|
国家提升网络基础设施安全,重点在于强化其中关键基础设施的安全,关键信息基础设施指的是所在的行业具有全局性、战略性和基础性的设施,往往对国家安全具有特殊战略意义,需进一步划定范围,并给予特殊保护。国家强化保障关键设施的办法,一是强化更加安全先进的基础技术系统开发和应用;二是加强保护体系建设,包括发展关键基础设施安全监控体系,监控防御系统,强化黑客入侵时的实时应对和恢复机制。 关键设施的完善在制度上需进一步匹配网络安全信息共享,特别是私企将其安全信息与政府共享,是互联网技术时代的发现和治理网络安全的特有要求,是互联网特点决定的合作共治原理的必然。我国目前推行“网络安全长城”值得肯定,但宜以立法的方式确立安全信息共享机制,可以学习美国经验,激励关键基础设施运营者自愿分享安全威胁信息。网络安全信息共享制度,从域外经验来看,以分级、激励、保密三个要素为核心,应仿照网络安全等级保护制度,实行信息共享分级制度,以信息的重要程度为标准进行分类管理,并对不同的企业和人群进行分级授权。斯诺登事件为我们敲响警钟,不对情报进行分类极有可能使得安全保密机制具有很大的脆弱性,而网络安全信息共享分析制度,可以避免类似情形再度发生。在信息共享规则上,同时应当对用户隐私和商业秘密加以严格保护,并要对何种情况下可以豁免因为私主体披露相关信息的刑事责任和民事责任进行类型化分析,平衡维护国家安全利益和保护个人和企业私权利之间的利益关系。 五、强化个人信息保护和数据资产化 大数据时代催发数据巨大的经济和社会价值,数据本身存在一种资产化趋势,在这种情况下,数据安全包括个人信息安全在内,其保护设计不能过于简单以致于妨碍数据资产化的价值需求,个人信息保护、数据保护需要在一种更加复杂化的“双赢”机制之中发挥效果。 必须注意保护个人信息。欧盟国家在其立法中将个人信息资料权作为一项独立权利加以保护。近年来,包括欧盟、美国等国家,在个人信息保护的基础上也着力推动一种基于前端保护的“设计保护”新理念。这种设计理念主张,个人信息保护不仅依赖“个人信息保护法”,更鼓励企业加强自律,更新内部机制,建立健全内部数据风险评估机制,在产品和服务初期导入个人信息保护机制。我国也宜推行这种“设计保护”的模式,加强企业自律规范。 也要注意数据资产化过程中的各方利益的合理配置。数据资产化,不能简单地以作为个人信息权的人格权商品化方式开展,也不能简单采取债权保障和债权交易的方式正当化,因为这种情况下会严重制约数据资产化的实际功能和经济结构需求。一种数据财产权理论开始出现,主张数据规范从单纯的人格权、债权模式中走进人格权、债权、财产权复合重叠的样态,数据财产权各种形式呼之欲出,个人信息安全和数据产业发展正在展开动态平衡。 六、加强数据开放、数据流动和国际合作 数据的采样和加工有赖于巨大的数据规模,其基础正是在于数据的开发性和流动性,然而数据在来源上往往受到数据封闭的限制,不同国家均鼓励原始数据开放,特别是针对公共数据,往往促进其公开。此外,数据存在跨境的复杂性,从数据价值发挥而言,跨境是一种必要,但是数据背后存在数据安全问题,各国数据空间主权观念的差别,或者数据法制、数据利益、数据安全保护观念的差异,导致相互之间在数据流动和国际合作的复杂性。这个问题需要特别规范。 我国《网络安全法》草案总则第5条规定了网络空间治理的国际合作原则,第43条规定“国家网信部门和有关部门依法履行网络安全监督管理职责,但两款内容均未对就数据开放专门规定,实为一大憾事。2015年出台的《反恐怖主义法》在第1721条、第61条和第86条,进一步强化了互联网企业在反恐事项上的各项义务和责任承担方式,但对互联网企业数据是否必须全部在境内存储和对于跨境存储和传输的要求,尚无明确规定,此前的实践中不乏将数据信息存储在境内的要求。互联网企业的核心在于技术资源,如何在保护用户隐私和反对恐怖主义之间达到动态平衡,有效保持企业正常的运营并保护企业知识产权,是接下来部门配套立法应当重点思索的核心问题。 七、推动行业自律规范的建立 当前企业、个人和行业都存在自律机制,这是由网络空间技术无限自主特点和行为无限集散特点决定的,如果没有自律,控制和监管将十分被动,成本极高,应付不及,防不胜防。随着Web2.0时代的飞速发展,当代网络安全治理理论认为,单纯的从上到下的管理模式很难实现纵览全局,更难以解除网络安全空间治理的困境,应以国家治理与社会合作为平衡。美国网络法大家劳伦斯·莱希格教授认为,“网络空间治理应该依从四维规制理论,以此拓展空间治理的思路,其主张法律、社会准则、市场机制之外还要充分挖掘网络空间自身技术架构的自我规制特征,其核心在于将网络安全治理视为一个动态多元且上下协作的领域,应具有主体多元、行为多样的特征”。 但是,自律不可能简单自动实现,有赖于配套法律上的机制。网络安全法中,要做出对自律的鼓励和导引,同时建立若干必要的自律机制加以约束,包括建立和规范行业自治、社会共治体系等等。从当今网络产业发展来看,在多元自律体系中,用户自律应当倡导,但是企业和行业自律尤为紧迫和重要。《网络安全法》草案在第4条倡导“诚实守信、健康文明的网络行为”,旨在鼓励用户自律;在第8条又规定了加强行业自律的原则,这些规定实为必要,但还欠充分和具体的可操作性。例如,由于外部监管不足,加上自身自律不足,许多企业虽然声称其会对用户个人数据进行匿名化处理,且不会对用户隐私数据进行滥用,但是“前台匿名后台实名”,俨然已经成了互联网公司收集用户个人数据的潜规则。就此,应当推行行业自律,通过协会的力量推动数据的匿名化处理。 |
