《中华人民共和国网络安全法》实施五年来,我国网络安全法治化进程加速推进;然而,面对信息化变革带来的新机遇、新局面,特别是互联网新技术、新应用、新业态不断涌现,更多挑战、风险也相伴而生。
没有网络安全就没有国家安全。2017年6月1日,我国网络安全领域的基础性法律——《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行,对保护个人信息、治理网络诈骗、保护关键信息基础设施、网络实名制等方面作出明确规定,成为我国网络空间法治化建设的重要里程碑。
在这部法律实施五周年之际,由中国网络空间安全协会、中国安全防范产品行业协会、光明网等共同举办的《网络安全法》实施五周年座谈会在线上举行。期间,多位院士专家学者以及一线从业者深入剖析了新发展阶段网络空间发展面临的风险与挑战,探讨了数字化转型中推进网络空间安全法治化,构建新发展格局,提升国家治理能力现代化的方向路径。
网络安全法律法规体系逐步建立
“《网络安全法》是一部制定难度大、技术含量高的法律,也是一部实施良好的法律。”全国人大宪法和法律委员会副主任委员江必新这样评价。他认为,这部法律在制定过程中,不仅涉及到前沿科学技术及网络基础设施,还涉及到意识形态等问题;近年来,执法机关、司法机关依法处理了大量网络安全相关案件,有关部门也出台了大批配套规范性文件。
中国行政体制改革研究会副会长、国家行政学院教授汪玉凯表示,这部法律为互联网健康有序发展提供了保障;围绕网络安全的行政监管和执法能力显著提升;网络安全管理体制整体格局已经形成,并得到强化;网络空间治理体系和治理能力加快了现代化进程。“它规定了国家网信部门部署协调,电信、公安等部门在保护和监管中各负其责,形成了较好的管理体制,有利于进一步强化各部门的资源整合。”汪玉凯说。
据了解,在《网络安全法》实施之后,我国相继颁布《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,出台《网络安全审查办法》《云计算服务安全评估办法》等政策文件,建立网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护等一批重要制度,制定发布300余项网络安全领域国家标准,基本构建起网络安全政策法规体系的“四梁八柱”。会上,由中国网络空间安全协会组织编撰的法律辅导读本《个人信息保护通识》也对外发布,推动加强《个人信息保护法》大众知识的宣传普及。
“一系列配套法规规章以及相关实施标准的出台,使得网络安全、数据与信息保护成为相对比较有中国特色的法律体系,对维护国家安全、网络主权以及保护公民权利,促进数据流动应用、促进经济发展都起到了重要作用。”中国人民大学法学院教授张新宝说。
“安全基因”深度植入数字化发展进程
五年来,我国网络安全产业发展迈入快车道,网络安全也不断融入产业数字化、数字产业化发展进程中。据中国信通院测算,2021年中国网络安全产业规模约为2000亿元,增速约为15.8%。
“随着数字化渗透到国家、经济、社会、企业、个人等方方面面,我们需要把网络安全升级为数字安全,建立保障数字经济发展的数字安全屏障。”全国政协委员、360集团创始人周鸿祎说。
对金融数字化领域网络安全的重要性,平安集团首席数字运营执行官黄红英深有感触:“在新技术研究与攻防对抗领域实现突破,我们组建了攻防实验室,构建了端到端的信息安全
监控和主动防御体系,2021年识别欺诈账号680万个;围绕个人信息全生命周期打造安全技术防御体系,正在加大在数据加解密、高敏文件管控、数据溯源分析等建设投入,保障平台上2.27亿客户、6.47亿用户的信息安全……”
天融信科技集团董事长李雪莹也提到,过去五年里,在国产化发展方面,网络安全技术和行业应用深度融合;网络安全标准制定和应用更加高效,标准滞后于应用的问题得到了一定改善,工业互联网、车联网、区块链等伴生的新问题对应的标准都得到了一定完善;网络安全技术创新项目不断加速投入,尤其在下一代互联网、物联网以及供应链安全等方面投入快速增加。
为深入贯彻网络强国的重要思想,2022年1月初,光明网组建网络安全频道,旨在依托光明网在网信领域内容优势与前沿视角,为行业产业政策、前沿技术动态的宣传引导构筑新媒体平台。光明网总裁、总编辑杨谷表示,光明网作为光明日报在互联网时代的延伸,不断创新新媒体表达方式,发挥网络媒体优势加强业界联动,与多家网络安全头部企业、权威机构建立合作机制,面向广大网民做好安全普法及技术科普传播。
即将步入“新安全时代”,也面临更多新风险
针对行业发展面临的新风险、新挑战,汪玉凯认为,数字化“四一三战略”框架对网络安全提出了新要求。其中,“四”主要是指“数字中国”包括的网络强国、数字经济、数字社会、数字政府等四个方面;“一”是指通过数字化转型来驱动;“三”是指通过数字化驱动,实现生产方式、生活方式、治理方式变革。
“站在《网络安全法》实施五周年的起点向前看,新的安全时代即将到来。”中国工程院院士邬贺铨认为,疫情持续反复让居家办公、远程学习成为人们的长期习惯,网络环境开放、用户角色增加、防护边界扩张等带来各类新安全风险;5G商用推进工业互联网发展,企业内外网关联增加了工业互联网安全风险;智慧城市、物联网和车联网在开启万物互联的同时,城市安全越来越受重视……
针对具体风险场景,邬贺铨介绍,勒索病毒上升为主要威胁,形成了相对完整的商业产业链、商业模式,勒索软件“胃口”也越来越大,去年平均赎金比前年翻了一番;数据安全问题频发,尤其从去年以来,跨境数据安全问题频频发生,许多涉及与城市安全有关的敏感数据;开源代码安全面临隐患,很多共享代码由个人开发,没有经过安全设计和安全测试,经常包含大量漏洞;云安全风险愈演愈烈,除一系列云原生安全攻击事件频发外,与云安全相关的挖矿劫持等也开始崭露头角。
“网络空间已经成为大国博弈的战场,对关键基础设施提出新挑战、新课题,包括运行服务中断问题,通信基础设施瘫痪,以及大规模信息泄漏等问题。”中国移动信安中心总经理张滨重点提到,需要重视我国关键信息基础设施保护,包括高等级网络攻击、大规模黑客组织威胁以及供应链安全等。
与时俱进、补齐短板,持续推进依法治网
立足新的新发展阶段,与新应用、新业态伴生的新问题需要法律规制,大量空白也需要法律填补。“网络安全法治体系建设需要全行业、全社会共同推进,不仅要做《网络安全法》出台的见证者,更要做促进网络安全合法合规发展的参与者和建设者。”座谈会上,中国网络空间安全协会理事长王秀军这样说。
“没有一部法律是完美无缺的,但要把缺陷降到最低。”在江必新看来,要从理念精神原则、法律调整对象、问题与制度对应、法律规范要素、骨干工程建设、不同规范之间、法律规范形式等方面进行体系化建构;通过树立善意实施和诚信实施的理念、建构实施规则以弥补法律的短板、设置基本的互联网法律底线、立法时善于留有空间和余地、综合运用“立改废”等手段,让《网络安全法》在实施中与时俱进、扬长避短。
此外,还要处理好法律之间的协调性。汪玉凯认为,在推进网络强国、数字中国建设中,数字经济、数字社会、数字政府及数字化转型带来生产生活治理方式变革,要协调好《网络安全法》与配套规制的衔接。“要整合《网络安全法》的配套规制,防止政出多门,强化法理依据;还要加快弥补短板,解决‘卡脖子’技术问题,为网络安全提供基础性保障。”
在完善配套法规政策方面,张新宝也建议,要对数据及个人信息出境,以及企业境外上市等领域加强执法监管;加强相关基础领域研究;加强网络信息安全和个人信息保护的法治教育。
“要依照《网络安全法》,着眼国家安全和长远发展,构建世界领先、自立自强、安全可信的网络安全产业生态体系;积极构建网络空间安全防护体系,发展基于可信和支撑并行的,动态、实时、全方位的网络安全主动免疫能力;积极参与网络空间国际治理,加强网络空间国际合作,建立国家主权透明的国际互联网治理体系。”中国工程院院士沈昌祥说。