一、加強戰略部署,提升網絡安全保障能力
新時期,我國網絡信息安全戰略秉承主權在先原則,堅持積極促進交流互鑒的態度。《網絡安全法》踐行總體國家安全觀,認識到當前網絡空間具有動態、開放、相對、共同的特征,從宏觀層面明確提出:要制定并不斷完善網絡安全強國戰略,保障網絡安全的基本要求和主要目標之最終實現,強調重點領域的網絡安全政策、工作任務和措施之重點落實。
一方面,網絡主權是網絡安全戰略的基礎,是國家主權在網絡空間的體現和延伸,是網絡空間治理的重要原則。《網絡安全法》以維護國家網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益為根本立法目的,進一步推進網絡安全與發展協同,切實維護了國家網絡主權、安全和發展利益。另一方面,增強防御和威懾能力是網絡安全戰略的重點。美國總統特朗普于5月11日簽署一份行政命令,要求在聯邦政府網絡、關鍵基礎設施網絡、民眾網絡三方面加強安全措施。我國《網絡安全法》以戰略和立法相配合的形式,通過構建網絡安全綜合治理體系,夯實關鍵信息基礎設施安全,保障公民信息安全,增強自身防御基礎和威懾能力,積極鞏固基礎設施建設,防范和應對網絡攻擊、依法懲治網絡攻擊行為,維護國家主權、安全和發展利益。
二、構建網絡安全綜合治理體系,有效應對網絡攻擊
近日,一款勒索病毒席卷全球,網絡安全問題再次引起全球的高度重視,同時也反映出我國應對網絡安全突發事件的配套法律措施亟待進一步完善。基于網絡攻擊的低成本性、隱蔽性以及影響范圍廣等特征,僅僅依靠事后懲治顯然不能起到對網絡攻擊的威懾作用,更難以實現對網絡安全的有效保障。此次《網絡安全法》力求從源頭對網絡攻擊進行防范,在攻擊發生時,確保能夠迅速響應與處置,將損害降至最低,最后再對犯罪行為人進行懲處。其第25條規定網絡運營者應當制定網絡安全事件應急預案;第51條明確要求國家建立網絡安全監測預警和信息通報制度,將針對信息系統攻擊的規制擴展至事前、事中及事后的全過程,構建出一個涵蓋事先監測預警、事中應急響應、事后懲治與恢復的“三位一體”的治理框架,通過對網絡攻擊中各個連接要點的控制來實現有效防范與治理。此外《網絡安全法》還規定了網絡運營者預防和應對網絡攻擊行為的責任義務:其中第21條規定,網絡運營者應當按照網絡安全等級保護制度的要求,履行采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;第26條規定,網絡運營者具有遵守國家有關規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布網絡攻擊等網絡安全信息的義務,并于62條明確提出違反本法第26條規定的相關法律責任。
正如我國外交部發言人華春瑩在新聞發布會上所說“我們堅決反對并將嚴厲打擊任何形式的網絡攻擊行為。我們也倡導國際社會要在相互尊重和平等互利的基礎上,加強對話與合作,共同應對網絡安全威脅。”因此,我們需要不斷優化完善《網絡安全法》有關網絡攻擊的相關規定,構建一套足以及時、可靠、有效應對網絡攻擊的制度體系。
三、構建關鍵信息基礎設施安全保障體系,以基礎設施牢筑強國戰略
網絡強國戰略的重點在于構建關鍵信息基礎設施安全保障體系,國家、行業組織、網絡運營者各方需協同參與,進一步強化企業運營者責任,細化行業責任劃分,通過立法形式嚴厲打擊針對關鍵信息基礎設施系統的網絡攻擊行為。《網絡安全法》明確提出了關鍵信息基礎設施概念和范圍并對關鍵信息基礎設施保護提出具體要求,從國家、行業、運營者三個層面明確規定了關鍵信息基礎設施相關主體的安全保護義務,力求系統全面的構建關鍵信息基礎設施安全保障體系,以基礎設施牢筑強國戰略。規定:國家網信部門統籌協調有關部門采取相應措施,加強國家的網絡安全監測預警和應急制度建設,提高網絡安全保障能力;負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作,建立、健全本行業的網絡安全監測、預警和信息通報制度,并按照規定報送網絡安全監測預警信息,制定本行業、本領域的網絡安全事件應急預案,并定期組織演練;運營者應當履行的安全保護義務,主要包括設置專職人員,定期進行網絡安全教育、培訓和考核,對重要系統和數據庫進行容災備份,制定應急預案并組織演練等。
四、保障公民個人信息不受侵犯,維護人民群眾根本利益
2017年世界電信日的主題為“發展大數據,擴大影響力”。隨著新一代互聯網技術的廣泛應用,侵犯個人信息的違法案例屢見不鮮。在此背景下,《網絡安全法》明確提出網絡運營者的個人信息保護義務,網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。《網絡安全法》確立了個人信息保護的立法方向和基本思路,為我國個人信息保護具體政策的制定指明方向。2017年5月9日,最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》正式公布,對公民個人信息范圍,非法獲取、出售或者提供公民個人信息的入罪標準,公民個人信息數量計算方法,非法購買、收受公民個人信息構成犯罪的情形,網絡服務提供者拒不履行公民個人信息安全管理義務的懲罰措施都做出了相關規定,與《網絡安全法》相互呼應,共同維護公民的個人信息權益。
《網絡安全法》作為我國網絡安全領域的基本法,遵循網絡運行和網絡社會自身的發展規律、特點,從維護網絡安全、國家安全、社會公共利益、促進經濟社會信息化發展的客觀需求出發,以國家總體安全觀為現階段網絡治理的指導思想,將保障網絡安全、維護網絡空間主權和國家安全、社會公共利益、保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展作為根本目標,其頒布與實施,既是依法治國基本方略的重要體現,也是實現我國從網絡大國發展為網絡強國的戰略目標的重要保障,在我國網絡空間立法進程中具有里程碑式的意義。