6月1日至7日,第二届国家网络安全宣传周,网络安全再次成为热点话题。
然而,就在刚刚过去的5月,多起互联网安全事件一再挑动公众的神经:
5月11日,网易骨干网络遭受攻击,导致网易数款产品服务大面积瘫痪;
5月27日,因通信光缆被挖断,多地区支付宝出现网络故障。
5月28日11时9分,携程网酒店和机票预订服务突然全线停滞,因技术人员错误删除执行代码导致携程官网及APP无法使用。而这已不是携程第一次爆发严重技术故障。去年3月,携程网便曾被曝出存在系统漏洞,可能泄露用户银行卡信息。
“网络安全领域面临着基础设施受制于人、网络应急保障不力、网络泄密频繁发生、关键岗位管理不严、法律责任不够明晰等突出问题。”天津大学法学院院长孙佑海称,只有寻求立法对策,才能实现长治久安。
建立基础设施保护制度
“既是坏事,也是好事。”在中国人民大学网络犯罪与安全研究中心秘书长、首都互联网协会法律专业委员会委员谢君泽看来,最近发生的网易、支付宝、携程的网络安全事件,引发了如何从法律方面保护网络安全的诸多思考。
“不可否认,网络信息内容管理和网络恶意行为防控都是十分重要且迫切的。网易被攻击所造成的恶劣影响无疑是很好的例证。而支付宝通信光缆被挖断,则恰恰给我国的网络关键基础设施保护敲响了警钟。”谢君泽介绍,关于网络安全,一直存在多种看法。有观点认为,维护网络安全,就是控制和引导网络舆论,或者说是网络信息内容的管理;还有观点认为,维护网络安全,主要是要保护网络上数据信息系统,使之免遭泄露和攻击。
“真正的网络安全不仅要对网络行为进行规制,也要对网络设施进行保护。”谢君泽今天在接受《法制日报》记者采访时说,如何对互联网企业内部的物理设施及数据系统进行保护,也应当是网络安全立法需要考虑的问题。
网络关键基础设施安全问题关系到国家稳定、经济命脉和个人切身利益,其重要性不言而喻。对此,孙佑海建议,在网络信息安全立法中,应建立关键基础设施保护制度。一方面,国家要对电信终端设备、无线电通信设备和涉及网间互联的设备实行进网许可制度,接入公用电信网的网络设备,必须符合国家规定的标准并取得进网许可证。另一方面,国家要对各类网络终端、存储设备以及操作系统、应用软件、安全软件等实行进口审查制度,进口网络设施和软件必须符合国家规定的标准并取得进口许可证。
明晰管理职能部门权责
“法的精神不在于惩罚,而是在于预防、引导和规范。”谢君泽认为,从国内法视角而言,网络安全法律应当以行政性法律为主,以刑事性法律为辅。
那么,我国当前的网络安全应由谁来主管?其主管范围和主要职能是什么?如何与传统的执法部门进行分工配合?“这是网络安全立法的基本问题,也是当务之急。”谢君泽认为,我国网络安全立法可以借鉴近邻日本。2014年11月,日本颁布了网络安全基本法,其中就设立了网络安全战略本部。该部门主管网络安全战略计划的制定与实施、网络安全政策标准的制定及实施、行政机关应对网络安全重大事件的评价以及相关网络安全重要政策审议、跨部门合作计划等相关内容。
在孙佑海看来,我国互联网管理部门存在各自为政的现实问题,导致出现多头管理、职能交叉、权责不一、效率不高的不利局面。并且,随着互联网媒体属性越来越强以及移动互联网、“自媒体”的普及,网络媒体和产业管理远远跟不上形势的发展变化。中央网络安全和信息化领导小组宣告成立,有助于解决我国网络安全管理中各自为政、“九龙治水”的问题。但是,现行互联网管理体制与科学管网、严格执法的要求相比,还有很大的差距。互联网管理体制的改革,迫切需要法治化来真正落实。
“要通过网络信息安全立法,整合互联网管理机构职能,以法律形式明晰各管理职能部门权责,尤其要明确网络信息安全的执法部门。”孙佑海建议,完善各主管部门在维护网络信息安全工作中的协同配合机制,明确规定各部门在中央的统一领导下,各司其职,密切配合,形成从技术到内容、从日常安全到打击犯罪的互联网管理合力。
特殊保护重点岗位人员
值得一提的是,此次携程网络安全事件中,官方称,故障原因是员工错误操作导致。显然,重点岗位和人员管理不严也是不断出现网络安全事件的重要原因。
实际上,当前在我国互联网领域,涉及国家安全和公共安全的重点岗位和人员范围并不够明确,网络信息安全保护工作的重点不够突出,以致于一些重点岗位的人员既缺乏网络信息安全保护的意识,也缺少网络信息安全的专业技能,更缺乏网络信息安全的保护措施。即便我国已经建立了对信息和信息载体按照重要性等级分级别进行保护的制度,即信息安全等级保护制度,但该制度贯彻执行的情况不够理想。
对此,孙佑海建议,在网络信息安全立法中,应建立重点岗位和人员的特殊保护制度。在国家机关、涉及国计民生的行业以及数据信息大量集中的互联网企业范围内,确定网络信息安全保护的重点岗位和人员,明确重点岗位和人员的保密义务和责任,实施不同强度的监督管理。应根据不同岗位的工作性质,加强网络舆情分析、网络内容监管、网络攻击应对、网络应急保障等方面的专业技能培训,提高重点岗位和人员的网络信息安全保护能力,坚决防治网络泄密。
此外,孙佑海还建议,为最大限度地避免或减少网络信息安全事件造成的损失,我国急需加强网络安全应急保障建设。他指出,网络应急保障的责任主体应包括有关政府职能机构、社会机构和网络运营单位,要设立专门的国家网络信息安全应急保障机构,对网络安全事件实行分级响应和处置的机制。发生涉及国家安全和公共安全的重大网络信息安全事件,有关部门应当启动国家级应急处置预案,形成网络应急保障的合力。法制网北京6月3日讯
