网络安全法基本概念若干问题[1]
寿步
(上海交通大学法学院教授)
内容提要 我国网络安全法以“网络”和“网络安全”等为核心概念,导致个人信息保护和违法信息管控等内容并不在“网络安全”概念的外延之内,因此《网络安全法》无法自洽,且核心概念无法与英文用语对应。如果以“ISO/IEC 27032:2012”关于网络空间、网络空间安全、网络空间安全态、网络空间犯罪这四个术语的定义为逻辑起点,将网络空间安全与信息安全、应用程序安全、网络安全、因特网安全、关键信息基础设施保护等术语进行明确定义和区分,就可以在此基础上构建满足自洽要求的我国网络空间安全法的逻辑体系。“cyberspace/cyber”在中国法律中或中文语境下的外延应拓展到不与因特网相连接的网络上。长远来说,宜将“Cyber”音译为“赛博”,将“Cyberspace”译为“赛博空间”。
关键词 网络 网络安全 网络空间 网络空间安全 网络空间安全态 赛博
一 问题的提出
《中华人民共和国网络安全法》(以下简称网络安全法)2016年11月7日由全国人大常委会通过,2017年6月1日起施行。《网络安全法》第2条规定了它的调整范围:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”这里涉及两个方面:其一,《网络安全法》适用的地域范围原则上是在我国境内,当然《网络安全法》也有具体条款规定其特定的域外效力。地域范围不是本文关注的问题,因此不展开讨论。其二,《网络安全法》的调整对象是我国境内“建设、运营、维护和使用网络,以及网络安全的监督管理”的活动。
(一)法律的核心概念问题
《中华人民共和国网络安全法释义》(以下简称《释义》)[2]一书写道:“一部法律的调整范围决定了一部法律的总体思路、框架结构和主要内容。《网络安全法》主要通过‘网络’、‘网络安全’和‘网络运营者’这三个核心概念界定了它的调整范围。”[3]
《网络安全法》第76条给出的该法五个定义中的前三个,正是“网络”、“网络安全”和“网络运营者”。可见这三个概念在该法中的核心地位。
《网络安全法》第76条定义的“网络”,“是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。显然,该法所称的“网络”,是network,而不可能是cyberspace/cyber。
当然,就《网络安全法》的调整范围而言,这三个概念中最核心的概念当属“网络安全”,而这正是《网络安全法》的名称。《释义》中关于该法名称的解释,也正是基于“网络安全”(Network Security)展开的[4]。
《网络安全法》的调整范围与其最核心的概念直接相关,值得进一步研讨。下面首先回顾近几年我国官方的相关论述。
1.总体国家安全观中“信息安全”的提法
2014年4月15日习近平总书记在中央国家安全委员会第一次会议上提出总体国家安全观。他强调,要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,走出一条中国特色国家安全道路。他指出:当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观。他要求:构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
这里所说的国家安全体系所涵盖的十一种安全中包括“信息安全”。
2.国家安全法中“网络与信息安全”的提法
2015年7月1日通过并施行的《中华人民共和国国家安全法》是在总体国家安全观指导下进行的立法。其中第25条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”
这里在与总体国家安全观中“信息安全”对应的条款中采用了“网络与信息安全”的提法,而不是“信息安全”的提法。
3.《网络安全法》中“网络安全”的提法
2016年11月7日通过的《中华人民共和国网络安全法》,从名称到正文,“网络安全”出现108次;“网络空间安全”出现1次(出现在第五条最后的“维护网络空间安全和秩序”这句话中)。虽然就国家安全法与《网络安全法》的关系而言,前者是“纲”,后者是“目”,纲举则目张,但是,在《网络安全法》中并没有沿用国家安全法中“网络与信息安全”的提法,而是自始至终采用了“网络安全”的提法。
4.国家网络空间安全战略中“网络空间安全”(以下称网络安全)的提法
《网络安全法》颁布后,在经中央网络安全和信息化领导小组批准、国家互联网信息办公室于2016年12月27日发布的《国家网络空间安全战略》中,却并没有沿用《网络安全法》关于“网络安全”的提法,而是在标题中明确采用了“网络空间安全”的提法,并且在正文一开始就采用了“网络空间安全”(以下称网络安全)的提法,其后“网络安全”总计出现42次。注意,这里42次出现的“网络安全”只是“网络空间安全”的简称,并不等于《网络安全法》中的“网络安全”一语。换言之,《国家网络空间安全战略》是用“网络空间安全”(以下称网络安全)作为过渡、舍去了“网络安全”的提法、而改用“网络空间安全”的提法。
5.网络空间国际合作战略中“网络安全”的官方英译是“cyber security”
在经中央网络安全和信息化领导小组批准、由外交部和国家互联网信息办公室于2017年3月1日共同发布的《网络空间国际合作战略》中文版中,“网络安全”出现14次;“网络空间安全”出现1次。在《网络空间国际合作战略》的官方英译本(这是网络安全相关官方文件中难得一见的官方英译本)中,network security完全没有出现;cyber security出现13次;cyberspace security出现1次。
显然,在《网络空间国际合作战略》的发布机关外交部和国家互联网信息办公室看来,该文件中文版中的“网络安全”并不对应于network security,而是对应于cyber security/cyberspace security。
官方表述的上述变迁过程可用图1表示。在此过程中,我们看到的趋势是:中文表述转为“网络空间安全”;英文表述转为“cyber security”。
图1 官方文件中相关术语使用的演变过程
英文中,Network Security与Cyberspace security/Cyber security/Cybersecurity的含义并不相同;同理,中文中的“网络安全”与“网络空间安全”这两个术语的含义也不相同。它们之间的差异并不是将“网络空间安全”简称为“网络安全”就可以解决的。
(二)法律的自洽问题
国家制定的法律当然应该自洽。但在我国《网络安全法》中,自洽的要求尚未得到满足。《网络安全法》的名称是“网络安全法”,其中第76条将“网络安全”定义为:“是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”但《网络安全法》的内容却包含了如个人信息保护和违法信息管控等内容;这些内容显然并不属于《网络安全法》定义的“网络安全”的范围之内。因此,该法无法满足自洽要求。
如何解决该法的自洽问题?
如果以国际标准“ISO/IEC 27032:2012”为依据,则可以使该法的核心概念建立在国际标准基础上,可以解决该法的自洽问题,可以给个人信息保护和违法信息管控找到国际标准的依据,可以构建该法的完备的逻辑体系。
二 “ISO/IEC 27032:2012”中定义的四个基础概念
在国内外相关立法和学术文献中,信息安全(Information Security)、网络安全(Network Security)、因特网安全(Internet Security)、网络与信息安全(Network and Information Security)、网络空间安全(Cybersecurity)等概念都常见到。对这些术语如何进行取舍,我们可以借鉴ISO/IEC 27032:2012。
与质量管理体系的ISO 9000系列标准类似,信息安全管理体系(Information Security Management System,ISMS)是国际标准化组织(ISO)发展的一个信息安全管理标准族,用以保障各机构的信息系统和业务的安全和正常运作。从2000年ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》正式发布以来,信息安全管理体系被世界各国逐渐认可和接受,由此发展成为ISO/IEC 27000系列标准族。该标准族中包括国际标准“ISO/IEC 27032:2012”《信息技术—安全技术—网络空间安全指南》(ISO/IEC 27032:2012 Information technology-Security techniques-Guidelines for cybersecurity)。
“ISO/IEC 27032:2012”阐述了“网络空间”(the Cyberspace)所面临的独特的安全问题。网络空间存在着目前信息安全、应用程序安全、网络安全和因特网安全等多种安全领域所不能涵盖的安全问题;原因在于这些安全领域之间存在差距。网络空间安全将解决在网络空间中由于不同的安全领域差距所导致的安全问题。同时,网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。
在“ISO/IEC 27032:2012”中已经给出了相关术语的准确定义。首先看对于四个基础概念的定义。
(一)网络空间(the Cyberspace)[5]
网络空间:不以任何物理形式存在的,通过技术设施和网络接入其中的,由因特网上(on the Internet)的人员、软件、服务的相互作用所产生的复杂环境。
网络空间可以描述为一个虚拟环境。
(二)网络空间安全(Cybersecurity/Cyberspace security)
网络空间安全:在网络空间里(in the Cyberspace)保护信息的保密性、完整性、可用性。此外,像真实性、可追责性、不可抵赖性、可靠性等特性,也可以提及。
注意到,“网络空间安全”的定义比“ISO/IEC 27000:2009”中“信息安全”(information security)的定义只是增加了“在网络空间里”(in the Cyberspace)。
(三)网络空间安全态(Cybersafety)
网络空间安全态:是一种状态,可免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。
注释1:这可采用避免将引起健康损害或经济损失的某种经历或披露某事的形式。它包括对人和对财产的保护。
注释2:安全态(safety)通常也定义为一种特定的状态,这时负面影响将不会通过某种代理引发或者在设定条件下引发。
注意到,网络空间安全态(Cybersafety)不同于网络空间安全(Cybersecurity)。用网络空间安全态翻译Cybersafety、用网络空间安全翻译Cybersecurity正好可以在中文中明确区分这两者。后面将详细讨论“网络空间安全态”相关问题。
(四)网络空间犯罪(态)(Cybercrime)
网络空间犯罪(态):是指在网络空间中的服务或应用程序被用于犯罪或者成为犯罪目标的犯罪活动,或者网络空间是犯罪来源、犯罪工具、犯罪目标或者犯罪地点的犯罪活动。
注意到,“网络空间犯罪(态)”(Cybercrime)是与“网络空间安全态”(Cybersafety)对应的一个概念。它们构成网络空间安全的两种极端状态,若以二进制表示,即一为“零”(0)状态、一为“壹”(1)状态。网络空间安全的实际状态通常是在这两个极端状态之间。
三 在我国立法中引入网络空间安全态(Cybersafety)的必要性
为什么需要在我国立法中引入网络空间安全态(Cybersafety)的概念,这是因为仅有网络空间安全(Cybersecurity)的概念还不够。
网络空间安全态:Cybersafety= Cyber + Safety= Cyberspace + Safety;
网络空间安全:Cybersecurity= Cyber + Security= Cyberspace + Security。
因此,网络空间安全态(Cybersafety)与网络空间安全(Cybersecurity)的辨异问题实质上是Safety与Security的辨异问题。
(一)安全态(safety)与安全(security)的辨析
从词源看,security源于拉丁词secura,意即free of concern(没有忧虑);se表“没有”,cura表“忧虑”。safety源于拉丁词salvus,意为healthy(健康的)。safety更具有个人色彩,针对意外伤害;而security则更多针对人为事件。例如,说一条道路很安全,用safe表示这条路不会遭遇山体滑坡等自然灾害;用secure,则说明这条道路有重兵把守,恐怖分子不会在这条道路上伏击你。中文中的“安全第一”,如果说safety first,这表明说话者希望不会有危及安全的意外发生(比如小朋友去河边玩水,母亲这样叮嘱是希望孩子不会溺水出危险);如果说security first,则表明说话者希望不会发生人为的坏事(比如密码被盗银行存款被盗刷等等,故security first可以用在网络购物上)。
通过对若干词典中safety和security的释义和例句的比较可以发现,两者在很多方面有共通之处,比如两者都可以翻译成“免受伤害的状态”,细微的区别在于:safety意为不危险的或无伤害的安全状态(freedom from harm or danger:the state of being safe)[6],而security意为被保护的或免受伤害的状态(the state of being protected or safe from harm)[7]。
虽然两者同有“安全”之意,但是两者之间有下列区别:
(1)safety 通常指免于意外发生的安全,而 security 是指免于人为故意破坏伤害的安全。两者的区别在于人和意图。中文此前常用“安全”(safety)和“安保”(security)来区分。
(2)safety常表示人体健康和生产技术活动的安全问题。常见的有生产安全、劳动安全、安全使用、安全技术、安全产品、安全设施等。security表示社会政治性的安全问题,常见的有社会安全、国家安全、国际安全等。而safety and security则表示人体健康、技术性的安全概念和社会政治性的安全联系到一起的安全。
(3)safety表示安全的状态(the state of being safe),即如果一个人或者物是safety的,则表示其处于安全状态,可以理解为此状态毫无危险存在,是一种完全安全的情况。security表示受保护的状态(the state of being protected),受保护并不表示没有危险存在,只是当一个人或物是security时,他(它)已经受到了一定的保护,处于相对安全的状态。
因此,在这个意义上,我们可以将safety理解为security的“极限”状态:当危险和伤害变为零,受保护的状态(security)就变成了完全安全的状态(safety)。当然,现实情况下,safety往往是一种永远不可能达到的理想状态。
如果引入crime(犯罪状态)一词,将其视为毫无安全可言的混乱状态,则可用图2来表述它们的关系:crime是“零”(0)状态;safety是“壹”(1)状态。security是“零”和“壹”之间的一个变量,也可用x表示,即security=x。图二给出了crime、safety、security这三者之间的关系。
图2 crime、security、safety关系图
(二)网络空间安全态(Cybersafety)与网络空间安全(Cybersecurity)的辨析
从“IS0/IEC 27032:2012”的定义可以看出,网络空间安全态(Cybersafety)是指网络空间的一种安全状态。在此状态下,可以免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。可见,Cybersafety大体上排除了网络空间中任何可能出现的不安全因素。
与此对照的是,网络空间安全(Cybersecurity)是指在网络空间里保护信息的保密性、完整性、可用性以及真实性、可追责性、不可抵赖性、可靠性等特性。其侧重点与网络空间安全态(Cybersafety)有显著区别。
在明确crime、safety、security这三者之间的关系后,就不难推导出cybercrime、cybersafety、cybersecurity这三者之间的关系,因此有图3。其中,cybercrime表示网络空间犯罪态,cybersafety表示网络空间安全态。
图3 cybercrime、cybersecurity、cybersafety关系图
(三)我国立法中引入“网络空间安全态”(Cybersafety)的意义
保持“网络空间安全态”(Cybersafety)的要求本身,已经为保护个人信息和管控违法信息提供了依据。这是在我国网络空间安全相关立法中引入“网络空间安全态”(Cybersafety)的意义之所在。
其一,Cybersafety定义中涉及的在网络空间中出现的“身体的”“精神的”“情感的”“职业的”“心理的”等方面的负面情况就与保护个人信息直接相关。
其二,Cybersafety定义中涉及的在网络空间中出现的“社会的”“财务的”“政治的”“教育的”等方面的负面情况就与管控违法信息直接相关。
因此,如果能够以该国际标准关于“网络空间安全态”的定义为依据、在《网络安全法》中给出其定义,则可以为该法保护个人信息和管控违法信息提供依据。
鉴于网络空间的违法信息管控问题涉及国家主权、宗教文化、意识形态等敏感领域,国际争议很大,因此,若能以国际技术标准的既有定义作为管控违法信息的立法依据,则有助于中国争取更多的国际共识、获得更多的国际支持。
四 “ISO/IEC 27032:2012”中区分的六个相关概念
该国际标准对与Cybersecurity(网络空间安全)相关且容易混淆的下列五个相关概念给出了定义,进行了区分,提供了它们之间相互关系的示意图:
(1)Information security(信息安全);
(2)Application security(应用程序安全);
(3)Network security(网络安全);
(4)Internet security(因特网安全);
(5)Critical Information Infrastructure Protection(CIIP,关键信息基础设施保护)。
该国际标准中的相关说明和定义如下。
网络空间安全依赖信息安全、应用程序安全、网络安全和因特网安全作为基础性的构建模块。网络空间安全是关键信息基础设施保护的必要活动之一,同时,对关键基础设施服务的足够保护有助于满足为达到网络空间安全之目标的基本安全需求(即关键基础设施的安全性、可靠性、可用性)。
然而,网络空间安全并不是因特网安全、网络安全、应用程序安全、信息安全或关键信息基础设施保护的同义词。它有独一无二的范围,需要利益相关者发挥积极作用以维持(如果不是改善的话)网络空间的可用性和可信性。
信息安全(Information security)通常涉及对信息的保密性、完整性、可用性的保护,以满足可用信息的用户需求。
应用程序安全(Application security)是通过对机构的应用程序实施控制和量度以管理其使用风险所完成的过程。这种控制和量度可以施加于应用程序本身(它的进程、组件、软件和结果),施加于应用程序的数据(配置数据、用户数据、组织数据),施加于应用程序生命周期中涉及的所有技术、进程和参与者。
网络安全(Network security)涉及网络的设计、实施和运营,以达到在机构内部的网络上、机构与机构之间的网络上、机构与用户之间的网络上的信息安全。
因特网安全(Internet security)作为机构中和家庭中的网络安全的扩展,涉及保护因特网相关的服务和相关的信息通信技术系统与网络,以达安全目的。因特网安全也确保因特网服务的可用性和可靠性。
关键信息基础设施保护(CIIP)涉及由能源、电信和水务部门之类的关键基础设施提供商提供或运营的系统的保护。关键信息基础设施保护确保这些系统和网络受到保护,并可承受信息安全风险、网络安全风险、因特网安全风险以及网络空间安全风险。
该国际标准给出的网络空间安全与其他安全领域的关系如图4所示。[8]
图4 网络空间安全与其他安全领域的关系
该国际标准对图4给出了如下说明:上图展示了网络空间安全和其他安全领域的关系。这些安全领域与网络空间安全的关系非常复杂。某些关键基础设施服务,如水务和交通,不会直接地或者显著地影响网络空间安全的状态。然而,网络空间安全的缺失却可能对关键基础设施提供商提供的关键信息基础设施系统的可用性产生负面影响。另一方面,网络空间的可用性和可靠性在许多情况下依赖于与之相关的关键基础设施服务的可用性和可靠性,例如电信网络基础设施。网络空间的安全通常也与因特网安全、企业/家庭的网络安全和信息安全密切相关。值得注意的是,该国际标准中本节所定义的安全域都有其自己的目标和关注范围。关于网络空间安全的话题,需要来自不同国家和组织的不同的私有和公共实体间的实质性的交流与合作。关键基础设施服务被一些国家视为国家安全相关的服务,因此可能不会公开探讨和披露这些服务。此外,关于关键基础设施脆弱点的知识,如果被不当使用,将直接牵涉国家安全。因此,有必要建立用于信息共享、问题或事故合作的基础框架以缩小差距,为网络空间的利益相关方提供充分的保障。
五个安全术语(信息安全、网络安全、因特网安全、应用程序安全、网络空间安全)之间的衍生关系也可以用笔者给出的图5表示。
图5 五个安全术语之间的衍生关系
通过上述定义和图解,我们可以非常清晰地了解网络空间安全(Cybersecurity)与信息安全(Information Security)、网络安全(Network Security)、因特网安全(Internet Security)、应用程序安全(Application security)、关键信息基础设施保护(CIIP)等概念之间的异同和相互关系。
不论在中文、还是在英文中,不论是从内含还是从外延看,网络空间安全(Cybersecurity)都不可能等于网络安全(Network Security);当然,网络空间安全(Cybersecurity)也就不应该简称为网络安全(Network Security)。我们不能因为英文中的Cyberspace可以简写为Cyber,英文中的Cyberspace security可以简写为Cyber security进而合成为一个单词 Cybersecurity,就将中文的“网络空间”简称为“网络”,进而将“网络空间安全”简称为“网络安全”。因为,在英文中,Cyberspace = Cyber ≠ Network。如果在中文中实在需要一个“网络空间安全”的简称,则可以考虑简称为“网空安全”,以别于“网络安全”。
因此,如果能以该国际标准为基础在我国的网络空间安全立法中定义并且区分使用这些概念,则可避免在相关法律中相关术语的模糊、混淆和争论。
令人遗憾的是,在《国家网络空间安全战略》的一开始,就用“网络空间安全(以下称网络安全)”的说法进行了将“网络空间安全”(Cybersecurity)简称为“网络安全”(Network Security)的转换。这样做实质上是将“网络空间安全”这个概念用另一个不同的概念“网络安全”作为其简称,因此并不妥当。
类似的,在《网络空间国际合作战略》中文本和官方英译本中,将中文“网络安全”译为cyber security或者cyberspace security也是不妥的。
五 Cyber应译为“赛博”
其实,仔细思考将“网络空间安全”简称为“网络安全”的缘由,不难看出一个思维误区:Cyberspace = Cyber + space,既然对space译为“空间”没有异议,用“网络空间”翻译Cyberspace又似乎是约定俗成的,则意味着译者已经默认Cyber应该译为“网络”。但这与Cyber ≠ Network矛盾。由此形成悖论。
显然,问题的关键在于译名。如果我们找到一个不同于“网络空间”的译名来翻译Cyberspace,就可以避免上述悖论。
这里可以参考唐代玄奘法师主持翻译佛经时制定的“五不翻”原则:
(1)多含故不翻:如“薄伽梵”,是佛陀名号之一,又含有自在、炽盛、端严、吉祥、尊重等义;又如“摩诃”,含有大、殊胜、长久及深奥等义。(2)秘密故不翻:如楞严咒、大悲咒、十小咒,以及各种经咒,一经翻出,就会失去它的神秘性。(3)生善故(尊重)不翻:如“般若”,不可直译为智慧;“三昧”不可直译为“正定”;“涅槃”不可直译为圆寂或解脱等。(4)顺古故不翻:如“阿耨多罗三藐三菩提”不可直译为“无上正等正觉”;“阿罗汉”不可直译为“无生”;“菩萨”不可直译为“觉悟”等。(5)此无故不翻:“此无”即中国没有。如阎浮树,中国没有,所以不翻。
Cyber之翻译问题,涉及上述五种情况中的三种:多含、尊重、本无。参照“五不翻”原则,宜音译,即为“赛博”。这样的话,对于同以Cyber作为词根的不同的英文组合词,就可以得到一致的译名。例如,Cybernetics可译为“赛博学”;Cyberspace可译为“赛博空间”。而不宜将Cybernetics译为“控制论”、将Cyberspace译为“网络空间”。那样就无法使不知道“控制论”和“网络空间”的英文原文的读者了解到它们在英文中本来是源于同一个词根。
显然,将Cyberspace/Cyber译为“赛博空间”是最佳译法。此时,Cyberspace security 就译为“赛博空间安全”。当Cyberspace security 简写为 Cyber security/Cybersecurity时,在中文中就自然可以表述为“赛博空间安全”简称为“赛博安全”。这样,在英文和中文中都不会与network security(网络安全)和 Internet security(因特网安全)相混淆。
目前国内用“网络空间”翻译Cyberspace、用“网络空间安全”翻译Cyberspace security似已约定俗成。本文也将暂且使用“网络空间安全”的译法。但是,如果将“网络空间安全”简称为“网络安全”,则完全不妥。理想的解决办法就是直接将Cyberspace译为“赛博空间”,这时,由Cyber衍生的其他词汇组合(如Cyber security/Cybersecurity)的译成中文就没有混淆之虞。
六 《网络安全法》中“网络”的外延界定和“cyberspace”在中国的外延拓展
《网络安全法》第76条定义了“网络”。该法所称“网络”的外延如何界定?
《中华人民共和国网络安全法释义》一书认为:《网络安全法》所说的“网络”应该既包括“互联网(Internet)”(按:指因特网),也包括相对封闭的局域网和工业控制系统。[9]这里的局域网可以理解为各机构内不与因特网连接的内部网(intranet)
实际上,《网络安全法》所涉“网络”,除了因特网、局域网、工业控制系统之外,还应该包括不与因特网相连接的国家机关政务网络(《网络安全法》第72条)、军事网络(《网络安全法》第78条)。考虑到不与因特网相连接的国家机关政务网络和军事网络的安全问题的重要性,将它们纳入该法所涉范围,既是不言而喻的,也是该法已经明文规定的。
不与因特网连接的其他网络(network)的安全问题,就是上述国际标准中网络安全(network security)定义所涉及的安全问题。通过图4“网络空间安全与其他安全领域的关系图”中所示的“网络安全”与“网络空间安全”之间的交叉关系可以看到,我国不与因特网连接的其他网络(network)的安全问题,仍可在网络空间安全法(Cybersecurity Law)中进行规范,并无遗漏。
另一方面,注意到,在该国际标准的“网络空间”(the Cyberspace)定义中,用“因特网上”(on the Internet)指明其所在。也就是说,cyberspace或其简写cyber只存在于因特网(Internet)上。因此,在该国际标准用“在网络空间里”(in the Cyberspace)的“信息安全”来定义“网络空间安全”(Cybersecurity/Cyberspace security)时,也就将此安全问题之所在领域限定在“因特网上”(on the Internet)。
考虑到我国网络空间安全立法所涉网络必须包括不与因特网相连接的国家机关政务网络、军事网络、局域网、工业控制系统等,因此,当我们在中文语境之下谈论中国的网络空间安全法(Cybersecurity Law)时,这个“网络空间”(Cyberspace/Cyber)应该并不限定在因特网上,也应该包括不与因特网相连接的那些网络。cyberspace/cyber在中国法律中或中文语境下的外延拓展到不与因特网相连接的网络上,是应当明确的也是不可忽视的。
七 小结
我国《网络安全法》未来应当更名为《网络空间安全法》,不再以“网络”“网络安全”“网络运营者”这三个概念为基础界定该法的调整范围,特别是不以“网络安全”作为该法的最核心概念。
未来《网络空间安全法》的基本概念,应当以“ISO/IEC 27032:2012”为依据,以“网络空间”“网络空间安全”“网络空间安全态”“网络空间犯罪”这四个术语为逻辑起点,将“网络空间安全”与另外五个术语“信息安全”“应用程序安全”“网络安全”“因特网安全”“关键信息基础设施保护”等进行明确区分,以此为基础构建我国《网络空间安全法》的逻辑框架。
在中文语境下针对中国国情进行扩大解释后使用的“网络空间”,并不限定在因特网上,还包括不与因特网相连接的国家机关政务网络、军事网络、局域网、工业控制系统等网络。如果引入“网络空间安全态”的概念,则可以为网络空间安全法保护个人信息和管控违法信息提供国际标准的依据。如果以上述国际标准为基础制定我国的网络空间安全法,既可以使法律本身建立在严谨、周密、坚实的技术基础上,给法律规制未来出现在“网络空间”中的新问题预留空间,也有助于建立科学的、完整的网络空间安全法学理论体系。
从长远考虑,宜将Cyber音译为“赛博”,将Cyberspace译为“赛博空间”。
(责任编辑:刘金瑞)
[1] 本课题研究受上海交通大学中央高校基本科研业务费资助,项目编号16JXYB01。
[2] 杨合庆主编:《中华人民共和国网络安全法释义》,中国民主法制出版社2017年4月第1版。该书由直接参与《网络安全法》起草制定工作的全国人大常委会法制工作委员会经济法室工作人员编撰。该书无疑是对《网络安全法》的一种权威的学理解释。
[3] 杨合庆主编:《中华人民共和国网络安全法释义》,中国民主法制出版社2017年4月第1版,第26页。
[4] 杨合庆主编:《中华人民共和国网络安全法释义》,中国民主法制出版社2017年4月第1版,第26—27页和第150—152页。
[5] 此处及后续术语的定义均来自ISO/IEC 27032:2012,并由笔者译出。
[6] 《韦氏高阶英语词典》,中国大百科全书出版社2009年版,第1434页。
[7] 《韦氏高阶英语词典》,中国大百科全书出版社2009年版,第1468页。
[8] 该图引自ISO/IEC 27032:2012。图中中文为笔者所译。对此作出贡献的还有张田田、白莉莉。
[9] 杨合庆主编:《中华人民共和国网络安全法释义》,中国民主法制出版社2017年版,第26—27、150—152页。