赛迪网:网络安全法需明确“权力清单” 避免“九龙治水”
发表日期:2015-08-12 17:56:19
自《中华人民共和国网络安全法(草案)》(简称“《草案》”)公布,并征求社会意见以来,社会各界人士积极展开讨论献计献策。
网康科技高级产品市场经理侯汉书在接受赛迪网采访时就提出,《草案》中第25条对“关键信息基础设施”的定义有些不妥。“将‘用户众多的网络服务提供者所有或者管理的网络和系统’也归为关键信息基础设施,有些过于宽泛了”。比如大型的电子商务网站,或者大型论坛、社交网站,可能有几百万甚至上千万的注册用户,肯定符合“用户众多”这个标准了,但如果这类网站出现了严重的运行安全问题,除了大范围泄露用户敏感信息的情况外,只能说会对用户的日常生活带来不便,但还不至于影响国计民生。“因此,对这类网站与能源、交通、金融等网站采取同级别的管理措施,显然没有必要。”
《草案》中对关键信息基础设施的安全防护方面所作出的规定,基本涵盖了安全防护的全方面,但遗漏了对目前已建成网络的防护措施。《草案》通过后,新建网络时需要同步规划、同步建设、同步使用安全防护措施,但根据“法不溯及既往”的原则,无法强制要求已建成网络也要满足相关的技术要求。新旧网络往往是协同工作的,这可能导致技术标准相对落后的已建成旧网络成为安全风险的引入点。
“《草案》对关键信息基础设施安全规定所面临的最大难题,我认为是《草案》没有明确国家执法机关对关键信息基础设施保护工作的监管职责。”侯汉书认为,草案第25条到33条提到的都是关键信息基础设施运营者的义务,但运营者是否落实了这些法定义务?由谁来监督监管?如果运营者拒不执行法定义务,由谁来督促或强制执行?《草案》的第六章列出了一些惩罚措施,但将执法主体笼统的说为“有关主管部门”,这显然缺少法律行为应有的明确性和严谨性。
《草案》第32条部分提到“关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”。侯汉书表示,目前国内已有多家检测机构可以执行相关的检测评估,但各个检测机构之间的结果还没有实现互通互认。举个例子,如果希望入围电信网络的关键信息基础设施建设,就必须要通过工信部组织的相关测评,此时即使其有合格的第三方检测机构所出具的检测报告,电信运营商是否认还是个问题。因此专业第三方检测机构的地位就显得十分尴尬:首先,如何确保其检测结果的中立性和客观性,其次,如何让关键信息基础设施的主管部门认可其检测结果。从目前我国的国情看,关键信息基础设施网络主要集中在电信、金融、政府、军队等部门,而这些部门都有自己的检测标准,“这必将导致独立的第三方检测机构中看不中用的尴尬地位。”
对于关键信息基础设施运营者安全性改进是否应该有完成时间表的问题,侯汉书回答说“时间表是必须有的,否则无限期拖延下去,就等于没有推进这件事情。不过这里又回到刚才的问题上来了,《草案》中没有明确关键信息基础设施运营者的监管或执法主体,导致是否能够按照时间表推进成了运营者的自主行为。因此,明确法案中多处提到的‘有关主管部门’比制定时间表更有现实意义。”
安全预警信息的通报方面,侯汉书建议参考现在所执行的等级保护制度,根据预警级别和影响范围向相应的群体通报。如果不加区分的向社会全体成员通报所有的安全预警信息,可能会造成不必要的恐慌。
《草案》第46条所述,“国家网信部门协调有关部门建立健全网络安全应急工作机制,制定网络安全事件应急预案,并定期组织演练”,其中所提演练的目的就是检验安全预案有效性的最佳手段。比如,对于银行系统,可以通过模拟分行数据库服务器遭受物理破坏的场景来检验银行的灾备和恢复预案是否有效。
侯汉书表示,网络社会是现实社会的延展,网络秩序也属于公共秩序,网络空间的管理应纳入社会管理的范畴。只要理清楚了这个道理,就很容易理解《草案》所提“对网络通信采取限制等临时措施”,现实社会中可以实施的突发事件管控措施,也同样适用于网络空间。“至于启动网络通讯管控措施的条件,可以参考我国现行的《中华人民共和国突发事件应对法》中的相关规定。”
在采访的最后侯汉书对《草案》提出了两点建议。
首先,希望立法机构能够明确《草案》的定位,到底是综合法还是专门法。从总则部分看,草案定位更趋向于综合法,对其他各种具体法律起归纳、总结和指导作用,“用我的理解是网络安全界的‘宪法’。”但草案的第六章又包括多达十几条的具体处罚细则,小至5000元的罚款,导致草案更像是“网络安全运营管理条例”,这与草案应起到的指导作用是相背离的。综合法就应定位于上位法,做好顶层设计和战略规划,具体的执行和处罚等措施应由具体执行部门去制定细则。
“其次,我在上面的采访中多次提到了《草案》的法律主体不明确的问题,这里我愿意再次重申这个问题,因为这对我们安全企业有非常重要的现实意义。我所说的法律主体,既包括执法主体,也包括被执法主体。”《草案》中所提到的“有关主管部门”,很可能就是安全企业的执法部门。不明确这些部门的职权范围——也就是李克强总理常说的“权力清单”——就可能出现多部门齐抓共管的“九龙治水”局面,对企业增加额外的负担;同样,不明确安全企业的法定义务范围和安全责任界限,也可能会导致企业被任意执法的情况。