网络安全法还是网络空间安全法
一、问题的提出
《中华人民共和国网络安全法》2016年11月7日由全国人大常委会通过,2017年6月1日起施行。该法第二条规定了它的调整范围:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”
这里涉及两个方面:其一,该法适用的地域范围原则上是在我国境内,当然该法也有具体条款规定其特定的域外效力。地域范围不是本文关注的问题,因此不展开讨论。其二,该法的调整对象是我国境内“建设、运营、维护和使用网络,以及网络安全的监督管理”的活动。
由直接参与该法起草制定工作的全国人大常委会法制工作委员会经济法室工作人员编撰的《中华人民共和国网络安全法释义》(以下简称“该书”),无疑是对该法的一种权威的学理解释。该书写道:“一部法律的调整范围决定了一部法律的总体思路、框架结构和主要内容。网络安全法主要通过‘网络’、‘网络安全’和‘网络运营者’这三个核心概念界定了它的调整范围。”该法第七十六条给出的该法五个术语定义中的前三个,正是“网络”、“网络安全”和“网络运营者”。可见这三个概念在该法中的核心地位。当然,就该法的调整范围而言,这三个概念中最核心的概念当属“网络安全”,而这正是该法的名称。该书中关于该法名称的解释,也正是基于“网络安全”(Network Security)展开的。
该法的调整范围,值得进一步研讨。这里可以首先回顾近几年我国官方的相关论述。
(一)总体国家安全观中提及的“信息安全”
2014年4月15日习近平同志在中央国家安全委员会第一次会议上提出总体国家安全观。他要求:构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
这里所说的国家安全体系所涵盖的十一种安全中包括“信息安全”。
(二)国家安全法中提及的“网络与信息安全”
2015年7月1日通过并施行的《中华人民共和国国家安全法》是在总体国家安全观指导下进行的立法。其中第二十五条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”
这里在与总体国家安全观中的“信息安全”对应的条款中采用了“网络与信息安全”的提法。
(三)网络安全法提及的“网络安全”
2016年11月7日通过的《中华人民共和国网络安全法》,从名称到正文,“网络安全”出现108次;“网络空间安全”出现1次。虽然该法与国家安全法相比,前者是“目”,后者是“纲”,纲举目张,但该法中并没有沿用国家安全法中“网络与信息安全”的提法,而可以说是自始至终采用了“网络安全”的提法。
(四)国家网络空间安全战略中“网络空间安全(以下称网络安全)”的提法
在国家互联网信息办公室于2016年12月27日发布的《国家网络空间安全战略》中,却并没有沿用该法“网络安全”的提法,而是在标题中明确采用了“网络空间安全”的提法,并且在正文一开始就采用了“网络空间安全(以下称网络安全)”的提法,其后“网络安全”总计出现42次。注意,这里42次出现的“网络安全”只是“网络空间安全”的简称,并不简单地、直接地等同于网络安全法中的“网络安全”一语。否则,就完全不必用“网络空间安全(以下称网络安全)”的提法。
(五)网络空间国际合作战略中“网络安全”的官方英译是cyber security
在外交部和国家互联网信息办公室于2017年3月1日共同发布的《网络空间国际合作战略》中文版中,“网络安全”出现14次;“网络空间安全”出现1次。在《网络空间国际合作战略》的官方英译本中,network security完全没有出现;cyber security出现13次;cyberspace security出现1次。
显然,在《网络空间国际合作战略》中文版中的“网络安全”并不对应于network security;而是对应于cyber security/cyberspace security。
官方表述的上述变迁过程可用图1表示。在此过程中,我们看到的趋势是:中文表述转为“网络空间安全”(虽然还用简称“网络安全”与过去的提法相衔接);英文表述转为“cyber security”。
图1 官方文件中相关术语使用的演变过程
英文中,network security与cyberspace security/cyber security/cybersecurity的含义并不相同;同理,中文中的“网络安全”与“网络空间安全”这两个术语的含义并不相同。它们之间的不同并非一句“网络空间安全(简称网络安全)”就可以解决的。因此,有必要在深入研究和明确定位相关法律的调整范围的基础上,发挥智慧将这两者进行合理的解释和有效的衔接。
这里的首要问题是解决该法的“正名”问题,内容决定名称。在正名过程中,应当使该法的核心术语建立在国际公认的基础即国际标准的基础上,以使该法具备无懈可击的技术基础。只有这样,才可能建立该法的完备的逻辑体系。
二、ISO/IEC 27032:2012中定义的四个基础概念
在国内外相关立法中,信息安全(Information Security)、网络安全(Network Security)、因特网安全(Internet Security)、网络与信息安全(Network and Information Security)、网络空间安全(Cybersecurity)等概念都可见到。对这些术语如何进行取舍,我们可以借鉴国际标准ISO/IEC 27032:2012。
在国际标准ISO/IEC 27032:2012信息技术—安全技术—网络空间安全指南(ISO/IEC 27032:2012 Information technology — Security techniques-Guidelines for cybersecurity)及其所属的ISO27000(信息安全管理体系)标准族中已经给出了相关术语的准确定义。
首先看四个基础概念的定义。
(一)网络空间(the Cyberspace)
网络空间:不以任何物理形式存在的,通过技术设施和网络接入其中的,由因特网上(on the Internet)的人员、软件、服务的相互作用所产生的复杂环境。网络空间可以描述为一个虚拟环境。
(二)网络空间安全(Cybersecurity /Cyberspace security)
网络空间安全:在网络空间里(in the Cyberspace)保护信息的保密性、完整性、可用性。此外,像真实性、可追责性、不可抵赖性、可靠性等特性,也可以提及。
注意到,“网络空间安全”的定义比ISO/IEC 27000:2009中“信息安全”(information security)的定义只是增加了“在网络空间里”(in the Cyberspace)。
(三)网络空间安全态(Cybersafety)
网络空间安全态:是一种状态,可免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。
注释1:这可采用避免将引起健康损害或经济损失的某种经历或披露某事的形式。它包括对人和对财产的保护。
注释2:安全态(safety)通常也定义为一种特定的状态,这时负面影响将不会通过某种代理引发或者在设定条件下引发。
注意到,“网络空间安全态”(Cybersafety)区别于“网络空间安全”(Cybersecurity)。在笔者看来,用“网络空间安全态”翻译Cybersafety、用“网络空间安全”翻译Cybersecurity正可以在中文中明确区分这两者。
保持“网络空间安全态”的要求本身,已经为保护个人信息和管控违法信息提供了依据。其一,Cybersafety定义中涉及的在网络空间中出现的“身体的”、“精神的”、“情感的”、“职业的”、“心理的”等方面的负面情况就与保护个人信息直接相关。其二,Cybersafety定义中涉及的在网络空间中出现的“社会的”、“财务的”、“政治的”、“教育的”等方面的负面情况就与管控违法信息直接相关。
因此,如果能够以国际标准关于“网络空间安全态”(Cybersafety)的定义为依据、在该法中给出其定义,则可以为该法保护个人信息和管控违法信息提供依据。
鉴于网络空间的管控违法信息问题涉及国家主权、宗教文化、意识形态等敏感领域,在国际争议很大,因此,若能以国际技术标准的既有定义作为管控违法信息的立法依据,则有助于中国争取更多的国际共识、获得更多的国际支持。
(四)网络空间犯罪(态)(Cybercrime)
网络空间犯罪(态):是指在网络空间中的服务或应用程序被用于犯罪或者成为犯罪目标的犯罪活动,或者网络空间是犯罪来源、犯罪工具、犯罪目标以及犯罪地点的犯罪活动。
注意到,“网络空间犯罪(态)”(Cybercrime)与“网络空间安全态”(Cybersafety)是“网络空间安全”(Cybersecurity)的两种极端状态。若以二进制表示,即一为“零”状态、一为“壹”状态。网络空间安全的实际状态通常是在这两个极端状态之间。
三、ISO/IEC 27032:2012中区分的六个相关概念
该国际标准对与Cybersecurity(网络空间安全)相关且容易混淆的下列五个概念给出了定义,进行了区分,提供了它们之间相互关系的示意图(见图2)。
图2 网络空间安全与其他安全领域的关系图
(1)Information security(信息安全);
(2)Application security(应用程序安全);
(3)Network security(网络安全);
(4)Internet security(因特网安全);
(5)Critical Information Infrastructure Protection(CIIP,关键信息基础设施保护)。
该国际标准中的相关说明和定义如下。
网络空间安全依赖信息安全、应用程序安全、网络安全和因特网安全作为基础性的构建模块。网络空间安全是关键信息基础设施保护的必要活动之一,同时,对关键基础设施服务的足够保护,有助于满足为达到网络空间安全之目标的基本安全需求(即关键基础设施的安全性、可靠性、可用性)。
然而,网络空间安全并不是因特网安全、网络安全、应用程序安全、信息安全或关键信息基础设施保护的同义词。它有独一无二的范围,需要利益相关者发挥积极作用以维持(如果不是改善的话)网络空间的可用性和可信性。
信息安全(Information security)通常涉及对信息的保密性、完整性、可用性的保护,以满足可用信息的用户需求。
应用程序安全(Application security)是通过对机构的应用程序实施控制和量度以管理其使用风险所完成的过程。这种控制和量度可以施加于应用程序本身(它的进程、组件、软件和结果),施加于应用程序的数据(配置数据、用户数据、组织数据),施加于应用程序生命周期中涉及的所有技术、进程和参与者。
网络安全(Network security)涉及网络的设计、实施和运营,以达到在机构内部的网络上、机构与机构之间的网络上、机构与用户之间的网络上的信息安全。
因特网安全(Internet security)作为机构中和家庭中的网络安全的扩展,涉及保护因特网相关的服务和相关的信息通信技术系统与网络,以达安全目的。因特网安全也确保因特网服务的可用性和可靠性。
关键信息基础设施保护(CIIP)涉及由能源、电信和水务部门之类的关键基础设施提供商提供或运营的系统的保护。关键信息基础设施保护确保这些系统和网络受到保护,并可承受信息安全风险、网络安全风险、因特网安全风险以及网络空间安全风险。
由此可见,不论在中文、还是在英文中,不论是从内含还是从外延看,“网络空间安全”(Cybersecurity)都不可能等于“网络安全”(Network Security);“网络空间安全”(Cybersecurity)都不应该简称为“网络安全”(Network Security)。我们不能因为英文中的Cyberspace可以简写为Cyber,英文中的Cyberspace security可以简写为Cyber security进而合成为一个单词Cybersecurity,就将中文的“网络空间”简称为“网络”,进而将“网络空间安全”简称为“网络安全”。因为,在英文中,Cyberspace = Cyber ≠ Network。如果在中文中实在需要一个“网络空间安全”的简称,则可以考虑简称为“网空安全”,以别于“网络安全”。
因此,如果能以该国际标准为基础在我国相关立法中定义并且区分使用这些术语,则可避免在相关法律中相关术语的模糊、混淆和争论。
令人遗憾的是,在《国家网络空间安全战略》一开始,就用“网络空间安全(以下称网络安全)”的说法完成了将网络空间安全(Cybersecurity)简称为网络安全(Network Security)的转换过程。这样的简称实质上是将一个概念“网络空间安全”用另一个不同的概念“网络安全”作为其简称,显然不妥。
类似的,在《网络空间国际合作战略》中文本和官方英译本中,将中文“网络安全”译为cyber security或者cyberspace security也是不妥的。
四、小结
我国《网络安全法》未来应当更名为《网络空间安全法》,不再以“网络”、“网络安全”、“网络运营者”这三个概念为基础界定该法的调整范围,特别是不以“网络安全”作为该法的最核心概念。
我国《网络空间安全法》的基本概念,应当以ISO/IEC 27032:2012为依据,以“网络空间”(注意这是在中文语境下针对中国国情进行扩大解释后使用,即并不限定在因特网上,还包括不与因特网相连接的国家机关政务网络、军事网络、局域网、工业控制系统等网络)、“网络空间安全”、“网络空间安全态”、“网络空间犯罪”这四个术语为逻辑起点,将“网络空间安全”与另外五个术语“信息安全”、“应用程序安全”、“网络安全”、“因特网安全”、“关键信息基础设施保护”等进行明确区分,以此为基础构建我国《网络空间安全法》的逻辑框架。