回望过往,人们会发现,中国面对的网络主权挑战,与过去长达数十年的信息安全威胁一脉相承。只不过,过去的威胁隐藏于水下。如今,"棱镜门"将遮羞布悉数扯掉,潜藏的安全威胁再无遁形,中国的网络安全就如同"玻璃人"一样,看似华丽,实则脆弱。
在网络空间被视为继陆、海、空、天之后的"第五空间"后,如何应对来自少数国家的网络安全威胁,保卫"第五空间"的安全,已成为许多国家的共同目标。
在与国际社会共同呼吁并制定网络空间新规则的基础上,如何在观念、法律、政策、技术、产业等方面,升级自己的治理和发展思路,确保国家网络安全?
【脆弱的安全防线】
1994年4月20日,当中国通过"NCFC工程"接入因特网64K国际专线,正式连接国际互联网时,很少有人能想像到,网络在今天会给中国带来如此巨变。
20年过去,当人们津津乐道于中国网络规模之巨时,决策层亦提出了建设网络强国的战略目标。
这与全球的网络空间新形势有莫大关联。随着网络和信息化技术对现实社会、经济和政治的渗透和重构日益加深,网络空间已然成为大国博弈的新场地。
一些西方国家利用手中的网络主导权,正在采取各种手段,从他国网络获取情报信息或硬性摧毁,以实现其国家战略目标。
在此背景下,中国建设网络强国的根基之一–网络安全,却严重滞后于网络技术和信息产业的发展。
中国网络信息核心技术和关键设备严重依赖他国;国家从部门到行业到个人的整体安全意识薄弱;网络新技术和应用模式在国内大规模普及,大量数据和信息单方面流向美国等西方发达国家,信息失衡问题日趋严重……
这些"致命伤",使得中国的网络安全防线既透明,又脆弱。
一流网络规模,四流防御能力
中国已成为名符其实的网络大国。数据显示,截至2013年底,中国网民规模突破6亿人,手机用户超过12亿,拥有400万家网站,电子商务市场交易规模达10万亿元。
"这就是当前的趋势,网络安全进入国与国对抗博弈的'大玩家'时代。"中国工程院院士倪光南说,当前全球网络威胁的主体,已由娱乐性黑客转变为具有国家背景的团体性黑客,这些攻击者组织更强大,计划更充分,破坏力更强。
在此背景下,全球已有50多个国家出台网络安全或信息安全战略和政策。
以美国为例,作为全球网络主导者,早就制定了完善的网络空间安全国家战略,并奉行"以攻为主、先发制人"的网络威慑战略,将网络情报搜集、防御性网络行动和进攻性网络行动确立为国家行动。
同时,这种国家级、有组织的网络攻击日趋复杂,呈现由"软攻击"向"硬摧毁"转变的趋势,网络空间对抗日趋激烈。
倪光南指出,被披露由美国主导的2011年网络攻击伊朗核设施的"震网"事件表明,美国已经具备了入侵他国重要信息系统、对他国实施网络攻击的能力。
中国同样不乏被攻击的案例。除了2013年曝光的"棱镜门",2014年3月,"棱镜门"曝料人斯诺登再次透露,美国国家安全局自2007年开始,就入侵了中国通信设备企业华为的主服务器;2014年5月19日,美国司法部更是以所谓的"网络窃密"为由,起诉5名中国军人。
面对他国咄咄逼人态势,南京瀚海源信息科技公司董事长方兴指出,中国一流的网络规模却只有四流网络安全防御能力。2012年1月,美国"安全与国防议程"智囊团发布报告,将全球23个国家的信息安全防御能力分为6个梯队,中国处于中下等的第4梯队,网络与信息系统安全防护水平很低。
其中一个重要原因,是中国重要信息系统、关键基础设施中使用的核心信息技术产品和关键服务依赖国外。
相关数据显示,全球网络根域名服务器为美国掌控;中国90%以上的高端芯片依赖美国几家企业提供;智能操作系统的90%以上由美国企业提供。中国政府、金融、能源、电信、交通等领域的信息化系统主机装备中近一半采用外国产品。基础网络中七成以上的设备来自美国思科公司,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科公司掌握。
中国工程院院士沈昌祥认为,目前中国对国外产品的安全隐患和风险尚不清楚。而出口中国的关键设备都被美国备案,美国掌握着中国重要信息系统使用产品和设备的清单,对产品和设备的漏洞、后门等十分清楚。
"掩耳盗铃"的内网安全
除了关键基础设施核心技术缺失,在受访专家看来,中国网络安全更容易被忽视的隐患,来自被过度信赖的内部网络物理隔离系统。这个隐患,在军队、党政机关、关键领域重点企业等领域更为严重。
内部网络系统的物理隔离一直被认为是保障网络和信息安全的重要手段,也是网络系统最底层的保障措施。在传统观念中,只要不和外界网络发生接触,内网隔离就能从根本上杜绝网络威胁。
但《财经国家周刊》记者发现,事实并非如此,中国不少重点行业和党政部门的网络信息安全防御被所谓的内网隔离扎成了虚假安全的"竹篱笆"。
奇虎360公司曾对中国教育系统、航空公司、司法机构等100多家重点行业关键企业和机关部门的内部网络进行测试,结果网络全被攻破,最长的耗时三天,最短的30分钟。
沈昌祥牵头进行一项课题研究发现,中国半数以上重要信息系统难以抵御一般性网络攻击,利用一般性攻击工具即可获取大多数中央部委门户网站控制权。
造成这种问题的首要原因是网络安全意识淡薄。知名网络安全专家杜跃进介绍,中国重点企业及政府部门中,不少单位的机房管理员就是本单位的网络安全负责人。
在安全意识淡薄之下,党政部门和重点行业的网络信息安全过度依赖物理隔离手段。启明星辰首席战略官潘柱廷指出,由于隔离网系统升级不及时,整体保护意识低,致使内部网络物理隔离事实上漏洞百出,一些单位隔离的内部网络木马病毒横行。
奇虎360公司的另一项检测发现,中国100多万个网站中,65%左右有漏洞,近30%是高危漏洞,"基本上你只要下功夫,这个站就能被拿下"。
根据斯诺登公布的材料,美国掌握了100多种方法可攻破物理隔离的内部网络系统。
如在"震网"事件中,伊朗的核设施虽然进行了物理隔离,但美国仍利用高级漏洞,通过U盘摆渡等手段,入侵了内网,最终破坏了铀浓缩机。
除了网络安全意识淡薄,一些地方网络安全防护重设备购置、轻后期服务的做法,也加剧了中国网络安全体系的脆弱性。
奇虎360公司首席技术官谭晓生介绍说,在网络安全防护方面,国家虽然推行了安全等级和分级保护的众多规定,但部门和重点企业单位更多用设备购置来满足安全分级要求,安全后期服务没有常态化。这导致安全防御设备使用成效低下,无法及时监测内部安全态势,完成系统升级等服务。
网络数据"大出血"
与基础设施和内网系统的技术防线漏洞相比,网络数据和信息流失带来的安全问题则更加隐蔽。
随着云计算、物联网、移动互联网、大数据、智能化等网络信息化新兴应用持续拓展,未来中国网络安全威胁将持续扩大。这使得中国大量数据和信息单方面流向西方发达国家的问题更加严重,信息失衡将成为未来更为主要的安全威胁。
网络信息安全企业安天实验室首席技术官肖新光认为,微软的操作系统、英特尔的芯片、思科的交换路由产品等为代表的美国IT产品基本统领了前二十年全球信息化进程。
未来20年,加上谷歌、苹果、Facebook、推特等其他美国科技企业所提供的先进、方便的互联网服务,全球网络信息都向美国单方向聚合,形成了巨大的信息链流失风险。
以第三方信息安全服务的数据信息容灾备份领域为例,美国正在这个领域形成垄断。
国家安全战略研究中心信息技术与安全研究所副所长王标说,赛门铁克、IBM、惠普等美国企业垄断了全球的75%的市场份额,也占据了中国政府80%的容灾备份市场份额,中国大量政府部门的网络信息数据由此渠道单向流入美国。
与此同时,随着智能手机、平板电脑的快速普及,移动互联网安全形势不容乐观,带来的数据信息泄露更为突出。
肖新光说,谷歌的安卓智能手机移动操作系统占中国智能手机用户比例的60%以上。复旦大学的一份调查显示,安卓系统300多款应用软件中,58%存在泄漏用户隐私行为,其中25%的程序还将泄漏的信息进行加密,使得确认其内容和传送目的地非常困难。而移动互联网络开放式接入带来的信息泄漏威胁更为直接和广泛。
中国大量信息数据单向流向美国,带来的直接后果就是让美国获得运用大数据分析中国政治、经济、社会的最新动态和趋势的能力。
潘柱廷说,通俗点描述,就是美国人比中国人还了解中国人在干什么。利用强悍的大数据分析,美国甚至可以比中国政府更清楚更早地知道,某地或某个中国群体在做什么、未来的想法是什么,等等。
网络安全专家、Ucloud公司董事长季昕华认为,这种信息失衡后的大数据大规模挖掘和分析结果,具有战略级的政治、军事、商业、社会信息情报价值,"在未来的网络安全攻防对抗中,信息失衡将比技术失衡更可怕。"
【“核高基”之困】
作为保障国家网络安全的重要环节,中国于2006年将"核高基"(核心电子器件、高端通用芯片、基础软件)列为与载人航天、探月工程并列的16个重大科技专项之一。经过多年的扶持和发展,中国在该领域已涌现出一批比较有竞争力的企业。
不过,《财经国家周刊》记者发现,这些中国企业与世界行业巨头仍有不小差距,而且在追赶世界科技巨头的过程中,正遭到来自外企的全面围剿,同时税收、融资、国内市场支持缺乏等问题,也严重阻碍着企业的创新发展。
外企的全面围剿
利用市场优势地位对中国企业进行打压,是境外企业惯常使用的手段之一。国内芯片设计企业展讯通信有限公司副总裁董倩举例说,"台湾芯片企业联发科对大陆芯片企业的打压非常霸道,在大陆市场,由于客户是共同的,他们利用自己在芯片市场的优势地位威胁客户说,如果用大陆企业的芯片,他就给你提价、断货、不提供优质服务等等,让我们的客户不敢用我们的产品。"
第二种手段是知识产权"围剿"。锐迪科微电子(上海)有限公司副总裁赵国光告诉《财经国家周刊》记者,一方面,当我们一个新产品上市时,外企会起诉称侵犯了他的专利,例如此前爱立信起诉酷派、诺基亚起诉展讯,均以侵犯专利为由;另一方面,外企利用自己在知识产权方面的积累,对中国企业收取高额专利费,例如专利费本来应该按照芯片的价格来收,而美国高通却强行以整机的价格为基准,企业的一大部分利润就这样被收走了。
第三种是恶意收购兼并。曙光信息产业股份有限公司总裁历军说,最近几年,除了利用市场、知识产权的优势打压之外,外企对中国刚刚冒尖又有自主技术的企业兼并收购,已经十分普遍。
"他根本不想让你冒芽,你有了自主技术,在产业化缺钱的时候他就想办法收购你,此前美国高通就一直想收购我国龙头企业展讯,我们很多企业都是国家扶持的,被外企买走太可惜了。"历军说。
一些国内企业负责人表示,中国大陆的自主核心设备企业发展到现在这个程度,正是做大做强的时候,境外企业就会利用自己的优势从这三个方面进行全方位的"围剿",一般都是"先断血,再收购"。
董倩认为,要应对境外企业的三重"围剿",中国大陆应积极发挥行业协会、企业联盟和政府机构的作用,将业界的创新能力整合成合力,形成共享"专利池"。"如果我们的企业也拥有一定数量的专利技术,在遭遇对方诉讼的情况下,我们可以反诉对方侵权,可以减少被动、增加主动。"
税收障碍
中国企业在国内市场的本土优势没有得到充分发挥。在本土企业的发展过程中,税收问题是国内企业创新发展、追赶世界巨头的一大障碍。
以核心芯片为例,大陆企业在大陆市场的主要竞争对手是美国高通和台湾联发科两大巨头。台湾地区为了扶持该产业,联发科等集成电路企业不仅没有增值税,其《促进产业升级条例》还规定,集成电路企业购买研发工具、兼并收购等成本可直接抵扣所得税,所得税抵扣之后一般在1%~2%,而大陆企业的所得税是15%。
董倩说:"我们的税收是人家的7倍,这些真金白银都是企业创新的血液,我们血液不足,怎么创新发展?谈何追赶世界巨头?"
现有的税收政策还造成企业大量资金的积压。赵国光告诉记者,"我国出口退税的周期是半年,几千万元的资金就长期压在那里动不了,而国外的出口退税周期普遍短于我们,本来国内企业资金实力都不够雄厚,几千万元的资金对企业发展的影响很大。"
他表示,个人所得税也已成为制约高端人才引进的障碍。"如果你的收入在中国要交40%的个人所得税,在美国只需要交15%,你会在中国工作吗?"
董倩认为,在美国和中国台湾等地区,针对重点扶持的新兴产业,其税收政策非常清晰,都有针对性的扶持政策,有非常大的税收优惠空间,中国大陆可以借鉴经验,向重点扶持的新兴产业倾斜,给企业更大的空间。
"但要注意不宜采取直接减税的方式,否则反而会让企业失去创新动力。"赵国光认为,可参照其他国家或地区的发展成本抵扣所得税、事后退税等方式对企业进行税收优惠,但退税的周期应尽量缩短。
不公平竞争
除了税收政策,政府采购方面的支持力度不足,也是困扰本土企业的老大难问题。
有观点认为问题在于自主产品的技术水平不高,但据《财经国家周刊》记者了解,国产设备在不少领域已具备替代进口产品的条件。例如,中兴通讯已实现高端路由器的完全自主研发,在即将推出的下一代产品中,三种关键芯片也将全部自主研发,从而保证芯片、软件、整机全链条的自主可控。
国民技术股份有限公司总裁孙迎彤说,经过这七、八年的研发和引进技术,中国大部分产品在技术方面并不比国外产品落后。"我们自主设计的金融IC卡芯片,获得了与国外企业一样的技术认证,但国内银行就是不认可,导致我国现存的5.9亿张金融IC卡的芯片都是国外同一家企业的,给我国的金融信息安全造成了很大隐患。"
中兴通讯股份有限公司副总裁常金芸说,目前推进政府采购自主产品的最大阻碍,实际上是改革开放以来形成的"鼓励进口"观念,以及国产品牌认可度偏低的问题。
"国内总是强调公平竞争,而我们在国外饱受刁难。"常金芸说,华为、中兴已经被美国政府以"莫须有"的罪名赶出了美国市场。另外,美国高通公司看到中国企业越来越强大,直接向美国政府申诉,将展讯等中国企业的增值税优惠直接撤销。
常金芸、孙迎彤等表示,我们的产品在技术上已经不再落后,为什么政府不能鼓励优先采购我们的产品?我们不主张国家打着"自主创新"的旗号保护落后企业,但至少要和境外企业在同一起跑线上竞争。
【网络安全攻防“志愿军”】
在国家网络安全攻防体系中,除了国家组建的正规军外,来自民间的网络安全公司,已经成为大国博弈的"马前卒"。
2014年5月至今,美国对中国网络空间主权数次发难,从美国司法部起诉中国5名军人,到之后指责所谓的"中国官方黑客",均始于美国"火眼"、"曼迪昂特"等网络安全公司所发布的针对性报告。
与美国等西方国家政府与民间力量娴熟的配合相比,中国对网络安全产业民间力量的重视程度和运用水平,远远不够。游离于国家和社会之间的中国网络安全公司们,更像是一支"志愿军"。
在众多安全业界人士看来,一旦这支"志愿军"发展壮大,将成为维护国家网络安全的中坚力量,在实现中国与美国等国家的网络空间安全"对位攻防"中发挥巨大作用。
国际网络对抗"马前卒"
近年来,以美国"赛门铁克"、"火眼"、"曼迪昂特",俄罗斯"卡巴斯基"为代表的网络安全公司快速兴起,成为国家间网络攻防的重要力量。专家认为,名义上独立的网络安全公司,已经成为大国博弈的重要工具。
2013年初,美国网络安全公司"曼迪昂特"公司发布报告《APT1:揭露中国网络间谍单位》。报告发出后,中国企业在海外备受质疑,华为遭质疑被排挤出美国市场,并在欧盟、澳大利亚、韩国受阻,一些走出海外的中国安全企业也纷纷退回国内。
启明星辰首席战略官潘柱廷认为,类似《APT1》的做法,实质是由网络安全公司充当"马前卒",替美国政府实现丑化中国形象、驱逐中国公司,既让美国产业界直接获益,又为美国官方赢得了可进可退的空间。
另一个典型是俄罗斯网络安全公司卡巴斯基。俄罗斯并不算信息强国,但是借助卡巴斯基公司,俄罗斯占据了从攻防能力到分析能力的战略高地。
知名网络安全专家杜跃进说,2010年末,伊朗核电站遭"震网病毒"攻击而瘫痪,卡巴斯基通过技术研究断定此病毒为美国和以色列所开发;2012年,能够避过100种杀毒软件、具有强大窃密能力的"火焰病毒"在伊朗大肆传播,也被卡巴斯基率先发现。卡巴斯基通过分析证实此病毒与"震网病毒"存在技术关联,并从技术层面指出美国是幕后主使。
"卡巴斯基对'震网'、'火焰'等病毒的快速跟进,将美国的攻击行为完整展示于世界面前,为俄罗斯在网络安全和外交层面都争取了主动。"安天实验室首席技术架构师肖新光说,技术实力强大的网络安全公司,在国家网络安全博弈层面,也是一种战略威慑。
民间力量利用不足
反观中国,经过近几年的发展,虽有了以瀚海源、绿盟、安天实验室为代表的大量网络安全公司,但在整体实力上仍与国外巨头不在一个量级,难以实现"攻防对位"。
网络安全专家认为,美国通过安全企业的技术能力,能有效发现、长期跟踪、深度分析其所谓"来自中国的黑客攻击",并能自圆其说地提供证据链和推理过程。但如果不是斯诺登的出现,证明美国在监控全世界,美国还会继续掌握舆论主导权。
肖新光说,由于奥运安防的带动,中国的网络攻防能力在2008年已大体接近美国。奥运会过后的2008~2013年,受重视程度下降,企业发展明显趋缓,成为中国网络安全行业"失去的5年"。
相反,美国以"火眼"为代表的网络安全公司却在过去5年里快速崛起,将中国网络安全行业远远甩在后面。以前美国的"火眼"公司还购买安天的病毒搜索引擎,而现在"火眼"在这方面的能力已远远超过国内企业。
"没有足够大的产业规模,就难有足够强的安全技术实力。"奇虎360首席技术官谭晓生向《财经国家周刊》记者展示了一组对比鲜明的数字:2013年中国信息安全市场的规模约200亿元,还不如美国赛门铁克一家公司大。美国安全产业规模约占其整个IT产业规模的10%,而这个比例在中国只有2%左右。
重发展而轻安全的普遍现状,使得中国网络安全行业规模小、利润薄,员工待遇不好,难以招到顶尖人才,大量国内顶尖人才被美国网络安全公司重金挖走。
一位网络安全厂商人士告诉《财经国家周刊》记者,美国"火眼"、"曼迪昂特"等网络安全公司核心技术团队的负责人,不乏原来国内公司的顶尖技术人才。
如何引导民间网安力量
如何引导民间网络安全公司作为维护国家网络安全的新抓手,尽快实现与美国等西方国家之间的"攻防对位",已经成为一个迫切的命题。
奇虎360董事长周鸿祎指出,美国国防部、海军、空军每年都有大笔订单投入到民营网络安全公司,这种做法值得中国借鉴。
杜跃进认为,目前中国信息安全行业整体赢利能力偏弱,没有足够的利润投入深层次的技术研发。可借鉴印度对软件行业的扶持政策,推出诸如"免税10年"这样积极的、导向性明显的产业政策。
上海安言信息科技有限公司董事长张耀疆告诉记者,目前政府和国企是网络安全公司最大采购方,但往往"重硬件、轻服务",经常是买了一堆"盒子",安全服务却跟不上,网络安全公司也难从本职的安全服务中获利。
另一方面,网络安全行业采用"低价优先"的招标机制。
绿盟首席战略官赵粮说,要利用好政府采购的杠杆作用,整合并盘活整个网络安全产业,就应建立合理的评级、评估机制,充分认可优秀产品的价值,使好产品有溢价空间,才能形成竞争质量而非竞争价格的良性循环。
三零卫士总工程师李成斌认为,要壮大中国网络安全攻防的民间力量,从根本上看还有一个问题必须解决,即网络和信息安全立法。比如,一旦企业出现重大、危害公共利益的公民隐私泄露事件,企业责任人应承担相应民事甚至刑事责任。
【网络安全立法再启程】
全球网络安全的复杂形势下,从法律层面为网络安全和信息化立规矩显得日益重要,对网络安全立法进行顶层设计的呼声也愈发强烈。
接近决策层的消息人士透露,全国人大、最高法以及相关部门正在就"网络安全法"进行调研。
根据2014年4月发布的全国人大常委会2014年立法工作计划,制定"网络安全法"已列入立法预备项目。
这意味着,自1994年国务院颁布《计算机信息系统安全保护条例》后,长期备受关注的网络安全立法工作,再次提上议程。
接受《财经国家周刊》记者采访的专家指出,在当下新的国内外背景下,加快推进网络安全法规,已经有了新的使命和意义。
一方面,它不仅有利于守住中国信息跨境、隐私保护、IT供应链安全等诸多方面的底线,并回应美国立法机构和委员会对于中国企业的无端指责。另一方面,在构筑互联网产业发展的良好法制环境、遏制企业之间的恶性竞争方面,网络安全立法工作也将发挥重要作用。
法律短板
无论是从科技发展对社会生产方式和生产关系的影响来看,还是对国与国之间的竞争博弈而言,中国目前的网络安全法律法规凸显短板,让政府和司法部门在处理一些社会问题、国际问题时颇为掣肘。
网络科技的飞速进步与当前的法律适用存在不少不相适应的地方。360公司总法律顾问傅彤对此感触颇深,她表示,从实际操作层面,网络安全已经从客户端层面走到云端层面,再走到系统层面。
"比如,360公司在进行一些技术攻防类产品推广时,难以从现有的法律法规中寻找到适用于实际操作层面的依据,一旦出现纠纷,给司法判决带来难题。"
互联网新型犯罪层出不穷,同样给社会治理和政府管理提出了新挑战。
最高人民检察院检察理论研究所副所长单民指出,目前互联网犯罪主要表现为以下四个方面:一是直接针对计算机网络,非法侵入计算机系统,破坏非法控制计算机信息系统的犯罪;二是借助互联网实施传统犯罪;三是直接在网络平台进行的互联网犯罪;四是由互联网引起的其他犯罪,如侵犯知识产权的犯罪。
现有网络安全法规方面的短板,还导致中国在一些国际问题和外交问题的处理中出现被动,难以有效对应他国对中国的无理制裁。
专家指出,华为、中兴等网络科技企业被美国以莫须有的理由拒之门外,2012年美国众议院发布针对中兴和华为的报告,建议联邦政府不要采购其设备,私营企业考虑采购风险,对两家企业的打击很大。相比之下,美国IT界"八大金刚"进驻中国要"顺利"得多。美国不久前起诉中国5名军官网络窃密,企图重回道德制高点,而美国监听全球的"棱镜"计划曝光后,中国目前仍停留于道义谴责……一系列事实表明,网络安全立法落后,中国在国际舞台上只能陷入被动局面。
西安交通大学信息安全法律研究中心主任马民虎认为,互联网领域中,中美双方围绕着信息安全的斗争日益尖锐,这就需要中国尽快出台信息安全的专门性法律,对于相关问题予以规范明晰,使中国的信息保护、安全审查等行为有法可依。
系统性立法
马民虎表示,中国当前的网络安全立法基本上属于"渗透式"模式,由于缺乏综合性专门立法,在根本上削弱了中国信息安全保护的力度和效果。
事实上,中国从1994年就开启了信息安全立法的历史,但中国现行的信息安全立法现状并不乐观。网络安全基本法缺位,相关的法律规定大部分仍然散见于各个部门法,缺乏统一的立法理念,立法层级较低,立法结构不合理,具体法律规范多缺乏可操作性,且多为事后的惩治和补救规定,缺乏事前预警和风险防范措施,对于云计算和进一步全球化趋势将带来的信息安全风险的保障作用十分有限。
专家指出,当今世界各国高度重视法律安全,以法律形式、法律思维推动整个网络安全,依法惩治各种网络违法犯罪行为,中国作为网络大国更需要与时俱进,走在法制的前列,用法律的手段为网络安全保驾护航。
最高人民法院中国应用法学研究所所长孙佑海建议,首先,要建立网络基础设施保护制度,完善中国的电信设备、网络的制度,建立国外产品的审查认证,确保国家的信息安全,这个制度还有一些具体细化的问题。依法推动自主知识产权网络产品的研发,有目标、有步骤地提高中国重点领域网络产品的国产化率,特别是核心技术上取得重大突破。
第二,要建立防止网络泄密与保护数据的安全制度。网络数据随时面临着泄密的风险。既要对防范外国情报机关窃听窃取作出具体的规定,也应对涉及国计民生和重大公共利益的行业信息给予保护。专家指出,中国刑法第285条规定非法侵入罪,保护范围明显过小,建议将保护的范围扩大到首先是金融、能源、医疗、税收、财政,涉及国计民生的重大公共利益的都要给予有效的保护。
第三,建立打击网络恐怖主义制度。专家指出,一些网民在互联网上从事编造虚假恐怖信息的犯罪行为,还有将网络作为工具组织召集联络实施犯罪行为。网络安全法中应该依法授权公安机关和国家机关加强网络监管,明确规定国家安全监管的主体资格,对监管主体监管边界予以明确。
第四,建立治理网络谣言、网络色情等犯罪活动的制度。随着互联网的普及,网络几乎成为所有传统犯罪的工具或是平台,传统的诽谤、寻衅滋事、非法经营、诈骗、盗窃等违法犯罪行为在互联网世界中改头换面,社会危害性非常大。网络攻击、网络病毒等新型犯罪活动也不断涌现。
孙佑海说,中国的网络犯罪呈现高发增长,"两高"在积极探索法律适用和司法解释规则,在现有的框架内不断地探索经验。2013年"两高"出台了《关于办理利用信息网络实施诽谤等形式案件适用法律若干问题的解释》,有力地打击了利用网络进行敲诈勒索等行为。
辩证看待技术变革
在基本的网络安全立法框架之上,网络安全立法还需要解决网络安全管理流程中由于法律手段缺乏、行政手段代替带来的问题。
工信部电信研究院政策与经济研究所法律部主任李海英指出,在立法缺乏的情况下,往往由行政命令要求企业尤其是国企提供一些相关的配合,但是在未来的市场开放的情况下,市场参与主体增多,国有企业、国有资本可能逐渐退出,在这种情况下,如何把通过行政管理的工作变成法制化的要求非常关键。
专家指出,要尽快改变中国网络安全的立法局面,通过更高层面立法完善中国的法律,让网络安全的法律法规适应时代的发展。特别是刑法作为打击网络犯罪的有效工具,可以扩大刑法罪名设置,完善网络犯罪的罪名体系,扩大刑法的保护范围,加大对网络安全的保护力度,由结果犯修改为危险犯,加大对帮助犯的打击力度。
孙佑海说,在实践中发现,现在借助网络进行违法犯罪活动的单位日益增多,相当一部分网络犯罪的主体实际是以单位组织、公司的名义出现,所以,要对从事网络违法犯罪的单位和个人同时给予制裁。
对网络信息滥用和欺诈行为,专家建议进行源头治理,着重打击购物网站的违法犯罪行为,惩治以违法方式泄露用户信息的行为,建立完善的网上保险制度,降低网络交易风险。
国务院法制办工交商事法制司副司长马森述指出,网络领域的立法与传统立法有所不同,需处理好新技术和新业务的关系、管理和发展的关系。如互联网金融、打车软件就是由于新技术新应用催生了新的经营方式。
互联网的每一次技术革新,都会挑战已确立的基本法的原则和规则。孙佑海建议,强化网络知识产权保护的制度,不断明确技术规则、技术创新,把纠纷行为和网络技术区分开,在制裁网络行为同时保护技术发展。