《網路安全法》並不完美，仍需完善 | FreeBuf專訪知名律師劉春泉

2016年11月7日，中國發生了一件大事，就是在十二屆全國人大常委會中，以154票贊成，1票棄權表決通過《中華人民共和國網路安全法》，而該法將於2017年6月1日起施行。至此，中國終於擁有了第一個網路安全法案。

FreeBuf為此特別專訪了知名律師劉春泉，期望他為我們解讀和剖析這部最新法案的核心、內容亦或不足。

劉春泉律師也是下周即將舉辦的

FIT大會

主講人之一，點擊閱讀原文

了解FIT大會

。

實際上早在今年8月份《網路安全法》二稿出來的時候，劉春泉就在第一財經日報發表過一篇題為《網路安全法要靠制度設計確保安全》的文章。開篇的其中一段大概也是很多人關心的：

假如習大大問我們，說這幾年發生了那麼多網路上的事情，我們按照現在的網路安全法，能不能對這些事件有一個相應的預防或者是制裁、應對的措施？

這個問題的實質在於，《網路安全法》能不能解決現如今中國互聯網安全的問題——讀完這篇專訪，你可能會有個答案。

這只是個基本的法律

大概很多人更關心的事情是，《網路安全法》能否解決具體的問題。

我們來隨意列舉幾個條款：第二章 網路運行安全——第二十五條 網路運營者應當指定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

第六章 法律責任——第五十九條 網路運營者不履行本法第二十一條、第二十五條規定的網路安全保護義務的，由有關主觀部門責令改正，給予警告；拒不改正或者導致危害網路安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

從這一例來看，《網路安全法》是明確了一些安全相關的粗線條的責任和義務的，也力求解決一些問題。但更類似於大綱，算不得具體。所以劉春泉也說：

「目前這是個基本的法律，是我們網路安全裡面的一個大綱性質的基本的法律。下一步的話，肯定還是要配套一些新的東西，比如網路關鍵基礎設施這些問題……這個網路安全法需要一個立法體系。」

「實際上，在《網路安全法》發布以前，中國也有針對計算機網路的法案，叫做《計算機信息系統保護條例》。

但是它的地位比較低。從國家層面來講，當時中國的網路安全相關法律差不多是在『裸奔』的狀態。網路和現實世界有很大不同，網路上是沒有具體的物理邊界或者講解的，所以很多人說網路無國界。

「同時，中國也是全球遭受網路攻擊最為嚴重的國家之一。基於以上的背景，中國網路安全法也就孕育而生了。像美國、俄羅斯、英國和其他歐洲國家等，都有相關的網路安全法案。

現在中國也有自己的網路安全法了，在國際舞台上也有一定的底氣了。但現在我國的網路安全法和其他國家相比還有待完善。但有總比沒有好

更側重於企業安全

網路安全本身是個相當大的範疇，需要考慮的問題非常多，比如說越來越多「具國家背景」的黑客攻擊，屬於保護國家信息安全的範疇；比如本國企業，針對用戶的產品安全規範，企業內部的安全執行規範；再比如針對黑產的打擊。

而「

網路安全法應該是側重於企業安全的。比如企業應該怎麼去保護信息，怎麼去保護網路安全等。

「我們拿交通安全法舉例子，交通法主要是讓大家怎麼去遵守交通規則。至於違法，當然也是要處理的，比如交通肇事就是通過刑法來處理。相關刑罰的事情就都在刑法裡面，不管什麼性質的都在刑法裡面。

如果說不構成刑事犯罪，那麼就有《網路安全法》《治安管理處罰法》《個人信息保護法》等。

「但在網路安全法發布之後，企業也會陸續重視起自己的安全建設。這樣也能夠阻撓網路黑產的發展，第一就是讓攻擊者不那麼容易獲得數據；第二就是禁止非法數據的買賣——因為網路安全法中規定，買黑產數據是犯法的。

比如現在有些保險公司會去買這種數據。如果說我們能夠斬斷這個利益鏈條，那麼相對來說，黑產的問題就會好轉很多。」

所以實際上信息安全問題並不是靠一部《網路安全法》來徹底解決的，仍需「配套一些新的東西」。

對企業會產生怎樣的影響？

「以後針對國內的外企會有安全審查，比如數據存儲本地化要求，對外傳輸數據審核，國家網路安全審查等。

「過去針對個人信息也都沒有太重視。以前雖然也有，但執法力度不是很大。現在不一樣了，去看一看

法律責任條款，現如今法律責任是相當厲害的，罰款數額佔到違法所得一倍以上十倍以下

按照比例來罰款，舉個例子說先前中國史上最大罰單，就是按照反壟斷法的60億罰款（高通），這就是按照比例來罰的威力——未來針對違反網路安全法的企業也是如此。

「如中石油、工商銀行這種超級大公司，假如工商銀行App的某些行為被定為違法，其一年收入可能有多少個億，若按照這樣的比例來罰，這個數字也是相當可觀的。

「前幾天網上傳了一個帖子，說上海有一家公司通過硬體去收集個人信息。這件事我不知真假，如果是真的，並且這件事發生在明年6月以後，那麼這個企業會面臨滅頂之災。

這種行為需要承擔刑事責任，屬於盜竊信息。安全法中明確盜竊信息是要承擔刑事責任的，會面臨嚴重的罰款。

「有些安全企業，看到某些公司不重視安全，就對這些公司進行攻擊，然後去人家系統裡面那數據，這個實際上是很嚴重的事情。某些企業目前還不太重視這個網路安全法，可能是因為該法案還沒有發威吧。」

「領網」主權不可侵犯

在本次採訪中，劉春泉還專門和我們探討了網路空間主權這一話題。相關這一點就涉及到國家安全問題了，尤其在國家與國家間網路戰爭硝煙逐漸瀰漫的今天。

「中國是全球遭受網路攻擊最為嚴重的國家之一」，這本身也是《網路安全法》誕生的背景之一。「網路空間主權」並不是在《網路安全法》中首次出現的，2015年通過的《中華人民共和國國家安全法》就已經提出了這個詞。

「過去大家是強調網路無國界，而這個法就明確了網路是國家主權的範圍，也就是「領網」的概念，也就需要進行管轄。過去互聯網自由開發的精神的確給我們帶來了很多便利，但是現在網上信息太複雜，違法的內容比較多——別的不說，沒有一個很正常的秩序分配。

網上的利益爭奪會多一些，網路暗的一面就會更凸顯出來。所以『領網』這個概念的提出，網路主權這個概念的提出，主要解決的就是國家權力對網路空間可以行使權力的這樣一個問題。

「可能很多人會認為網路空間受到了國家權力的不當干預，認為網路應該是自由空間，提倡分享精神。單說分享精神的一個直接後果，互聯網上的侵權盜版和網路安全事件層出不窮。

所以從全世界範圍內來說，其他幾個重要的經濟體都是在監管網上行為，我們這麼大一個經濟體，這麼大一個國家，從趨勢上來講，不管是不可能的。

「在這種前提下，領網這個概念就有意義了。不是從個人、商業的角度，而是從各個國家之間互相採取的攻擊行為，就是從網路戰爭的層面講。如果國家之間爆發網路戰爭，那就涉及到敵國的攻擊行為。

從法律上來規範，這肯定還是有國家主權的問題。我覺得如果從這個層面，『領網』這個概念馬上就能在國際法上產生一定的影響。

但是如果從公民或商業組織的角度，我覺得就有難度。這個問題我覺得還要進一步的研究，我覺得還沒有研究地很細。

「有一條規定是，

我們國家可以對境外攻擊者進行管轄，公安部有權力對其進行凍結財產或採取其他必要的制裁措施

網路攻擊和物理攻擊有很大的區別，物理攻擊我們有規定的國界等進行限制。但是網路上沒有。如果他們入侵了重要的系統，把裡面的數據拿走了，你拿他們也沒轍。

但現在，公安部可以對攻擊者進行處理。如果是公司行為並且在中國有財產，那麼可以把他財產進行凍結。現在有了相關的規定，具體的細則可以下一步再說了。」

安全法並不完美，仍需完善

正如這裡的「具體細則下一步再說」，《網路安全法》本身還需要很好的補充。

好比「徐玉玉案件對個人信息保護和信息詐騙相關法律有很大影響」，這件事實際涉及了個人信息保護和個人信息濫用兩個問題，我們會說「個人信息如果保護好的話，就不會發生這種詐騙事件」。

而「信息濫用」，我們自己是「很難去避免的」，「我們現在到處辦事，都要被人收集信息，公安、稅務、政府機構、學校、酒店等等」，於是光這一個案件就涉及了「濫用個人信息和保護個人信息兩個不同的層面」。

而針對企業收集個人信息的法律規定，「《網路安全法》里有，全國人大的《加強信息安全保護法》里也有。

2012年全國人大加強網路信息保護法的決定出來以後，我就注意到一個問題。咱們國家比較大，不同的企業千差萬別，只能原則性地這樣規定。而現在的法院也不是很理解，也沒有很好的訴訟案例

，法律規定也比較粗糙，有些細節需要慢慢完善

再比如針對白帽子，「如果一棒子將挖洞的技術人員打死，那麼國內的白帽子們可能就不敢去提交漏洞了。這是個非常嚴峻的問題，但是目前還沒有一個完善的解決方案」。

可見，不僅是《網路安全法》，而是在我們國家，整個相關信息安全的法律都有待完善。僅是《網路安全法》本身，劉春泉也提到了他的看法：

「我一直有一個觀點，就是這個網路安全法需要一個立法體系。雖然安全法已經出台了，但是怎麼讓它和其他法律法規對接起來？現在有《網路安全法》了，那麼《個人信息保護法》還要不要搞。該法律的對接部門到底是哪個部門？」

「比如民航信息很重要，如果民航系統被攻擊可能會影響到國家軍事、運輸等等，那麼是直接彙報給一個人嗎？一個人一天又能處理多少安全報告？每個人的經驗、專長等都是有限的，每個部門也是如此。」

「所以這個網路安全法還需要不斷磨合，建立起一個完善的立法體系。」

顯然，在網路安全越來越提上日程的當下，國內針對安全的立法也正在一步步向發達國家看齊。《網路安全法》雖然不能解決所有的網路安全問題，卻是個很好的開始。

* FreeBuf官方出品，作者：Kuma & ArthurKiller & 歐陽洋蔥，未經允許禁止轉載

點擊閱讀原文，

進入FIT大會官網