2016年11月7 日,《網(wǎng)絡(luò)安全法》正式公布。作為網(wǎng)絡(luò)安全領(lǐng)域的基本法,《網(wǎng)絡(luò)安全法》的發(fā)布引發(fā)各方高度關(guān)注。該法案以總體安全觀為指導(dǎo)思想,在總則部分提出國(guó)家要不斷完善網(wǎng)絡(luò)安全戰(zhàn)略,全方位提升網(wǎng)絡(luò)安全治理水平,同時(shí)在分則部分通過全面性的制度設(shè)計(jì)對(duì)總則進(jìn)行細(xì)化,最終逐步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)社會(huì)治理法律體系的完善。從該法案可以看出,構(gòu)建系統(tǒng)全面的網(wǎng)絡(luò)安全法律體系已經(jīng)引起了立法機(jī)構(gòu)的重視,兼顧“監(jiān)測(cè)、預(yù)警、免責(zé)”的全面事態(tài)感知立法新模式正在逐漸形成。放眼國(guó)際,該立法模式也被越來越多的國(guó)家和組織采納。例如,2013年歐洲議會(huì)和理事會(huì)通過了《歐洲議會(huì)和理事會(huì)第2013/40/EU號(hào)指令》,將針對(duì)信息系統(tǒng)攻擊的規(guī)制擴(kuò)展至事前、事中及事后的全過程,構(gòu)建出一個(gè)涵蓋事先監(jiān)測(cè)預(yù)警、事中應(yīng)急響應(yīng)、事后懲治與恢復(fù)的“三位一體”的治理框架,通過對(duì)網(wǎng)絡(luò)攻擊中各個(gè)連接要點(diǎn)的控制來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的有效防范與治理。
將《網(wǎng)絡(luò)安全法》與現(xiàn)有《刑法》進(jìn)行對(duì)比可以看出,在關(guān)于網(wǎng)絡(luò)攻擊治理方面,《網(wǎng)絡(luò)安全法》有了巨大的進(jìn)步。
首先,《網(wǎng)絡(luò)安全法》構(gòu)建了涵蓋事先監(jiān)測(cè)預(yù)警、事中應(yīng)急響應(yīng)、事后懲治與恢復(fù)的“三位一體”的治理體系?;诰W(wǎng)絡(luò)攻擊的低成本性、隱藏性以及影響范圍廣等特征,僅僅依靠事后懲治顯然不能起到對(duì)網(wǎng)絡(luò)攻擊的威懾,更難以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的保障。我國(guó)《刑法》第285條、第286條、第287條規(guī)制的行為是已經(jīng)實(shí)施的入侵計(jì)算機(jī)信息系統(tǒng)的行為,或者造成實(shí)體損害的行為,顯然其作用只是起到了對(duì)犯罪行為人的處罰,對(duì)于已經(jīng)造成的損害無法進(jìn)行彌補(bǔ)。而《網(wǎng)絡(luò)安全法》“三位一體”的治理體系,從源頭對(duì)網(wǎng)絡(luò)攻擊進(jìn)行防范,在攻擊發(fā)生時(shí)確保能夠迅速響應(yīng)與處置,將損害降至最低,最后再對(duì)犯罪行為人進(jìn)行懲處。例如,第25條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告;第51條明確要求國(guó)家也要建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。
其次,《網(wǎng)絡(luò)安全法》建立了信息共享機(jī)制,確保信息的及時(shí)、準(zhǔn)確。習(xí)近平主席于4月19日網(wǎng)絡(luò)安全和信息化工作座談會(huì)上明確提出要建立統(tǒng)一高效的網(wǎng)絡(luò)安全情報(bào)共享機(jī)制,準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向和趨勢(shì)。近年來,我國(guó)在信息公開方面做出了許多努力,而《刑法》在經(jīng)過2015年第九次修訂后尚未增加網(wǎng)絡(luò)安全信息共享的內(nèi)容?!毒W(wǎng)絡(luò)安全法》作為網(wǎng)絡(luò)安全領(lǐng)域的基本法對(duì)該部分內(nèi)容進(jìn)行了完善與補(bǔ)充,其中,第39條明確規(guī)定國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門,促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。
再次,《網(wǎng)絡(luò)安全法》保護(hù)與規(guī)制的范圍較之《刑法》更加廣泛。依據(jù)《刑法》第285條第1款的規(guī)定,國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域是關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的重要組成部分。顯然,僅依靠這部分的安全并不能實(shí)現(xiàn)網(wǎng)絡(luò)安全真正的安全。而《網(wǎng)絡(luò)安全法》對(duì)這方面的規(guī)定就更加全面和科學(xué)。法案設(shè)立“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”專門章節(jié)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行統(tǒng)一且全面的規(guī)定,其中第31條規(guī)定,國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系;第34條還具體明確了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)。
最后,《網(wǎng)絡(luò)安全法》新增了漏洞披露等規(guī)定。目前,安全漏洞攻擊成為全球網(wǎng)絡(luò)安全最大的威脅之一。作為網(wǎng)絡(luò)大國(guó)的中國(guó),也亟需提升防御能力,最大限度減少安全漏洞可能產(chǎn)生的危害。我國(guó)《刑法》僅在第285條、第286條、第287條規(guī)定了關(guān)于入侵計(jì)算機(jī)信息系統(tǒng)的犯罪,并未明確漏洞挖掘、披露等內(nèi)容。《網(wǎng)絡(luò)安全法》要求開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng),向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定,并在第62條規(guī)定了相應(yīng)的懲罰責(zé)任。
可以看出,在借鑒國(guó)際經(jīng)驗(yàn)、結(jié)合我國(guó)國(guó)情的情況下,在應(yīng)對(duì)各類突發(fā)網(wǎng)絡(luò)安全攻擊事件方面,《網(wǎng)絡(luò)安全法》是對(duì)《刑法》的一大突破。構(gòu)建“三位一體”治理體系,對(duì)關(guān)乎民生的重要領(lǐng)域的網(wǎng)絡(luò)安全重點(diǎn)保護(hù)順應(yīng)了社會(huì)的發(fā)展趨勢(shì),其中網(wǎng)絡(luò)安全信息共享與漏洞披露更是法案的一個(gè)亮點(diǎn)。考慮到《網(wǎng)絡(luò)安全法》作為網(wǎng)絡(luò)安全領(lǐng)域基本法的地位,只能從宏觀上對(duì)網(wǎng)絡(luò)安全治理進(jìn)行原則上的規(guī)定,為了確保法律的效力和實(shí)施效果,還需要制定相配套的立法與之相結(jié)合,共同提升我國(guó)網(wǎng)絡(luò)安全治理水平。