開,其中關於維護網絡主權和戰略規劃做出瞭說明:網絡主權是國傢主權在網絡空間的體現和延伸,網絡主權原則是我國維護國傢安全和利益、參與網絡國際治理與合作所堅持的重要原則。為此,草案將“維護網絡空間主權和國傢安全”作為立法宗旨,草案第2條規定:在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用本法。同時,按照安全與發展並重的原則,草案設第二章為專章對國傢網絡安全戰略和重要領域網絡安全規劃、促進網絡安全的支持措施作瞭規定。由此可以看出,草案進一步瞭推進網絡安全與發展協同,切實維護瞭國傢網絡主權、安全和發展利益,這使得我國網絡空間治理基礎性法律能夠更好地納入網絡空間規則體系,也為網絡空間規則體系建設做出瞭貢獻。
????記者:面對網絡空間日益復雜的網絡威脅,您認為,我國應如何構建網絡威脅信息共享制度體系?政府、企業以及其他的網絡空間參與方應當扮演什麼樣的角色?
????馬民虎:網絡空間面臨的威脅類型呈現出復合化的發展趨勢,所以以此為基礎的網絡威脅治理模式也需要與時俱進、不斷完善。習主席於2016年4月19日網絡安全和信息化工作座談會上明確提出要加快構建全天候全方位感知網絡安全態勢,要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網絡安全風險發生的規律、動向、趨勢。
????網絡威脅信息共享是歐美等發達國傢的通行做法。美國政府2003年發佈《網絡空間安全國傢戰略》旨在改善和增強公私部門對於網絡攻擊、威脅和漏洞的信息共享。2012年《網絡安全法案》明確規定為瞭保護信息系統不受網絡安全威脅或減輕威脅造成的不利後果,聯邦政老人電動床府應當與企業共享包括技術漏洞、網絡入侵和攻擊技術細節在內的網絡安全威脅指標。2015年10月27日,美國參議院以72票對21票通過瞭《網絡安全信息共享法案(CISA)》,旨在“通過強化有關網絡安全威脅之信息的共享改善美國的網絡安全“。歐盟在2013年《網絡安全戰略》中強調各機構在網絡安全中的責任,提倡多方合作,要求私營企業,尤其是為能源、運輸、銀行、股市、教育提供信息系統的私營企業,以及重要的互聯網服務運營商,向各國的網絡安全機構報告重大事故,並運用經濟杠桿原理鼓勵私營企業主動積極參與網絡安全建設。英國政府於2013年3月成立瞭“網絡安全信息共享聯盟”(CISP),旨在促進公共和私營部門間的網絡安全威脅信息共享,確保所有參與者將能夠及時獲取有關網絡攻擊的實時警報、網絡攻擊的技術細節、策劃攻擊的手段及應對措施等信息。
????我國也逐步開始認識到加強網絡安全信息共享對於實現網絡安全保障的必要性和迫切性。《網絡安全法(草案二次審議稿)》第 37條,《反恐怖主義法》第 43 條、第 47 條均對信息共享做出瞭規定,要求促進相關主體之間的網絡安全信息共享。結合我國實際的情況下,可以從以下幾個方面促進我國信息共享制度的體系化完善:首先,建立網絡安全信息共享的制度體系。建立行之有效的網絡安全信息共享機制,明確網絡安全信息共享的范圍、主管機構、參與主體、程序、例外規定等內容。其次,構建網絡安全信息共享的組織機構體系,指導、統籌和協調、規定統一發佈網絡威脅信息。再次,建立國傢層面的網絡威脅情報共享和分析中心。建議在網信辦內部建立一個國傢層面的網絡威脅情報共享和分析中心,負責匯總、協調、整合、分析上述機構以及來自互聯網企業、互聯網安全公司等收集的網絡威脅、漏洞和事件信息,提升國傢整體的網絡安全態勢感知能力。最後,確立網絡威脅情報共享的激勵機制,同時通過法律法規為企業與政府共享網絡安全信息提供相應的責任豁免,並為其設置明確的網絡安全信息共享義務和責任、隱私保護要求等。
????記者:您認為,在網絡空間安全治理,共建網絡空間命運共同體過程中,互聯網企業的社會責任如何體現和實現?
????馬民虎:安全和發展是一體之兩翼、驅動之雙輪。安全是發展的保障,發展是安全的目的。關於互聯網企業的法定責任,《中華人民共和國電信條例》、《網絡安全法(草案二次審議稿)》、《中華人民共和國反恐怖主義法》等法律中均有明確規定。與此同時,互聯網企業來在維持自身發展的同時,必須要把目光看得更加長遠,承擔起它們應有的社會責任,共同推動互聯網更好地造福人類。這個概念可以理解成類似上市公司的企業社會責任,但不應僅限於傳統意上的環境、勞動范疇,也不應是基於所謂的道義、慈善、可有可無的、無法律後果的非強制性義務。從國際上來看,最低限度的企業社會責任的強制化趨勢不可避免。目前,跨國互聯網企業承擔的企業社會責任,大多來自於政府監管和用戶監督的多重壓力,比如源碼審查,其與國傢安全、社會公眾利益息息相關,但從提出到目前的普遍接受,經歷瞭相當長的博弈過程,因為企業需要讓渡部分經濟利益,而這和追求利潤最大化的目標在短期內是不一致甚至是相悖的,這就需要政府、社會和行業的多重引導。在網絡空間中,如果細化行業領域會發現,在某一特定領域中,幾乎隻有第一、第二,其他的參與方很難占有市場份額和發揮話語,因此聚焦跨國互聯網企業、行業領軍企業的社會責任就尤為重要,它們對社會責任中的擔當和角色,幾乎可以作為行業整體風范表率和正反典型,實施效果良好,往往就可以起到牽一發而動全身的示范作用;反響惡劣,則會產生多米諾骨牌效應,割裂和破壞命運共同體。
????社會責任是互聯網企業作為現代重要經濟參與者必須承擔的義務。不管是傳統巨頭還是新興的互聯網企業都承載著一定的社會責任。互聯網企業作為一種特殊的組織形式應更加積極地履行社會責任,在實現其發展的同時必須追求達到經濟、社會和環境的綜合價值最大化。未來,可能會有越來越多的互聯網企業將社會責任的落實和遵循寫入年報、和呈現社會。
????記者:請您就網絡安全漏洞治理現狀和相關案例,提幾點建議?
????馬民虎:漏洞是計算機軟硬件、協議和系統安全策略中固有的、不可避免的缺陷,不能完全杜絕。當前全球安全漏洞數量快速增長,危險級別不斷提升。漏洞成為各國爭先搶奪的戰略資源和博弈資本,安全漏洞攻擊構成全球最嚴重的網絡安全威脅。在國內,未公開漏洞成為一種商品,安全漏洞成為黑客地下經濟產業鏈的源頭,漏洞惡意利用的危害日益加大,電力、交通、能源、教育、醫療等關鍵基礎設施的漏洞攻擊更對國傢安全、社會穩定、經濟發展和用戶權益造成不可估量的破壞影響。
????網絡安全漏洞的治理已成為國傢網絡安全保障的基礎性環節,我國亟需從管理、技術和法律層面綜合提高應對網絡攻擊的防禦能力,最大限度減少安全漏洞可能產生的危害。
????從實踐層面來看,存在漏洞黑市交易取證困難、第三方漏洞披露平臺缺乏監管、漏洞惡意利用打擊不力等一系列問題。
????從法律層面來看,我國關於安全漏洞規制的立法規范相對缺失,基本未涉及漏洞的挖掘、報告、披露、利用等內容。7月5日公佈的《網絡安全法(草案二次審議稿)》在保留原來21條和58條規定的基礎上,新增第25條“開展網絡安全認證、檢測、風險評估等活動,向社會發佈系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國傢有關規定。”和第60條即違反25條規定的懲罰責任。但是第25條中“國傢有關規定”目前還是一個模糊的概念。且《網絡安全法(草案二次審議稿)》第三章第二節“關鍵信息基礎設施的運行安全”中關鍵信息基礎設施的安全漏洞管控的規定屬於完全空白。
????總體來說,現有法律對漏洞的法律規制有限,基本未涉及漏洞的報告、披露、利用等內容。漏洞挖掘、報告與披露等行為的法律性質尚未明確,存在大量的灰色地帶,漏洞的報告和披露缺乏完善的制度規范。
????在此我提出幾點完善建議:首先,法律中可對關鍵信息基礎設施的安全漏洞管控的進行規定,如“任何單位、個人發現關鍵信息基礎設施安全漏洞、隱患的,應當向相關主管部門報告,未經授權和允許,任何單位、個人不得披露、散佈、傳播關鍵信息基礎設施安全漏洞、隱患信息”。其次,針對域外《瓦森納協定》限制漏洞信息的出口會影響草案相關規定的實施的情況,法律可通過適當限制及其例外措施以規制安全漏洞的發掘、披露、交易、進出口,如可以從國傢安全責任豁免的角度鼓勵漏洞的合法挖掘、報告與披露。最後,法律中可進一步明確漏洞挖掘、報告與披露行為的法律風險,明確特定目的下漏洞披露、攻擊、非授權訪問的行為邊界,構建安全研究的例外制度。
????近日,媒體報道“白帽子”袁煒向烏雲平臺提交世紀佳緣網站漏洞被司法機關刑拘的事件。我認為:從互聯網安全的角度認定,“白帽子”是網絡安全領域不可或缺的補充力量,該類技術行為有利於網絡運行安全,應受到互聯網安全行業的肯定和鼓勵。我國關於“白帽子”行為的認定的法律制度有待進一步完善,其作為新的利益關系產生,具有法律保護需求,法律也應該維系這種利益關系的穩定。雖然現階段我國刑法有對於“非法侵入”行為構成犯罪的范圍區分重要系統和非其他系統而分別定罪量刑,並在具體的司法解釋《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若幹問題的解釋》中明確瞭罪與非罪的量化指標,但隨著對數據分析的認識深入和立法更加嚴密的必然趨勢,對行為人的主觀意圖、後果的嚴重程度,乃至身份認證信息的定義和理解都在發生著變化,這些都是我國立法需要不斷補充完善的。一方面,法律應該真正將“白帽子”通過適當的衡量標準納入到安全產業當中,確實給予他們合法的地位,讓白帽子的道義行為與法律規定協調,使得他們真正成為互聯網安全行業既講道義又不違背法律的江湖大俠。另一方面,法律亦需要明確界定“白帽子”行為的定義和活動范圍以及超出該范圍構成犯罪的法律要件。這些方面,境外也已經有一些相對成熟的法案、協議參考。
????法制網北京7月7日訊
????延伸閱讀
????第四屆中國互聯網安全大會籌委會相關負責人表示,本屆大會將在8月16日專門召開網絡安全與法治論壇,本屆論壇將邀請馬民虎教授和國內外專傢以“網絡安全命運共同體的法律保障”為主題,圍繞積極進行網絡安全監測預警,及時修補或防范網絡安全漏洞等展開廣泛的研討和交流,為完善我國網絡安全法治出謀劃策。
責任編居家電動床推薦輯:楊姣姣
醫院電動床價格
員林電動床電動床哪裡買
DD2D91F9A1D33EDD
文章標籤
全站熱搜
留言列表
