《網絡安全法》中網絡攻擊治理的創新
2016年11月7 日,《網絡安全法》正式公佈。作為網絡安全領域的基本法,《網絡安全法》的發佈引發各方高度關注。該法案以總體安全觀為指導思想,在總則部分提出國家要不斷完善網絡安全戰略,全方位提升網絡安全治理水準,同時在分則部分通過全面性的制度設計對總則進行細化,最終逐步實現對網絡社會治理法律體系的完善。從該法案可以看出,構建系統全面的網絡安全法律體系已經引起了立法機構的重視,兼顧“監測、預警、免責”的全面事態感知立法新模式正在逐漸形成。放眼國際,該立法模式也被越來越多的國家和組織採納。例如,2013年歐洲議會和理事會通過了《歐洲議會和理事會第2013/40/EU號指令》,將針對信息系統攻擊的規制擴展至事前、事中及事後的全過程,構建出一個涵蓋事先監測預警、事中應急響應、事後懲治與恢復的“三位一體”的治理框架,通過對網絡攻擊中各個連接要點的控制來實現對網絡攻擊的有效防範與治理。
將《網絡安全法》與現有《刑法》進行對比可以看出,在關於網絡攻擊治理方面,《網絡安全法》有了巨大的進步。
首先,《網絡安全法》構建了涵蓋事先監測預警、事中應急響應、事後懲治與恢復的“三位一體”的治理體系。基於網絡攻擊的低成本性、隱藏性以及影響範圍廣等特徵,僅僅依靠事後懲治顯然不能起到對網絡攻擊的威懾,更難以實現對網絡安全的保障。我國《刑法》第285條、第286條、第287條規制的行為是已經實施的入侵計算機信息系統的行為,或者造成實體損害的行為,顯然其作用只是起到了對犯罪行為人的處罰,對於已經造成的損害無法進行彌補。而《網絡安全法》“三位一體”的治理體系,從源頭對網絡攻擊進行防範,在攻擊發生時確保能夠迅速響應與處置,將損害降至最低,最後再對犯罪行為人進行懲處。例如,第25條規定網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告;第51條明確要求國家也要建立網絡安全監測預警和信息通報制度。
其次,《網絡安全法》建立了信息共享機制,確保信息的及時、準確。習近平主席于4月19日網絡安全和信息化工作座談會上明確提出要建立統一高效的網絡安全情報共享機制,準確把握網絡安全風險發生的規律、動向和趨勢。近年來,我國在信息公開方面做出了許多努力,而《刑法》在經過2015年第九次修訂後尚未增加網絡安全信息共享的內容。《網絡安全法》作為網絡安全領域的基本法對該部分內容進行了完善與補充,其中,第39條明確規定國家網信部門應當統籌協調有關部門,促進有關部門、關鍵信息基礎設施運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享。
再次,《網絡安全法》保護與規制的範圍較之《刑法》更加廣泛。依據《刑法》第285條第1款的規定,國家事務、國防建設、尖端科學技術領域是關鍵基礎設施領域的重要組成部分。顯然,僅依靠這部分的安全並不能實現網絡安全真正的安全。而《網絡安全法》對這方面的規定就更加全面和科學。法案設立“關鍵信息基礎設施的運行安全”專門章節對關鍵信息基礎設施進行統一且全面的規定,其中第31條規定,國家鼓勵關鍵信息基礎設施以外的網絡運營者自願參與關鍵信息基礎設施保護體系;第34條還具體明確了關鍵信息基礎設施網絡運營者的安全義務。
最後,《網絡安全法》新增了漏洞披露等規定。目前,安全漏洞攻擊成為全球網絡安全最大的威脅之一。作為網絡大國的中國,也亟需提升防禦能力,最大限度減少安全漏洞可能産生的危害。我國《刑法》僅在第285條、第286條、第287條規定了關於入侵計算機信息系統的犯罪,並未明確漏洞挖掘、披露等內容。《網絡安全法》要求開展網絡安全認證、檢測、風險評估等活動,向社會發佈系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定,並在第62條規定了相應的懲罰責任。
可以看出,在借鑒國際經驗、結合我國國情的情況下,在應對各類突發網絡安全攻擊事件方面,《網絡安全法》是對《刑法》的一大突破。構建“三位一體”治理體系,對關乎民生的重要領域的網絡安全重點保護順應了社會的發展趨勢,其中網絡安全信息共享與漏洞披露更是法案的一個亮點。考慮到《網絡安全法》作為網絡安全領域基本法的地位,只能從宏觀上對網絡安全治理進行原則上的規定,為了確保法律的效力和實施效果,還需要制定相配套的立法與之相結合,共同提升我國網絡安全治理水準。(來源:理論網)
作者:西安交通大學信息安全法律研究中心 馬民虎