信息安全與網絡社會法律治理：空間、戰略、權利、能力
——第五屆中國信息安全法律大會會議綜述

馬民虎，張 敏

(西安交通大學 法學院，陜西 西安 710049)

?

信息安全與網絡社會法律治理：空間、戰略、權利、能力
——第五屆中國信息安全法律大會會議綜述

馬民虎，張 敏

(西安交通大學 法學院，陜西 西安 710049)

闡述了學者們在“第五屆中國信息安全法律大會”期間，圍繞網絡信息安全與網絡社會治理中的基本問題所展開的探討；認為網絡信息安全法制建設需要站在國家戰略層面，兼顧具體國情，厘清網絡空間的主要威脅與法制建設中的主要矛盾，全面建構中國網絡社會治理的實體與程序性法律框架；強調應重視新技術應用背景下的隱私與數據安全問題，并強化企業信息安全治理責任，發揮其在網絡信息安全保障中的關鍵作用。

網絡信息安全；網絡社會法律治理；數據與隱私保護；企業信息安全治理；電子取證

以網絡為核心的信息技術和服務正在加速社會的轉型和質變，信息網絡已超越信息通信和媒體的傳統范疇，成為關系國家安全、產業發展和個人權利保障的關鍵空間。移動互聯網、云計算、大數據等新興領域在快速發展的同時也催生了嚴重的網絡信息安全威脅①例如大規模網絡攻擊、網絡恐怖活動、支付寶系統漏洞、攜程網用戶信息泄露、Windows XP系統停止服務、OpenSSL漏洞、免費WIFI誘導用戶鏈接盜取資金等“重磅炸彈”暴露出了嚴重的網絡信息安全危機。。國際信息安全與地緣安全的復雜結構又進一步加劇了我國網絡信息安全的嚴峻態勢。

2014年，“中央網絡安全和信息化領導小組”的成立全面開啟了網絡信息安全的新時代，網絡信息安全的法制建設已被提上實現“中國夢”的重要議程。將依法治國落實到網絡空間，推動網絡空間法治化是互聯網時代最迫切的需求。在這樣的背景下，從法學視角探討網絡信息安全法制建設及網絡社會治理對踐行依法治國、依法治網具有重大意義。

2014年10月31日至11月1日，“第五屆中國信息安全法律大會”在北京舉行。本次大會由中央網絡安全和信息化領導小組辦公室及公安部十一局指導，中國信息安全法律大會組委會主辦，西安交通大學信息安全法律研究中心、北京郵電大學互聯網治理與法律研究中心、信息網絡安全雜志、北京網絡安全協會承辦。本次大會規模空前，共200余人參會②參會領導主要來組中央網絡安全和信息化領導小組辦公室、公安部、中國計算機學會計算機安全專業委員會、陜西省法學會等政府機構，參會嘉賓主要來自國內著名高校、科研機構和知名互聯網企業。。大會取得了豐碩的學術成果，收到學術論文50余篇③收錄論文涉及網絡信息安全戰略、立法及基礎理論、國家信息安全審查制度、信息主權、個人權利與企業信息安全保障義務、移動互聯網安全與治理、網絡安全監管、執法與司法、可信網絡空間的法律保障等學術前沿問題。。由中國云計算安全政策與法律工作組編寫的《2014中國云計算安全政策與法律藍皮書》、《現代汽車信息安全威脅與法律治理報告》也在大會同步發布，并受到參會各界的關注。

第五屆中國信息安全法律大會以“空間、戰略、權利、能力”為主題，圍繞網絡信息安全戰略與法制建設、新技術應用下的數據安全與隱私保護、企業信息安全治理與法規遵從、網絡監控與電子取證等問題進行了深入探討，以期從多維度對我國網絡空間法制建設的發展與完善提供理論支撐與對策建議。本文對此次大會的觀點和結論擇要綜述。

一、網絡信息安全戰略及法制建設

網絡時代的到來對內重塑了經濟發展的新引擎、社會生活的新模式，對外使非傳統安全威脅與日俱增，國家安全形態錯綜復雜。加強網絡信息安全戰略及法制建設，是有效應對復雜的國內、國際環境中層出不窮的信息安全威脅，維護國家利益的根本保障。與會學者主要圍繞網絡信息安全戰略及實現路徑、網絡信息安全立法及網絡主權等方面展開探討。

(一)網絡信息安全戰略及實現路徑

網絡信息安全具體是指維護網絡信息系統或信息傳播中的信息資源免受各類威脅、干擾和破壞，保障網絡信息資源的保密性、可靠性、完整性、可用性等安全屬性[1]。網絡信息安全目前已然超越了技術范疇，上升到國家核心戰略層面，成為國家綜合性安全戰略的制高點和新載體[2]。與會學者分別從構建我國網絡信息安全戰略的現實價值、目標、模式與實現路徑等方面展看探討。中央網絡安全和信息化領導小組辦公室網絡安全協調局調研員張勝認為，網絡信息安全戰略是國家安全戰略的重要組成部分，加強國家網絡信息安全戰略制定對實現國家網絡治理體系和治理能力現代化、指引網絡信息安全立法、提高信息安全防御能力具有重要的現實價值。

網絡空間安全戰略目標是維護和謀求國家網絡空間安全利益的指標性任務，反映不同階段國家網絡空間安全的總體發展愿景[2]。上海社科院特聘研究員、《中國信息安全》雜志網絡空間戰略論壇主編秦安認為網絡空間已經成為國家安全的戰略高地。網絡空間立法應以黨和國家戰略*包括寬帶戰略、大數據戰略、物聯網戰略、“三網融合”戰略、“信息消費”戰略、媒體融合戰略、網絡空間發展戰略、網絡空間安全戰略、網絡空間國際戰略、網絡空間軍事戰略、網絡空間身份認證戰略。為指引，網絡空間安全的戰略目標應服務于建設網絡強國*習近平在中央網絡安全和信息化領導小組第一次會議時指出，建設網絡強國，要有自己的技術，有過硬的技術；要有豐富全面的信息服務，繁榮發展的網絡文化；要有良好的信息基礎設施，形成實力雄厚的信息經濟；要有高素質的網絡安全和信息化人才隊伍；要積極開展雙邊、多邊的互聯網國際交流合作。建設網絡強國的戰略部署要與“兩個一百年”奮斗目標同步推進，向著網絡基礎設施基本普及、自主創新能力顯著增強、信息經濟全面發展、網絡安全保障有力的目標不斷前進。參見http://news.southcn.com/z/2014-02/28/content_93654246.htm，2014年12月10日訪問。的利益訴求，具體而言，建設網絡強國的戰略部署要向著網絡基礎設施基本普及、自主創新能力顯著增強、信息經濟全面發展、網絡安全保障有力的目標不斷前進。網絡強國建設“方向角”調整至關重要，需要從號召力、執行力、生產力、文化力、和國防力多個方面整體籌劃，協同提升。

戰略目標的實現需要制定理想的戰略模型。面對全球化的網絡空間安全威脅，很多國家和地區從自身實際出發，不斷修訂國家信息安全戰略。例如在本世界之初，美國國家信息安全戰略目標是“阻止針對美國至關重要的基礎設施的網絡攻擊；減少美國對網絡攻擊的脆弱性；在確實發生網絡攻擊時，使損害程度最小化、恢復時間最短化[3]”。奧巴馬政府出臺的《網絡空間國際戰略》(2011年)改變了以往“防御”為主的網絡空間戰略，轉而發展以“互聯網自由”為核心，以“控制——塑造”為基本特征的進攻型網絡空間戰略[4]。這種動態性與擴張性并存的戰略模型對我國網絡空間戰略模型的制定提出了挑戰。互聯網實驗室董事長方興東認為，進攻型戰略既不符合我們國家一貫倡導的和平共處的基本原則，也不符合我們當下的實力和能力。毛澤東“積極防御”的戰略思想*毛澤東指出：“積極防御，又叫攻勢防御，又叫決戰防御。消極防御，又叫專守防御，又叫單純防御。消級防御實際上是假防御，只有積極防御才是真防御，才是為了反攻和進攻的防御。”參見《毛澤東選集》第1卷第198頁。依然適用于中國網絡安全領域。近期，我國的主要任務是依據國情確立并完善有效的“積極防御型”戰略模型*根據《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發<2003>27號)和《2006-2020年國家信息化發展戰略》(中辦發<2006>11號)，我國國家信息安全戰略的總體指導思想是堅持積極防御、綜合防范、大力增強國家信息安全保障能力。。

網絡空間安全戰略模型是對戰略具體實現路徑的科學指引，在實踐中需以此為指導。中國社會科學院法學研究所研究員陳欣新博士認為，網絡空間安全戰略的實現路徑應從建構網絡信息安全法律體系、標準化建設、國防力量建設、國際交流與合作、優化組織管理體系、人才培養、網絡文化弘揚等方面展開。其中網絡信息安全立法是重心。由于立法涉及的領域較多，規范和規制手段都不一樣，再加上看法存在意見分歧，導致綜合性的網絡信息安全立法難以出臺，但仍需著力解決。國家計算機網絡信息安全研究所所長杜躍進認為，人才培養在國家網絡空間安全戰略建設具有重要的意義。所謂戰略清晰、技術先進、產業發達、攻防兼備，這一切“人才”是基礎。而發現人才、培養人才、使用人才都至關重要。

(二)網絡信息安全立法價值、基本原則與立法框架

法治是提升國家治理能力的引擎。網絡社會的法律治理亟需從國家戰略頂層設計出發，厘清其基本價值訴求，明晰貫穿網絡信息安全立法的基本指導思想與原則，建構涵蓋宏觀、中觀與微觀三個層面的網絡信息安全立法框架，讓“依法治網”具體化。

網絡信息安全立法的價值取向主要是指其所要構建的法律秩序目標，這種目標必須反映國家的戰略目標[5]。“安全”與“發展”問題始終是世界各國網絡信息安全立法關注的焦點*《歐盟理事會2007年3月22日關于建立歐洲信息社會戰略的決議》從“發展”的角度提出“在發展中解決安全問題”的思想，鼓勵政府機構和企業創造更加安全的產品和服務。而保障“安全” 是美國網絡信息安全法的基本價值取向。2003年美國《網絡空間安全國家戰略》明確號召美國全民參與對其擁有、使用、控制和交流的網絡空間的安全保護，以實現“保護美國關鍵基礎設施免遭網絡攻擊、降低網絡的脆弱性、縮短網絡攻擊發生后的破壞和恢復時間”三大戰略目標。。習總書記強調，“做好網絡安全和信息化工作，要處理好安全和發展的關系，要做到協調一致、齊頭并進，以安全保發展，以發展促安全，努力建久安之勢、成長治之業*參見http://news.qq.com/a/20140228/001147.htm，2014年12月10日訪問。”。可見我國網絡信息安全戰略已確立安全與發展并重的基本方向。公安部第三研究所研究員黃道麗認為，我國網絡空間立法應落實國家戰略，兼顧“安全與發展”的二元價值特性。北京郵電大學崔聰聰在其提交的書面材料中進一步提到，網絡信息安全立法之“安全”并非“絕對安全”，而應是“適度安全”。“適度安全”是指立法的制度設計應協調安全與其它價值之間的關系，不能為了保障信息安全而犧牲網民的自由，進而扼殺網絡技術創新。網民可以在網絡世界中自由的獲取、傳播、處理信息，這一權利已被我國憲法所確認，因此法律規范的制度設計不能因強調網絡安全問題而影響網絡的接入，除非發生危害國家安全及刑事犯罪行為。哈爾濱工業大學法學院副教授高立忠在其提交的書面材料中從立法技術層面詮釋了如何在安全與發展之間進行矛盾抉擇，他認為網絡信息安全立法應保持法律的適度“謙抑性”，即立法一方面應規范信息技術和網絡活動，限制和預防技術的濫用；另一方面應當為信息技術的發展預留適當的空間，防止過度控制技術，立法的保護范圍應和技術應用的重要性一致。

法的基本原則是法的靈魂和指導整個法律活動的核心思想。信息安全法的基本原則是貫穿于信息安全立法、司法、執法各環節，實現維護社會公共安全的法制目的的根本規則[5]。上海社科院特聘研究員、《中國信息安全》網絡空間戰略論壇主編秦安認為，依法治網應堅持三原則，即總體國家安全原則*習近平總書記提出“堅持總體國家安全觀，走中國特色國家安全道路”的新觀點，強調國家的安全發展要同時兼顧內外安全、國土與國民、傳統與非傳統、發展安全、自身與共同安全。參見，http://news.xinhuanet.com/2014-04/15/c_1110253910.htm，2014年12月10日訪問。、治理能力現代化原則、技術先進原則，以防范“十類逆法思維*“十類逆法思維”包括霸權思維、自由思維、利益思維、崇洋思維、極端思維、教條思維、碎片思維、虛無思維、山頭思維、簡單思維。”。中國人民大學法學院副教授劉品新則認為，網絡空間立法應貫徹秩序性安全與技術性安全并重原則、價值平衡*價值平衡即指安全保障與個人信息保護的平衡、網絡安全保障與互聯網產業發展的平衡原則、網絡安全責任主體共同治理原則。

構建網絡信息安全立法框架的前提是厘清現階段立法存在的主要問題及需要解決的主要矛盾。中央網絡安全和信息化領導小組辦公室網絡安全協調局調研員張勝認為，面對網絡空間不斷凸顯的安全問題，目前我國網絡信息安全的立法面臨“三大軟肋”，即現行法律法規體系尚未完善，法律結構單一，難以適應信息技術發展的需要和日益嚴重的網絡安全問題，有的條款無法與傳統的法律規則相協調。他從頂層設計的高度明確了我國網絡信息安全法律體系廢、改、立之必要性。網絡空間“法治路線圖”之設計需從國家戰略層面對網絡空間的主要矛盾進行全局性把控，應處理好個人隱私與網絡監控之間的矛盾、開放包容與安全審查之間的矛盾、技術領先與法規滯后之間的矛盾、網絡認證與現實身份之間的矛盾、綜合執法與責任追究之間的矛盾[6]。

網絡信息安全立法框架的科學建構是保證法律體系協調一致，避免分散立法、重合立法、立法相矛盾的關鍵。公安部第三研究所研究員黃道麗認為，網絡信息安全立法重點應制定一部綜合性的、符合國際慣例的、統領信息化發展的綜合性立法。確立防御、控制與懲治“三位一體”的治理法律體系，以“防御和控制”性的法律規范替代傳統單純“懲治”性的刑事法律規范，讓多方主體參與綜合治理的層面，明確各方主體在預警與監測、網絡安全事件的應急與響應、控制與恢復等環節中的“過程控制”要求，防御、控制、合理分配安全風險，懲治網絡空間違法犯罪和恐怖活動。北京郵電大學互聯網治理與法律研究中心主任李欲曉則以網絡時代社會結構的核心要素(人、物、信息)為邏輯起點，提出了面向碎片化網絡社會，但仍具內在邏輯、外在形式體系的網絡治理法律構架：從個人層面，網絡安全立法需涵蓋個人信息權利保護、培養網絡安全意識、構建風險防范與處置能力、制定個人行為規則、保護未成年人等基本范疇；從企業層面，應明確網絡服務提供者的權利、責任和義務；從國家層面，應明確國家的權力和責任、加強對關鍵基礎設施的保護、保障國家網絡安全技術能力、加快網絡安全技術研發、加強政府行政監管、積極參與國際規則制定等基本問題。律師、研究員原浩則進一步探討了從國家層面，如何通過立法保障國家關鍵基礎設施的信息安全。他認為國家關鍵基礎設施保護法的內容應包括預防與準備、發現與響應、控制與恢復、國際合作以及物質與信息融合防范。圍繞關鍵基礎設施“穩定運營”，應建立與提升技術保障能力、組織保障能力及執法保障能力。哈爾濱工業大學法學院院長趙宏瑞細致闡述了“總體國家安全觀”下網絡立法的創新思路。他認為中國只有重視“總體安全”才能重鑄網絡安全架構。在國內立法層面，應克服網絡安全法制的認識誤區，統籌維權，進行“四維立法”：在物理(芯片)立法層面，應統一芯片、路由等技術標準，透明監管網絡，外設網絡硬件動態等級；在用戶立法層面，應倡導網絡實名制、網絡主體責任制、網絡行為法制化；在信息立法層面，應全面保護網絡信息版權，保護網絡軟件版權，監管網絡信息流量；在國際立法層面，下決心全力打造DNS根域服務器的災難備份系統，與正義國家實現互相備份、互聯互通。綜上可見，構建網絡信息安全立法框架應立足國際形勢與現實立法需求，重點突出兼具“防御、控制、懲治”功能的綜合性立法的作用，鼓勵多元主體參與網絡社會治理，也應平衡好國家安全、產業發展與個人權利保障之間的矛盾與沖突。

(三)網絡主權

為構建本國的安全戰略，不少大國提出了自身的戰略概念，并圍繞這一概念營造出一整套戰略敘事語言。圍繞著“全球公域”、“網絡軍控”等戰略概念，美俄兩大國積極推進著國家網絡戰略的國際部署。西安空軍工程大學副教授朱莉欣認為，我國提倡的“網絡主權”概念也具有重大的戰略意義。我國應以主權的歷史淵源為共識之基礎、以主權的法理依據為合法之依據，從政策、法律、規章制度入手，探索網絡主權實踐之道。應重點從戰略層面勾勒出網絡主權的邊界，即網絡基礎實施是網絡主權的硬鏈接，構成了網絡主權的有形邊界，而由國家負責管理的Internet頂級域名及注冊其下的域名構成了網絡主權的軟連接，形成了網絡主權的無形邊界。她還認為保衛網絡主權應寫入我國的國防戰略，在國內外進一步闡述網絡主權的理念，并為其尋求法律保障。

二、新技術應用下數據安全與隱私保護

互聯網技術更新換代速度極快，當前迅速普及的云計算、物聯網、移動互聯網、社交網絡、智能終端等新技術對隱私和數據安全帶來了新的威脅。西安交通大學信息安全法律研究中心云計算安全政策與法律工作組在大會發布的《中國云計算安全政策與法律藍皮書》中指出，云計算環境下，數據在生成、處理、傳輸、存儲、銷毀階段皆存在數據與隱私泄露風險*在信息生成階段，服務商取得對與數據的實際控制權及優先訪問權，具有可識別性的個人信息無法得到應有的管理和保護； 在數據處理階段，數據處理的集約化是云服務的優勢體現，云服務商可能因節約成本而部署大量的虛擬技術，基礎設施的脆弱性和加密措施的失效可能產生新的安全風險；在數據傳輸階段，薄弱的用戶驗證機制或單因素的用戶驗證碼很可能產生安全隱患，而按需服務所具有的潛在安全漏洞又將導致各種未經授權的非法訪問，從而產生新的安全風險；在數據存儲階段，云服務商通常將用戶數據集中存儲，缺乏數據 隔離措施和安全的API控制，很可能產生數據混同與數據丟失。。我國目前還未建立統一的數據保護立法，已有的“補丁”式的立法模式無法解決云計算環境下對個人隱私保護的要求。針對如何解決新技術應用下的數據與隱私保護問題，與會學者認為通過立法形式保護數據與隱私是當務之急。

工信部電信研究院政經所法律研究部主任李海英認為數據安全立法應關注企業業務創新與數據保護的矛盾、自由貿易與數據跨境限制的矛盾。個人信息保護與業務創新的矛盾主要表現為三個方面：一是獲取信息用于商業目的與避免個人信息公開之間的矛盾；二是信息充分流轉共享與降低個人信息流通風險之間的矛盾；三是高效率低成本的發展與安全保護高投入之間的矛盾。基于以上矛盾，數據保護立法不僅應明確網絡服務提供者隱私保護的責任、對個人信息利用的邊界、違法犯罪信息追查中的責任與責任限制，也應規范用戶的網絡行為、提升個人信息安全意識。奇虎360科技有限公司副總裁、總法律顧問傅彤則認為，進入IOT時代，數據隱私問題將愈發嚴重，網絡信息安全立法應著重明確網絡服務提供者隱私保護的責任及對個人信息利用的邊界，確立保護用戶信息安全三原則，一是用戶信息是用戶的個人資產；二是平等交換、授權使用；三是安全傳輸、安全存儲。

針對企業自由貿易與數據跨境限制的矛盾，李海英認為，應加強數據跨境流動管理，對不同的類型的數據采取不同的管理模式。對于政府或重要的數據應禁止跨境流動，對政府和公共部門的一般數據跨境應實施限制，例如要進行安全風險評估。對普通的個人數據允許跨境流動，但要滿足安全管理要求，可通過問責制、合同干預等形式進行管理。

新疆財經大學法學院副教授趙麗莉也從協調技術創新與安全的角度，分析了版權技術保護措施對個人隱私與數據安全造成的威脅與應對策略。她認為版權技術保護措施可通過對終端用戶的控制沖擊個人隱私的數據安全。*例如，一些軟件技術保護措施利用設置后門方式，運用類似間諜軟件的功能，一方面導致系統性能下降，資源被耗盡，造成系統安全隱患;另一方面，通過要求使用者在安裝執行之時移除有規避功能的程序，進而通過瀏覽器劫持插件、身份信息竊取程序遠程控制用戶電腦，以執行監控使用者的功能。，我國急需在立法中明確將“安全性”作為判定技術保護措施有效性的條件*具體做法可包括：第一，對于攻擊性的、威脅信息安全的技術保護措施應認定是無效的技術保護措施，明確禁止版權技術保護措施包含傳播計算機病毒、攻擊和損害計算機系統及通信網絡等破壞性程序，以及非法截獲、篡改、刪除他人電子郵件或其他數據等功能程序；第二，在《著作權法》中明確版權技術保護措施定義的同時，還應確立相關版權技術保護措施采取者、提供者的信息安全遵從義務；第三，為確保版權技術保護措施的規范應用以及相應義務的遵從，在現有版權制度下需確立專門的監管機構。。

三、企業信息安全治理與法規遵從

企業是社會的主要組成單元，企業信息安全治理與信息安全法規遵從義務履行的成熟度是衡量社會整體信息安全保障水平的重要標尺。西安交通大學信息安全法律研究中心張敏博士認為企業不能僅停留在通過技術和管理手段使其自身損失最小化和遵守法令上，還要從構成IT社會一員的立場出發，從公司法人治理的高度，將信息安全注入到企業文化中去。我國企業信息安全治理的法律路徑應是內部公司治理與外部公司治理的有機互動。從內部治理角度，我國應根據企業的規模分別建立不同的信息安全治理模型，明確總裁、首席安全官、首席信息官、首席風險官、部門負責人、中層主管、普通員工的職能，確保公司信息安全透明度原則及公司信息安全披露機制的建立。上海泛洋律師事務所高級合伙人劉春權律師亦認為企業是信息安全的第一責任人，沒有企業的安全也沒有國防和公共機構的安全。企業信息保護的關鍵在于確立企業保護個人信息的信息安全保障義務，并通過規章、標準等予以具體落實。實現由設門檻的事前監管到注重合規的事中監管。同時可采用遞進式懲罰性訴訟賠償倒逼企業加強信息保護，防止發生濫用、失竊、非法交易等行為。綜上可見，企業作為信息社會的重要主體,在信息安全問題上具有雙重身份，既是被害者又是加害者，企業不僅應強化自身內部信息安全治理機制，還應提升法規遵從意識，履行個人信息安全保障義務。

微軟公司可信賴計算工作組總經理陳靜則進一步介紹了微軟公司在企業信息安全治理與法規遵從方面的最佳實踐：為確保合規性，公司讓云服務接受嚴格的內部和外部審核，以確保對數據隱私和安全管理標準的遵從；為確保透明度，擴充政府安全計劃，在世界各地開設透明度中心，發表透明度報告，合法披露盡可能多的數據；為保護客戶數據，會質詢與有關企業客戶的國家安全信函相關的禁言令，反對搜尋僅存放在美國境外的內容數據的搜查令和法庭指令，反對收集海量數據的指令等。

四、網絡監控與電子取證

網絡監控是當前司法實踐中一種全新的取證措施，對于打擊網絡犯罪、互聯網維權等具有重大的推動作用。電子證據是網絡監控中一種新形態的證據形式，也是目前法定證據種類之一。如何規范網絡監控與電子取證是與會學者熱議之焦點。中國人民大學高級工程師戴士劍認為，電子證據與傳統證據相比，不僅有助于還原出整個案件的發展過程，還具備易于保存，不易銷毀的優勢。但當前電子證據鑒定缺少國家級統一的標準規范，從長遠看，應出臺一個從發現線索、收集固定、檢驗分析到法庭質證的綜合性電子證據規范。中國人民大學法學院副教授劉品新補充，技術標準經過法律認可就可能轉化為法律標準。電子取證既要遵循傳統的法律原則，也要有自己相對獨立的原則，除及時取證原則、全面取證原則與合法取證原則外，電子取證的全過程要盡可能保證電子證據的客觀性、真實性與完整性。國家信息中心電子數據司法鑒定中心高級工程師魏連認為電子數據司法鑒定可確保電子證據的客觀性、真實性、完整性。為應對電子證據對于傳統鑒定的挑戰，我們應將關注點由事后服務轉移到事前服務上，即數據備份、在線固化與網上鑒定。“國信電子證據保全平臺”提供了一種具有創新性的“主動取證”與“被動取證”相結合的解決方式*具體而言，在電子商務中，商家、客戶事前確認電子商務系統的證據保全方案。司法鑒定機構可在事前對信息系統的安全性進行檢驗確認，在系統運行過程中可對關鍵數據進行實時固化保全，在案發后，可對已經固化的電子證據出具鑒定報告，以保證過程合法及結論合法。。鑒于我國數據取證技術的規范化、標準化和專業化直接影響電子證據的真實性、關聯性和合法性。由執法機構單獨執行和落實法律規范若存在困難，必要時則需要網絡服務商、運營商等機構提供必要的協助執法幫助[7]。

隨著網絡時代的到來，互聯網疆域已成為國家安全的“第五疆域”，推進網絡空間法制化已經成為國際共識。我國網絡信息安全法制建設及網絡社會治理應著眼于中國網絡技術的發展水平以及經濟、社會對網絡的依賴程度，立足于國家戰略層面，理性描繪未來網絡空間的“法治路線圖”，科學建構法律治理框架。在法律治理思路上應以“總體國家安全觀”為指導，既發揮立法機關和司法機關在依法治網中的主導作用，也應充分依賴社會力量和市場機制，并加強國際合作，共建和平、安全、開放、合作的網絡空間。

[1] 沈昌祥，左曉棟.信息安全[M].浙江:浙江大學出版社，2007：5-6.

[2] 惠志斌.我國國家網絡空間安全戰略的理論構建與實現路徑[J].中國軟科學，2012(5)：22-27.

[3] 馬民虎.信息安全法律體系：靈魂與重心[J].信息網絡安全，2007(1)：13-15.

[4] 傅榮校.國家信息安全理念與信息安全能力建設[J].信息安全，2012(7)：49-51.

[5] 馬民虎．信息安全立法三輪：價值、范圍和原則[J].信息網絡安全，2005(3)：13-15.

[6] 馬民虎.國家網絡空間“法治路線圖”需處理好的五大矛盾[J].中國信息安全,2014(10)：44-45.

[7] 楊國輝.從網絡安全對社會和經濟發展的重要程度來尋求法律對策-訪西安交通大學信息安全法律研究中心主任馬民虎[J].中國信息安全，2013(2)：34-36.

(責任編輯：馮 蓉)

Information Security and Legal Governance of Network Society：Space, Strategy, Rights and Capabilities—Review of the Fifth China Information Security Conference

MA Minhu，ZHANG Min

(School of Law，Xi′an Jiaotong University，Xi′an，710049， China)

This paper reviews the scholars′discussion of the basic problems about network information seceurity and governance; the legal construction of network information seceurity should be started at the national strategic level, considering China′s specific national conditions, as well as clarifying the main threat and contradiction of cyber space. Therefore, the entity and procedural legal framework of China′s network space should be constructed comprehensively. Great attention ought to be paid to the privacy and data security problems, especially under the background of new technology application. This conference emphasized also the management duty in enterprise information security, so that it can play a major role in guaranteeing the safety of network space.

network space security; legal management of network space; protection of data and privacy; safety governance of enterprise information security; digital forensics

10.15896/j.xjtuskxb.201502013

2015-01-10

上海市科委基金項目(13511504100)

馬民虎(1958- )，男，西安交通大學法學院教授，西安交通大學信息安全法律研究中心主任，博士生導師。

D90

A

1008-245X(2015)02-0092-06