作者:寿步
出版社:上海交通大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络空间安全法律问题研究试读:
前言
一、本书缘起20世纪90年代以来,信息技术在全球迅速传播,因特网在各国广泛应用,人类社会的经济科技文化军事等各领域因此发生了深刻的变化。在此背景下,应对来自网络空间的安全挑战,切实保障网络空间安全,已经成为各国面临的共同课题。因特网的全球性,导致网络空间的安全问题必然也是全球性的综合性的社会问题。网络空间安全问题的解决,当然就离不开法律的规制。
我国网络空间安全法律制度的历史可以分为两个阶段:
第一阶段,从20世纪90年代到2014年2月中共中央网络安全和信息化领导小组成立。这一时期我国网络空间安全的立法基本属于渗透型模式,也就是将涉及网络空间安全的相关规定渗透融入相关的法律、行政法规、部门规章和司法解释中,其内容涉及网络监管、信息安全等级保护等多方面。
第二阶段,从2014年2月中共中央网络安全和信息化领导小组成立至今。2014年2月27日,习近平总书记在中共中央网络安全和信息化领导小组第一次会议上强调,“没有网络安全,就没有国家安全”。中央网信领导小组的成立,极大地推动了各级政府和各行各业对网络空间安全工作的关注和重视,网络安全已经提升到国家战略的重要地位。在网络安全法起草过程中,2015年7月和2016年7月全国人大常委会先后就法律草案和草案二次审议稿公开征求意见。2016年11月7日全国人大常委会通过《中华人民共和国网络安全法》。2018年3月,根据中共中央印发的《深化党和国家机构改革方案》,将中共中央网络安全和信息化领导小组改为中共中央网络安全和信息化委员会,负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。
我国现已进入以网络安全法为统领、以《国家网络空间安全战略》为指导、构建网络空间安全法律全面保障体系的新时期。社会舆论对网络安全法的关注,促进了社会各界对网络空间安全相关法律问题的空前探究。
在此背景下,加强我国网络空间安全立法研究,推动我国网络空间安全立法进程,建立健全我国网络空间安全法律体系,不仅对健全我国法律体系具有重要的理论意义,而且对维护我国国家安全、保障社会经济科技文化发展具有重要的现实意义。
此前,笔者主编的《网络安全法实务指南》于2017年9月由上海交通大学出版社出版。该书是笔者主持的上海交通大学中央高校基本科研业务费资助项目《网络空间安全法律问题研究》(项目编号16JXYB01)的阶段性成果。该书可用作网络安全法的实务操作指南。
本书则是上述项目的又一项成果,偏重于理论研究。二、本书概要
我国现行的网络安全法是以“网络”(Network)和“网络安全”(Network Security)等为核心概念,以“网络”“网络安全”“网络运营者”这三个概念为基础界定该法的调整范围的,这样就导致该法现已规定的个人信息保护和违法信息管控、跨境数据传输等项内容却并不在该法定义的“网络安全”概念的外延之内,导致该法无法自洽,且其核心概念无法与英文术语对应。
如果以国际标准ISO/IEC 27032:2012关于“网络空间”(the Cyberspace)、“网络空间安全”(Cybersecurity/Cyberspace security)、“网络空间安全态”(Cybersafety)、“网络空间犯罪(态)”(Cybercrime)这四个术语的定义为逻辑起点,将“网络空间安全”(Cybersecurity)与“信息安全”(Information security)、“应用程序安全”(Application security)、“网络安全”(Network security)、“因特网安全”(Internet security)、“关键信息基础设施保护”(Critical Information Infrastructure Protection, CIIP)等术语进行明确定义和区分,就可以在此基础上构建满足自洽要求的我国《网络空间安全法》(Cybersecurity Law)的逻辑体系。“网络空间”(cyberspace/cyber)在中国法律中或中文语境下的外延应拓展到不与因特网相连接的网络上,如国家机关政务网络、军事网络、局域网、工业控制系统等。
如果引入“网络空间安全态”的概念,则可以为网络空间安全法保护个人信息和管控违法信息提供国际标准的依据。
如果以ISO/IEC 27032:2012为基础制定我国的《网络空间安全法》,则既可以使法律本身建立在严谨、周密、坚实的技术基础上,给法律规制未来出现在“网络空间”中的新问题预留空间,也有助于建立科学的、完整的网络空间安全法学理论体系。
长远来说,参考唐代玄奘法师主持翻译佛经时制定的“五不翻”原则,宜将Cyber音译为“赛博”,将Cyberspace译为“赛博空间”,可简称“赛博”。那时,《网络空间安全法》则应改称为《赛博空间安全法》,也可简称为《赛博安全法》。
以上是本书的核心思路。
事实上,在2018年9月7日公布的《十三届全国人大常委会立法规划》中,个人信息保护法和数据安全法的立法计划已被列入“第一类项目:条件比较成熟、任期内拟提请审议的法律草案”之中。这也证明了笔者的上述观点——个人信息保护和违法信息管控、跨境数据传输等项内容本身并不在网络安全法定义的“网络安全”概念的外延之内。将个人信息保护法和数据安全法(包括违法信息管控、跨境数据传输等)单列之后,“网络安全法”的内容就可以仅限于现行网络安全法所定义的“网络安全”概念范围之内。这样也可以用另一种方式(即把超出“网络安全”概念的外延范围的其他事项移出“网络安全法”的方式)实现“网络安全法”的自洽。
基于前述本书核心思路,本书分为八章。第一章网络安全法还是网络空间安全法是全书的总纲;第二章网络空间安全态、第三章网络空间犯罪、第四章信息安全、第五章应用程序安全、第六章网络安全、第七章因特网安全、第八章关键信息基础设施保护都是在总“纲”统领之下的“目”,纲举目张。
我的同事和博士研究生、硕士研究生参加了这个项目的研究。
本书各部分初稿的撰稿人分别是:第一章寿步,秦倩、罗茗会、张田田、白莉莉等也有贡献;第二章白莉莉;第三章朱露鹭;第四章罗茗会,潘莹也有贡献;第五章张田田;第六章吴瑶;第七章王桂珍;第八章邵金满,王亚东也有贡献。秦倩和党玉洁对初稿各章节的文稿进行了核对整理;徐彦冰对全书进行了初次统稿。本书的编撰由寿步统筹谋划并修改定稿。本项目研究全程在寿步主持下进行。
本项目的研究得到了各方面的支持。笔者借此机会对上海交通大学网络空间安全学院院长、中国网络空间安全协会副理事长李建华教授在这个项目研究中给予的支持与合作致以诚挚的谢意。
笔者还要向西电捷通无线网络通信股份有限公司曹军总经理特别致谢。在2016年上半年笔者思考构建网络空间安全法律体系需要寻找技术标准作为基础时,曹总及时提供了国际标准ISO/IEC 27032:2012的线索,使笔者的研究思路豁然开朗。经过对该标准的学习,笔者最终确定了以该标准为基础构建网络空间安全法律的逻辑体系框架的研究思路。三、相关丛书
1.《上海交通大学知识产权研究中心学术丛书》
上海交通大学知识产权研究中心于2004年4月26日世界知识产权日成立,隶属于法学院。该中心以国家需要为动力,以重大现实问题为中心,以培养复合型高素质的知识产权研究型人才和实务型人才为目标,以信息网络与高新技术知识产权保护研究为特色,对于计算机软件、网络游戏、云计算等领域的知识产权问题进行了领先的研究探索。
在人才培养方面,该中心曾经探索和实践“法学专业知识产权集成班”(从非法学各专业特别是理工科专业的二年级本科生中选拔生源,从三年级起转入法学专业,完成全部法学课程特别是知识产权课程学习,授予法学学士学位)、“知识产权法第二学科学士学位班”(由非法学专业本科生在修读其主修专业同时,从二年级下半年开始学习法学基础、知识产权理论、知识产权实务三类课程)。在研究生中,采用法学硕士知识产业专业、非法学本科法律硕士知识产权研究方向、法学博士知识产权专业等不同层次和类型的培养模式。
我作为该中心主任,主持出版《上海交通大学知识产权研究中心学术文库》。该文库先后出版了下列著作:(1)《网络游戏法律政策研究》,寿步、陈跃华主编,陈潜副主编,上海交通大学出版社,2005年10月第一版。本书于2007年4月获国家信息化专家咨询委员会颁发的首届全国信息化研究成果奖优秀奖;2007年11月获中国科学技术法学会颁发的科技法学优秀作品奖。(2)《网络游戏法律政策研究2008》,寿步主编,徐彦冰副主编,上海交通大学出版社,2008年5月版。本书被评为中国科学技术法学会2008年年会优秀专著。(3)《网络游戏法律政策研究2009——网络虚拟物研究》,寿步主编,徐彦冰副主编,上海交通大学出版社,2009年12月版。本书被评为中国科学技术法学会2013年年会优秀专著。(4)《广州亚运会知识产权战略实施》,寿步、王永红主编,徐彦冰、黎丽红副主编,上海交通大学出版社,2011年8月版。本书被评为中国科学技术法学会2012年年会优秀专著。(5)《云计算知识产权法律问题研究》,寿步、王晓燕主编,上海交通大学出版社出版,2014年9月版。本书获中国科学技术法学会2015年年会优秀论著奖。
由于本书的理论性,现纳入《上海交通大学知识产权研究中心学术文库》。
2.《信息网络与高新技术法律前沿实务丛书》
为了鼓励针对某个具体领域的法律实务问题进行系统全面的论述,中华全国律师协会信息网络与高新技术法律专业委员会从2016年开始组织编写《信息网络与高新技术法律前沿实务丛书》,将专委会成员针对某个具体领域编写的中等篇幅的著作择优纳入该丛书出版。该丛书此前已经出版四本:(1)《互联网金融原理与法律实务》,蔡海宁主编,刘宇梅、谌兰副主编,上海交通大学出版社,2015年12月第一版;(2)《信息网络与高新技术法律政策实务研究》,寿步主编,陈际红、蔡海宁、马克伟、徐家力、俞卫锋副主编,上海交通大学出版社,2016年4月第一版;(3)《网络安全法实务指南》,寿步主编,上海交通大学出版社,2017年9月第一版;(4)《互联网金融合规指南与法律政策规范汇编》,汪政主编,中国法制出版社,2018年5月第一版。
由于网络安全法的题材与实务的密切关联性,本书也列入《信息网络与高新技术法律前沿实务丛书》。寿步上海交通大学法学院教授中国科学技术法学会副会长中国法学会网络与信息法学研究会副会长中华全国律师协会信息网络与高新技术法律专业委员会主任2018年10月 第一章 网络安全法还是网络空间安全法
我国网络安全法以网络和网络安全等为核心概念,导致个人信息保护和违法信息管控等内容并不在网络安全概念的外延之内,因此该法无法自洽,且核心概念无法与英文用语对应。如果以ISO/IEC 27032:2012关于网络空间、网络空间安全、网络空间安全态、网络空间犯罪这四个术语的定义为逻辑起点,将网络空间安全与信息安全、应用程序安全、网络安全、因特网安全、关键信息基础设施保护等术语进行明确定义和区分,就可以在此基础上构建满足自洽要求的我国网络空间安全法的逻辑体系。从长远考虑,宜将Cyber音译为“赛博”,将Cyberspace译为“赛博空间”。第一节问题的提出《中华人民共和国网络安全法》(以下简称“该法”)2016年11月7日由全国人大常委会通过,2017年6月1日起施行。该法第二条规定了它的调整范围:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”这里涉及两个方面:其一,该法适用的地域范围原则上是在我国境内,当然该法也有具体条款规定其特定的域外效力。地域范围不是本书关注的问题,因此不展开讨论。其二,该法的调整对象是我国境内“建设、运营、维护和使用网络,以及网络安全的监督管理”的活动。一、法律的核心概念问题《中华人民共和国网络安全法释义》一书写道:“一部法律的调整范围决定了一部法律的总体思路、框架结构和主要内容。网络安全法主要通过‘网络’‘网络安全’和‘网络运营者’这三个核心概念界定了它的调整范围。”
该法第七十六条给出的五个定义中的前三个,正是“网络”“网络安全”和“网络运营者”。可见这三个概念在该法中的核心地位。
该法第七十六条定义的“网络”,“是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”显然,该法所称的“网络”,是network,而不可能是cyberspace/cyber。
当然,就该法的调整范围而言,这三个概念中最核心的概念当属“网络安全”,而这正是该法的名称。该书中关于该法名称的解释,也正是基于“网络安全”(Network Security)展开的。
该法的调整范围与其最核心的概念直接相关,值得进一步研讨。下面首先回顾近几年我国官方的相关论述。(一)总体国家安全观中“信息安全”的提法
2014年4月15日习近平总书记在中央国家安全委员会第一次会议上提出总体国家安全观。他强调,要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,走出一条中国特色国家安全道路。他指出:当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观。他要求:构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
这里所说的国家安全体系所涵盖的十一种安全中包括“信息安全”。(二)国家安全法中“网络与信息安全”的提法
2015年7月1日通过并施行的《中华人民共和国国家安全法》是在总体国家安全观指导下进行的立法。其中第二十五条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”
这里在与总体国家安全观中“信息安全”对应的条款中采用了“网络与信息安全”的提法,而不是“信息安全”的提法。(三)网络安全法中“网络安全”的提法
2016年11月7日通过的《中华人民共和国网络安全法》,从名称到正文,“网络安全”出现108次;“网络空间安全”出现1次(出现在第五条最后的“维护网络空间安全和秩序”这句话中)。虽然就国家安全法与网络安全法的关系而言,前者是“纲”,后者是“目”,纲举则目张,但是在网络安全法中并没有沿用国家安全法中“网络与信息安全”的提法,而是自始至终采用了“网络安全”的提法。(四)国家网络空间安全战略中“网络空间安全(以下称网络安全)”的提法
网络安全法颁布后,在经中共中央网络安全和信息化领导小组批准、国家互联网信息办公室于2016年12月27日发布的《国家网络空间安全战略》中,却并没有沿用该法关于“网络安全”的提法,而是在标题中明确采用了“网络空间安全”的提法,并且在正文一开始就采用了“网络空间安全(以下称网络安全)”的提法,其后“网络安全”总计出现42次。注意,这里42次出现的“网络安全”只是“网络空间安全”的简称,并不等于网络安全法中的“网络安全”一语。换言之,《国家网络空间安全战略》是用“网络空间安全(以下称网络安全)”作为过渡,舍去了“网络安全”的提法而改用“网络空间安全”的提法。(五)网络空间国际合作战略中“网络安全”的官方英译是cyber security
在经中共中央网络安全和信息化领导小组批准、由外交部和国家互联网信息办公室于2017年3月1日共同发布的《网络空间国际合作战略》中文版中,“网络安全”出现14次;“网络空间安全”出现1次。在《网络空间国际合作战略》的官方英译本(这是网络安全相关官方文件中难得一见的官方英译本)中,network security完全没有出现;cyber security出现13次;cyberspace security出现1次。
显然,在《网络空间国际合作战略》的发布机关外交部和国家互联网信息办公室看来,该文件中文版中的“网络安全”并不对应于network security,而是对应于cyber security / cyberspace security。
官方表述的上述变迁过程可用图1-1表示。在此过程中,我们看到的趋势是:中文表述转为“网络空间安全”;英文表述转为“cyber security”。图1-1 官方文件中相关术语使用的演变过程
英文中,Network Security与Cyberspace security / Cyber security / Cybersecurity的含义并不相同;同理,中文中的“网络安全”与“网络空间安全”这两个术语的含义也不相同。它们之间的差异并不是将“网络空间安全”简称为“网络安全”就可以解决的。二、法律的自洽问题
国家制定的法律当然应该自洽。但在我国网络安全法中,自洽的要求尚未得到满足。该法的名称是“网络安全法”,其中第七十六条将“网络安全”定义为:“是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”但该法的内容却包含了如个人信息保护和违法信息管控等内容;这些内容显然并不属于该法定义的“网络安全”的范围之内。因此,该法无法满足自洽要求。
如何解决该法的自洽问题?
如果以国际标准ISO/IEC 27032:2012为依据,则可以使该法的核心概念建立在国际标准基础上,可以解决该法的自洽问题,可以给个人信息保护和违法信息管控找到国际标准的依据,可以构建该法的完备的逻辑体系。第二节 网络空间安全立法的技术基础与逻辑起点——国际标准ISO/IEC 27032:2012一、ISO/IEC 27000系列标准概述
国际标准ISO/IEC 27032:2012的全称为《信息技术-安全技术-网络空间安全指南》(ISO/IEC 27032:2012 Information technology–Security techniques-Guidelines for cybersecurity),其属于信息安全管理体系(Information Security Management System,简称ISMS)国际标准族(即ISO/IEC 27000系列标准)。国际信息安全标准化组织ISO/IEC JTC1 SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/第一工作组)是专门负责ISMS标准族研究和制定的机构,其主要任务是负责ISO/IEC 27000标准族标准的制定和维护。
ISO/IEC 27000标准族自2005年开始制定,是国际标准化组织专门为信息安全管理体系建立的一系列相关标准的总称,已经预留了ISO/IEC 27000到ISO/IEC 27059共60个标准号。该标准至今已涵盖21项标准,形成了比较完整的标准体系。ISMS标准族针对不同信息安全管理需求的用户提供了不同的标准和参考。
从整体内容角度分类,ISO/IEC 27000系列可以分为四大部分。第一部分是信息安全管理的基础概念和具体要求,主要包括ISO/IEC 27000到ISO/IEC 27005。第二部分是信息安全管理认证和审核标准,主要包括ISO/IEC 27006到ISO/IEC 27008。第三部分主要针对专门行业和领域的信息安全管理提出针对性的要求。第四部分则是由ISO技术委员会TC215单独制定的标准,而并非由ISO和IEC共同制定,主要是指ISO 27799以及一些仍处于草案阶段的成果。
1985年美国国防部制定并颁布了可信计算机系统评估准则(TCSEC),自此,其他各国纷纷根据自身的国情相继制定了一系列信息安全标准。英国标准协会(BSI)1995年制定的信息安全管理标准BS7799正是ISO/IEC 27001的前身。BS7799标准由英国贸易工业部于1993年立项,并于1995年首次出版BS7799-1:1995《信息安全管理实施细则》。BS7799主要是为了工商业系统的大、中、小企业的信息安全提供统一的标准规范。BS7799主要由两个部分组成,分别为BS7799-1《信息技术-信息安全管理实施细则》和BS7799-2《信息技术-信息安全管理体系规范》。其中,BS7799-1主要为相关组织和人员在信息安全领域提供实施规则;而BS7799-2则提出了对建立信息安全管理体系的具体要求。2000年,ISO通过了对BS7799-1:1999的认定,使其成为国际标准ISO17799。2005年ISO/IEC/JTC1/SC27正式制定了ISO/IEC 27001:2005,并取代了BS7799-2,使得BS7799系列标准更名为ISO/IEC 27001系列。
ISO/IEC 27001《信息技术-信息安全管理体系规范》确立了建立信息安全管理体系的要求,同时要求实施有效的信息安全风险管理,以实现组织业务的可持续性发展。从具体措施上看,27000系列标准整体采用PDCA“规划-执行-控制-改进”的循环流程模型。为最终实现保障信息安全的目标,ISO27000标准族整体从以下十一大控制领域出发保护信息安全:安全方针、安全组织、资产分类与控制、人员组织、物理与环境安全、通信与运行管理、系统开发与维护、访问控制、安全事件管理、业务连续性管理、符合性。
ISO/IEC 27032:2012是由ISO/IEC JTC1(信息技术)/SC27(IT安全技术)制定,并于2012年7月15日正式公布。该国际标准的具体结构,如图1-2 ISO/IEC 27032:2012内容框架图所示,共有十三章的正文内容和三章附录。图1-2 ISO/IEC 27032:2012内容框架图二、借鉴ISO/IEC 27032:2012的立法意义
由上图可见,国际标准ISO/IEC 27032:2012在其相关章节中已对网络空间安全领域基础概念的定义做出了详细的区分和阐述。作为国际公认的权威标准,其对网络空间领域各相关术语的定义可以为我国进一步完善网络空间安全法律体系的建设做出规划和指引。我国现有的相关法律政策中对于网络空间安全相关概念的表述存在严重的混淆,若不能从概念上严格界定不同术语之间的内涵和外延,这将直接导致后续对相关安全的保护无从着手。只有明确了不同概念之间的区别,才能在严密的概念体系框架下具体讨论如何保护其中某种安全。我国需尽快厘清相关概念之间的区别,正本清源,以为后续建立完善的保护体系框架打下坚实的基础。基于此迫切需求,了解并借鉴ISO/IEC 27032:2012对网络空间安全领域相关术语的使用则显得尤为重要,毕竟这是立法需要勇敢迈出的第一步。第三节ISO/IEC 27032:2012 中定义的四个基础概念
在国内外相关立法和学术文献中,信息安全(Information Security)、网络安全(Network Security)、因特网安全(Internet Security)、网络与信息安全(Network and Information Security)、网络空间安全(Cybersecurity)等概念都常见到。对这些术语如何进行取舍,可以借鉴ISO/IEC 27032:2012。
与质量管理体系的ISO 9000系列标准类似,信息安全管理体系(ISMS)是国际标准化组织(ISO)发展的一个信息安全管理标准族,用以保障各机构的信息系统和业务的安全和正常运作。从2000年ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》正式发布以来,信息安全管理体系被世界各国逐渐认可和接受,由此发展成为ISO/IEC 27000系列标准族。该标准族中包括国际标准ISO/IEC 27032:2012信息技术-安全技术-网络空间安全指南(ISO/IEC 27032:2012 Information technology-Security techniques -Guidelines for cybersecurity)。
ISO/IEC 27032:2012阐述了“网络空间”(the Cyberspace)所面临的独特的安全问题。网络空间存在着目前信息安全、应用程序安全、网络安全和因特网安全等多种安全领域所不能涵盖的安全问题,原因在于这些安全领域之间存在差距。网络空间安全将解决在网络空间中由于不同的安全领域差距所导致的安全问题。同时,网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。
在ISO/IEC 27032:2012中已经给出了相关术语的准确定义。首先看对于四个基础概念的定义。一、网络空间(the Cyberspace)
网络空间:不以任何物理形式存在的,通过技术设施和网络接入其中的,由因特网上(on the Internet)的人员、软件、服务的相互作用所产生的复杂环境。
网络空间可以描述为一个虚拟环境。二、网络空间安全(Cybersecurity/Cyberspace security)
网络空间安全:在网络空间里(in the Cyberspace)保护信息的保密性、完整性、可用性。此外,像真实性、可追责性、不可抵赖性、可靠性等特性,也可以提及。
注意到,“网络空间安全”的定义比ISO/IEC 27000:2009 中“信息安全”(information security)的定义只是增加了“在网络空间里”(in the Cyberspace)。三、网络空间安全态(Cybersafety)
网络空间安全态:是一种状态,可免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。
注释1:这可采用避免将引起健康损害或经济损失的某种经历或披露某事的形式。它包括对人和对财产的保护。
注释2:安全态(safety)通常也定义为一种特定的状态,这时负面影响将不会通过某种代理引发或者在设定条件下引发。
注意到,网络空间安全态(Cybersafety)不同于网络空间安全(Cybersecurity)。用网络空间安全态翻译Cybersafety、用网络空间安全翻译Cybersecurity,正好可以在中文中明确区分这两者。后面将详细讨论“网络空间安全态”相关问题。四、网络空间犯罪(态)(Cybercrime)
网络空间犯罪(态):是指在网络空间中的服务或应用程序被用于犯罪或者成为犯罪目标的犯罪活动,或者网络空间是犯罪来源、犯罪工具、犯罪目标或者犯罪地点的犯罪活动。
注意到,“网络空间犯罪(态)”(Cybercrime)是与“网络空间安全态”(Cybersafety)对应的一个概念。它们构成网络空间安全的两种极端状态,若以二进制表示,即一为“零”(0)状态、一为“壹”(1)状态。网络空间安全的实际状态通常是在这两个极端状态之间。第四节在我国立法中引入网络空间安全态的必要性
为什么需要在我国立法中引入网络空间安全态(Cybersafety)的概念,这是因为仅有网络空间安全(Cybersecurity)的概念还不够。
网络空间安全态:Cybersafety=Cyber+Safety=Cyberspace+Safety;
网络空间安全:Cybersecurity=Cyber+Security=Cyberspace+Security。
因此,网络空间安全态(Cybersafety)与网络空间安全(Cybersecurity)的辨异问题实质上是Safety与Security的辨异问题。一、安全态(safety)与安全(security)的辨析
从词源看,security源于拉丁词secura,意即free of concern(没有忧虑);se表“没有”,cura表“忧虑”。safety源于拉丁词salvus,意为healthy(健康的)。safety更具有个人色彩,针对意外伤害;而security则更多针对人为事件。例如,说一条道路很安全,用safe表示这条路不会遭遇山体滑坡等自然灾害;用secure,则说明这条道路有重兵把守,恐怖分子不会在这条道路上伏击你。中文中的“安全第一”,如果说safety first,这表明说话者希望不会有伤及安危的意外发生(比如小朋友去河边玩水,母亲这样叮嘱是希望孩子不会溺水出危险);如果说security first,则表明说话者希望不会发生人为的坏事(比如密码被盗银行存款被盗刷等等,故security first可以用在网络购物上)。
通过对若干词典中safety和security的释义和例句的比较可以发现,两者在很多方面有共通之处,比如两者都可以翻译成“免受伤害的状态”,细微的区别在于:safety意为不危险的或无伤害的安全状态(freedom from harm or danger: the state of being safe),而security意为被保护的或免受伤害的状态(the state of being protected or safe from harm)。
虽然两者同有“安全”之意,但是两者之间有下列区别:(1)safety 通常指免于意外发生的安全,而 security 是指免于人为故意破坏伤害的安全。两者的区别在于人和意图。中文此前常用“安全”(safety)和“安保”(security)来区分。(2)safety常表示人体健康和生产技术活动的安全问题。常见的有生产安全、劳动安全、安全使用、安全技术、安全产品、安全设施等。security表示社会政治性的安全问题,常见的有社会安全、国家安全、国际安全等。而safety and security则表示人体健康、技术性的安全概念和社会政治性的安全联系到一起的安全。(3)safety表示安全的状态(the state of being safe),即如果一个人或者物是safety的,则表示其处于安全状态,可以理解为此状态毫无危险存在,是一种完全安全的情况。security表示受保护的状态(the state of being protected),受保护并不表示没有危险存在,只是当一个人或物是security时,他(它)已经受到了一定的保护,处于相对安全的状态。
因此,在这个意义上,我们可以将safety理解为security的“极限”状态:当危险和伤害变为零,受保护的状态(security)就变成了完全安全的状态(safety)。当然,现实情况下,safety往往是一种永远不可能达到的理想状态。
如果引入crime(犯罪状态)一词,将其视为毫无安全可言的混乱状态,则可用图1-3来表述它们的关系:crime是“零”(0)状态;safety是“壹”(1)状态。security是“零”和“壹”之间的一个变量,也可用x表示,即security=x。图1-3给出了crime、safety、security这三者之间的关系。图1-3 crime、security、safety关系图二、网络空间安全态(Cybersafety)与网络空间安全(Cybersecurity)的辨析
从ISO/IEC 27032:2012的定义可以看出,网络空间安全态(Cybersafety)是指网络空间的一种安全状态。在此状态下,可以免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。可见,Cybersafety大体上排除了网络空间中任何可能出现的不安全因素。
与此对照的是,网络空间安全(Cybersecurity)是指在网络空间里保护信息的保密性、完整性、可用性以及真实性、可追责性、不可抵赖性、可靠性等特性。其侧重点与网络空间安全态(Cybersafety)有显著区别。
在明确 crime、safety、security这三者之间的关系后,就不难推导出cybercrime、cybersafety、cybersecurity这三者之间的关系,因此有图1-4。其中,cybercrime表示网络空间犯罪态,cybersafety表示网络空间安全态。图1-4 cybercrime、cybersecurity、cybersafety关系图三、我国立法中引入“网络空间安全态”(Cybersafety)的意义
保持“网络空间安全态”(Cybersafety)的要求本身,已经为保护个人信息和管控违法信息提供了依据。这是在我国网络空间安全相关立法中引入“网络空间安全态”(Cybersafety)的意义之所在。
其一,Cybersafety定义中涉及的在网络空间中出现的“身体的”“精神的”“情感的”“职业的”“心理的”等方面的负面情况就与保护个人信息直接相关。
其二,Cybersafety定义中涉及的在网络空间中出现的“社会的”“财务的”“政治的”“教育的”等方面的负面情况就与管控违法信息直接相关。
因此,如果能够以该国际标准关于“网络空间安全态”的定义为依据、在网络安全法中给出其定义,则可以为该法保护个人信息和管控违法信息提供依据。
鉴于网络空间的违法信息管控问题涉及国家主权、宗教文化、意识形态等敏感领域,在国际间争议很大,因此,若能以国际技术标准的既有定义作为管控违法信息的立法依据,则有助于中国争取更多的国际共识、获得更多的国际支持。第五节ISO/IEC 27032:2012 中区分的六个相关概念
该国际标准对与Cybersecurity(网络空间安全)相关且容易混淆的下列五个相关概念给出了定义,进行了区分,提供了它们之间相互关系的示意图:(1)Information security(信息安全);(2)Application security(应用程序安全);(3)Network security(网络安全);(4)Internet security(因特网安全);(5)Critical Information Infrastructure Protection(CIIP,关键信息基础设施保护)。
该国际标准中的相关说明和定义如下。
网络空间安全依赖信息安全、应用程序安全、网络安全和因特网安全作为基础性的构建模块。网络空间安全是关键信息基础设施保护的必要活动之一,同时,对关键基础设施服务的足够保护有助于满足为达到网络空间安全之目标的基本安全需求(即关键基础设施的安全性、可靠性、可用性)。
然而,网络空间安全并不是因特网安全、网络安全、应用程序安全、信息安全或关键信息基础设施保护的同义词。它有独一无二的范围,需要利益相关者发挥积极作用以维持(如果不是改善的话)网络空间的可用性和可信性。
信息安全(Information security)通常涉及对信息的保密性、完整性、可用性的保护,以满足可用信息的用户需求。
应用程序安全(Application security)是通过对机构的应用程序实施控制和量度以管理其使用风险所完成的过程。这种控制和量度可以施加于应用程序本身(它的进程、组件、软件和结果),施加于应用程序的数据(配置数据、用户数据、组织数据),施加于应用程序生命周期中涉及的所有技术、进程和参与者。
网络安全(Network security)涉及网络的设计、实施和运营,以达到在机构内部的网络上、机构与机构之间的网络上、机构与用户之间的网络上的信息安全。
因特网安全(Internet security)作为机构中和家庭中的网络安全的扩展,涉及保护因特网相关的服务和相关的信息通信技术系统与网络,以达安全目的。因特网安全也确保因特网服务的可用性和可靠性。
关键信息基础设施保护(CIIP)涉及由能源、电信和水务部门之类的关键基础设施提供商提供或运营的系统的保护。关键信息基础设施保护确保这些系统和网络受到保护,并可承受信息安全风险、网络安全风险、因特网安全风险以及网络空间安全风险。
该国际标准给出的网络空间安全与其他安全领域的关系图如图1-5所示。图1-5 网络空间安全与其他安全领域的关系图
该国际标准对图1-5给出了如下说明:上图展示了网络空间安全和其他安全领域的关系。这些安全领域与网络空间安全的关系非常复杂。某些关键基础设施服务,如水务和交通,不会直接地或者显著地影响网络空间安全的状态。然而,网络空间安全的缺失却可能对关键基础设施提供商提供的关键信息基础设施系统的可用性产生负面影响。另一方面,网络空间的可用性和可靠性在许多情况下依赖于与之相关的关键基础设施服务的可用性和可靠性,例如电信网络基础设施。网络空间的安全通常也与因特网安全、企业/家庭的网络安全和信息安全密切相关。值得注意的是,该国际标准中本节所定义的安全域都有其自己的目标和关注范围。关于网络空间安全的话题,需要来自不同国家和组织的不同的私有和公共实体间的实质性的交流与合作。关键基础设施服务被一些国家视为国家安全相关的服务,因此可能不会公开探讨和披露这些服务。此外,关于关键基础设施脆弱点的知识,如果被不当使用,将直接牵涉国家安全。因此,有必要建立用于信息共享、问题或事故合作的基础框架以缩小差距,为网络空间的利益相关方提供充分的保障。
五个安全术语(信息安全、网络安全、因特网安全、应用程序安全、网络空间安全)之间的衍生关系也可以用笔者给出的图1-6表示。图1-6五个安全术语之间的衍生关系图
通过上述定义和图解,可以非常清晰地了解网络空间安全(Cybersecurity)与信息安全(Information Security)、网络安全(Network Security)、因特网安全(Internet Security)、应用程序安全(Application security)、关键信息基础设施保护(CIIP)等概念之间的异同和相互关系。
不论在中文还是在英文中,不论是从内含还是从外延看,网络空间安全(Cybersecurity)都不可能等于网络安全(Network Security);当然,网络空间安全(Cybersecurity)也就不应该简称为网络安全(Network Security)。我们不能因为英文中的Cyberspace可以简写为Cyber,英文中的Cyberspace security可以简写为Cyber security进而合成为一个单词 Cybersecurity,就将中文的“网络空间”简称为“网络”,进而将“网络空间安全”简称为“网络安全”。因为,在英文中,Cyberspace =Cyber ≠ Network。如果在中文中实在需要一个“网络空间安全”的简称,则可以考虑简称为“网空安全”,以别于“网络安全”。
因此,如果能以该国际标准为基础在我国的网络空间安全立法中定义并且区分使用这些概念,则可避免在相关法律中相关术语的模糊、混淆和争论。
令人遗憾的是,在《国家网络空间安全战略》的一开始,就用“网络空间安全(以下称网络安全)”的说法进行了将“网络空间安全”(Cybersecurity)简称为“网络安全”(Network Security)的转换。这样做实质上是将“网络空间安全”这个概念用另一个不同的概念“网络安全”作为其简称,因此并不妥当。
类似的,在《网络空间国际合作战略》中文本和官方英译本中,将中文“网络安全”译为cyber security或者cyberspace security也是不妥的。第六节Cyber应译为“赛博”
其实,仔细思考将“网络空间安全”简称为“网络安全”的缘由,不难看出一个思维误区:Cyberspace =Cyber+space,既然对space译为“空间”没有异议,用“网络空间”翻译Cyberspace又似乎是约定俗成的,则意味着译者已经默认Cyber应该译为“网络”。但这与Cyber ≠ Network矛盾。由此形成悖论。
显然,问题的关键在于译名。如果我们找到一个不同于“网络空间”的译名来翻译Cyberspace,就可以避免上述悖论。
这里可以参考佛经的“五不翻”原则。
唐代玄奘法师主持翻译佛经时曾有“五不翻”原则:(1)多含不翻:如“薄伽梵”,是佛陀名号之一,又含有自在、炽盛、端严、吉祥、尊重等义;又如“摩诃”,含有大、殊胜、长久及深奥等义。(2)秘密不翻:如楞严咒、大悲咒、十小咒以及各种经咒,一经翻出,就会失去它的神秘性。(3)尊重不翻:如“般若”,不可直译为智慧;“三昧”不可直译为“正定”;“涅槃”不可直译为圆寂或解脱等。(4)顺古不翻:如“阿耨多罗三藐三菩提”不可直译为“无上正等正觉”;“阿罗汉”不可直译为“无生”;“菩萨”不可直译为“觉悟”等。(5)本无不翻:“本无”即中国没有。如阎浮树,中国没有,所以不翻。
Cyber之翻译问题,涉及上述五种情况中的三种:多含,尊重,本无。参照“五不翻”原则,宜音译,即为“赛博”。这样的话,对于同以Cyber作为词根的不同的英文组合词,就可以得到一致的译名。例如,Cybernetics可译为“赛博学”;Cyberspace可译为“赛博空间”。而不宜将Cybernetics译为“控制论”,将Cyberspace译为“网络空间”。那样就无法使不知道“控制论”和“网络空间”的英文原文的读者了解到它们在英文中本来是源于同一个词根。
显然,将Cyberspace/Cyber译为“赛博空间”是最佳译法。此时,Cyberspace security就译为“赛博空间安全”。当Cyberspace security简写为Cyber security / Cybersecurity时,在中文中就自然可以表述为“赛博空间安全简称为赛博安全”。这样,在英文和中文中都不会与network security(网络安全)和Internet security(因特网安全)相混淆。
目前国内用“网络空间”翻译Cyberspace、用“网络空间安全”翻译Cyberspace security似已约定俗成。本书也将暂且使用“网络空间安全”的译法。但是,如果将“网络空间安全”简称为“网络安全”,则完全不妥。理想的解决办法就是直接将Cyberspace译为“赛博空间”,这时,由Cyber衍生的其他词汇组合(如Cyber security/Cybersecurity)译成中文就没有混淆之虞。第七节网络安全法中“网络”的外延界定和cyberspace在中国的外延拓展
该法第七十六条定义了“网络”。该法所称“网络”的外延如何界定?《中华人民共和国网络安全法释义》认为:该法所说的“网络”应该既包括“互联网(Internet)”(按:指因特网),也包括相对封闭的局域网和工业控制系统。这里的局域网可以理解为各机构内不与因特网连接的内部网(intranet)。
实际上,该法所涉“网络”,除了因特网、局域网、工业控制系统之外,还应该包括不与因特网相连接的国家机关政务网络(该法第七十二条)、军事网络(该法第七十八条)。考虑到不与因特网相连接的国家机关政务网络和军事网络的安全问题的重要性,将它们纳入该法所涉范围,既是不言而喻的,也是该法已经明文规定的。
不与因特网连接的其他网络(network)的安全问题,就是上述国际标准中网络安全(network security)定义所涉及的安全问题。通过图1-5“网络空间安全与其他安全领域的关系图”中所示的“网络安全”与“网络空间安全”之间的交叉关系可以看到,我国不与因特网连接的其他网络(network)的安全问题,仍可在网络空间安全法(Cybersecurity Law)中进行规范,并无遗漏。
另一方面,注意到,在该国际标准的“网络空间”(the Cyberspace)定义中,用“因特网上”(on the Internet)指明其所在。也就是说,cyberspace或其简写cyber只存在于因特网(Internet)上。因此,在该国际标准用“在网络空间里”(in the Cyberspace)的“信息安全”来定义“网络空间安全”(Cybersecurity /Cyberspace security)时,也就将此安全问题之所在领域限定在“因特网上”(on the Internet)。
考虑到我国网络空间安全立法所涉网络必须包括不与因特网相连接的国家机关政务网络、军事网络、局域网、工业控制系统等,因此,当在中文语境之下谈论中国的网络空间安全法(Cybersecurity Law)时,这个“网络空间”(Cyberspace/Cyber)应该并不限定在因特网上,也应该包括不与因特网相连接的那些网络。cyberspace/cyber在中国法律中或中文语境下的外延拓展到不与因特网相连接的网络上,是应当明确的、也是不可忽视的。第八节小结
网络安全法未来应当更名为《网络空间安全法》,不再以“网络”“网络安全”“网络运营者”这三个概念为基础界定该法的调整范围,特别是不以“网络安全”作为该法最核心概念。
未来《网络空间安全法》的基本概念,应当以ISO/IEC 27032:2012 为依据,以“网络空间”“网络空间安全”“网络空间安全态”“网络空间犯罪”这四个术语为逻辑起点,将“网络空间安全”与另外五个术语“信息安全”“应用程序安全”“网络安全”“因特网安全”“关键信息基础设施保护”等进行明确区分,以此为基础构建我国《网络空间安全法》的逻辑框架。
在中文语境下针对中国国情进行扩大解释后使用的“网络空间”,并不限定在因特网上,还包括不与因特网相连接的国家机关政务网络、军事网络、局域网、工业控制系统等网络。如果引入“网络空间安全态”的概念,则可以为网络空间安全法保护个人信息和管控违法信息提供国际标准的依据。如果以上述国际标准为基础制定我国的网络空间安全法,既可以使法律本身建立在严谨、周密、坚实的技术基础上,给法律规制未来出现在“网络空间”中的新问题预留空间,也有助于建立科学的、完整的网络空间安全法学理论体系。
从长远考虑,宜将Cyber音译为“赛博”,将Cyberspace译为“赛博空间”。 第二章 网络空间安全态
我国网络安全法第七十六条将“网络安全”定义为:“是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”对应于该定义的规定,基本上相当于该法第三章“网络运行安全”。但该法还有第四章“网络信息安全”,其中涉及个人信息保护和违法信息管控。这些事项,都不属于第七十六条“网络安全”定义的外延范围。这就使得该法关于“网络安全”的定义与该法实际规定范围之间没有一致性、无法达到自洽的要求。
ISO/IEC 27032:2012对Cybersafety的定义为:一种可免受物理的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件的状态。Cybersafety要求的实现可以将上述涉及个人信息保护和违法信息管控的规定内容吸收其中。因此引入cybersafety对于解决我国网络安全法自身存在的自洽问题意义重大。第一节Safety与Security的含义辨析一、Safety的含义
综合《韦氏高阶英语词典》《朗文当代高级英语词典》《柯林斯高阶英汉双解词典》等对safety的解释,可总结出safety的含义主要有:(1)freedom from harm or danger: the state of being safe.免受伤害或没有危险的安全状态。(2)The state of not being dangerous or harmful.不危险的或无伤害的安全状态。(3)A place that is free from harm or danger: a safe place.安全的地方。(4)A device that prevents a gun from being fired accidentally—called also safety catch.保险机,保险栓,枪上的一种锁定装置,用来防止意外走火。(5)measures to improve the health and safety of employees.改善雇员健康状况和安全保障的措施。
试读结束[说明:试读内容隐藏了图片]