第二节 Cybersafety/ Cyberspace safety（网络空间安全态）、Cybersecurity / Cyberspace security（网络空间安全）辨析

一、ISO/IEC 27032:2012中相关术语的定义

（一）Cyberspace（网络空间）

为了刻画人类生存的信息环境或信息空间，人们创造了Cyberspace一词。然而Cyberspace一词在我国的译名尚不统一。如有信息空间、网络空间、网电空间、数字世界等，当然也有音译：赛博空间。早在1982年，加拿大作家 William Gibson在其短篇科幻小说《燃烧的铬》中创造了Cyberspace一词，意指由计算机创建的虚拟信息空间。Cyber在这里强调电脑爱好者在游戏机前体验到的交感幻觉，体现了Cyberspace不仅是信息的聚合体，也包含了信息对人类思想认知的影响。此后，随着信息技术的快速发展和互联网的广泛应用，Cyberspace的概念不断丰富和演化。在1998年Kevin Shafer的Novells Dictionaryof Networking文中给出了Cyberspace的词条（中文译名有“赛博空间”/“网络空间”/“网电空间”/“电脑空间”/“信息空间”等），其是指可用于描述通过计算机网络可以获得的信息资源的术语。

2012年出台的ISO/IEC 27032:2012，该国际标准对网络空间（Cyberspace）给出了明确的定义：不以任何物理形式存在的，通过技术设施和网络接入其中的，由因特网上的人员、软件、服务的相互作用所产生的复杂环境。分析该标准中对网络空间的解释，可见网络空间（Cyberspace）可以描述为一个虚拟环境。它是一个由机器、用户及其关系所组成的虚拟世界，是一个建立在信息技术基础之上的完整空间。这将意味着人们生活在一个由自然、社会和虚拟空间共同构成的世界之中。例如，一家人一起吃饭，这是社会关系，但是每个人可能都在玩手机，就是每个人又同时身处网络空间充当不同的角色。网络空间虽然强调“虚拟性”，并不是否认其客观的存在性。人类所面对的世界，首先是自然世界，这是最基本的，不可逃避的世界。之后才是社会，但是实质上社会也是虚拟的。例如，作为社会人，会存在复杂的社会关系，由此形成了社会网络，这同样是虚拟的。于是，当数字化行为不可避免时，就必须面对网络空间。这个逻辑与社会是一致的。事实上，在今天这个时代，我们所要面对的更多的是人为制度，而不是自然基础。换句话说，随着人类发展，从最初主要受自然世界影响，逐步过渡到主要受社会世界影响。加之信息化的到来，人类进入主要受制于网络空间的趋势也不无可能。

（二）Cybersafety（网络空间安全态）

ISO/IEC 27032:2012对Cybersafety的定义为：condition of being protected against physical, social, spiritual, financial, political, emotional, occupational, psychological, educational or other types or consequences of failure, damage, error, accidents, harm or any other event in the Cyberspace which could be considered non-desirable.

NOTE 1 This can take the form of being protected from the event or from exposure to something that causes health or economic losses.It can include protection of people or of assets.

NOTE 2 Safety in general is also defined as the state of being certain that adverse effects will not be caused by some agent under defined conditions.

中文翻译为：一种被保护，可免受物理的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件的状态。

注释1 这可采用避免将引起健康损害或经济损失的某种经历或披露某事的形式。它包括对人和对财产的保护。

注释2 安全性（safety ）通常也定义为一种特定的状态，这时负面影响将不会通过某种代理引发或者在设定条件下引发。

从ISO/IEC 27032:2012对Cybersafety的定义可以看出，Cybersafety是一种在网络空间中的各个方面，包括物理、社会、精神、财务、政治、情感等的所有方面均处于安全状态的特定情形。因此它是一种毫无危害存在的网络空间的百分之百的安全状态。中文将其翻译为“网络空间安全态”与该定义较为贴切。

（三）Cybersecurity（网络空间安全）

ISO/IEC 27032:2012对Cybersecurity的定义为：preservation of confidentiality, integrity and availability of information in the Cyberspace.

Note 1 In addition, other properties, such as authenticity, accountability, non-repudiation, and reliability can also be involved.

Note 2 Adapted from the definition for information security in ISO/IEC 27000:2009.

中文翻译为：保护网络空间信息的保密性、完整性和可用性。

注释1 此外也可包括如真实性、可核查性、不可否认性和可靠性等其他属性。

注释2 该定义改编自ISO/IEC 27000:2009中对信息安全的定义。

ISO/IEC 27032:2012指出网络空间安全（Cybersecurity）是指在网络空间里保护信息的保密性、完整性、可用性。随后的注释说明：在保护信息安全三性之外，也可包含真实性、可追责性、不可抵赖性、可靠性等其他特性。该标准对网络空间安全的定义是在ISO/IEC 27000:2009中信息安全定义基础上进行改编。

二、cybersafety（网络空间安全态）与cybersecurity（网络空间安全）的异同

cybersafety（网络空间安全态）与cybersecurity（网络空间安全）是网络空间安全领域两个重要的基础术语，其虽都有“网络空间安全”的字义，但内涵与外延不尽一致，使得两者的区分比较对完善网络空间安全立法意义重大。从ISO/IEC 27032:2012对两者的定义可以看出，cybersafety侧重于网络空间的一种安全状态；cybersecurity则针对于网络空间中信息的安全，包括信息的保密性、完整性和可用性、真实性、可核查性、不可否认性、可靠性等属性。

基于前文对safety与security的辨析，并结合ISO/IEC 27032:2012中cybersafety与cybersecurity的定义及注释，可归纳出cybersafety与cybersecurity的以下三点显著区别：

（一）内涵的界定

从ISO/IEC 27032:2012中两者的定义可以看出，cybersafety是网络空间的一种安全状态，包括免受物理的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型的任何不希望发生的事件的伤害的状态。由此可见cybersaety的含义极其广泛，它几乎排除了网络空间中任何可能出现的不安全因素，既包含了网络空间中从物理层到应用层纵向意义的安全，也涵盖了从信息安全到因特网安全等横向领域的安全。相比，cybersecurity的含义就相对狭窄，主要指保护网络空间中信息的保密性、完整性和可用性，此外也包括如真实性、可核查性、不可否认性和可靠性等其他属性，也就是说cybersecurity主要针对的是网络空间中信息的安全。显然此含义远没有cybersafety广泛。

（二）重点的突出

从safety与security的辨析中可知，safety 通常指免于意外发生的安全，而security指免于人为故意破坏伤害的安全，区分的关键在于人和意图。中文常用“安全”（safety）和“安保”（security）来区分。但这两个概念在网络空间安全领域均发生微妙变化，定义有做出扩大解释之嫌疑。具体来说，cybersafety包括免于事故性的和人为的一切破坏和伤害的安全，要实现一种绝对安全状态。同理，cybersecurity所要求的网络空间中的信息安全，除了指免于人为的破坏，也包括免于技术上发生意外事故时的破坏。因此，“意外”与“人为”的区别在cybersafety与cybersecurity之间已被弱化。但在当下，谈到网络空间安全，主要防范的还是人为的破坏，如黑客攻击等。个人信息保护、违法信息管控等网络空间安全所重点强调的领域，主要也是防范人为的破坏。正因如此，国内外的网络空间安全法无一例外均命名为cybersecurity Law，恰是与这一意旨相吻合。

（三）实现的程度

safety表示安全的状态（the state of being safe），即完全安全的状态，security表示受保护的状态（The state of being protected ），即受到一定保护的相对安全的状态。这个理念在ISO/IEC 27032:2012中完美呈现，“网络空间安全与其他安全领域的关系图”（第一章图1-5）即是典型代表。在图中cybercrime与cybersafety位于图的两端，俨然两个极端状态，其他安全术语处于这两个词的中间区域，表明这6个“安全”是处于两个极端状态（完全危险与完全安全）之间的中间状态。因此，在一定程度上可以作此理解：cybersafety表示网络空间的完全安全的状态，而cybersecurity并不表示这种完全安全的状态，它是指网络空间受到了一定的保护，处于一个相对安全的状态。cybersafety是cybersecurity的一个极限，当网络空间中的所有危险和伤害变为零时，受保护的网络空间安全（cybersecurity）就变成了完全安全的状态—网络空间安全态（cybersafety），当然，在现实中，cybersafety只是一种永远不可能达到的理想状态。这也是为何国内外的网络空间安全法均表述为cybersecurity Law而非cybersafety Law的原因之一。如果引入cybercrime（网络空间犯罪态），将其视为毫无安全可言的网络空间混乱状态，用数学上的极限公式和图形表示上述逻辑关系。cybercrime是起点，用0来表示；最终的目的是实现cybersafety，用1来表示；而cybersecurity是一个变量，介于0和1之间，可用x或者s来表示。图2-2可形象体现cybersafety与cybersecurity的这一区别，公式2-2可说明三者之间的关系。