深度專題｜壽步：我國網路空間安全立法的技術基礎和邏輯起點

摘要：為使法律的調整範圍與法律的名稱保持一致，我國審議中的《網路安全法》應當更名為《網路空間安全法》。

為使我國《網路空間安全法》具有無懈可擊的技術基礎，應當以ISO/IEC 27032:2012為依據，以Cyberspace/Cyber、Cybersecurity/Cyberspace security、Cybersafety、Cybercrime這四個術語為邏輯起點，將cybersecurity與另外五個術語information security、application security、network security、Internet security、Critical Information Infrastructure Protection(CIIP)進行明確區分，由此構建我國《網路空間安全法》的邏輯框架和科學體系。

關鍵詞：網路；網路安全；安全

我國的網路空間安全立法，首要的問題是「正名」問題。名不正則言不順，言不順則事不成。其次要解決該法的技術基礎問題。網路空間安全問題涉及很多技術術語，在該法中這些術語必須有具有國際共識的、國際公認的定義，這樣才能使該法具備無懈可擊的技術基礎。有了這樣堅實的技術基礎，該法才可能具備完備的邏輯體系。這就是討論《網路安全法》（草案二次審議稿）的修改問題時首先需要解決的基礎問題。

該法的名稱應該是什麼同類法律在各國的不同名稱

相關的法律，由於法律涉及內容的不同、術語使用習慣不同等原因，在不同的國家有不同的稱呼。

網路安全（Net Security)

2015年6月全國人大常委會初次審議《中華人民共和國網路安全法（草案）》。此後該草案在中國人大網公布，向社會公開徵求意見。該法律草案的英文名稱就常被譯為「Network Security Law」。如：

China Issues Draft Network Security Law[1]；China Releases Draft of New Network SecurityLaw: Implications for Data Privacy & Security[2]。

信息安全（Information Security)

如2002年美國《聯邦信息安全管理法案》（Federal Information Security Management Act of 2002），2012年更新為《聯邦信息安全改革法》（Federal Information Security Reform Act of 2012）。

網路與信息安全(Network and Information Security)

如2016年7月6日歐洲議會通過的《網路與信息安全指令》（Network and Information Security Directive）。

網路空間安全(Cybersecurity 或 Cyberspace Security )

如2014年美國《國家網路空間安全保護法》（National Cybersecurity Protection Act of 2014）；2014年11月日本《網路安全基本法》的日本外務省官方英譯名稱（The Basic Act on Cybersecurity）。

中國該法名稱應該是《網路空間安全法》

在相關領域的立法進程和學術研究中，「網路安全」、「信息安全」、「網路與信息安全」、「網路空間安全」等用法有同有異。各界人士各抒己見。

例如，「中央網路安全和信息化領導小組」的中文名中是用「網路安全」，但其英文名中卻是使用「Cyberspace ……」

國家安全法的規定又與此不同。《國家安全法》第二十五條規定：「國家建設網路與信息安全保障體系，提升網路與信息安全保護能力，加強網路和信息技術的創新研究和開發應用，實現網路和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網路管理，防範、制止和依法懲治網路攻擊、網路入侵、網路竊密、散布違法有害信息等網路違法犯罪行為，維護國家網路空間主權、安全和發展利益。」

這裡是將「網路安全」和「信息安全」合二而一稱為「網路與信息安全」。

我國目前給出的法律名稱是「網路安全法」。究竟應該是「Network安全法」還是「Cyber安全法」？值得商榷。事實上，該法要規制的安全問題顯然不僅存在於Network之中、而是存在於Cyber / Cyberspace之中。但該法草案二審稿中給出「網路安全」的定義卻與其名稱「網路安全法」並不一致。

該法草案二審稿第七十二條定義：網路安全，是指通過採取必要措施，防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網路處於穩定可靠運行的狀態，以及保障網路數據的完整性、保密性、可用性的能力。

注意，該定義既沒有涉及「個人信息保護」，也沒有涉及「違法信息管控」。從該法草案二次審議稿的整體內容看，該法所要規制的問題、調整的範圍是：「網路運行安全」（第三章）+「網路信息安全」（第四章），即「網路安全」+個人信息安全+信息內容安全，也即「網路安 全」+個人信息保護+違法信息管控。顯然，該法調整的範圍已經超出了草案定義的「網路安全」的範圍。

因此，該法應更名為外延更廣的《網路空間安全法》(Cybersecurity Law )。

為什麼應該是《網路空間安全法》

在1998年Kevin Shafer的Novells Dictionary of Networking中給出了Cyberspace（中文譯名有 「賽博空間」/「網路空間」/「網電空間」/「電腦空間」/「信息空間」等）詞條，這是描述通過計算機網路可以獲得的信息資源的術語。這個術語源於Willian Gibson的小說Neuromancer (神經浪漫者)。

我國該法草案所涉及的個人信息和違法信息都包含在Cyberspace中可以獲得的信息資源之中。

如果該法名稱是「網路空間安全法」，則便於在該法中準確而有區別地使用「網路」、「網路安全」、「網路空間」、「網路空間安全」等一系列關鍵術語。更可以避免目前在草案中「網路」一詞有時指「網路」（network）、有時又指「網路空間」（Cyber / Cyberspace）的歧義情況。

如果該法名稱是「網路空間安全法」，則目前在草案第一章總則中出現了四次的「網路空間」一詞也有了出現與該法名稱對應的理由——維護網路空間主權（第一條）；維護網路空間安全和秩序（第五條）；積極開展網路空間治理（第七條）；推動構建和平、安全、開放、合作的網路空間」（第七條）。

「網路空間主權」概念，在《國家安全法》第二十五條中首次提到。如果將審議中的「網路安全法」更名為「網路空間安全法」，正能夠呼應《國家安全法》第二十五條的要求，維護國家在網路空間的主權、安全和發展利益。

我國網路空間安全法的技術基礎在該法草案二次審議稿中，「網路」、「網路空間」、「網路安全」、「網路空間安全」、「信息」、「網路信息」、「信息安全」、「網路信息安全」、「數據」、「網路數據」、「網路數據安全」等許多關鍵術語定義不明、交叉混用，這樣將不利於法律的實施。

在國際標準ISO/IEC 27032:2012信息技術-安全技術-網路空間安全指南（ISO/IEC 27032:2012 Information technology – Security techniques - Guidelines for cybersecurity）及其所屬的ISO27000（信息安全管理體系）標準族中已經給出了相關術語的標準定義。

因此，我國網路空間安全法應該以國際標準ISO/IEC 27032:2012作為技術基礎，以「網路空間」（Cyberspace / Cyber）、「網路空間安全」（cybersecurity）、「網路空間安全性/網路空間安全狀態」（cybersafety）、「網路犯罪」（Cybercrime）這四個定義作為該法的邏輯起點，進而使該法的邏輯框架無懈可擊。

在該法中應當明確定義四個術語網路空間的定義

4.21（此處和以下的類似序號及注釋中的英文均來自 ISO/IEC 27032:2012）the Cyberspace

the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form.

4.21 網路空間：不以任何物理形式存在的，通過技術設施和網路接入其中的，由網際網路上的人員、軟體、服務的相互作用所產生的複雜環境。

6.2 網路空間可以描述為一個虛擬環境 [3]。

網路空間安全的定義

4.20Cybersecurity&Cyberspace security

preservation of confidentiality, integrity and availability of information in the CyberspaceNOTE 1In addition，other properties，such as authenticity，accountability，non-repudiation，and reliability can also be involved.NOTE 2Adapted from the definition for information security in ISO/IEC 27000:2009.

4.20 網路安全&網路空間安全

在網路空間里保護信息的保密性、完整性、可用性。

注釋 1此外，像真實性、可追責性、不可抵賴性、可靠性等特性，也可以提及。注釋 2根據ISO/IEC 27000:2009中信息安全（information security）的定義改寫。「網路空間安全」的定義比「信息安全」的定義只是增加了「在網路空間里」（in the Cyberspace）。雖然4.20 Cybersecurity的定義沒有提供保護個人信息和管控違法信息的技術基礎。但是4.19 Cybersafety的定義則可作為保護個人信息和管控違法信息的技術基礎。

4.19Cybersafety

condition of being protected against physical, social, spiritual, financial, political, emotion occupational, psychological, educational or oth types or consequences of failure, damage, err accidents, harm or any other event in the Cyberspa which could be considered non-desirableNOTE 1This can take the form of bei protected from the event or from exposure something that causes health or economic losses can include protection of people or of assets.NOTE 2Safety in general is also defined as the state of being certain that adverse effects will not be caused by some agent under defined conditions.

4.19 網路空間安全性/網路空間安全狀態：

一種狀態，可免受物理的、社會的、精神的、財務的、政治的、情感的、職業的、心理的、教育的或者其他類型或後果的失敗、損害、錯誤、事故、傷害或者其他在網路空間中可以視為不希望發生的事件。

注釋 1這可採用避免將引起健康損害或經濟損失的某種經歷或披露某事的形式。它包括對人和對財產的保護。

注釋 2安全性（safety）通常也定義為一種特定的狀態，這時負面影響將不會通過某種代理引發或者在設定條件下引發。

網路空間安全性/網路空間安全狀態（Cybersafety）區別於網路空間安全（Cybersecurity）。保持網路空間安全性/網路空間安全狀態的要求本身，已經為保護個人信息和管控違法信息提供了依據。Cybersafety定義中涉及的在網路空間中出現的「精神的」、「情感的」、「心理的」等方面的負面情況就與保護個人信息直接相關。Cybersafety定義中涉及的在網路空間中出現的「社會的」、「政治的」、「教育的」等方面的負面情況就與管控違法信息直接相關。

因此，建議在該法附則中，應該對「網路空間安全性/網路空間安全狀態（cybersafety）」下定義，為該法保護個人信息和管控違法信息提供依據。

4.18Cybercrime

criminal activity where services or applications the Cyberspace are used for or are the target of a me, or where the Cyberspace is the source, tool, get, or place of a crime

4.18 網路空間犯罪：是指網路空間中的服務或應用程序被用於犯罪或者成為犯罪目標的犯罪活動，或者網路空間是犯罪來源、犯罪工具、犯罪目標、或者犯罪地點的犯罪活動。

在該法中應當明確區分六個術語

6.3網路空間安全（cybersecurity）依賴信息安全（information security）、應用安全（application security）、網路安全（network security）和網際網路安全（Internet security）作為基礎性的構建模塊。網路空間安全是關鍵信息基礎設施保護（Critical Information Infrastructure Protection, CIIP）的必要活動之一，同時，對關鍵基礎設施服務的足夠保護有助於滿足為達到網路空間安全之目標的基本安全需求（即關鍵基礎設施的安全性、可靠性、可用性）。然而，網路空間安全並不是網際網路安全、網路安全、應用安全、信息安全、或關鍵信息基礎設施保護的同義詞。它有獨一無二的範圍，需要利益相關者發揮積極作用以維持（如果不是改善的話）網路空間的可用性和可信性。

應用安全（Application security）是通過對機構的應用程序實施控制和量度以管理其使用風險所完成的過程。這種控制和量度可以施加於應用程序本身（它的進程、組件、軟體和結果），施加於應用程序的數據（配置數據、用戶數據、組織數據），施加於應用程序生命周期中涉及的所有技術、進程和參與者。[5]

網路安全（Network security）涉及網路的設計、實施和運營，以達到在機構內部的網路上、機構與機構之間的網路上、機構與用戶之間的網路上的信息安全。[6]

網際網路安全（Internet security）作為機構中和家庭中的網路安全的擴展，涉及保護網際網路相關的服務和相關的信息通信技術系統與網路，以達安全目的。網際網路安全也確保網際網路服務的可用性和可靠性。[7]

關鍵信息基礎設施保護（CIIP）涉及由能源、電信和水務部門之類的關鍵基礎設施提供商提供或運營的系統的保護。關鍵信息基礎設施保護確保這些系統和網路受到保護，並可承受信息安全風險、網路安全風險、網際網路安全風險以及網路空間安全風險。[8]

網路空間安全與其它安全領域的關係圖如下圖所示。

圖片來自《網路空間研究》

上圖展示了網路空間安全和其他安全領域的關係。這些安全領域與網路空間安全的關係非常複雜。某些關鍵基礎設施服務，如水務和交通，不會直接地或者顯著地影響網路空間安全的狀態。然而，網路空間安全的缺失卻可能對關鍵基礎設施提供商提供的關鍵信息基礎設施系統的可用性產生負面影響。

另一方面，網路空間的可用性和可靠性在許多情況下依賴於與之相關的關鍵基礎設施服務的可用性和可靠性，例如電信網路基礎設施。網路空間的安全通常也與網際網路安全、企業/家庭的網路安全和信息安全密切相關。

值得注意的是，標準中本節所定義的安全域都有其自己的目標和關注範圍。關於網路空間安全的話題，需要來自不同國家和組織的不同的私有和公共實體間的實質性的交流與合作。關鍵基礎設施服務被一些國家視為國家安全相關的服務，因此可能不會公開探討和披露這些服務。此外，關於關鍵基礎設施脆弱點的知識，如果被不當使用，將直接牽涉國家安全。因此，有必要建立用於信息共享、問題或事故合作的基礎框架以縮小差距，為網路空間的利益相關方提供充分的保障。

在我國，除網際網路（Internet）應用外，還有大量事務在不與網際網路連接的其它網路（network）中處理。例如：（1）我國黨政機關使用的電子政務網路平台。（2）軍隊內部網。（3）各單位內不與網際網路連接的內部網。

不與網際網路連接的其它網路（network）的安全問題 , 就是前述網路安全（Network security）定義所涉及的安全問題。通過前述「網路空間安全與其它安全領域的關係圖」中所示的網路安全與網路空間安全之間的交叉關係可以看到，我國不與網際網路連接的其它網路（network）的安全問題，仍可在網路空間安全法（Cybersecurity Law）中進行規範，並無遺漏。

結論

我國審議中的《網路安全法》應當更名為《網路空間安全法》。我國《網路空間安全法》(Cybersecurity Law)的技術術語，應當以IS IEC 27032:2012為依據，以Cyberspace / Cyber Cybersecurity / Cyberspace security、Cybersafety Cybercrime這四個術語為邏輯起點，將cybersecur與另外五個術語information security、applicat security、network security、Internet security、Criti Information Infrastructure Protection(CIIP)進行明確區分，以此為技術基礎構建我國《網路空間安全法》的邏輯框架和科學體系。

參考文獻：

[1]China Issues Draft Network Security Law- draft-network-security-law/[2]China』s Internet Gatekeeper Announces Legislation to Enhance Personal Information Protection- releases-draft-of-new-network-security-law-implications- for-data-privacy-security/[3]The Cyberspace can be described as a virtual environment. [4]Information security is concerned with the protection of confidentiality, integrity, and availability of information in general, to serve the needs of the applicable information user.[5]Application security is a process performed to apply controls and measurements to an organization』s applications in order to manage the risk of using them. Controls and measurements may be applied to the application itself (its processes, components, software and results), to its data (configuration data, user data, organization data), and to all technology, processes and actors involved in the application』s life cycle.[6] Network security is concerned with the design, implementation, and operation of networks for achieving the purposes of information security on networks within organizations, between organizations, and between organizations and users.[7]Internet security is concerned with protecting Internet- related services and related ICT systems and networks as an extension of network security in organizations and at home, to achieve the purpose of security. Internet security also ensures the availability and reliability of Internet services.[8]CIIP is concerned with protecting the systems that are provided or operated bycritical infrastructure providers, such as energy, telecommunication, and water departments. CIIP ensures that those systems and networks are protected and resilient against information security risks, network security risks, Internet securityrisks, as well as Cybersecurity risks.

作者簡介：

壽步

上海交通大學凱原法學院教授、博士生導師

上海交通大學知識產權研究中心主任

推薦閱讀：