《网络安全法(草案)》(以下简称“草案”)将于8月5日停止向社会公开征求意见,截至8月3日下午,全国人大网上一共收集了3191条社会意见。“我们赞同《网络安全法(草案)》将网络安全成熟实践经验制度化的指导思想。如建立关键网络基础设施保护制度、网络安全监测与应急响应制度、网络安全等级保护制 度、网络实名制度。”中国人民大学网络犯罪与安全研究中心秘书长谢君泽介绍。
草案公开征求意见的同时,依循立法惯例,同时在中国法学会、全国律协、法学院校等智库和行业协会中征求意见。
“但我们认为,这些制度还远远不能实现维护网络安全的目的,因此,有必要进一步补充、完善网络安全的基本制度,尤其是反映网络安全自身特点的基本制度。”谢君泽说。
网络安全基本制度当“有增无减”
“截至目前,全球已有60多个国家出台了网络安全战略,有些国家如美国于4月份推出了第二份网络安全战略,日本也即将推出新网络安全战略。但目前为止我国仍未出台网络安全战略,顶层设计不够清晰。”一名官方智库研究人员告诉21世纪经济报道记者。
从立法进程看,《网络安全法》、《电子商务法》、《网上商业数据保护办法》这些网络安全法律法规迟迟未能出台,是因为网络安全形势变化太快,而我国立法程序相对复杂,上述人士称。
形势越来越严峻。中国互联网协会网络与信息安全委员会副秘书长何世平介绍,近三年来,该协会收录的通用软件漏洞每年新增15%到25%,“2014年处理的漏洞事件有9000多起,是2013年和2012年的3倍”。
在7月23日举行的2015中国网络安全论坛上,中国互联网信息中心业务发展部副主任陈远民称,2015年第二季度,对党政机关和石油、电力等重要行业的网站域名调查显示,44%的域名都存在安全隐患。
草案公开后,中国人民大学网络犯罪与安全研究中心推出了一份建议稿,其中明确提出建立11个网络安全基本制度。
除草案已有规定外,这份建议稿还提出了建立数据境内存储制度、关键数据加密备份制度、网络安全事件追溯制度、网络安全持续改进制度、网络信息公开制度、网络安全公私合作制度、网络安全国际合作制度等。
在草案中,专设一节规定“关键信息基础设施的运行安全”,这是网络安全法中一项重要的基本制度,亦是各国网络安全制度的重点。
21世纪经济报道记者得知,目前国内多个省份正在起草基础电信设施保护的地方法规。
有些网络安全基本制度需将已有规定整合进《网络安全法》,比如网络安全等级保护制度。“关键信息基础设施保护是国外网络安全保护的主流方案,而信息安全等级保护制度则是中国特色。”社科院一名网络安全领域学者介绍。
上述社科院学者介绍,截至2014年初,电力、电信、广电、教育、铁路、农业等50余个行业出台了120余份行业等级保护政策文件,电力、银行、税务等30余个行业出台了100余个行业等级保护标准。
“草案将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。”草案的立法说明中写道。
如何弥合社会争议
有 些网络安全基本制度也在社会上引起了较大争议。如草案第50条规定,“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自 治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施”。这被解读为“重大突发事件时可断网”。
实际上,实行网络安全监测和应急响应制度亦为国际规则。日本《网络安全基本法》第17条就规定,国家应当采取必要措施预防网络安全相关犯罪,并且防止损害结果的扩大。
同样需要稳妥施行的还有网络实名制。草案第20条规定,“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息”。
这 是继2012年《全国人大常委会关于加强网络信息保护的决定》之后,网络实名制再次入法,但网络实名制的现实基础仍未稳固。7月在西安举行的一场研讨会 上,陕西省通信管理局一名工作人员介绍,截至去年,陕西省共有约425万人未进行实名登记,“从法不溯及既往的角度,网络实名制的开展不能对之前的存量用 户产生约束”,他说。
上述人士还认为,我国目前对身份证管理较为松散,《网络安全法(草案)》也没有规定网络运营商的审查义务,这可能导致个人信息的大量泄露。因此,他建议增加网络运营商的实质审查义务,并要求公安部门提供协助。