中國的網絡空間主權,從未面臨現在這樣的嚴峻考驗和挑戰。
回望過往,人們會發現,中國面對的網絡主權挑戰,與過去長達數十年的信息安全威脅一脈相承。只不過,過去的威脅隱藏于水下。如今,"棱鏡門"將遮羞布悉數扯掉,潛藏的安全威脅再無遁形,中國的網絡安全就如同"玻璃人"一樣,看似華麗,實則脆弱。
在網絡空間被視為繼陸、海、空、天之后的"第五空間"后,如何應對來自少數國家的網絡安全威脅,保衛"第五空間"的安全,已成為許多國家的共同目標。
在與國際社會共同呼吁并制定網絡空間新規則的基礎上,如何在觀念、法律、政策、技術、產業等方面,升級自己的治理和發展思路,確保國家網絡安全?
【脆弱的安全防線】
1994年4月20日,當中國通過"NCFC工程"接入因特網64K國際專線,正式連接國際互聯網時,很少有人能想像到,網絡在今天會給中國帶來如此巨變。
20年過去,當人們津津樂道于中國網絡規模之巨時,決策層亦提出了建設網絡強國的戰略目標。
這與全球的網絡空間新形勢有莫大關聯。隨著網絡和信息化技術對現實社會、經濟和政治的滲透和重構日益加深,網絡空間已然成為大國博弈的新場地。
一些西方國家利用手中的網絡主導權,正在采取各種手段,從他國網絡獲取情報信息或硬性摧毀,以實現其國家戰略目標。
在此背景下,中國建設網絡強國的根基之一--網絡安全,卻嚴重滯后于網絡技術和信息產業的發展。
中國網絡信息核心技術和關鍵設備嚴重依賴他國;國家從部門到行業到個人的整體安全意識薄弱;網絡新技術和應用模式在國內大規模普及,大量數據和信息單方面流向美國等西方發達國家,信息失衡問題日趨嚴重……
這些"致命傷",使得中國的網絡安全防線既透明,又脆弱。
一流網絡規模,四流防御能力
中國已成為名符其實的網絡大國。數據顯示,截至2013年底,中國網民規模突破6億人,手機用戶超過12億,擁有400萬家網站,電子商務市場交易規模達10萬億元。
"這就是當前的趨勢,網絡安全進入國與國對抗博弈的'大玩家'時代。"中國工程院院士倪光南說,當前全球網絡威脅的主體,已由娛樂性黑客轉變為具有國家背景的團體性黑客,這些攻擊者組織更強大,計劃更充分,破壞力更強。
在此背景下,全球已有50多個國家出臺網絡安全或信息安全戰略和政策。
以美國為例,作為全球網絡主導者,早就制定了完善的網絡空間安全國家戰略,并奉行"以攻為主、先發制人"的網絡威懾戰略,將網絡情報搜集、防御性網絡行動和進攻性網絡行動確立為國家行動。
同時,這種國家級、有組織的網絡攻擊日趨復雜,呈現由"軟攻擊"向"硬摧毀"轉變的趨勢,網絡空間對抗日趨激烈。
倪光南指出,被披露由美國主導的2011年網絡攻擊伊朗核設施的"震網"事件表明,美國已經具備了入侵他國重要信息系統、對他國實施網絡攻擊的能力。
中國同樣不乏被攻擊的案例。除了2013年曝光的"棱鏡門",2014年3月,"棱鏡門"曝料人斯諾登再次透露,美國國家安全局自2007年開始,就入侵了中國通信設備企業華為的主服務器;2014年5月19日,美國司法部更是以所謂的"網絡竊密"為由,起訴5名中國軍人。
面對他國咄咄逼人態勢,南京瀚海源信息科技公司董事長方興指出,中國一流的網絡規模卻只有四流網絡安全防御能力。2012年1月,美國"安全與國防議程"智囊團發布報告,將全球23個國家的信息安全防御能力分為6個梯隊,中國處于中下等的第4梯隊,網絡與信息系統安全防護水平很低。
其中一個重要原因,是中國重要信息系統、關鍵基礎設施中使用的核心信息技術產品和關鍵服務依賴國外。
相關數據顯示,全球網絡根域名服務器為美國掌控;中國90%以上的高端芯片依賴美國幾家企業提供;智能操作系統的90%以上由美國企業提供。中國政府、金融、能源、電信、交通等領域的信息化系統主機裝備中近一半采用外國產品。基礎網絡中七成以上的設備來自美國思科公司,幾乎所有的超級核心節點、國際交換節點、國際匯聚節點和互聯互通節點都由思科公司掌握。
中國工程院院士沈昌祥認為,目前中國對國外產品的安全隱患和風險尚不清楚。而出口中國的關鍵設備都被美國備案,美國掌握著中國重要信息系統使用產品和設備的清單,對產品和設備的漏洞、后門等十分清楚。
"掩耳盜鈴"的內網安全
除了關鍵基礎設施核心技術缺失,在受訪專家看來,中國網絡安全更容易被忽視的隱患,來自被過度信賴的內部網絡物理隔離系統。這個隱患,在軍隊、黨政機關、關鍵領域重點企業等領域更為嚴重。
內部網絡系統的物理隔離一直被認為是保障網絡和信息安全的重要手段,也是網絡系統最底層的保障措施。在傳統觀念中,只要不和外界網絡發生接觸,內網隔離就能從根本上杜絕網絡威脅。
但《財經國家周刊》記者發現,事實并非如此,中國不少重點行業和黨政部門的網絡信息安全防御被所謂的內網隔離扎成了虛假安全的"竹籬笆"。
奇虎360公司曾對中國教育系統、航空公司、司法機構等100多家重點行業關鍵企業和機關部門的內部網絡進行測試,結果網絡全被攻破,最長的耗時三天,最短的30分鐘。
沈昌祥牽頭進行一項課題研究發現,中國半數以上重要信息系統難以抵御一般性網絡攻擊,利用一般性攻擊工具即可獲取大多數中央部委門戶網站控制權。
造成這種問題的首要原因是網絡安全意識淡薄。知名網絡安全專家杜躍進介紹,中國重點企業及政府部門中,不少單位的機房管理員就是本單位的網絡安全負責人。
在安全意識淡薄之下,黨政部門和重點行業的網絡信息安全過度依賴物理隔離手段。啟明星辰首席戰略官潘柱廷指出,由于隔離網系統升級不及時,整體保護意識低,致使內部網絡物理隔離事實上漏洞百出,一些單位隔離的內部網絡木馬病毒橫行。
奇虎360公司的另一項檢測發現,中國100多萬個網站中,65%左右有漏洞,近30%是高危漏洞,"基本上你只要下功夫,這個站就能被拿下"。
根據斯諾登公布的材料,美國掌握了100多種方法可攻破物理隔離的內部網絡系統。
如在"震網"事件中,伊朗的核設施雖然進行了物理隔離,但美國仍利用高級漏洞,通過U盤擺渡等手段,入侵了內網,最終破壞了鈾濃縮機。
除了網絡安全意識淡薄,一些地方網絡安全防護重設備購置、輕后期服務的做法,也加劇了中國網絡安全體系的脆弱性。
奇虎360公司首席技術官譚曉生介紹說,在網絡安全防護方面,國家雖然推行了安全等級和分級保護的眾多規定,但部門和重點企業單位更多用設備購置來滿足安全分級要求,安全后期服務沒有常態化。這導致安全防御設備使用成效低下,無法及時監測內部安全態勢,完成系統升級等服務。
網絡數據"大出血"
與基礎設施和內網系統的技術防線漏洞相比,網絡數據和信息流失帶來的安全問題則更加隱蔽。
隨著云計算、物聯網、移動互聯網、大數據、智能化等網絡信息化新興應用持續拓展,未來中國網絡安全威脅將持續擴大。這使得中國大量數據和信息單方面流向西方發達國家的問題更加嚴重,信息失衡將成為未來更為主要的安全威脅。
網絡信息安全企業安天實驗室首席技術官肖新光認為,微軟的操作系統、英特爾的芯片、思科的交換路由產品等為代表的美國IT產品基本統領了前二十年全球信息化進程。
未來20年,加上谷歌、蘋果、Facebook、推特等其他美國科技企業所提供的先進、方便的互聯網服務,全球網絡信息都向美國單方向聚合,形成了巨大的信息鏈流失風險。
以第三方信息安全服務的數據信息容災備份領域為例,美國正在這個領域形成壟斷。
國家安全戰略研究中心信息技術與安全研究所副所長王標說,賽門鐵克、IBM、惠普等美國企業壟斷了全球的75%的市場份額,也占據了中國政府80%的容災備份市場份額,中國大量政府部門的網絡信息數據由此渠道單向流入美國。
與此同時,隨著智能手機、平板電腦的快速普及,移動互聯網安全形勢不容樂觀,帶來的數據信息泄露更為突出。
肖新光說,谷歌的安卓智能手機移動操作系統占中國智能手機用戶比例的60%以上。復旦大學的一份調查顯示,安卓系統300多款應用軟件中,58%存在泄漏用戶隱私行為,其中25%的程序還將泄漏的信息進行加密,使得確認其內容和傳送目的地非常困難。而移動互聯網絡開放式接入帶來的信息泄漏威脅更為直接和廣泛。
中國大量信息數據單向流向美國,帶來的直接后果就是讓美國獲得運用大數據分析中國政治、經濟、社會的最新動態和趨勢的能力。
潘柱廷說,通俗點描述,就是美國人比中國人還了解中國人在干什么。利用強悍的大數據分析,美國甚至可以比中國政府更清楚更早地知道,某地或某個中國群體在做什么、未來的想法是什么,等等。
網絡安全專家、Ucloud公司董事長季昕華認為,這種信息失衡后的大數據大規模挖掘和分析結果,具有戰略級的政治、軍事、商業、社會信息情報價值,"在未來的網絡安全攻防對抗中,信息失衡將比技術失衡更可怕。"
【“核高基”之困】
作為保障國家網絡安全的重要環節,中國于2006年將"核高基"(核心電子器件、高端通用芯片、基礎軟件)列為與載人航天、探月工程并列的16個重大科技專項之一。經過多年的扶持和發展,中國在該領域已涌現出一批比較有競爭力的企業。
不過,《財經國家周刊》記者發現,這些中國企業與世界行業巨頭仍有不小差距,而且在追趕世界科技巨頭的過程中,正遭到來自外企的全面圍剿,同時稅收、融資、國內市場支持缺乏等問題,也嚴重阻礙著企業的創新發展。
外企的全面圍剿
利用市場優勢地位對中國企業進行打壓,是境外企業慣常使用的手段之一。國內芯片設計企業展訊通信有限公司副總裁董倩舉例說,"臺灣芯片企業聯發科對大陸芯片企業的打壓非常霸道,在大陸市場,由于客戶是共同的,他們利用自己在芯片市場的優勢地位威脅客戶說,如果用大陸企業的芯片,他就給你提價、斷貨、不提供優質服務等等,讓我們的客戶不敢用我們的產品。"
第二種手段是知識產權"圍剿"。銳迪科微電子(上海)有限公司副總裁趙國光告訴《財經國家周刊》記者,一方面,當我們一個新產品上市時,外企會起訴稱侵犯了他的專利,例如此前愛立信起訴酷派、諾基亞起訴展訊,均以侵犯專利為由;另一方面,外企利用自己在知識產權方面的積累,對中國企業收取高額專利費,例如專利費本來應該按照芯片的價格來收,而美國高通卻強行以整機的價格為基準,企業的一大部分利潤就這樣被收走了。
第三種是惡意收購兼并。曙光信息產業股份有限公司總裁歷軍說,最近幾年,除了利用市場、知識產權的優勢打壓之外,外企對中國剛剛冒尖又有自主技術的企業兼并收購,已經十分普遍。
"他根本不想讓你冒芽,你有了自主技術,在產業化缺錢的時候他就想辦法收購你,此前美國高通就一直想收購我國龍頭企業展訊,我們很多企業都是國家扶持的,被外企買走太可惜了。"歷軍說。
一些國內企業負責人表示,中國大陸的自主核心設備企業發展到現在這個程度,正是做大做強的時候,境外企業就會利用自己的優勢從這三個方面進行全方位的"圍剿",一般都是"先斷血,再收購"。
董倩認為,要應對境外企業的三重"圍剿",中國大陸應積極發揮行業協會、企業聯盟和政府機構的作用,將業界的創新能力整合成合力,形成共享"專利池"。"如果我們的企業也擁有一定數量的專利技術,在遭遇對方訴訟的情況下,我們可以反訴對方侵權,可以減少被動、增加主動。"
稅收障礙
中國企業在國內市場的本土優勢沒有得到充分發揮。在本土企業的發展過程中,稅收問題是國內企業創新發展、追趕世界巨頭的一大障礙。
以核心芯片為例,大陸企業在大陸市場的主要競爭對手是美國高通和臺灣聯發科兩大巨頭。臺灣地區為了扶持該產業,聯發科等集成電路企業不僅沒有增值稅,其《促進產業升級條例》還規定,集成電路企業購買研發工具、兼并收購等成本可直接抵扣所得稅,所得稅抵扣之后一般在1%~2%,而大陸企業的所得稅是15%。
董倩說:"我們的稅收是人家的7倍,這些真金白銀都是企業創新的血液,我們血液不足,怎么創新發展?談何追趕世界巨頭?"
現有的稅收政策還造成企業大量資金的積壓。趙國光告訴記者,"我國出口退稅的周期是半年,幾千萬元的資金就長期壓在那里動不了,而國外的出口退稅周期普遍短于我們,本來國內企業資金實力都不夠雄厚,幾千萬元的資金對企業發展的影響很大。"
他表示,個人所得稅也已成為制約高端人才引進的障礙。"如果你的收入在中國要交40%的個人所得稅,在美國只需要交15%,你會在中國工作嗎?"
董倩認為,在美國和中國臺灣等地區,針對重點扶持的新興產業,其稅收政策非常清晰,都有針對性的扶持政策,有非常大的稅收優惠空間,中國大陸可以借鑒經驗,向重點扶持的新興產業傾斜,給企業更大的空間。
"但要注意不宜采取直接減稅的方式,否則反而會讓企業失去創新動力。"趙國光認為,可參照其他國家或地區的發展成本抵扣所得稅、事后退稅等方式對企業進行稅收優惠,但退稅的周期應盡量縮短。
不公平競爭
除了稅收政策,政府采購方面的支持力度不足,也是困擾本土企業的老大難問題。
有觀點認為問題在于自主產品的技術水平不高,但據《財經國家周刊》記者了解,國產設備在不少領域已具備替代進口產品的條件。例如,中興通訊已實現高端路由器的完全自主研發,在即將推出的下一代產品中,三種關鍵芯片也將全部自主研發,從而保證芯片、軟件、整機全鏈條的自主可控。
國民技術股份有限公司總裁孫迎彤說,經過這七、八年的研發和引進技術,中國大部分產品在技術方面并不比國外產品落后。"我們自主設計的金融IC卡芯片,獲得了與國外企業一樣的技術認證,但國內銀行就是不認可,導致我國現存的5.9億張金融IC卡的芯片都是國外同一家企業的,給我國的金融信息安全造成了很大隱患。"
中興通訊股份有限公司副總裁常金蕓說,目前推進政府采購自主產品的最大阻礙,實際上是改革開放以來形成的"鼓勵進口"觀念,以及國產品牌認可度偏低的問題。
"國內總是強調公平競爭,而我們在國外飽受刁難。"常金蕓說,華為、中興已經被美國政府以"莫須有"的罪名趕出了美國市場。另外,美國高通公司看到中國企業越來越強大,直接向美國政府申訴,將展訊等中國企業的增值稅優惠直接撤銷。
常金蕓、孫迎彤等表示,我們的產品在技術上已經不再落后,為什么政府不能鼓勵優先采購我們的產品?我們不主張國家打著"自主創新"的旗號保護落后企業,但至少要和境外企業在同一起跑線上競爭。
【網絡安全攻防“志愿軍”】
在國家網絡安全攻防體系中,除了國家組建的正規軍外,來自民間的網絡安全公司,已經成為大國博弈的"馬前卒"。
2014年5月至今,美國對中國網絡空間主權數次發難,從美國司法部起訴中國5名軍人,到之后指責所謂的"中國官方黑客",均始于美國"火眼"、"曼迪昂特"等網絡安全公司所發布的針對性報告。
與美國等西方國家政府與民間力量嫻熟的配合相比,中國對網絡安全產業民間力量的重視程度和運用水平,遠遠不夠。游離于國家和社會之間的中國網絡安全公司們,更像是一支"志愿軍"。
在眾多安全業界人士看來,一旦這支"志愿軍"發展壯大,將成為維護國家網絡安全的中堅力量,在實現中國與美國等國家的網絡空間安全"對位攻防"中發揮巨大作用。
國際網絡對抗"馬前卒"
近年來,以美國"賽門鐵克"、"火眼"、"曼迪昂特",俄羅斯"卡巴斯基"為代表的網絡安全公司快速興起,成為國家間網絡攻防的重要力量。專家認為,名義上獨立的網絡安全公司,已經成為大國博弈的重要工具。
2013年初,美國網絡安全公司"曼迪昂特"公司發布報告《APT1:揭露中國網絡間諜單位》。報告發出后,中國企業在海外備受質疑,華為遭質疑被排擠出美國市場,并在歐盟、澳大利亞、韓國受阻,一些走出海外的中國安全企業也紛紛退回國內。
啟明星辰首席戰略官潘柱廷認為,類似《APT1》的做法,實質是由網絡安全公司充當"馬前卒",替美國政府實現丑化中國形象、驅逐中國公司,既讓美國產業界直接獲益,又為美國官方贏得了可進可退的空間。
另一個典型是俄羅斯網絡安全公司卡巴斯基。俄羅斯并不算信息強國,但是借助卡巴斯基公司,俄羅斯占據了從攻防能力到分析能力的戰略高地。
知名網絡安全專家杜躍進說,2010年末,伊朗核電站遭"震網病毒"攻擊而癱瘓,卡巴斯基通過技術研究斷定此病毒為美國和以色列所開發;2012年,能夠避過100種殺毒軟件、具有強大竊密能力的"火焰病毒"在伊朗大肆傳播,也被卡巴斯基率先發現。卡巴斯基通過分析證實此病毒與"震網病毒"存在技術關聯,并從技術層面指出美國是幕后主使。
"卡巴斯基對'震網'、'火焰'等病毒的快速跟進,將美國的攻擊行為完整展示于世界面前,為俄羅斯在網絡安全和外交層面都爭取了主動。"安天實驗室首席技術架構師肖新光說,技術實力強大的網絡安全公司,在國家網絡安全博弈層面,也是一種戰略威懾。
民間力量利用不足
反觀中國,經過近幾年的發展,雖有了以瀚海源、綠盟、安天實驗室為代表的大量網絡安全公司,但在整體實力上仍與國外巨頭不在一個量級,難以實現"攻防對位"。
網絡安全專家認為,美國通過安全企業的技術能力,能有效發現、長期跟蹤、深度分析其所謂"來自中國的黑客攻擊",并能自圓其說地提供證據鏈和推理過程。但如果不是斯諾登的出現,證明美國在監控全世界,美國還會繼續掌握輿論主導權。
肖新光說,由于奧運安防的帶動,中國的網絡攻防能力在2008年已大體接近美國。奧運會過后的2008~2013年,受重視程度下降,企業發展明顯趨緩,成為中國網絡安全行業"失去的5年"。
相反,美國以"火眼"為代表的網絡安全公司卻在過去5年里快速崛起,將中國網絡安全行業遠遠甩在后面。以前美國的"火眼"公司還購買安天的病毒搜索引擎,而現在"火眼"在這方面的能力已遠遠超過國內企業。
"沒有足夠大的產業規模,就難有足夠強的安全技術實力。"奇虎360首席技術官譚曉生向《財經國家周刊》記者展示了一組對比鮮明的數字:2013年中國信息安全市場的規模約200億元,還不如美國賽門鐵克一家公司大。美國安全產業規模約占其整個IT產業規模的10%,而這個比例在中國只有2%左右。
重發展而輕安全的普遍現狀,使得中國網絡安全行業規模小、利潤薄,員工待遇不好,難以招到頂尖人才,大量國內頂尖人才被美國網絡安全公司重金挖走。
一位網絡安全廠商人士告訴《財經國家周刊》記者,美國"火眼"、"曼迪昂特"等網絡安全公司核心技術團隊的負責人,不乏原來國內公司的頂尖技術人才。
如何引導民間網安力量
如何引導民間網絡安全公司作為維護國家網絡安全的新抓手,盡快實現與美國等西方國家之間的"攻防對位",已經成為一個迫切的命題。
奇虎360董事長周鴻祎指出,美國國防部、海軍、空軍每年都有大筆訂單投入到民營網絡安全公司,這種做法值得中國借鑒。
杜躍進認為,目前中國信息安全行業整體贏利能力偏弱,沒有足夠的利潤投入深層次的技術研發。可借鑒印度對軟件行業的扶持政策,推出諸如"免稅10年"這樣積極的、導向性明顯的產業政策。
上海安言信息科技有限公司董事長張耀疆告訴記者,目前政府和國企是網絡安全公司最大采購方,但往往"重硬件、輕服務",經常是買了一堆"盒子",安全服務卻跟不上,網絡安全公司也難從本職的安全服務中獲利。
另一方面,網絡安全行業采用"低價優先"的招標機制。
綠盟首席戰略官趙糧說,要利用好政府采購的杠桿作用,整合并盤活整個網絡安全產業,就應建立合理的評級、評估機制,充分認可優秀產品的價值,使好產品有溢價空間,才能形成競爭質量而非競爭價格的良性循環。
三零衛士總工程師李成斌認為,要壯大中國網絡安全攻防的民間力量,從根本上看還有一個問題必須解決,即網絡和信息安全立法。比如,一旦企業出現重大、危害公共利益的公民隱私泄露事件,企業責任人應承擔相應民事甚至刑事責任。
【網絡安全立法再啟程】
全球網絡安全的復雜形勢下,從法律層面為網絡安全和信息化立規矩顯得日益重要,對網絡安全立法進行頂層設計的呼聲也愈發強烈。
接近決策層的消息人士透露,全國人大、最高法以及相關部門正在就"網絡安全法"進行調研。
根據2014年4月發布的全國人大常委會2014年立法工作計劃,制定"網絡安全法"已列入立法預備項目。
這意味著,自1994年國務院頒布《計算機信息系統安全保護條例》后,長期備受關注的網絡安全立法工作,再次提上議程。
接受《財經國家周刊》記者采訪的專家指出,在當下新的國內外背景下,加快推進網絡安全法規,已經有了新的使命和意義。
一方面,它不僅有利于守住中國信息跨境、隱私保護、IT供應鏈安全等諸多方面的底線,并回應美國立法機構和委員會對于中國企業的無端指責。另一方面,在構筑互聯網產業發展的良好法制環境、遏制企業之間的惡性競爭方面,網絡安全立法工作也將發揮重要作用。
法律短板
無論是從科技發展對社會生產方式和生產關系的影響來看,還是對國與國之間的競爭博弈而言,中國目前的網絡安全法律法規凸顯短板,讓政府和司法部門在處理一些社會問題、國際問題時頗為掣肘。
網絡科技的飛速進步與當前的法律適用存在不少不相適應的地方。360公司總法律顧問傅彤對此感觸頗深,她表示,從實際操作層面,網絡安全已經從客戶端層面走到云端層面,再走到系統層面。
"比如,360公司在進行一些技術攻防類產品推廣時,難以從現有的法律法規中尋找到適用于實際操作層面的依據,一旦出現糾紛,給司法判決帶來難題。"
互聯網新型犯罪層出不窮,同樣給社會治理和政府管理提出了新挑戰。
最高人民檢察院檢察理論研究所副所長單民指出,目前互聯網犯罪主要表現為以下四個方面:一是直接針對計算機網絡,非法侵入計算機系統,破壞非法控制計算機信息系統的犯罪;二是借助互聯網實施傳統犯罪;三是直接在網絡平臺進行的互聯網犯罪;四是由互聯網引起的其他犯罪,如侵犯知識產權的犯罪。
現有網絡安全法規方面的短板,還導致中國在一些國際問題和外交問題的處理中出現被動,難以有效對應他國對中國的無理制裁。
專家指出,華為、中興等網絡科技企業被美國以莫須有的理由拒之門外,2012年美國眾議院發布針對中興和華為的報告,建議聯邦政府不要采購其設備,私營企業考慮采購風險,對兩家企業的打擊很大。相比之下,美國IT界"八大金剛"進駐中國要"順利"得多。美國不久前起訴中國5名軍官網絡竊密,企圖重回道德制高點,而美國監聽全球的"棱鏡"計劃曝光后,中國目前仍停留于道義譴責……一系列事實表明,網絡安全立法落后,中國在國際舞臺上只能陷入被動局面。
西安交通大學信息安全法律研究中心主任馬民虎認為,互聯網領域中,中美雙方圍繞著信息安全的斗爭日益尖銳,這就需要中國盡快出臺信息安全的專門性法律,對于相關問題予以規范明晰,使中國的信息保護、安全審查等行為有法可依。
系統性立法
馬民虎表示,中國當前的網絡安全立法基本上屬于"滲透式"模式,由于缺乏綜合性專門立法,在根本上削弱了中國信息安全保護的力度和效果。
事實上,中國從1994年就開啟了信息安全立法的歷史,但中國現行的信息安全立法現狀并不樂觀。網絡安全基本法缺位,相關的法律規定大部分仍然散見于各個部門法,缺乏統一的立法理念,立法層級較低,立法結構不合理,具體法律規范多缺乏可操作性,且多為事后的懲治和補救規定,缺乏事前預警和風險防范措施,對于云計算和進一步全球化趨勢將帶來的信息安全風險的保障作用十分有限。
專家指出,當今世界各國高度重視法律安全,以法律形式、法律思維推動整個網絡安全,依法懲治各種網絡違法犯罪行為,中國作為網絡大國更需要與時俱進,走在法制的前列,用法律的手段為網絡安全保駕護航。
最高人民法院中國應用法學研究所所長孫佑海建議,首先,要建立網絡基礎設施保護制度,完善中國的電信設備、網絡的制度,建立國外產品的審查認證,確保國家的信息安全,這個制度還有一些具體細化的問題。依法推動自主知識產權網絡產品的研發,有目標、有步驟地提高中國重點領域網絡產品的國產化率,特別是核心技術上取得重大突破。
第二,要建立防止網絡泄密與保護數據的安全制度。網絡數據隨時面臨著泄密的風險。既要對防范外國情報機關竊聽竊取作出具體的規定,也應對涉及國計民生和重大公共利益的行業信息給予保護。專家指出,中國刑法第285條規定非法侵入罪,保護范圍明顯過小,建議將保護的范圍擴大到首先是金融、能源、醫療、稅收、財政,涉及國計民生的重大公共利益的都要給予有效的保護。
第三,建立打擊網絡恐怖主義制度。專家指出,一些網民在互聯網上從事編造虛假恐怖信息的犯罪行為,還有將網絡作為工具組織召集聯絡實施犯罪行為。網絡安全法中應該依法授權公安機關和國家機關加強網絡監管,明確規定國家安全監管的主體資格,對監管主體監管邊界予以明確。
第四,建立治理網絡謠言、網絡色情等犯罪活動的制度。隨著互聯網的普及,網絡幾乎成為所有傳統犯罪的工具或是平臺,傳統的誹謗、尋釁滋事、非法經營、詐騙、盜竊等違法犯罪行為在互聯網世界中改頭換面,社會危害性非常大。網絡攻擊、網絡病毒等新型犯罪活動也不斷涌現。
孫佑海說,中國的網絡犯罪呈現高發增長,"兩高"在積極探索法律適用和司法解釋規則,在現有的框架內不斷地探索經驗。2013年"兩高"出臺了《關于辦理利用信息網絡實施誹謗等形式案件適用法律若干問題的解釋》,有力地打擊了利用網絡進行敲詐勒索等行為。
辯證看待技術變革
在基本的網絡安全立法框架之上,網絡安全立法還需要解決網絡安全管理流程中由于法律手段缺乏、行政手段代替帶來的問題。
工信部電信研究院政策與經濟研究所法律部主任李海英指出,在立法缺乏的情況下,往往由行政命令要求企業尤其是國企提供一些相關的配合,但是在未來的市場開放的情況下,市場參與主體增多,國有企業、國有資本可能逐漸退出,在這種情況下,如何把通過行政管理的工作變成法制化的要求非常關鍵。
專家指出,要盡快改變中國網絡安全的立法局面,通過更高層面立法完善中國的法律,讓網絡安全的法律法規適應時代的發展。特別是刑法作為打擊網絡犯罪的有效工具,可以擴大刑法罪名設置,完善網絡犯罪的罪名體系,擴大刑法的保護范圍,加大對網絡安全的保護力度,由結果犯修改為危險犯,加大對幫助犯的打擊力度。
孫佑海說,在實踐中發現,現在借助網絡進行違法犯罪活動的單位日益增多,相當一部分網絡犯罪的主體實際是以單位組織、公司的名義出現,所以,要對從事網絡違法犯罪的單位和個人同時給予制裁。
對網絡信息濫用和欺詐行為,專家建議進行源頭治理,著重打擊購物網站的違法犯罪行為,懲治以違法方式泄露用戶信息的行為,建立完善的網上保險制度,降低網絡交易風險。
國務院法制辦工交商事法制司副司長馬森述指出,網絡領域的立法與傳統立法有所不同,需處理好新技術和新業務的關系、管理和發展的關系。如互聯網金融、打車軟件就是由于新技術新應用催生了新的經營方式。
互聯網的每一次技術革新,都會挑戰已確立的基本法的原則和規則。孫佑海建議,強化網絡知識產權保護的制度,不斷明確技術規則、技術創新,把糾紛行為和網絡技術區分開,在制裁網絡行為同時保護技術發展。
京公網安備 11010502049343號