馬民虎，張 敏

(西安交通大學 法學院，陜西 西安 710049)

?

信息安全與網(wǎng)絡社會法律治理：空間、戰(zhàn)略、權(quán)利、能力
——第五屆中國信息安全法律大會會議綜述

馬民虎，張 敏

(西安交通大學 法學院，陜西 西安 710049)

闡述了學者們在“第五屆中國信息安全法律大會”期間，圍繞網(wǎng)絡信息安全與網(wǎng)絡社會治理中的基本問題所展開的探討；認為網(wǎng)絡信息安全法制建設(shè)需要站在國家戰(zhàn)略層面，兼顧具體國情，厘清網(wǎng)絡空間的主要威脅與法制建設(shè)中的主要矛盾，全面建構(gòu)中國網(wǎng)絡社會治理的實體與程序性法律框架；強調(diào)應重視新技術(shù)應用背景下的隱私與數(shù)據(jù)安全問題，并強化企業(yè)信息安全治理責任，發(fā)揮其在網(wǎng)絡信息安全保障中的關(guān)鍵作用。

網(wǎng)絡信息安全；網(wǎng)絡社會法律治理；數(shù)據(jù)與隱私保護；企業(yè)信息安全治理；電子取證

以網(wǎng)絡為核心的信息技術(shù)和服務正在加速社會的轉(zhuǎn)型和質(zhì)變，信息網(wǎng)絡已超越信息通信和媒體的傳統(tǒng)范疇，成為關(guān)系國家安全、產(chǎn)業(yè)發(fā)展和個人權(quán)利保障的關(guān)鍵空間。移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新興領(lǐng)域在快速發(fā)展的同時也催生了嚴重的網(wǎng)絡信息安全威脅①例如大規(guī)模網(wǎng)絡攻擊、網(wǎng)絡恐怖活動、支付寶系統(tǒng)漏洞、攜程網(wǎng)用戶信息泄露、Windows XP系統(tǒng)停止服務、OpenSSL漏洞、免費WIFI誘導用戶鏈接盜取資金等“重磅炸彈”暴露出了嚴重的網(wǎng)絡信息安全危機。。國際信息安全與地緣安全的復雜結(jié)構(gòu)又進一步加劇了我國網(wǎng)絡信息安全的嚴峻態(tài)勢。

2014年，“中央網(wǎng)絡安全和信息化領(lǐng)導小組”的成立全面開啟了網(wǎng)絡信息安全的新時代，網(wǎng)絡信息安全的法制建設(shè)已被提上實現(xiàn)“中國夢”的重要議程。將依法治國落實到網(wǎng)絡空間，推動網(wǎng)絡空間法治化是互聯(lián)網(wǎng)時代最迫切的需求。在這樣的背景下，從法學視角探討網(wǎng)絡信息安全法制建設(shè)及網(wǎng)絡社會治理對踐行依法治國、依法治網(wǎng)具有重大意義。

2014年10月31日至11月1日，“第五屆中國信息安全法律大會”在北京舉行。本次大會由中央網(wǎng)絡安全和信息化領(lǐng)導小組辦公室及公安部十一局指導，中國信息安全法律大會組委會主辦，西安交通大學信息安全法律研究中心、北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心、信息網(wǎng)絡安全雜志、北京網(wǎng)絡安全協(xié)會承辦。本次大會規(guī)?？涨埃?00余人參會②參會領(lǐng)導主要來組中央網(wǎng)絡安全和信息化領(lǐng)導小組辦公室、公安部、中國計算機學會計算機安全專業(yè)委員會、陜西省法學會等政府機構(gòu)，參會嘉賓主要來自國內(nèi)著名高校、科研機構(gòu)和知名互聯(lián)網(wǎng)企業(yè)。。大會取得了豐碩的學術(shù)成果，收到學術(shù)論文50余篇③收錄論文涉及網(wǎng)絡信息安全戰(zhàn)略、立法及基礎(chǔ)理論、國家信息安全審查制度、信息主權(quán)、個人權(quán)利與企業(yè)信息安全保障義務、移動互聯(lián)網(wǎng)安全與治理、網(wǎng)絡安全監(jiān)管、執(zhí)法與司法、可信網(wǎng)絡空間的法律保障等學術(shù)前沿問題。。由中國云計算安全政策與法律工作組編寫的《2014中國云計算安全政策與法律藍皮書》、《現(xiàn)代汽車信息安全威脅與法律治理報告》也在大會同步發(fā)布，并受到參會各界的關(guān)注。

第五屆中國信息安全法律大會以“空間、戰(zhàn)略、權(quán)利、能力”為主題，圍繞網(wǎng)絡信息安全戰(zhàn)略與法制建設(shè)、新技術(shù)應用下的數(shù)據(jù)安全與隱私保護、企業(yè)信息安全治理與法規(guī)遵從、網(wǎng)絡監(jiān)控與電子取證等問題進行了深入探討，以期從多維度對我國網(wǎng)絡空間法制建設(shè)的發(fā)展與完善提供理論支撐與對策建議。本文對此次大會的觀點和結(jié)論擇要綜述。

一、網(wǎng)絡信息安全戰(zhàn)略及法制建設(shè)

網(wǎng)絡時代的到來對內(nèi)重塑了經(jīng)濟發(fā)展的新引擎、社會生活的新模式，對外使非傳統(tǒng)安全威脅與日俱增，國家安全形態(tài)錯綜復雜。加強網(wǎng)絡信息安全戰(zhàn)略及法制建設(shè)，是有效應對復雜的國內(nèi)、國際環(huán)境中層出不窮的信息安全威脅，維護國家利益的根本保障。與會學者主要圍繞網(wǎng)絡信息安全戰(zhàn)略及實現(xiàn)路徑、網(wǎng)絡信息安全立法及網(wǎng)絡主權(quán)等方面展開探討。

(一)網(wǎng)絡信息安全戰(zhàn)略及實現(xiàn)路徑

網(wǎng)絡信息安全具體是指維護網(wǎng)絡信息系統(tǒng)或信息傳播中的信息資源免受各類威脅、干擾和破壞，保障網(wǎng)絡信息資源的保密性、可靠性、完整性、可用性等安全屬性[1]。網(wǎng)絡信息安全目前已然超越了技術(shù)范疇，上升到國家核心戰(zhàn)略層面，成為國家綜合性安全戰(zhàn)略的制高點和新載體[2]。與會學者分別從構(gòu)建我國網(wǎng)絡信息安全戰(zhàn)略的現(xiàn)實價值、目標、模式與實現(xiàn)路徑等方面展看探討。中央網(wǎng)絡安全和信息化領(lǐng)導小組辦公室網(wǎng)絡安全協(xié)調(diào)局調(diào)研員張勝認為，網(wǎng)絡信息安全戰(zhàn)略是國家安全戰(zhàn)略的重要組成部分，加強國家網(wǎng)絡信息安全戰(zhàn)略制定對實現(xiàn)國家網(wǎng)絡治理體系和治理能力現(xiàn)代化、指引網(wǎng)絡信息安全立法、提高信息安全防御能力具有重要的現(xiàn)實價值。

網(wǎng)絡空間安全戰(zhàn)略目標是維護和謀求國家網(wǎng)絡空間安全利益的指標性任務，反映不同階段國家網(wǎng)絡空間安全的總體發(fā)展愿景[2]。上海社科院特聘研究員、《中國信息安全》雜志網(wǎng)絡空間戰(zhàn)略論壇主編秦安認為網(wǎng)絡空間已經(jīng)成為國家安全的戰(zhàn)略高地。網(wǎng)絡空間立法應以黨和國家戰(zhàn)略*包括寬帶戰(zhàn)略、大數(shù)據(jù)戰(zhàn)略、物聯(lián)網(wǎng)戰(zhàn)略、“三網(wǎng)融合”戰(zhàn)略、“信息消費”戰(zhàn)略、媒體融合戰(zhàn)略、網(wǎng)絡空間發(fā)展戰(zhàn)略、網(wǎng)絡空間安全戰(zhàn)略、網(wǎng)絡空間國際戰(zhàn)略、網(wǎng)絡空間軍事戰(zhàn)略、網(wǎng)絡空間身份認證戰(zhàn)略。為指引，網(wǎng)絡空間安全的戰(zhàn)略目標應服務于建設(shè)網(wǎng)絡強國*習近平在中央網(wǎng)絡安全和信息化領(lǐng)導小組第一次會議時指出，建設(shè)網(wǎng)絡強國，要有自己的技術(shù)，有過硬的技術(shù)；要有豐富全面的信息服務，繁榮發(fā)展的網(wǎng)絡文化；要有良好的信息基礎(chǔ)設(shè)施，形成實力雄厚的信息經(jīng)濟；要有高素質(zhì)的網(wǎng)絡安全和信息化人才隊伍；要積極開展雙邊、多邊的互聯(lián)網(wǎng)國際交流合作。建設(shè)網(wǎng)絡強國的戰(zhàn)略部署要與“兩個一百年”奮斗目標同步推進，向著網(wǎng)絡基礎(chǔ)設(shè)施基本普及、自主創(chuàng)新能力顯著增強、信息經(jīng)濟全面發(fā)展、網(wǎng)絡安全保障有力的目標不斷前進。參見http://news.southcn.com/z/2014-02/28/content_93654246.htm，2014年12月10日訪問。的利益訴求，具體而言，建設(shè)網(wǎng)絡強國的戰(zhàn)略部署要向著網(wǎng)絡基礎(chǔ)設(shè)施基本普及、自主創(chuàng)新能力顯著增強、信息經(jīng)濟全面發(fā)展、網(wǎng)絡安全保障有力的目標不斷前進。網(wǎng)絡強國建設(shè)“方向角”調(diào)整至關(guān)重要，需要從號召力、執(zhí)行力、生產(chǎn)力、文化力、和國防力多個方面整體籌劃，協(xié)同提升。

戰(zhàn)略目標的實現(xiàn)需要制定理想的戰(zhàn)略模型。面對全球化的網(wǎng)絡空間安全威脅，很多國家和地區(qū)從自身實際出發(fā)，不斷修訂國家信息安全戰(zhàn)略。例如在本世界之初，美國國家信息安全戰(zhàn)略目標是“阻止針對美國至關(guān)重要的基礎(chǔ)設(shè)施的網(wǎng)絡攻擊；減少美國對網(wǎng)絡攻擊的脆弱性；在確實發(fā)生網(wǎng)絡攻擊時，使損害程度最小化、恢復時間最短化[3]”。奧巴馬政府出臺的《網(wǎng)絡空間國際戰(zhàn)略》(2011年)改變了以往“防御”為主的網(wǎng)絡空間戰(zhàn)略，轉(zhuǎn)而發(fā)展以“互聯(lián)網(wǎng)自由”為核心，以“控制——塑造”為基本特征的進攻型網(wǎng)絡空間戰(zhàn)略[4]。這種動態(tài)性與擴張性并存的戰(zhàn)略模型對我國網(wǎng)絡空間戰(zhàn)略模型的制定提出了挑戰(zhàn)?；ヂ?lián)網(wǎng)實驗室董事長方興東認為，進攻型戰(zhàn)略既不符合我們國家一貫倡導的和平共處的基本原則，也不符合我們當下的實力和能力。毛澤東“積極防御”的戰(zhàn)略思想*毛澤東指出：“積極防御，又叫攻勢防御，又叫決戰(zhàn)防御。消極防御，又叫專守防御，又叫單純防御。消級防御實際上是假防御，只有積極防御才是真防御，才是為了反攻和進攻的防御。”參見《毛澤東選集》第1卷第198頁。依然適用于中國網(wǎng)絡安全領(lǐng)域。近期，我國的主要任務是依據(jù)國情確立并完善有效的“積極防御型”戰(zhàn)略模型*根據(jù)《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)<2003>27號)和《2006-2020年國家信息化發(fā)展戰(zhàn)略》(中辦發(fā)<2006>11號)，我國國家信息安全戰(zhàn)略的總體指導思想是堅持積極防御、綜合防范、大力增強國家信息安全保障能力。。

網(wǎng)絡空間安全戰(zhàn)略模型是對戰(zhàn)略具體實現(xiàn)路徑的科學指引，在實踐中需以此為指導。中國社會科學院法學研究所研究員陳欣新博士認為，網(wǎng)絡空間安全戰(zhàn)略的實現(xiàn)路徑應從建構(gòu)網(wǎng)絡信息安全法律體系、標準化建設(shè)、國防力量建設(shè)、國際交流與合作、優(yōu)化組織管理體系、人才培養(yǎng)、網(wǎng)絡文化弘揚等方面展開。其中網(wǎng)絡信息安全立法是重心。由于立法涉及的領(lǐng)域較多，規(guī)范和規(guī)制手段都不一樣，再加上看法存在意見分歧，導致綜合性的網(wǎng)絡信息安全立法難以出臺，但仍需著力解決。國家計算機網(wǎng)絡信息安全研究所所長杜躍進認為，人才培養(yǎng)在國家網(wǎng)絡空間安全戰(zhàn)略建設(shè)具有重要的意義。所謂戰(zhàn)略清晰、技術(shù)先進、產(chǎn)業(yè)發(fā)達、攻防兼?zhèn)?，這一切“人才”是基礎(chǔ)。而發(fā)現(xiàn)人才、培養(yǎng)人才、使用人才都至關(guān)重要。

(二)網(wǎng)絡信息安全立法價值、基本原則與立法框架

法治是提升國家治理能力的引擎。網(wǎng)絡社會的法律治理亟需從國家戰(zhàn)略頂層設(shè)計出發(fā)，厘清其基本價值訴求，明晰貫穿網(wǎng)絡信息安全立法的基本指導思想與原則，建構(gòu)涵蓋宏觀、中觀與微觀三個層面的網(wǎng)絡信息安全立法框架，讓“依法治網(wǎng)”具體化。

網(wǎng)絡信息安全立法的價值取向主要是指其所要構(gòu)建的法律秩序目標，這種目標必須反映國家的戰(zhàn)略目標[5]。“安全”與“發(fā)展”問題始終是世界各國網(wǎng)絡信息安全立法關(guān)注的焦點*《歐盟理事會2007年3月22日關(guān)于建立歐洲信息社會戰(zhàn)略的決議》從“發(fā)展”的角度提出“在發(fā)展中解決安全問題”的思想，鼓勵政府機構(gòu)和企業(yè)創(chuàng)造更加安全的產(chǎn)品和服務。而保障“安全” 是美國網(wǎng)絡信息安全法的基本價值取向。2003年美國《網(wǎng)絡空間安全國家戰(zhàn)略》明確號召美國全民參與對其擁有、使用、控制和交流的網(wǎng)絡空間的安全保護，以實現(xiàn)“保護美國關(guān)鍵基礎(chǔ)設(shè)施免遭網(wǎng)絡攻擊、降低網(wǎng)絡的脆弱性、縮短網(wǎng)絡攻擊發(fā)生后的破壞和恢復時間”三大戰(zhàn)略目標。。習總書記強調(diào)，“做好網(wǎng)絡安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，要做到協(xié)調(diào)一致、齊頭并進，以安全保發(fā)展，以發(fā)展促安全，努力建久安之勢、成長治之業(yè)*參見http://news.qq.com/a/20140228/001147.htm，2014年12月10日訪問?！??？梢娢覈W(wǎng)絡信息安全戰(zhàn)略已確立安全與發(fā)展并重的基本方向。公安部第三研究所研究員黃道麗認為，我國網(wǎng)絡空間立法應落實國家戰(zhàn)略，兼顧“安全與發(fā)展”的二元價值特性。北京郵電大學崔聰聰在其提交的書面材料中進一步提到，網(wǎng)絡信息安全立法之“安全”并非“絕對安全”，而應是“適度安全”。“適度安全”是指立法的制度設(shè)計應協(xié)調(diào)安全與其它價值之間的關(guān)系，不能為了保障信息安全而犧牲網(wǎng)民的自由，進而扼殺網(wǎng)絡技術(shù)創(chuàng)新。網(wǎng)民可以在網(wǎng)絡世界中自由的獲取、傳播、處理信息，這一權(quán)利已被我國憲法所確認，因此法律規(guī)范的制度設(shè)計不能因強調(diào)網(wǎng)絡安全問題而影響網(wǎng)絡的接入，除非發(fā)生危害國家安全及刑事犯罪行為。哈爾濱工業(yè)大學法學院副教授高立忠在其提交的書面材料中從立法技術(shù)層面詮釋了如何在安全與發(fā)展之間進行矛盾抉擇，他認為網(wǎng)絡信息安全立法應保持法律的適度“謙抑性”，即立法一方面應規(guī)范信息技術(shù)和網(wǎng)絡活動，限制和預防技術(shù)的濫用；另一方面應當為信息技術(shù)的發(fā)展預留適當?shù)目臻g，防止過度控制技術(shù)，立法的保護范圍應和技術(shù)應用的重要性一致。

法的基本原則是法的靈魂和指導整個法律活動的核心思想。信息安全法的基本原則是貫穿于信息安全立法、司法、執(zhí)法各環(huán)節(jié)，實現(xiàn)維護社會公共安全的法制目的的根本規(guī)則[5]。上海社科院特聘研究員、《中國信息安全》網(wǎng)絡空間戰(zhàn)略論壇主編秦安認為，依法治網(wǎng)應堅持三原則，即總體國家安全原則*習近平總書記提出“堅持總體國家安全觀，走中國特色國家安全道路”的新觀點，強調(diào)國家的安全發(fā)展要同時兼顧內(nèi)外安全、國土與國民、傳統(tǒng)與非傳統(tǒng)、發(fā)展安全、自身與共同安全。參見，http://news.xinhuanet.com/2014-04/15/c_1110253910.htm，2014年12月10日訪問。、治理能力現(xiàn)代化原則、技術(shù)先進原則，以防范“十類逆法思維*“十類逆法思維”包括霸權(quán)思維、自由思維、利益思維、崇洋思維、極端思維、教條思維、碎片思維、虛無思維、山頭思維、簡單思維?！?。中國人民大學法學院副教授劉品新則認為，網(wǎng)絡空間立法應貫徹秩序性安全與技術(shù)性安全并重原則、價值平衡*價值平衡即指安全保障與個人信息保護的平衡、網(wǎng)絡安全保障與互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的平衡原則、網(wǎng)絡安全責任主體共同治理原則。

構(gòu)建網(wǎng)絡信息安全立法框架的前提是厘清現(xiàn)階段立法存在的主要問題及需要解決的主要矛盾。中央網(wǎng)絡安全和信息化領(lǐng)導小組辦公室網(wǎng)絡安全協(xié)調(diào)局調(diào)研員張勝認為，面對網(wǎng)絡空間不斷凸顯的安全問題，目前我國網(wǎng)絡信息安全的立法面臨“三大軟肋”，即現(xiàn)行法律法規(guī)體系尚未完善，法律結(jié)構(gòu)單一，難以適應信息技術(shù)發(fā)展的需要和日益嚴重的網(wǎng)絡安全問題，有的條款無法與傳統(tǒng)的法律規(guī)則相協(xié)調(diào)。他從頂層設(shè)計的高度明確了我國網(wǎng)絡信息安全法律體系廢、改、立之必要性。網(wǎng)絡空間“法治路線圖”之設(shè)計需從國家戰(zhàn)略層面對網(wǎng)絡空間的主要矛盾進行全局性把控，應處理好個人隱私與網(wǎng)絡監(jiān)控之間的矛盾、開放包容與安全審查之間的矛盾、技術(shù)領(lǐng)先與法規(guī)滯后之間的矛盾、網(wǎng)絡認證與現(xiàn)實身份之間的矛盾、綜合執(zhí)法與責任追究之間的矛盾[6]。

網(wǎng)絡信息安全立法框架的科學建構(gòu)是保證法律體系協(xié)調(diào)一致，避免分散立法、重合立法、立法相矛盾的關(guān)鍵。公安部第三研究所研究員黃道麗認為，網(wǎng)絡信息安全立法重點應制定一部綜合性的、符合國際慣例的、統(tǒng)領(lǐng)信息化發(fā)展的綜合性立法。確立防御、控制與懲治“三位一體”的治理法律體系，以“防御和控制”性的法律規(guī)范替代傳統(tǒng)單純“懲治”性的刑事法律規(guī)范，讓多方主體參與綜合治理的層面，明確各方主體在預警與監(jiān)測、網(wǎng)絡安全事件的應急與響應、控制與恢復等環(huán)節(jié)中的“過程控制”要求，防御、控制、合理分配安全風險，懲治網(wǎng)絡空間違法犯罪和恐怖活動。北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉則以網(wǎng)絡時代社會結(jié)構(gòu)的核心要素(人、物、信息)為邏輯起點，提出了面向碎片化網(wǎng)絡社會，但仍具內(nèi)在邏輯、外在形式體系的網(wǎng)絡治理法律構(gòu)架：從個人層面，網(wǎng)絡安全立法需涵蓋個人信息權(quán)利保護、培養(yǎng)網(wǎng)絡安全意識、構(gòu)建風險防范與處置能力、制定個人行為規(guī)則、保護未成年人等基本范疇；從企業(yè)層面，應明確網(wǎng)絡服務提供者的權(quán)利、責任和義務；從國家層面，應明確國家的權(quán)力和責任、加強對關(guān)鍵基礎(chǔ)設(shè)施的保護、保障國家網(wǎng)絡安全技術(shù)能力、加快網(wǎng)絡安全技術(shù)研發(fā)、加強政府行政監(jiān)管、積極參與國際規(guī)則制定等基本問題。律師、研究員原浩則進一步探討了從國家層面，如何通過立法保障國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全。他認為國家關(guān)鍵基礎(chǔ)設(shè)施保護法的內(nèi)容應包括預防與準備、發(fā)現(xiàn)與響應、控制與恢復、國際合作以及物質(zhì)與信息融合防范。圍繞關(guān)鍵基礎(chǔ)設(shè)施“穩(wěn)定運營”，應建立與提升技術(shù)保障能力、組織保障能力及執(zhí)法保障能力。哈爾濱工業(yè)大學法學院院長趙宏瑞細致闡述了“總體國家安全觀”下網(wǎng)絡立法的創(chuàng)新思路。他認為中國只有重視“總體安全”才能重鑄網(wǎng)絡安全架構(gòu)。在國內(nèi)立法層面，應克服網(wǎng)絡安全法制的認識誤區(qū)，統(tǒng)籌維權(quán)，進行“四維立法”：在物理(芯片)立法層面，應統(tǒng)一芯片、路由等技術(shù)標準，透明監(jiān)管網(wǎng)絡，外設(shè)網(wǎng)絡硬件動態(tài)等級；在用戶立法層面，應倡導網(wǎng)絡實名制、網(wǎng)絡主體責任制、網(wǎng)絡行為法制化；在信息立法層面，應全面保護網(wǎng)絡信息版權(quán)，保護網(wǎng)絡軟件版權(quán)，監(jiān)管網(wǎng)絡信息流量；在國際立法層面，下決心全力打造DNS根域服務器的災難備份系統(tǒng)，與正義國家實現(xiàn)互相備份、互聯(lián)互通。綜上可見，構(gòu)建網(wǎng)絡信息安全立法框架應立足國際形勢與現(xiàn)實立法需求，重點突出兼具“防御、控制、懲治”功能的綜合性立法的作用，鼓勵多元主體參與網(wǎng)絡社會治理，也應平衡好國家安全、產(chǎn)業(yè)發(fā)展與個人權(quán)利保障之間的矛盾與沖突。

(三)網(wǎng)絡主權(quán)

為構(gòu)建本國的安全戰(zhàn)略，不少大國提出了自身的戰(zhàn)略概念，并圍繞這一概念營造出一整套戰(zhàn)略敘事語言。圍繞著“全球公域”、“網(wǎng)絡軍控”等戰(zhàn)略概念，美俄兩大國積極推進著國家網(wǎng)絡戰(zhàn)略的國際部署。西安空軍工程大學副教授朱莉欣認為，我國提倡的“網(wǎng)絡主權(quán)”概念也具有重大的戰(zhàn)略意義。我國應以主權(quán)的歷史淵源為共識之基礎(chǔ)、以主權(quán)的法理依據(jù)為合法之依據(jù)，從政策、法律、規(guī)章制度入手，探索網(wǎng)絡主權(quán)實踐之道。應重點從戰(zhàn)略層面勾勒出網(wǎng)絡主權(quán)的邊界，即網(wǎng)絡基礎(chǔ)實施是網(wǎng)絡主權(quán)的硬鏈接，構(gòu)成了網(wǎng)絡主權(quán)的有形邊界，而由國家負責管理的Internet頂級域名及注冊其下的域名構(gòu)成了網(wǎng)絡主權(quán)的軟連接，形成了網(wǎng)絡主權(quán)的無形邊界。她還認為保衛(wèi)網(wǎng)絡主權(quán)應寫入我國的國防戰(zhàn)略，在國內(nèi)外進一步闡述網(wǎng)絡主權(quán)的理念，并為其尋求法律保障。

二、新技術(shù)應用下數(shù)據(jù)安全與隱私保護

互聯(lián)網(wǎng)技術(shù)更新?lián)Q代速度極快，當前迅速普及的云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、社交網(wǎng)絡、智能終端等新技術(shù)對隱私和數(shù)據(jù)安全帶來了新的威脅。西安交通大學信息安全法律研究中心云計算安全政策與法律工作組在大會發(fā)布的《中國云計算安全政策與法律藍皮書》中指出，云計算環(huán)境下，數(shù)據(jù)在生成、處理、傳輸、存儲、銷毀階段皆存在數(shù)據(jù)與隱私泄露風險*在信息生成階段，服務商取得對與數(shù)據(jù)的實際控制權(quán)及優(yōu)先訪問權(quán)，具有可識別性的個人信息無法得到應有的管理和保護； 在數(shù)據(jù)處理階段，數(shù)據(jù)處理的集約化是云服務的優(yōu)勢體現(xiàn)，云服務商可能因節(jié)約成本而部署大量的虛擬技術(shù)，基礎(chǔ)設(shè)施的脆弱性和加密措施的失效可能產(chǎn)生新的安全風險；在數(shù)據(jù)傳輸階段，薄弱的用戶驗證機制或單因素的用戶驗證碼很可能產(chǎn)生安全隱患，而按需服務所具有的潛在安全漏洞又將導致各種未經(jīng)授權(quán)的非法訪問，從而產(chǎn)生新的安全風險；在數(shù)據(jù)存儲階段，云服務商通常將用戶數(shù)據(jù)集中存儲，缺乏數(shù)據(jù) 隔離措施和安全的API控制，很可能產(chǎn)生數(shù)據(jù)混同與數(shù)據(jù)丟失。。我國目前還未建立統(tǒng)一的數(shù)據(jù)保護立法，已有的“補丁”式的立法模式無法解決云計算環(huán)境下對個人隱私保護的要求。針對如何解決新技術(shù)應用下的數(shù)據(jù)與隱私保護問題，與會學者認為通過立法形式保護數(shù)據(jù)與隱私是當務之急。

工信部電信研究院政經(jīng)所法律研究部主任李海英認為數(shù)據(jù)安全立法應關(guān)注企業(yè)業(yè)務創(chuàng)新與數(shù)據(jù)保護的矛盾、自由貿(mào)易與數(shù)據(jù)跨境限制的矛盾。個人信息保護與業(yè)務創(chuàng)新的矛盾主要表現(xiàn)為三個方面：一是獲取信息用于商業(yè)目的與避免個人信息公開之間的矛盾；二是信息充分流轉(zhuǎn)共享與降低個人信息流通風險之間的矛盾；三是高效率低成本的發(fā)展與安全保護高投入之間的矛盾?；谝陨厦?，數(shù)據(jù)保護立法不僅應明確網(wǎng)絡服務提供者隱私保護的責任、對個人信息利用的邊界、違法犯罪信息追查中的責任與責任限制，也應規(guī)范用戶的網(wǎng)絡行為、提升個人信息安全意識。奇虎360科技有限公司副總裁、總法律顧問傅彤則認為，進入IOT時代，數(shù)據(jù)隱私問題將愈發(fā)嚴重，網(wǎng)絡信息安全立法應著重明確網(wǎng)絡服務提供者隱私保護的責任及對個人信息利用的邊界，確立保護用戶信息安全三原則，一是用戶信息是用戶的個人資產(chǎn)；二是平等交換、授權(quán)使用；三是安全傳輸、安全存儲。

針對企業(yè)自由貿(mào)易與數(shù)據(jù)跨境限制的矛盾，李海英認為，應加強數(shù)據(jù)跨境流動管理，對不同的類型的數(shù)據(jù)采取不同的管理模式。對于政府或重要的數(shù)據(jù)應禁止跨境流動，對政府和公共部門的一般數(shù)據(jù)跨境應實施限制，例如要進行安全風險評估。對普通的個人數(shù)據(jù)允許跨境流動，但要滿足安全管理要求，可通過問責制、合同干預等形式進行管理。

新疆財經(jīng)大學法學院副教授趙麗莉也從協(xié)調(diào)技術(shù)創(chuàng)新與安全的角度，分析了版權(quán)技術(shù)保護措施對個人隱私與數(shù)據(jù)安全造成的威脅與應對策略。她認為版權(quán)技術(shù)保護措施可通過對終端用戶的控制沖擊個人隱私的數(shù)據(jù)安全。*例如，一些軟件技術(shù)保護措施利用設(shè)置后門方式，運用類似間諜軟件的功能，一方面導致系統(tǒng)性能下降，資源被耗盡，造成系統(tǒng)安全隱患;另一方面，通過要求使用者在安裝執(zhí)行之時移除有規(guī)避功能的程序，進而通過瀏覽器劫持插件、身份信息竊取程序遠程控制用戶電腦，以執(zhí)行監(jiān)控使用者的功能。，我國急需在立法中明確將“安全性”作為判定技術(shù)保護措施有效性的條件*具體做法可包括：第一，對于攻擊性的、威脅信息安全的技術(shù)保護措施應認定是無效的技術(shù)保護措施，明確禁止版權(quán)技術(shù)保護措施包含傳播計算機病毒、攻擊和損害計算機系統(tǒng)及通信網(wǎng)絡等破壞性程序，以及非法截獲、篡改、刪除他人電子郵件或其他數(shù)據(jù)等功能程序；第二，在《著作權(quán)法》中明確版權(quán)技術(shù)保護措施定義的同時，還應確立相關(guān)版權(quán)技術(shù)保護措施采取者、提供者的信息安全遵從義務；第三，為確保版權(quán)技術(shù)保護措施的規(guī)范應用以及相應義務的遵從，在現(xiàn)有版權(quán)制度下需確立專門的監(jiān)管機構(gòu)。。

三、企業(yè)信息安全治理與法規(guī)遵從

企業(yè)是社會的主要組成單元，企業(yè)信息安全治理與信息安全法規(guī)遵從義務履行的成熟度是衡量社會整體信息安全保障水平的重要標尺。西安交通大學信息安全法律研究中心張敏博士認為企業(yè)不能僅停留在通過技術(shù)和管理手段使其自身損失最小化和遵守法令上，還要從構(gòu)成IT社會一員的立場出發(fā)，從公司法人治理的高度，將信息安全注入到企業(yè)文化中去。我國企業(yè)信息安全治理的法律路徑應是內(nèi)部公司治理與外部公司治理的有機互動。從內(nèi)部治理角度，我國應根據(jù)企業(yè)的規(guī)模分別建立不同的信息安全治理模型，明確總裁、首席安全官、首席信息官、首席風險官、部門負責人、中層主管、普通員工的職能，確保公司信息安全透明度原則及公司信息安全披露機制的建立。上海泛洋律師事務所高級合伙人劉春權(quán)律師亦認為企業(yè)是信息安全的第一責任人，沒有企業(yè)的安全也沒有國防和公共機構(gòu)的安全。企業(yè)信息保護的關(guān)鍵在于確立企業(yè)保護個人信息的信息安全保障義務，并通過規(guī)章、標準等予以具體落實。實現(xiàn)由設(shè)門檻的事前監(jiān)管到注重合規(guī)的事中監(jiān)管。同時可采用遞進式懲罰性訴訟賠償?shù)贡破髽I(yè)加強信息保護，防止發(fā)生濫用、失竊、非法交易等行為。綜上可見，企業(yè)作為信息社會的重要主體,在信息安全問題上具有雙重身份，既是被害者又是加害者，企業(yè)不僅應強化自身內(nèi)部信息安全治理機制，還應提升法規(guī)遵從意識，履行個人信息安全保障義務。

微軟公司可信賴計算工作組總經(jīng)理陳靜則進一步介紹了微軟公司在企業(yè)信息安全治理與法規(guī)遵從方面的最佳實踐：為確保合規(guī)性，公司讓云服務接受嚴格的內(nèi)部和外部審核，以確保對數(shù)據(jù)隱私和安全管理標準的遵從；為確保透明度，擴充政府安全計劃，在世界各地開設(shè)透明度中心，發(fā)表透明度報告，合法披露盡可能多的數(shù)據(jù)；為保護客戶數(shù)據(jù)，會質(zhì)詢與有關(guān)企業(yè)客戶的國家安全信函相關(guān)的禁言令，反對搜尋僅存放在美國境外的內(nèi)容數(shù)據(jù)的搜查令和法庭指令，反對收集海量數(shù)據(jù)的指令等。

四、網(wǎng)絡監(jiān)控與電子取證

網(wǎng)絡監(jiān)控是當前司法實踐中一種全新的取證措施，對于打擊網(wǎng)絡犯罪、互聯(lián)網(wǎng)維權(quán)等具有重大的推動作用。電子證據(jù)是網(wǎng)絡監(jiān)控中一種新形態(tài)的證據(jù)形式，也是目前法定證據(jù)種類之一。如何規(guī)范網(wǎng)絡監(jiān)控與電子取證是與會學者熱議之焦點。中國人民大學高級工程師戴士劍認為，電子證據(jù)與傳統(tǒng)證據(jù)相比，不僅有助于還原出整個案件的發(fā)展過程，還具備易于保存，不易銷毀的優(yōu)勢。但當前電子證據(jù)鑒定缺少國家級統(tǒng)一的標準規(guī)范，從長遠看，應出臺一個從發(fā)現(xiàn)線索、收集固定、檢驗分析到法庭質(zhì)證的綜合性電子證據(jù)規(guī)范。中國人民大學法學院副教授劉品新補充，技術(shù)標準經(jīng)過法律認可就可能轉(zhuǎn)化為法律標準。電子取證既要遵循傳統(tǒng)的法律原則，也要有自己相對獨立的原則，除及時取證原則、全面取證原則與合法取證原則外，電子取證的全過程要盡可能保證電子證據(jù)的客觀性、真實性與完整性。國家信息中心電子數(shù)據(jù)司法鑒定中心高級工程師魏連認為電子數(shù)據(jù)司法鑒定可確保電子證據(jù)的客觀性、真實性、完整性。為應對電子證據(jù)對于傳統(tǒng)鑒定的挑戰(zhàn)，我們應將關(guān)注點由事后服務轉(zhuǎn)移到事前服務上，即數(shù)據(jù)備份、在線固化與網(wǎng)上鑒定?！皣烹娮幼C據(jù)保全平臺”提供了一種具有創(chuàng)新性的“主動取證”與“被動取證”相結(jié)合的解決方式*具體而言，在電子商務中，商家、客戶事前確認電子商務系統(tǒng)的證據(jù)保全方案。司法鑒定機構(gòu)可在事前對信息系統(tǒng)的安全性進行檢驗確認，在系統(tǒng)運行過程中可對關(guān)鍵數(shù)據(jù)進行實時固化保全，在案發(fā)后，可對已經(jīng)固化的電子證據(jù)出具鑒定報告，以保證過程合法及結(jié)論合法。。鑒于我國數(shù)據(jù)取證技術(shù)的規(guī)范化、標準化和專業(yè)化直接影響電子證據(jù)的真實性、關(guān)聯(lián)性和合法性。由執(zhí)法機構(gòu)單獨執(zhí)行和落實法律規(guī)范若存在困難，必要時則需要網(wǎng)絡服務商、運營商等機構(gòu)提供必要的協(xié)助執(zhí)法幫助[7]。

隨著網(wǎng)絡時代的到來，互聯(lián)網(wǎng)疆域已成為國家安全的“第五疆域”，推進網(wǎng)絡空間法制化已經(jīng)成為國際共識。我國網(wǎng)絡信息安全法制建設(shè)及網(wǎng)絡社會治理應著眼于中國網(wǎng)絡技術(shù)的發(fā)展水平以及經(jīng)濟、社會對網(wǎng)絡的依賴程度，立足于國家戰(zhàn)略層面，理性描繪未來網(wǎng)絡空間的“法治路線圖”，科學建構(gòu)法律治理框架。在法律治理思路上應以“總體國家安全觀”為指導，既發(fā)揮立法機關(guān)和司法機關(guān)在依法治網(wǎng)中的主導作用，也應充分依賴社會力量和市場機制，并加強國際合作，共建和平、安全、開放、合作的網(wǎng)絡空間。

[1] 沈昌祥，左曉棟.信息安全[M].浙江:浙江大學出版社，2007：5-6.

[2] 惠志斌.我國國家網(wǎng)絡空間安全戰(zhàn)略的理論構(gòu)建與實現(xiàn)路徑[J].中國軟科學，2012(5)：22-27.

[3] 馬民虎.信息安全法律體系：靈魂與重心[J].信息網(wǎng)絡安全，2007(1)：13-15.

[4] 傅榮校.國家信息安全理念與信息安全能力建設(shè)[J].信息安全，2012(7)：49-51.

[5] 馬民虎．信息安全立法三輪：價值、范圍和原則[J].信息網(wǎng)絡安全，2005(3)：13-15.

[6] 馬民虎.國家網(wǎng)絡空間“法治路線圖”需處理好的五大矛盾[J].中國信息安全,2014(10)：44-45.

[7] 楊國輝.從網(wǎng)絡安全對社會和經(jīng)濟發(fā)展的重要程度來尋求法律對策-訪西安交通大學信息安全法律研究中心主任馬民虎[J].中國信息安全，2013(2)：34-36.

(責任編輯：馮 蓉)

Information Security and Legal Governance of Network Society：Space, Strategy, Rights and Capabilities—Review of the Fifth China Information Security Conference

MA Minhu，ZHANG Min

(School of Law，Xi′an Jiaotong University，Xi′an，710049， China)

This paper reviews the scholars′discussion of the basic problems about network information seceurity and governance; the legal construction of network information seceurity should be started at the national strategic level, considering China′s specific national conditions, as well as clarifying the main threat and contradiction of cyber space. Therefore, the entity and procedural legal framework of China′s network space should be constructed comprehensively. Great attention ought to be paid to the privacy and data security problems, especially under the background of new technology application. This conference emphasized also the management duty in enterprise information security, so that it can play a major role in guaranteeing the safety of network space.

network space security; legal management of network space; protection of data and privacy; safety governance of enterprise information security; digital forensics

10.15896/j.xjtuskxb.201502013

2015-01-10

上海市科委基金項目(13511504100)

馬民虎(1958- )，男，西安交通大學法學院教授，西安交通大學信息安全法律研究中心主任，博士生導師。

D90

A

1008-245X(2015)02-0092-06