编者按

5月17日是世界电信和信息社会日。

进入21世纪，“信息安全”涉及的领域不断扩大，已成为全球总体安全和综合安全最重要的非传统安全领域之一。随着全球信息化的深入发展和持续推进，信息安全更多地体现在网络安全领域，反映在跨越时空的网络系统和网络空间之中。中国作为一个新兴网络大国，面临着更加复杂严峻的网络空间安全形势，网络空间安全已经与国家安全和经济社会发展息息相关。由此，在世界电信和信息社会日来临之际，《法制日报》视点版将视角锁定网络空间安全，探讨如何通过法治的力量保障中国网络空间安全。

□本报记者赵丽

系统漏洞和后门隐患问题突出，“核弹”级漏洞不断显现，呈现新、快、危害大、针对政府部门等重要特征；

网络攻击频率呈现上升趋势；

安全风险的边界不断泛化；

……

上述结论来自上海社会科学院信息研究所联合国内相关学术和管理机构策划编撰的年度研究报告“网络空间安全蓝皮书”《中国网络空间安全发展报告(2015)》。报告称，网络攻击、信息窃取、网络谣传、隐私侵害、病毒传播、网络犯罪、网络恐怖主义等问题在时刻挑战着中国防控网络风险的水平与决心。

“加强网络立法、网络执法、全网守法，进一步推进我国网络空间安全管理的制度化和法制化，设计既能确保网络空间安全，又能适应互联网发展需要的制度体系，也是国家治理体系和治理能力现代化的题中应有之义。”作为国家社科基金青年项目“大数据时代个人信息安全规制研究”的研究人员，上海社会科学院信息研究所助理研究员张衠经过梳理近年来我国主要的网络空间安全立法、执法与政策措施，勾勒出我国网络空间安全法律与政策的完整图景。

信息安全不可控因素凸显

“根据2014年的情况分析，中国的网络信息安全态势不容乐观，主要表现为技术漏洞大量存在，信息安全不可控因素进一步凸显。”专门从事信息安全战略及技术研究的中国信息安全测评中心总工王军说，我国重要信息系统和关键基础设施的信息安全处于高风险状态。

据中国信息安全测评中心监测发现，2014年1月至10月，全国网站被攻击次数达38000多次，截至10月相关数据总体呈上升趋势。全国共发现恶意网站约28亿个，从恶意类型数据整体分析来看，恶意网站的最大成因是黑客入侵，占总数的近五成。

“从趋势特征来看，2014年的信息安全漏洞具有出新快、危害大、针对政府网站等重要特征。如‘面具’病毒等新型病毒不仅以单纯破坏为主，而且由于其后门功能强大，逐步具有间谍性质，危害度呈几何级放大；又如，微软浏览器存在‘零日漏洞’，这种攻击往往具有很大的突发性与破坏性，致使多个版本的IE浏览器受到影响，波及超过50%的电脑用户。”王军说，此外，2014年国家与省部级重要网站漏洞减少，但地市级政府网站隐患偏大，这些网站成为黑客组织的重要“靶场”。2014年约有200多个政府网站存在严重安全隐患，多个政府网站遭黑客组织攻击篡改；由于被植入非法链接等，我国300多个政府网站发生安全事件。

王军说，随着移动互联网的迅猛发展，其在方便人们生产、生活的同时，也面临着严峻的安全威胁，而现有的安全机制如权限许可和审查机制等还存在一些弊端。

“移动互联网具有的网络融合、应用多样、终端智能、平台开放等诸多新特点对监管提出新挑战。在这样的背景下，上至国家安全下至个人隐私保护都变得复杂而艰巨。”王军说，值得注意的是，大数据时代的到来，使得大数据与人们日常工作和生活息息相关，风险的发生机会和连带效应将变得超过以往任何时期。

立法需兼顾稳定与前瞻

面对日趋复杂和严峻的国际国内网络安全形势，党的十八届三中全会提出了“加大依法管理网络力度，加快完善互联网管理领导体制，确保国家网络和信息安全”的要求，网络空间安全的立法进一步加速。

张衠介绍说，近年来，我国网络空间安全领域的立法活动十分活跃，以《全国人大常委会关于维护互联网安全的决定》《全国人大常委会关于加强网络信息保护的决定》《互联网信息服务管理办法》等为基础，制定颁布了一系列网络安全管理的行政法规和部门规章。

“这一系列立法活动逐渐构建起中国网络空间安全的制度框架。”张衠说，但在网络空间安全立法方面，仍存在需要进一步完善的方面。

“互联网时代的治理需要立法者立足现实并具有前瞻性眼光，以应对层出不穷的新技术、新应用带来的法律挑战和监管困境。在互联网环境下，立法所立足的技术背景和社会条件都处于急速的变化发展之中，法律的制定与实施既需要有前瞻性也要正视现实的可操作性，尽可能以相对稳定的法律规范去适应不断变化的网络环境。对于重点问题先行立法，使之有法可依，并在立法过程中不断适应新形势，出台具体的管理细则。”张衠说，在立法理念上，要厘清安全与发展的关系。

张衠认为，网络空间的核心部分是国家关键基础设施。“我国使用的信息基础设施和关键核心技术设备大量都是国外的，存在严重的‘后门’威胁。要实现我国网络空间安全的可管可控，保障关键基础设施安全，要完善政府采购制度，对关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务实施信息安全审查制度。”张衠说，同时，立法要明确规范数据的收集、利用和跨境流动，建立可信任的数据安全保障机制，加强执法部门的定期核查。针对金融、能源、医疗、税收、财政等涉及重大公共利益的行业信息应当给予特别保护。

明确网络信息安全基线

值得注意的是，今年4月，第十二届全国人大常委会第十四次会议审议了《中华人民共和国国家安全法(草案二次审议稿)》。草案提出，国家建设国家网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范和依法惩治网络攻击、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

“应该说，加速推进我国网络与信息安全综合性立法已经刻不容缓。”对此，主要从事网络与信息安全法律、电子数据研究的公安部第三研究所助理研究员黄道丽介绍，目前我国网络与信息安全相关法律基本上是“补丁”式立法，散见于刑法、治安管理处罚法、保密法等法律中。

“近期，国家开始启动国家信息安全审查、关键基础设施保护和互联网信息服务等方面的专项立法。”黄道丽说，但从国家形势出发，要落实中央提出的“总体国家安全观”，就必须制定综合性立法。

“我国迫切需要一部统领信息化发展的综合性法律。只有进行综合性立法，明确国家对网络信息安全的基本原则，统一部署规划，建立国家网络信息安全的舆情监测、应急响应、技术人才、组织保障等综合法律体系，才能贯彻‘总体国家安全观’理念，体现中央关于网络安全和信息化发展的战略要求，实现国家安全、社会稳定、产业发展和个人隐私保护的总体安全宗旨。”黄道丽认为，制定综合性立法符合我国现实的立法需求。网络与信息安全立法涉及需求广，且与云计算等新技术新应用的迅速结合普及密切相关。我国现行信息安全法律法规涉及法律、行政法规、部门规章、地方法规及规范性文件等多个层次，覆盖内容上纵向包括网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒防治等特定领域的信息安全、信息安全犯罪制裁等多个领域，横向包括政府信息安全维护、企业权益保障和个人信息权利保护等。从总体上来看，现行法律法规无法有效应对日渐严峻的信息安全威胁。

“针对这一现状，仅对原有法律进行解释、修订或增补难以把握安全与发展之间的关系，不利于国家总体安全战略目标的实现。我国应制定综合性立法，明确规定网络与信息安全的基线，为部门、地方的立法和政策的制定、调整和完善提供法律依据。”黄道丽说。