《网络安全法》施行以来的一年,从立法阶段的备受关注、外方质疑与监管互动,到网络运营者主动寻求合规路径,各地“第一案”层出不穷;从部分配套制度快速起草进入征求意见阶段,到持续处于“悬停”状态,再到个案执法评价的处罚力度有限;加之信息网络技术快速发展,对比美国《云法案》对跨境数据执法的冲击,《通用数据保护条例》(简称“GDPR”)全球管辖延伸和重量级处罚,美欧等以“21世纪的法律保护21世纪的技术”立法,各国应接不暇的政策立法走势和冲击,网络安全群体对《网络安全法》的基础定位、执法效能、实施前景如何,不免产生焦虑。以上种种,与当前网络安全市场注重以技术回应“问题导向”、人云亦云“态势感知”的短期效应,缺少对制度、法律等隐形增值、迟延效应的耐心不无关系。确需立法者、监管机构、网络运营者等监管对象以及更广泛意义上网络安全社会服务机构等命运共同体的参与和反思。
一、从立法定位看《网络安全法》
由于没有看到《网络安全法》实施类似GDPR的全球反响或《云法案》的颠覆性“成效”,目前有观点认为应当继续推进网络数据管理立法、个人信息保护等专门立法。针对网络安全特定领域的立法固然十分重要,但《网络安全法》的基础法律定位应不存疑虑。
首先,《网络安全法》立法过程之艰难自不待言,单就其出台时点而言,应当讲是恰逢时宜。不仅是多年立法理论和技术储备的综合释放,也与棱镜事件、各国立法演进、联合国等机制下网络治理等内外大小环境相互辉映。与美国2015年的网络安全法、欧盟2016年《网络和信息系统安全指令》与GDPR等都是同一时期的典型立法。立法的全球经验借鉴和本土化改造也对新加坡网络安全与关键基础设施立法,越南新近的网络安全法产生影响。因此包括“中国意外成为亚洲数据保护的先行者”的评价既不意外,也在意料之外。
其次,针对网络安全任一领域的单独立法,应考虑是否纳入《网络安全法》的框架,或与之形成呼应,避免重复立法和碎片化。这与美国网络安全以预算为基础的时效性立法不同,由于预算和时效受限,其法案更注重年度效果评估。
再次,基础性立法的配套制度完善应顺势而为,形成大法格局和治理生态。《网络安全法》现已起草的配套制度,应继续周延论证和适时发布;已试行制度应当继续先行先试;《网络安全法》中有规定,但尚未正式完全启动的制度,比如“网络安全监测预警和信息通报制度”应展开充分的理论和技术研判,并在安全漏洞治理等针对性领域找到切入。
而除了行政层面的配套制度外,以标准落地法条的理念已是共识。例如RSA的2018年会议中,围绕网络安全法律的议题就包括特朗普政府的《关于加强联邦政府网络和关键基础设施网络安全的行政令》(EO 13800)、NIST SP 800-53标准第五版更新、纽约州金融服务机构网络规则、国土安全部授权法案(H.R. 2825)、美国外资投资委员会(CFIUS)安全审查制度革新、社会关系管理立法、欧盟GDPR以及人工智能,在法律的框架内讨论和推进上述问题毫无争议。
此外,尽管《网络安全法》普遍认为具有公法性质,但其与网络空间法律关系的民事化进程完全兼容。例如个人信息保护、公开信息边界、信息共享的各方权利义务的展开与深度实践,都急需民法理论和程序的补位乃至常态化规范,而与之配套的解释、规定的出台也必是应有之意。
二、从网络产业发展看《网络安全法》
《网络安全法》尽管标题即贯以安全,但安全与发展从来都是不可偏薄的两面。《网络安全法》施行一年的现状如果用乏善可陈形容的话,也同样是网络安全产业乃至整个信息产业现状的写照。正如合同法同时关注合同的安全与交易,以促成合同生效为一般意旨,《网络安全法》的安全用意在于促进网络安全产业、整体信息产业发展和“经济社会信息化”转型。
因此在产业和社会整体视角下,《网络安全法》暴露的实效问题,同样是产业低端重复、创新乏力的体现。例如各地执法第一案的处罚力度极其有限,这必然与当事人的运营实际和承受能力相关,进一步而言也与其在给定预算下对《网络安全法》合规的投入相关。如果《网络安全法》关注的是国内整体产业的现状与规范,必开不出GDPR“2000万欧元或上一财年全球营业总额4%”的罚单。
但网络产业的发展终将无可阻挡,按照兰德“安全2040”项目的展望,网络安全产业和法律也将在2040年迎来“奇点”。既然信息技术与网络产业向前发展,用于规范其发展和安全的《网络安全法》也必然发展,这符合科学的发展观。进一步而言,如果对网络产业的发展和技术革新能够有所预知和预测,《网络安全法》也应跳出当下,对未来的立法规划进行预判和预演。同样以“安全2040”为例,其至少从三个维度上设定了初始场景,一是人工智能,无疑这是任何中长期规划都无法回避的问题,因为这一问题直抵人心;二是竞速(Speed),可以从两个层面理解,其一是假定信息技术持续发展和经济模式的持续增长,是否会进一步提速,还是会停滞,以及如何应对的问题,其二是在与信息、生物技术加速整合的竞赛中,纯粹的人类本身(生活方式)能否幸存;三是3D打印,如果人工智能可以改写一切生产方式,3D打印可以打印一切的方式则可以一统生产力形式。三个场景的任一或组合,会对未来的安全态势造成何种影响,法律与政策如何应对,都体现出技术与法律的紧密关系和相互作用。
三、从时间跨度看《网络安全法》
判断《网络安全法》的实效,也取决于审视的时间跨度。短期看,《网络安全法》施行一周年可能确实没有宏大叙事,但依然不乏精彩。从境外机构对数据本地化相关的讨论为例,经过三轮交锋,目前数据本地化的适用范围、实现路径已现雏形,当然《云法案》的“突然”出现,完全绕行了“业务需要”出境的场景,但作为《云法案》议案基础的微软与司法部就存储于爱尔兰服务器的数据能否和如何收集的刑事案件在2014年已经公开,该案件影响深远,其在包括国会、美最高法院如何演化,本应纳入立法与配套制度的因应范围及早研判,国内也不乏讨论,但显然当时各方对其走势缺少警惕,以至在《云法案》出台后措手不及。但此时介入也不算最晚,如果往前看,欧盟GDPR仍与我国设想的理想状态类似,针对性立法尚在论证,因此虽显狼狈,但如放在中长期的时间跨度看,数据执法的立法和协调必将得以解决。
还是以“安全2040”项目为例的时间设定看,20年的跨度可以充分地假定和设想未知的危险,可以足够的推演和尝试不同的实现安全的原则和路径,可以渐进方式逐步塑造,或重塑政策与法律。“瞻前顾后”迎接未来的中国云法案,这恐怕应是《网络安全法》未来必须面对的挑战。
四、《网络安全法》的实效需要网络安全服务机构等“中间件”的“中间产品”
继续从《网络安全法》的实效出发,由于缺少《网络安全法》第17条、第38条和第39条规定的社会化网络安全服务机构的介入和发挥作用,施行效果事前无法形成兼顾各方利益的充分博弈,事后执法又过于简单直接无法形成有效缓冲。
社会化网络安全服务机构的作用可以从直接和间接成果的多方面展示。如前述《网络安全法》框架重要组成的推荐性标准的贯彻力薄弱,实际上就涉及认证认可机构的市场化、社会化不足的根本问题,导致监管机构与执法对象之间容易直接形成否定评价,并简单归责于法律责任。GDPR继续敏感的注意到了这一问题并引入专条阐述,在数据控制者、处理者和监管机构之间放置认证机构,将合规要求的评价机制由社会化认证机构实现,由认证机构通过认证、认可、检测、评估和报告的方式对数据控制者、处理者的行为进行定量和重复验证。实际上也是对欧盟成熟的认证市场的加持。
五、从全态符合看《网络安全法》合规
《网络安全法》的施行与实效,不仅是企业应对既定的合规要求实施符合的过程,也是贯穿法律、组织、管理到技术的全态符合的过程,同时由于法律施行后即具有其独立性和成长性(即具有法律生命),也需要回应和适应企业的法律、组织、管理到技术等经营活动。因此《网络安全法》的合规不单是技术或法律行业的命题,也是具有普遍性的相关行业活动。同样以RSA的2018年会议为例,从法律政策出发可以展开成不同层次的20多个问题,通过逐层分解形成互动和交叉评判并打通了行业壁垒:
六、从网络安全服务机构的社会化看《网络安全法》
网络安全服务机构如何丰富和提升《网络安全法》的效用,除了硬性产品、服务外,会议、报告等软性形式(或将其视为网络安全信息共享的一种形式)同样意义非凡。RSA、兰德、包括不同价值观的ITIF等多为其国家网络安全政策、立法持续贡献了思想成果。不仅内容丰富多样,也对破除当前智库无用论,释放思想火花具有价值。网络安全服务机构应通过会议、报告等社会化形式主动引领《网络安全法》的讨论。
还是以RSA为例,1995年以来历届会议都会提出一个会议主题。以2013年为明显分界,早期会议主题多与密码历史、传统与演进中的重要人物、事件有关,从最早期的埃及、玛雅、印度、中国到中世纪的欧洲、二次世界大战,中间贯穿不同时期密码领域的卓越人物;至2013年“画风大变”,开始进入知识安全(Security in knowledge)、分享、学习、保护、变化挑战当今的安全理念、从连接到保护、机遇的力量直至2018年的行动起来(Now Matters)。从报告、演讲话题看,2009年至今的话题已经累计约15000个,积累了丰富的思想素材。通过对其关键字、词频分析,可以进一步得出事件、立法、思想等之间的微妙关系。例如,从最简单的关键字持续性观察,数据、信息、组织基本位于关键字的前三位,而威胁、风险、攻击(尽管位于十大关键字最后一位)也保持了基本稳定的位置,可以得出其是关注组织层面(而非事件本身,同时组织也是社会化的微观单元)数据、信息安全的专业会议;随着关键字“密钥”(key)在2013年之后逐渐退出和“网络”(cyber)的逐步突出,网络安全的侧重性发生了深刻调整;再如美国国家标准与技术研究院(NIST)的《提升关键基础设施网络安全的框架》(目前已经更新到1.1版本)在2014年2月出台后,其2016年的出现频率开始明显增多。无疑这些结论对于立法和监管风向、着力点判断具有价值。
进一步而言,《网络安全法》讨论应注重话题的多样性,多样性并不表示无网络安全绝对无关。恰恰相反,越是看似漫无边际的发挥,越能够建立某种不可预见的关联,这一特性又正与,比如大数据分析应用的风险不确定性有关。网络(安全)行业同样需要社会学、物理学、哲学层面的思维导入与启迪。这不仅使得讨论更加有趣,同时更拓展了参与者的视野和讨论的厚度。
《网络安全法》立法具有问题导向的引领性,问题导向至少可以在两个层面上展开。一是基于问题发现,如已知网络安全风险、事件的响应、处置;二是基于问题假定,对潜在、未知的网络安全风险的感知、预判和前瞻。还是以2018年RSA会议为例,其抛出了包括“五种最危险的新型攻击技术与未来趋势”、告别防火墙、人工智能是敌是友等前沿话题研讨的同时,也并不回避对已知问题、当下问题的继续探究。套用鲁迅的话讲便是,“⋯⋯总不相信在旧马褂未曾洗净叠好之前,便不能做一件新马褂”。问题导向应避免疲于奔命的头痛医头,而应体现“抛出问题”、“以我为主”的笃定。
抛出问题同样不应回避对问题的不同解答,应鼓励思想表达的分歧和不同价值的碰撞,通过反复推演提升对每一个议题认知的深入。在设置了基线思维的前提下,应当允许对相关议题不同观点的表达和争论,而不是千篇一律的“完全认同演讲嘉宾的观点”的赞美提法。例如RSA会议对密码托管政策的“反复纠缠”,为21世纪美国的密码出口管制政策提供了丰富的素材;隐私已死的正反方争议,对确定提升隐私保护方向和部署隐私设计的GDPR也受到启发。
结论
在RSA的2018年会议上,微软为代表企业界关注的是“网络战争的代价”,因为在网络战下跨国公司不可避免的裹挟其中,而美国土安全部(包括克尔斯特恩·尼尔森及其前任)都在反复强调美国面对的重大不可知威胁。再往前看,白宫网络安全协调官(特朗普政府已取消,并入国家安全委员会)和NSA也在之前会议上多次寻求“对抗网络威胁”的行业支持。显然,好的现身说法可以起到缓解与私营机构、隐私团队的对立,获取好感和加持的演练效果,立法者和监管机构的亮相和“拉出来练练”,也是对其网络安全认知、能力的展示与考核。《网络安全法》施行的长效,当然意味着不能期待“早期收获”,更不能提前收割。相反,其还意味着立法者的危机临迫和适度超然、监管机构与网络运营者的良性互动与深耕不辍,也包括网络安全服务机构在内的最广泛主体的充分参与,应当鼓励和赞赏政府、企业、各类用户利益团体表达其对网络安全的不确定性和危机感的认识。《网络安全法》的一年可能确实没有重罚、严惩的典型案例,但其实施对于提升、规范和统合监管机构能力、网络运营者合规运营应已起到润物无声的作用,应继续保持经受实践与时间考验的正向心态。
(本文刊登于《中国信息安全》杂志2018年第7期)