以法治化与标准化夯实网络安全治理基石
网络黑客攻击、疫情期间大数据信息违规滥用、网上深度伪造换脸风波……随着网络技术的飞速发展,互联网已经深度融入国家发展和社会生活的方方面面,不断涌现的网络安全问题也从未停止。这两天正值2020年国家网络安全宣传周,网络安全治理的议题也由此获得更多关注。筑牢网络安全防线,提升网络安全保障能力,是推进国家治理体系和治理能力现代化的必然要求和重要体现。法律规范和技术标准作为两大规范系统,于网络安全治理而言,犹如车之两轮、鸟之两翼,理应协同驱动、共同发挥保障支撑作用。
标准化是网络空间安全治理的技术基础。作为现代风险管理科学手段——标准化的产物,技术标准是网络安全领域经行业内专家一致协商制定的技术与管理要求,代表着当前一段时期内网络安全技术的认知与水准,具有科学性、经验性和客观性的特点,且随技术发展而不断更新。近年来,全国信息安全标准化技术委员会在等级保护、个人信息、大数据、云计算、人工智能、应急指南、工控行业等领域及时发布了大量国家标准及行业标准,网络安全标准体系也在逐步健全完善中,为企业开展网络安全管理提供了操作性强的技术参考。
法治化是网络空间安全治理的根本保障。中国自接入国际互联网以来,坚持依法开展网络空间治理,2017年6月1日正式实施的《中华人民共和国网络安全法》为网络空间主权、网络运行安全、数据信息安全、应急处置和监管处罚等提供了基础性规定。3年来,配套立法不断出台,个人信息保护法、数据安全法纳入立法规划,《网络安全等级保护条例》《关键信息基础设施保护条例》等条例正在起草,网络安全法律规范持续加码。App违法违规收集使用个人信息专项治理、净网行动等网络安全执法案例不断涌现,法治效果逐步凸显,网络空间日渐清朗。
应该明确的是,关于网络安全技术的引导与规范,不仅要看到标准化与法治化各自发挥规范作用,更要关注到两者的融合互动、驱动发展:技术标准为网络安全法落地提供支撑作用,法律规范为技术标准施行提供制度保障。没有技术标准,法律的原则性规定难以落地。比如,网络安全法第41条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”,但对于如何操作符合“必要”并无具体规定,国家推荐性标准《信息安全技术个人信息安全规范》对个人信息的收集、使用给出了“最小化要求”等详细操作规定,弥补了个人信息保护法“空窗期”的法律空白。
同时,法律为标准施行提供强有力制度保障。比如,网络安全法提到,国家实行等级安全保护制度,将等级保护上升为法律制度。2019年年底,《信息安全技术网络安全等级保护基本要求》正式实施,意味着我国网络安全等级保护标准从1.0时代步入2.0时代。尤其是我国实行关键信息基础设施保护是在网络安全等级保护的基础上施行重点保护,网络安全法强调要按照“国家标准的强制性要求”,为国标的执行提供了强制约束力。
法律法规和技术标准是保障网络安全的两大重要手段,提升网络安全保障能力需要统筹法治化和标准化建设。因此,一方面既要重视法治化建设,加快配套立法,加强网络安全跨部门、跨区域、跨行业的执法协作,明确司法实践中行刑衔接、责任竞合等问题的法律适用;另一方面,强化网络安全国家标准顶层设计,优化完善网络安全国家标准体系,加快急需重点领域标准审议,下大力气提升标准质量,提高标准研制时效性,抓好标准化人才队伍建设。此外,还要提高法律法规与标准规范之间的衔接性,借鉴国际上技术法规的先进经验,建立法律援引标准的适用规则,明确标准实施的效力范围,不断推进法律与标准之间融合互动纵深发展。