安全路透社
当前位置:安全路透社 > 网络转载 > 正文

《网络安全法》并不完美,仍需完善 | FreeBuf专访知名律师刘春泉

2016年11月7日,中国发生了一件大事,就是在十二届全国人大常委会中,以154票赞成,1票弃权表决通过《中华人民共和国网络安全法》,而该法将于2017年6月1日起施行。至此,中国终于拥有了第一个网络安全法案。FreeBuf为此特别专访了知名律师刘春泉,期望他为我们解读和剖析这部最新法案的核心、内容亦或不足。

14804877408278.png

刘春泉律师也是下周即将举办的FIT大会主讲人之一。实际上早在今年8月份《网络安全法》二稿出来的时候,刘春泉就在第一财经日报发表过一篇题为《网络安全法要靠制度设计确保安全》的文章。开篇的其中一段大概也是很多人关心的:

假如习大大问我们,说这几年发生了那么多网络上的事情,我们按照现在的网络安全法,能不能对这些事件有一个相应的预防或者是制裁、应对的措施?

这个问题的实质在于,《网络安全法》能不能解决现如今中国互联网安全的问题——读完这篇专访,你可能会有个答案。

这只是个基本的法律

大概很多人更关心的事情是,《网络安全法》能否解决具体的问题。我们来随意列举几个条款:第二章 网络运行安全——第二十五条 网络运营者应当指定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第六章 法律责任——第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主观部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

14784996804167.jpg

从这一例来看,《网络安全法》是明确了一些安全相关的粗线条的责任和义务的,也力求解决一些问题。但更类似于大纲,算不得具体。所以刘春泉也说:

“目前这是个基本的法律,是我们网络安全里面的一个大纲性质的基本的法律。下一步的话,肯定还是要配套一些新的东西,比如网络关键基础设施这些问题……这个网络安全法需要一个立法体系。”

“实际上,在《网络安全法》发布以前,中国也有针对计算机网络的法案,叫做《计算机信息系统保护条例》。但是它的地位比较低。从国家层面来讲,当时中国的网络安全相关法律差不多是在‘裸奔’的状态。网络和现实世界有很大不同,网络上是没有具体的物理边界或者讲解的,所以很多人说网络无国界。

“同时,中国也是全球遭受网络攻击最为严重的国家之一。基于以上的背景,中国网络安全法也就孕育而生了。像美国、俄罗斯、英国和其他欧洲国家等,都有相关的网络安全法案。现在中国也有自己的网络安全法了,在国际舞台上也有一定的底气了。但现在我国的网络安全法和其他国家相比还有待完善。但有总比没有好,而且该法案也才刚刚出台,所以法律圈子内很多人,包括我也都在积极地推动这个法案。”

更侧重于企业安全

网络安全本身是个相当大的范畴,需要考虑的问题非常多,比如说越来越多“具国家背景”的黑客攻击,属于保护国家信息安全的范畴;比如本国企业,针对用户的产品安全规范,企业内部的安全执行规范;再比如针对黑产的打击。

而“网络安全法应该是侧重于企业安全的。比如企业应该怎么去保护信息,怎么去保护网络安全等。”很多人关心的打击黑产的问题,“主要是通过刑法来完成的,《网络安全法》实际上不是从这个角度来立法的”。

“我们拿交通安全法举例子,交通法主要是让大家怎么去遵守交通规则。至于违法,当然也是要处理的,比如交通肇事就是通过刑法来处理。相关刑罚的事情就都在刑法里面,不管什么性质的都在刑法里面。如果说不构成刑事犯罪,那么就有《网络安全法》《治安管理处罚法》《个人信息保护法》等。

“但在网络安全法发布之后,企业也会陆续重视起自己的安全建设。这样也能够阻挠网络黑产的发展,第一就是让攻击者不那么容易获得数据;第二就是禁止非法数据的买卖——因为网络安全法中规定,买黑产数据是犯法的。比如现在有些保险公司会去买这种数据。如果说我们能够斩断这个利益链条,那么相对来说,黑产的问题就会好转很多。”

所以实际上信息安全问题并不是靠一部《网络安全法》来彻底解决的,仍需“配套一些新的东西”。

sicurezza_leggi.jpg

对企业会产生怎样的影响?

“以后针对国内的外企会有安全审查,比如数据存储本地化要求,对外传输数据审核,国家网络安全审查等。

“过去针对个人信息也都没有太重视。以前虽然也有,但执法力度不是很大。现在不一样了,去看一看法律责任条款,现如今法律责任是相当厉害的,罚款数额占到违法所得一倍以上十倍以下(第六章法律责任 第六十四条与第六十五条)。按照比例来罚款,举个例子说先前中国史上最大罚单,就是按照反垄断法的60亿罚款(高通),这就是按照比例来罚的威力——未来针对违反网络安全法的企业也是如此。

“如中石油、工商银行这种超级大公司,假如工商银行App的某些行为被定为违法,其一年收入可能有多少个亿,若按照这样的比例来罚,这个数字也是相当可观的。

“前几天网上传了一个帖子,说上海有一家公司通过硬件去收集个人信息。这件事我不知真假,如果是真的,并且这件事发生在明年6月以后,那么这个企业会面临灭顶之灾。这种行为需要承担刑事责任,属于盗窃信息。安全法中明确盗窃信息是要承担刑事责任的,会面临严重的罚款。

“有些安全企业,看到某些公司不重视安全,就对这些公司进行攻击,然后去人家系统里面那数据,这个实际上是很严重的事情。某些企业目前还不太重视这个网络安全法,可能是因为该法案还没有发威吧。”

“领网”主权不可侵犯

在本次采访中,刘春泉还专门和我们探讨了网络空间主权这一话题。相关这一点就涉及到国家安全问题了,尤其在国家与国家间网络战争硝烟逐渐弥漫的今天。“中国是全球遭受网络攻击最为严重的国家之一”,这本身也是《网络安全法》诞生的背景之一。“网络空间主权”并不是在《网络安全法》中首次出现的,2015年通过的《中华人民共和国国家安全法》就已经提出了这个词。

“过去大家是强调网络无国界,而这个法就明确了网络是国家主权的范围,也就是“领网”的概念,也就需要进行管辖。过去互联网自由开发的精神的确给我们带来了很多便利,但是现在网上信息太复杂,违法的内容比较多——别的不说,没有一个很正常的秩序分配。网上的利益争夺会多一些,网络暗的一面就会更凸显出来。所以‘领网’这个概念的提出,网络主权这个概念的提出,主要解决的就是国家权力对网络空间可以行使权力的这样一个问题。

“可能很多人会认为网络空间受到了国家权力的不当干预,认为网络应该是自由空间,提倡分享精神。单说分享精神的一个直接后果,互联网上的侵权盗版和网络安全事件层出不穷。所以从全世界范围内来说,其他几个重要的经济体都是在监管网上行为,我们这么大一个经济体,这么大一个国家,从趋势上来讲,不管是不可能的。

85.jpg

“在这种前提下,领网这个概念就有意义了。不是从个人、商业的角度,而是从各个国家之间互相采取的攻击行为,就是从网络战争的层面讲。如果国家之间爆发网络战争,那就涉及到敌国的攻击行为。从法律上来规范,这肯定还是有国家主权的问题。我觉得如果从这个层面,‘领网’这个概念马上就能在国际法上产生一定的影响。但是如果从公民或商业组织的角度,我觉得就有难度。这个问题我觉得还要进一步的研究,我觉得还没有研究地很细。

“有一条规定是,我们国家可以对境外攻击者进行管辖,公安部有权力对其进行冻结财产或采取其他必要的制裁措施(第七十五条)。网络攻击和物理攻击有很大的区别,物理攻击我们有规定的国界等进行限制。但是网络上没有。如果他们入侵了重要的系统,把里面的数据拿走了,你拿他们也没辙。但现在,公安部可以对攻击者进行处理。如果是公司行为并且在中国有财产,那么可以把他财产进行冻结。现在有了相关的规定,具体的细则可以下一步再说了。”

安全法并不完美,仍需完善

正如这里的“具体细则下一步再说”,《网络安全法》本身还需要很好的补充,好比“徐玉玉案件对个人信息保护和信息诈骗相关法律有很大影响”,这件事实际涉及了个人信息保护和个人信息滥用两个问题,我们会说“个人信息如果保护好的话,就不会发生这种诈骗事件”,而“信息滥用”,我们自己是“很难去避免的”,“我们现在到处办事,都要被人收集信息,公安、税务、政府机构、学校、酒店等等”,于是光这一个案件就涉及了“滥用个人信息和保护个人信息两个不同的层面”。

而针对企业收集个人信息的法律规定,“《网络安全法》里有,《全国人民代表大会常务委员会关于加强网络信息保护的决定》里也有。2012年全国人大加强网络信息保护的决定出来以后,我就注意到一个问题。咱们国家比较大,不同的企业千差万别,只能原则性地这样规定。而现在的法院也不是很理解,也没有很好的诉讼案例,法律规定也比较粗糙,有些细节需要慢慢完善”。

1024716349.jpg

再比如针对白帽子,“如果一棒子将挖洞的技术人员打死,那么国内的白帽子们可能就不敢去提交漏洞了。这是个非常严峻的问题,但是目前还没有一个完善的解决方案”。

可见,不仅是《网络安全法》,而是在我们国家,整个相关信息安全的法律都有待完善。仅是《网络安全法》本身,刘春泉也提到了他的看法:

“我一直有一个观点,就是这个网络安全法需要一个立法体系。虽然安全法已经出台了,但是怎么让它和其他法律法规对接起来?现在有《网络安全法》了,那么《个人信息保护法》还要不要搞。该法律的对接部门到底是哪个部门?”“比如民航信息很重要,如果民航系统被攻击可能会影响到国家军事、运输等等,那么是直接汇报给一个人吗?一个人一天又能处理多少安全报告?每个人的经验、专长等都是有限的,每个部门也是如此。”

“所以这个网络安全法还需要不断磨合,建立起一个完善的立法体系。”

显然,在网络安全越来越提上日程的当下,国内针对安全的立法也正在一步步向发达国家看齐。《网络安全法》虽然不能解决所有的网络安全问题,却是个很好的开始。

* FreeBuf官方出品,作者:Kuma & ArthurKiller & 欧阳洋葱,未经允许禁止转载

未经允许不得转载:安全路透社 » 《网络安全法》并不完美,仍需完善 | FreeBuf专访知名律师刘春泉

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册