我國網絡空間安全立法的技術基礎和邏輯起點

壽　步

聚焦網絡安全法

我國網絡空間安全立法的技術基礎和邏輯起點

壽步

壽步 上海交通大學凱原法學院教授，博士生導師，上海交通大學知識產權研究中心主任。

為使法律的調整范圍與法律的名稱保持一致，我國審議中的《網絡安全法》應當更名為《網絡空間安全法》。為使我國《網絡空間安全法》具有無懈可擊的技術基礎，應當以ISO/IEC 27032：2012 為依據，以Cyberspace / Cyber、Cybersecurity / Cyberspace security、Cybersafety、Cybercrime 這四個術語為邏輯起點，將cybersecurity 與另外五個術語 information security、application security、network security、Internet security、Critical Information Infrastructure Protection（CIIP）進行明確區分，由此構建我國《網絡空間安全法》的邏輯框架和科學體系。

網絡；網絡空間；安全

我國的網絡空間安全立法，首要的問題是“正名”問題。名不正則言不順，言不順則事不成。其次要解決該法的技術基礎問題。網絡空間安全問題涉及很多技術術語，在該法中這些術語必須有具有國際共識的、國際公認的定義，這樣才能使該法具備無懈可擊的技術基礎。有了這樣堅實的技術基礎，該法才可能具備完備的邏輯體系。這就是討論《網絡安全法》（草案二次審議稿）的修改問題時首先需要解決的基礎問題。

一.該法的名稱應該是什么

（一）同類法律在各國的不同名稱

相關的法律，由于法律涉及內容的不同、術語使用習慣不同等原因，在不同的國家有不同的稱呼。

1.網絡安全（Network Security）

2015年6月全國人大常委會初次審議《中華人民共和國網絡安全法（草案）》。此后該草案在中國人大網公布，向社會公開征求意見。該法律草案的英文名稱就常被譯為“Network Security Law”。如：

China Issues Draft Network Security Law［1］；

China Releases Draft of New Network Security Law： Implications for Data Privacy & Security［2］。

2.信息安全（Information Security）

如2002年美國《聯邦信息安全管理法案》（Federal Information Security Management Act of 2002）， 2012年更新為《聯邦信息安全改革法》（Federal Information Security Reform Act of 2012）。

3.網絡與信息安全（Network and Information Security ）

如2016年7月6日歐洲議會通過的《網絡與信息安全指令》（Network and Information Security Directive）。

4.網絡空間安全（Cybersecurity或Cyberspace Security ）

如2014年美國《國家網絡空間安全保護法》（National Cybersecurity Protection Act of 2014）；2014年11月日本《網絡安全基本法》的日本外務省官方英譯名稱（The Basic Act on Cybersecurity）。

（二）中國該法名稱應該是《網絡空間安全法》

在相關領域的立法進程和學術研究中， “網絡安全”、“信息安全”、“網絡與信息安全”、“網絡空間安全”等用法有同有異。各界人士各抒己見。

例如，“中央網絡安全和信息化領導小組”的中文名中是用“網絡安全”，但其英文名中卻是使用“Cyberspace ……”

國家安全法的規定又與此不同。《國家安全法》第二十五條規定：“國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發展利益。”這里是將“網絡安全”和“信息安全”合二而一稱為“網絡與信息安全”。

我國目前給出的法律名稱是“網絡安全法”。究竟應該是“Network安全法”還是“Cyber安全法”？值得商榷。事實上，該法要規制的安全問題顯然不僅存在于Network 之中、而是存在于Cyber / Cyberspace 之中。但該法草案二審稿中給出“網絡安全”的定義卻與其名稱“網絡安全法”并不一致。

該法草案二審稿第七十二條定義：網絡安全，是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

注意，該定義既沒有涉及“個人信息保護”，也沒有涉及“違法信息管控”。從該法草案二次審議稿的整體內容看，該法所要規制的問題、調整的范圍是：“網絡運行安全”（第三章）+“網絡信息安全”（第四章），即“網絡安全”+個人信息安全+信息內容安全，也即“網絡安全”+個人信息保護+違法信息管控。顯然，該法調整的范圍已經超出了草案定義的“網絡安全”的范圍。

因此，該法應更名為外延更廣的《網絡空間安全法》 （Cybersecurity Law ）。

（三）為什么應該是《網絡空間安全法》

在1998年Kevin Shafer 的 Novells Dictionary of Networking 中給出了Cyberspace（中文譯名有“賽博空間”/“網絡空間”/“網電空間”/“電腦空間”/“信息空間”等）詞條，這是描述通過計算機網絡可以獲得的信息資源的術語。這個術語源于Willian Gibson的小說 Neuromancer （神經浪漫者）。

我國該法草案所涉及的個人信息和違法信息都包含在Cyberspace中可以獲得的信息資源之中。

如果該法名稱是“網絡空間安全法”，則便于在該法中準確而有區別地使用“網絡”、“網絡安全”、“網絡空間”、“網絡空間安全”等一系列關鍵術語。更可以避免目前在草案中“網絡”一詞有時指“網絡”（network）、有時又指“網絡空間”（ Cyber / Cyberspace）的歧義情況。

如果該法名稱是“網絡空間安全法”，則目前在草案第一章總則中出現了四次的“網絡空間”一詞也有了出現與該法名稱對應的理由——維護網絡空間主權（第一條）；維護網絡空間安全和秩序（第五條）；積極開展網絡空間治理（第七條）；推動構建和平、安全、開放、合作的網絡空間”（第七條）。

“網絡空間主權”概念，在《國家安全法》第二十五條中首次提到。如果將審議中的“網絡安全法”更名為“網絡空間安全法”，正能夠呼應《國家安全法》第二十五條的要求，維護國家在網絡空間的主權、安全和發展利益。

二、我國網絡空間安全法的技術基礎

在該法草案二次審議稿中，“網絡”、“網絡空間”、“網絡安全”、“網絡空間安全”、“信息”、“網絡信息”、“信息安全”、“網絡信息安全”、“數據”、“網絡數據”、“網絡數據安全”等許多關鍵術語定義不明、交叉混用，這樣將不利于法律的實施。

在國際標準ISO/IEC 27032：2012 信息技術-安全技術-網絡空間安全指南（ISO/IEC 27032：2012 Information technology - Security techniques -Guidelines for cybersecurity）及其所屬的ISO27000（信息安全管理體系）標準族中已經給出了相關術語的標準定義。

因此，我國網絡空間安全法應該以國際標準ISO/IEC 27032：2012作為技術基礎，以“網絡空間”（ Cyberspace / Cyber）、“網絡空間安全”（cybersecurity）、“網絡空間安全性 / 網絡空間安全狀態”（cybersafety）、“網絡犯罪”（Cybercrime）這四個定義作為該法的邏輯起點，進而使該法的邏輯框架無懈可擊。

（一）在該法中應當明確定義四個術語

1.網絡空間的定義

4.21①此處和以下的類似序號及注釋中的英文均來自ISO/IEC 27032：2012

the Cyberspace

the complex environment resulting from the interaction of people， software and services on the Internet by means of technology devices and networks connected to it， which does not exist in any physical form.

4.21 網絡空間 ：不以任何物理形式存在的，通過技術設施和網絡接入其中的，由因特網上的人員、軟件、服務的相互作用所產生的復雜環境。

6.2 網絡空間可以描述為一個虛擬環境［3］。

2.網絡空間安全的定義

4.20 Cybersecurity

Cyberspace security

preservation of confidentiality， integrity and availability of information in the Cyberspace

NOTE 1 In addition，other properties，such as authenticity，accountability，non-repudiation，and reliability can also be involved.

NOTE 2 Adapted from the definition for information security in ISO/IEC 27000：2009.

4.20 網絡安全 網絡空間安全

在網絡空間里保護信息的保密性、完整性、可用性。

注釋1 此外，像真實性、可追責性、不可抵賴性、可靠性等特性，也可以提及。

注釋2 根據 ISO/IEC 27000：2009 中信息安全（information security）的定義改寫。

【評論】“網絡空間安全”的定義比“信息安全”的定義只是增加了“在網絡空間里”（ in the Cyberspace）。雖然4.20 Cybersecurity 的定義沒有提供保護個人信息和管控違法信息的技術基礎。 但是 4.19 Cybersafety 的定義則可作為保護個人信息和管控違法信息的技術基礎。

3. 網絡空間安全性/網絡空間安全狀態的定義

4.19 Cybersafety

condition of being protected against physical，social， spiritual， financial， political， emotional，occupational， psychological， educational or other types or consequences of failure， damage， error，accidents， harm or any other event in the Cyberspace which could be considered non-desirable

NOTE 1 This can take the form of being protected from the event or from exposure to something that causes health or economic losses. It can include protection of people or of assets.

NOTE 2 Safety in general is also defined as the state of being certain that adverse effects will not be caused by some agent under defined conditions.

4.19 網絡空間安全性/網絡空間安全狀態

一種狀態，可免受物理的、社會的、精神的、財務的、政治的、情感的、職業的、心理的、教育的或者其他類型或后果的失敗、損害、錯誤、事故、傷害或者其他在網絡空間中可以視為不希望發生的事件。

注釋1 這可采用避免將引起健康損害或經濟損失的某種經歷或披露某事的形式。它包括對人和對財產的保護。

注釋2 安全性（safety ）通常也定義為一種特定的狀態，這時負面影響將不會通過某種代理引發或者在設定條件下引發。

【評論】網絡空間安全性/網絡空間安全狀態（Cybersafety）區別于網絡空間安全（Cybersecurity）。保持網絡空間安全性/網絡空間安全狀態的要求本身，已經為保護個人信息和管控違法信息提供了依據。Cybersafety定義中涉及的在網絡空間中出現的“精神的”、“情感的”、“心理的”等方面的負面情況就與保護個人信息直接相關。Cybersafety定義中涉及的在網絡空間中出現的“社會的”、“政治的”、“教育的”等方面的負面情況就與管控違法信息直接相關。

因此，建議在該法附則中，應該對“網絡空間安全性/網絡空間安全狀態（cybersafety）”下定義，為該法保護個人信息和管控違法信息提供依據。

4.網絡犯罪的定義

4.18 Cybercrime

criminal activity where services or applications in the Cyberspace are used for or are the target of a crime， or where the Cyberspace is the source， tool，target， or place of a crime

4.18 網絡空間犯罪

是指網絡空間中的服務或應用程序被用于犯罪或者成為犯罪目標的犯罪活動，或者網絡空間是犯罪來源、犯罪工具、犯罪目標、或者犯罪地點的犯罪活動。

【評論】網絡空間犯罪（cybercrime）與網絡空間安全狀態（cybersafety）是網絡空間安全的兩種極端狀態。

（二）在該法中應當明確區分六個術語

6.3 網絡空間安全（cybersecurity）依賴信息安全（information security）、應用安全（ application security）、網絡安全（network security）和因特網安全（Internet security）作為基礎性的構建模塊。網絡空間安全是關鍵信息基礎設施保護（Critical Information Infrastructure Protection， CIIP）的必要活動之一，同時，對關鍵基礎設施服務的足夠保護有助于滿足為達到網絡空間安全之目標的基本安全需求（即關鍵基礎設施的安全性、可靠性、可用性）。

然而，網絡空間安全并不是因特網安全、網絡安全、應用安全、信息安全、或關鍵信息基礎設施保護的同義詞。它有獨一無二的范圍，需要利益相關者發揮積極作用以維持（如果不是改善的話）網絡空間的可用性和可信性。

信息安全（Information security）通常涉及對信息的保密性、完整性、可用性的保護，以滿足可用信息的用戶需求。［4］

應用安全（Application security）是通過對機構的應用程序實施控制和量度以管理其使用風險所完成的過程。這種控制和量度可以施加于應用程序本身（它的進程、組件、軟件和結果），施加于應用程序的數據（配置數據、用戶數據、組織數據），施加于應用程序生命周期中涉及的所有技術、進程和參與者。［5］

網絡安全（Network security） 涉及網絡的設計、實施和運營，以達到在機構內部的網絡上、機構與機構之間的網絡上、機構與用戶之間的網絡上的信息安全。［6］

因特網安全（Internet security）作為機構中和家庭中的網絡安全的擴展，涉及保護因特網相關的服務和相關的信息通信技術系統與網絡，以達安全目的。因特網安全也確保因特網服務的可用性和可靠性。［7］

關鍵信息基礎設施保護（CIIP）涉及由能源、電信和水務部門之類的關鍵基礎設施提供商提供或運營的系統的保護。關鍵信息基礎設施保護確保這些系統和網絡受到保護，并可承受信息安全風險、 網絡安全風險、因特網安全風險以及網絡空間安全風險。［8］

網絡空間安全與其它安全領域的關系圖如下圖所示。

上圖展示了網絡空間安全和其他安全領域的關系。這些安全領域與網絡空間安全的關系非常復雜。某些關鍵基礎設施服務，如水務和交通，不會直接地或者顯著地影響網絡空間安全的狀態。然而，網絡空間安全的缺失卻可能對關鍵基礎設施提供商提供的關鍵信息基礎設施系統的可用性產生負面影響。

另一方面，網絡空間的可用性和可靠性在許多情況下依賴于與之相關的關鍵基礎設施服務的可用性和可靠性，例如電信網絡基礎設施。網絡空間的安全通常也與因特網安全、企業/家庭的網絡安全和信息安全密切相關。

值得注意的是，標準中本節所定義的安全域都有其自己的目標和關注范圍。關于網絡空間安全的話題，需要來自不同國家和組織的不同的私有和公共實體間的實質性的交流與合作。關鍵基礎設施服務被一些國家視為國家安全相關的服務，因此可能不會公開探討和披露這些服務。此外，關于關鍵基礎設施脆弱點的知識，如果被不當使用，將直接牽涉國家安全。因此，有必要建立用于信息共享、問題或事故合作的基礎框架以縮小差距，為網絡空間的利益相關方提供充分的保障。

【評論】在我國，除因特網（Internet ）應用外，還有大量事務在不與因特網連接的其它網絡（ network ）中處理。例如：（1）我國黨政機關使用的電子政務網絡平臺。（2）軍隊內部網。（3）各單位內不與因特網連接的內部網。

不與因特網連接的其它網絡（network）的安全問題，就是前述網絡安全（Network security）定義所涉及的安全問題。通過前述“網絡空間安全與其它安全領域的關系圖”中所示的網絡安全與網絡空間安全之間的交叉關系可以看到，我國不與因特網連接的其它網絡（network）的安全問題，仍可在網絡空間安全法（Cybersecurity Law）中進行規范，并無遺漏。

三、結論

我國審議中的《網絡安全法》應當更名為《網絡空間安全法》。我國《網絡空間安全法》（Cybersecurity Law）的技術術語，應當以ISO/ IEC 27032：2012 為依據，以Cyberspace / Cyber、Cybersecurity / Cyberspace security、Cybersafety、Cybercrime 這四個術語為邏輯起點，將cybersecurity與另外五個術語 information security、application security、network security、Internet security、Critical Information Infrastructure Protection（CIIP）進行明確區分，以此為技術基礎構建我國《網絡空間安全法》的邏輯框架和科學體系。

［1］https：//www.globalpolicywatch.com/2015/08/china-issuesdraft-network-security-law/

［2］https：//www.insideprivacy.com/uncategorized/chinasreleases-draft-of-new-network-security-law-implicationsfor-data-privacy-security/

［3］The Cyberspace can be described as a virtual environment.

［4］Information security is concerned with the protection of confidentiality， integrity， and availability of information in general， to serve the needs of the applicable information user.

［5］Application security is a process performed to apply controls and measurements to an organization's applications in order to manage the risk of using them. Controls and measurements may be applied to the application itself （its processes， components， software and results）， to its data （configuration data， user data，organization data）， and to all technology， processes and actors involved in the application's life cycle.

［6］Network security is concerned with the design，implementation， and operation of networks for achieving the purposes of information security on networks within organizations， between organizations， and between organizations and users.

［7］Internet security is concerned with protecting Internetrelated services and related ICT systems and networks as an extension of network security in organizations and at home， to achieve the purpose of security. Internet security also ensures the availability and reliability of Internet services.

［8］CIIP is concerned with protecting the systems that are provided or operated by critical infrastructure providers， such as energy， telecommunication， and water departments. CIIP ensures that those systems and networks are protected and resilient against information security risks， network security risks， Internet security risks， as well as Cybersecurity risks.

（責任編輯：鐘宇歡）

G20

A