信息安全与网络社会法律治理：空间、战略、权利、能力
——第五届中国信息安全法律大会会议综述

马民虎，张 敏

(西安交通大学 法学院，陕西 西安 710049)



信息安全与网络社会法律治理：空间、战略、权利、能力
——第五届中国信息安全法律大会会议综述

马民虎，张 敏

(西安交通大学 法学院，陕西 西安 710049)

阐述了学者们在“第五届中国信息安全法律大会”期间，围绕网络信息安全与网络社会治理中的基本问题所展开的探讨；认为网络信息安全法制建设需要站在国家战略层面，兼顾具体国情，厘清网络空间的主要威胁与法制建设中的主要矛盾，全面建构中国网络社会治理的实体与程序性法律框架；强调应重视新技术应用背景下的隐私与数据安全问题，并强化企业信息安全治理责任，发挥其在网络信息安全保障中的关键作用。

网络信息安全；网络社会法律治理；数据与隐私保护；企业信息安全治理；电子取证

以网络为核心的信息技术和服务正在加速社会的转型和质变，信息网络已超越信息通信和媒体的传统范畴，成为关系国家安全、产业发展和个人权利保障的关键空间。移动互联网、云计算、大数据等新兴领域在快速发展的同时也催生了严重的网络信息安全威胁①例如大规模网络攻击、网络恐怖活动、支付宝系统漏洞、携程网用户信息泄露、Windows XP系统停止服务、OpenSSL漏洞、免费WIFI诱导用户链接盗取资金等“重磅炸弹”暴露出了严重的网络信息安全危机。。国际信息安全与地缘安全的复杂结构又进一步加剧了我国网络信息安全的严峻态势。

2014年，“中央网络安全和信息化领导小组”的成立全面开启了网络信息安全的新时代，网络信息安全的法制建设已被提上实现“中国梦”的重要议程。将依法治国落实到网络空间，推动网络空间法治化是互联网时代最迫切的需求。在这样的背景下，从法学视角探讨网络信息安全法制建设及网络社会治理对践行依法治国、依法治网具有重大意义。

2014年10月31日至11月1日，“第五届中国信息安全法律大会”在北京举行。本次大会由中央网络安全和信息化领导小组办公室及公安部十一局指导，中国信息安全法律大会组委会主办，西安交通大学信息安全法律研究中心、北京邮电大学互联网治理与法律研究中心、信息网络安全杂志、北京网络安全协会承办。本次大会规模空前，共200余人参会②参会领导主要来组中央网络安全和信息化领导小组办公室、公安部、中国计算机学会计算机安全专业委员会、陕西省法学会等政府机构，参会嘉宾主要来自国内著名高校、科研机构和知名互联网企业。。大会取得了丰硕的学术成果，收到学术论文50余篇③收录论文涉及网络信息安全战略、立法及基础理论、国家信息安全审查制度、信息主权、个人权利与企业信息安全保障义务、移动互联网安全与治理、网络安全监管、执法与司法、可信网络空间的法律保障等学术前沿问题。。由中国云计算安全政策与法律工作组编写的《2014中国云计算安全政策与法律蓝皮书》、《现代汽车信息安全威胁与法律治理报告》也在大会同步发布，并受到参会各界的关注。

第五届中国信息安全法律大会以“空间、战略、权利、能力”为主题，围绕网络信息安全战略与法制建设、新技术应用下的数据安全与隐私保护、企业信息安全治理与法规遵从、网络监控与电子取证等问题进行了深入探讨，以期从多维度对我国网络空间法制建设的发展与完善提供理论支撑与对策建议。本文对此次大会的观点和结论择要综述。

一、网络信息安全战略及法制建设

网络时代的到来对内重塑了经济发展的新引擎、社会生活的新模式，对外使非传统安全威胁与日俱增，国家安全形态错综复杂。加强网络信息安全战略及法制建设，是有效应对复杂的国内、国际环境中层出不穷的信息安全威胁，维护国家利益的根本保障。与会学者主要围绕网络信息安全战略及实现路径、网络信息安全立法及网络主权等方面展开探讨。

(一)网络信息安全战略及实现路径

网络信息安全具体是指维护网络信息系统或信息传播中的信息资源免受各类威胁、干扰和破坏，保障网络信息资源的保密性、可靠性、完整性、可用性等安全属性[1]。网络信息安全目前已然超越了技术范畴，上升到国家核心战略层面，成为国家综合性安全战略的制高点和新载体[2]。与会学者分别从构建我国网络信息安全战略的现实价值、目标、模式与实现路径等方面展看探讨。中央网络安全和信息化领导小组办公室网络安全协调局调研员张胜认为，网络信息安全战略是国家安全战略的重要组成部分，加强国家网络信息安全战略制定对实现国家网络治理体系和治理能力现代化、指引网络信息安全立法、提高信息安全防御能力具有重要的现实价值。

网络空间安全战略目标是维护和谋求国家网络空间安全利益的指标性任务，反映不同阶段国家网络空间安全的总体发展愿景[2]。上海社科院特聘研究员、《中国信息安全》杂志网络空间战略论坛主编秦安认为网络空间已经成为国家安全的战略高地。网络空间立法应以党和国家战略*包括宽带战略、大数据战略、物联网战略、“三网融合”战略、“信息消费”战略、媒体融合战略、网络空间发展战略、网络空间安全战略、网络空间国际战略、网络空间军事战略、网络空间身份认证战略。为指引，网络空间安全的战略目标应服务于建设网络强国*习近平在中央网络安全和信息化领导小组第一次会议时指出，建设网络强国，要有自己的技术，有过硬的技术；要有丰富全面的信息服务，繁荣发展的网络文化；要有良好的信息基础设施，形成实力雄厚的信息经济；要有高素质的网络安全和信息化人才队伍；要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。参见http://news.southcn.com/z/2014-02/28/content_93654246.htm，2014年12月10日访问。的利益诉求，具体而言，建设网络强国的战略部署要向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。网络强国建设“方向角”调整至关重要，需要从号召力、执行力、生产力、文化力、和国防力多个方面整体筹划，协同提升。

战略目标的实现需要制定理想的战略模型。面对全球化的网络空间安全威胁，很多国家和地区从自身实际出发，不断修订国家信息安全战略。例如在本世界之初，美国国家信息安全战略目标是“阻止针对美国至关重要的基础设施的网络攻击；减少美国对网络攻击的脆弱性；在确实发生网络攻击时，使损害程度最小化、恢复时间最短化[3]”。奥巴马政府出台的《网络空间国际战略》(2011年)改变了以往“防御”为主的网络空间战略，转而发展以“互联网自由”为核心，以“控制——塑造”为基本特征的进攻型网络空间战略[4]。这种动态性与扩张性并存的战略模型对我国网络空间战略模型的制定提出了挑战。互联网实验室董事长方兴东认为，进攻型战略既不符合我们国家一贯倡导的和平共处的基本原则，也不符合我们当下的实力和能力。毛泽东“积极防御”的战略思想*毛泽东指出：“积极防御，又叫攻势防御，又叫决战防御。消极防御，又叫专守防御，又叫单纯防御。消级防御实际上是假防御，只有积极防御才是真防御，才是为了反攻和进攻的防御。”参见《毛泽东选集》第1卷第198页。依然适用于中国网络安全领域。近期，我国的主要任务是依据国情确立并完善有效的“积极防御型”战略模型*根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发<2003>27号)和《2006-2020年国家信息化发展战略》(中办发<2006>11号)，我国国家信息安全战略的总体指导思想是坚持积极防御、综合防范、大力增强国家信息安全保障能力。。

网络空间安全战略模型是对战略具体实现路径的科学指引，在实践中需以此为指导。中国社会科学院法学研究所研究员陈欣新博士认为，网络空间安全战略的实现路径应从建构网络信息安全法律体系、标准化建设、国防力量建设、国际交流与合作、优化组织管理体系、人才培养、网络文化弘扬等方面展开。其中网络信息安全立法是重心。由于立法涉及的领域较多，规范和规制手段都不一样，再加上看法存在意见分歧，导致综合性的网络信息安全立法难以出台，但仍需着力解决。国家计算机网络信息安全研究所所长杜跃进认为，人才培养在国家网络空间安全战略建设具有重要的意义。所谓战略清晰、技术先进、产业发达、攻防兼备，这一切“人才”是基础。而发现人才、培养人才、使用人才都至关重要。

(二)网络信息安全立法价值、基本原则与立法框架

法治是提升国家治理能力的引擎。网络社会的法律治理亟需从国家战略顶层设计出发，厘清其基本价值诉求，明晰贯穿网络信息安全立法的基本指导思想与原则，建构涵盖宏观、中观与微观三个层面的网络信息安全立法框架，让“依法治网”具体化。

网络信息安全立法的价值取向主要是指其所要构建的法律秩序目标，这种目标必须反映国家的战略目标[5]。“安全”与“发展”问题始终是世界各国网络信息安全立法关注的焦点*《欧盟理事会2007年3月22日关于建立欧洲信息社会战略的决议》从“发展”的角度提出“在发展中解决安全问题”的思想，鼓励政府机构和企业创造更加安全的产品和服务。而保障“安全” 是美国网络信息安全法的基本价值取向。2003年美国《网络空间安全国家战略》明确号召美国全民参与对其拥有、使用、控制和交流的网络空间的安全保护，以实现“保护美国关键基础设施免遭网络攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏和恢复时间”三大战略目标。。习总书记强调，“做好网络安全和信息化工作，要处理好安全和发展的关系，要做到协调一致、齐头并进，以安全保发展，以发展促安全，努力建久安之势、成长治之业*参见http://news.qq.com/a/20140228/001147.htm，2014年12月10日访问。”。可见我国网络信息安全战略已确立安全与发展并重的基本方向。公安部第三研究所研究员黄道丽认为，我国网络空间立法应落实国家战略，兼顾“安全与发展”的二元价值特性。北京邮电大学崔聪聪在其提交的书面材料中进一步提到，网络信息安全立法之“安全”并非“绝对安全”，而应是“适度安全”。“适度安全”是指立法的制度设计应协调安全与其它价值之间的关系，不能为了保障信息安全而牺牲网民的自由，进而扼杀网络技术创新。网民可以在网络世界中自由的获取、传播、处理信息，这一权利已被我国宪法所确认，因此法律规范的制度设计不能因强调网络安全问题而影响网络的接入，除非发生危害国家安全及刑事犯罪行为。哈尔滨工业大学法学院副教授高立忠在其提交的书面材料中从立法技术层面诠释了如何在安全与发展之间进行矛盾抉择，他认为网络信息安全立法应保持法律的适度“谦抑性”，即立法一方面应规范信息技术和网络活动，限制和预防技术的滥用；另一方面应当为信息技术的发展预留适当的空间，防止过度控制技术，立法的保护范围应和技术应用的重要性一致。

法的基本原则是法的灵魂和指导整个法律活动的核心思想。信息安全法的基本原则是贯穿于信息安全立法、司法、执法各环节，实现维护社会公共安全的法制目的的根本规则[5]。上海社科院特聘研究员、《中国信息安全》网络空间战略论坛主编秦安认为，依法治网应坚持三原则，即总体国家安全原则*习近平总书记提出“坚持总体国家安全观，走中国特色国家安全道路”的新观点，强调国家的安全发展要同时兼顾内外安全、国土与国民、传统与非传统、发展安全、自身与共同安全。参见，http://news.xinhuanet.com/2014-04/15/c_1110253910.htm，2014年12月10日访问。、治理能力现代化原则、技术先进原则，以防范“十类逆法思维*“十类逆法思维”包括霸权思维、自由思维、利益思维、崇洋思维、极端思维、教条思维、碎片思维、虚无思维、山头思维、简单思维。”。中国人民大学法学院副教授刘品新则认为，网络空间立法应贯彻秩序性安全与技术性安全并重原则、价值平衡*价值平衡即指安全保障与个人信息保护的平衡、网络安全保障与互联网产业发展的平衡原则、网络安全责任主体共同治理原则。

构建网络信息安全立法框架的前提是厘清现阶段立法存在的主要问题及需要解决的主要矛盾。中央网络安全和信息化领导小组办公室网络安全协调局调研员张胜认为，面对网络空间不断凸显的安全问题，目前我国网络信息安全的立法面临“三大软肋”，即现行法律法规体系尚未完善，法律结构单一，难以适应信息技术发展的需要和日益严重的网络安全问题，有的条款无法与传统的法律规则相协调。他从顶层设计的高度明确了我国网络信息安全法律体系废、改、立之必要性。网络空间“法治路线图”之设计需从国家战略层面对网络空间的主要矛盾进行全局性把控，应处理好个人隐私与网络监控之间的矛盾、开放包容与安全审查之间的矛盾、技术领先与法规滞后之间的矛盾、网络认证与现实身份之间的矛盾、综合执法与责任追究之间的矛盾[6]。

网络信息安全立法框架的科学建构是保证法律体系协调一致，避免分散立法、重合立法、立法相矛盾的关键。公安部第三研究所研究员黄道丽认为，网络信息安全立法重点应制定一部综合性的、符合国际惯例的、统领信息化发展的综合性立法。确立防御、控制与惩治“三位一体”的治理法律体系，以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范，让多方主体参与综合治理的层面，明确各方主体在预警与监测、网络安全事件的应急与响应、控制与恢复等环节中的“过程控制”要求，防御、控制、合理分配安全风险，惩治网络空间违法犯罪和恐怖活动。北京邮电大学互联网治理与法律研究中心主任李欲晓则以网络时代社会结构的核心要素(人、物、信息)为逻辑起点，提出了面向碎片化网络社会，但仍具内在逻辑、外在形式体系的网络治理法律构架：从个人层面，网络安全立法需涵盖个人信息权利保护、培养网络安全意识、构建风险防范与处置能力、制定个人行为规则、保护未成年人等基本范畴；从企业层面，应明确网络服务提供者的权利、责任和义务；从国家层面，应明确国家的权力和责任、加强对关键基础设施的保护、保障国家网络安全技术能力、加快网络安全技术研发、加强政府行政监管、积极参与国际规则制定等基本问题。律师、研究员原浩则进一步探讨了从国家层面，如何通过立法保障国家关键基础设施的信息安全。他认为国家关键基础设施保护法的内容应包括预防与准备、发现与响应、控制与恢复、国际合作以及物质与信息融合防范。围绕关键基础设施“稳定运营”，应建立与提升技术保障能力、组织保障能力及执法保障能力。哈尔滨工业大学法学院院长赵宏瑞细致阐述了“总体国家安全观”下网络立法的创新思路。他认为中国只有重视“总体安全”才能重铸网络安全架构。在国内立法层面，应克服网络安全法制的认识误区，统筹维权，进行“四维立法”：在物理(芯片)立法层面，应统一芯片、路由等技术标准，透明监管网络，外设网络硬件动态等级；在用户立法层面，应倡导网络实名制、网络主体责任制、网络行为法制化；在信息立法层面，应全面保护网络信息版权，保护网络软件版权，监管网络信息流量；在国际立法层面，下决心全力打造DNS根域服务器的灾难备份系统，与正义国家实现互相备份、互联互通。综上可见，构建网络信息安全立法框架应立足国际形势与现实立法需求，重点突出兼具“防御、控制、惩治”功能的综合性立法的作用，鼓励多元主体参与网络社会治理，也应平衡好国家安全、产业发展与个人权利保障之间的矛盾与冲突。

(三)网络主权

为构建本国的安全战略，不少大国提出了自身的战略概念，并围绕这一概念营造出一整套战略叙事语言。围绕着“全球公域”、“网络军控”等战略概念，美俄两大国积极推进着国家网络战略的国际部署。西安空军工程大学副教授朱莉欣认为，我国提倡的“网络主权”概念也具有重大的战略意义。我国应以主权的历史渊源为共识之基础、以主权的法理依据为合法之依据，从政策、法律、规章制度入手，探索网络主权实践之道。应重点从战略层面勾勒出网络主权的边界，即网络基础实施是网络主权的硬链接，构成了网络主权的有形边界，而由国家负责管理的Internet顶级域名及注册其下的域名构成了网络主权的软连接，形成了网络主权的无形边界。她还认为保卫网络主权应写入我国的国防战略，在国内外进一步阐述网络主权的理念，并为其寻求法律保障。

二、新技术应用下数据安全与隐私保护

互联网技术更新换代速度极快，当前迅速普及的云计算、物联网、移动互联网、社交网络、智能终端等新技术对隐私和数据安全带来了新的威胁。西安交通大学信息安全法律研究中心云计算安全政策与法律工作组在大会发布的《中国云计算安全政策与法律蓝皮书》中指出，云计算环境下，数据在生成、处理、传输、存储、销毁阶段皆存在数据与隐私泄露风险*在信息生成阶段，服务商取得对与数据的实际控制权及优先访问权，具有可识别性的个人信息无法得到应有的管理和保护； 在数据处理阶段，数据处理的集约化是云服务的优势体现，云服务商可能因节约成本而部署大量的虚拟技术，基础设施的脆弱性和加密措施的失效可能产生新的安全风险；在数据传输阶段，薄弱的用户验证机制或单因素的用户验证码很可能产生安全隐患，而按需服务所具有的潜在安全漏洞又将导致各种未经授权的非法访问，从而产生新的安全风险；在数据存储阶段，云服务商通常将用户数据集中存储，缺乏数据 隔离措施和安全的API控制，很可能产生数据混同与数据丢失。。我国目前还未建立统一的数据保护立法，已有的“补丁”式的立法模式无法解决云计算环境下对个人隐私保护的要求。针对如何解决新技术应用下的数据与隐私保护问题，与会学者认为通过立法形式保护数据与隐私是当务之急。

工信部电信研究院政经所法律研究部主任李海英认为数据安全立法应关注企业业务创新与数据保护的矛盾、自由贸易与数据跨境限制的矛盾。个人信息保护与业务创新的矛盾主要表现为三个方面：一是获取信息用于商业目的与避免个人信息公开之间的矛盾；二是信息充分流转共享与降低个人信息流通风险之间的矛盾；三是高效率低成本的发展与安全保护高投入之间的矛盾。基于以上矛盾，数据保护立法不仅应明确网络服务提供者隐私保护的责任、对个人信息利用的边界、违法犯罪信息追查中的责任与责任限制，也应规范用户的网络行为、提升个人信息安全意识。奇虎360科技有限公司副总裁、总法律顾问傅彤则认为，进入IOT时代，数据隐私问题将愈发严重，网络信息安全立法应着重明确网络服务提供者隐私保护的责任及对个人信息利用的边界，确立保护用户信息安全三原则，一是用户信息是用户的个人资产；二是平等交换、授权使用；三是安全传输、安全存储。

针对企业自由贸易与数据跨境限制的矛盾，李海英认为，应加强数据跨境流动管理，对不同的类型的数据采取不同的管理模式。对于政府或重要的数据应禁止跨境流动，对政府和公共部门的一般数据跨境应实施限制，例如要进行安全风险评估。对普通的个人数据允许跨境流动，但要满足安全管理要求，可通过问责制、合同干预等形式进行管理。

新疆财经大学法学院副教授赵丽莉也从协调技术创新与安全的角度，分析了版权技术保护措施对个人隐私与数据安全造成的威胁与应对策略。她认为版权技术保护措施可通过对终端用户的控制冲击个人隐私的数据安全。*例如，一些软件技术保护措施利用设置后门方式，运用类似间谍软件的功能，一方面导致系统性能下降，资源被耗尽，造成系统安全隐患;另一方面，通过要求使用者在安装执行之时移除有规避功能的程序，进而通过浏览器劫持插件、身份信息窃取程序远程控制用户电脑，以执行监控使用者的功能。，我国急需在立法中明确将“安全性”作为判定技术保护措施有效性的条件*具体做法可包括：第一，对于攻击性的、威胁信息安全的技术保护措施应认定是无效的技术保护措施，明确禁止版权技术保护措施包含传播计算机病毒、攻击和损害计算机系统及通信网络等破坏性程序，以及非法截获、篡改、删除他人电子邮件或其他数据等功能程序；第二，在《著作权法》中明确版权技术保护措施定义的同时，还应确立相关版权技术保护措施采取者、提供者的信息安全遵从义务；第三，为确保版权技术保护措施的规范应用以及相应义务的遵从，在现有版权制度下需确立专门的监管机构。。

三、企业信息安全治理与法规遵从

企业是社会的主要组成单元，企业信息安全治理与信息安全法规遵从义务履行的成熟度是衡量社会整体信息安全保障水平的重要标尺。西安交通大学信息安全法律研究中心张敏博士认为企业不能仅停留在通过技术和管理手段使其自身损失最小化和遵守法令上，还要从构成IT社会一员的立场出发，从公司法人治理的高度，将信息安全注入到企业文化中去。我国企业信息安全治理的法律路径应是内部公司治理与外部公司治理的有机互动。从内部治理角度，我国应根据企业的规模分别建立不同的信息安全治理模型，明确总裁、首席安全官、首席信息官、首席风险官、部门负责人、中层主管、普通员工的职能，确保公司信息安全透明度原则及公司信息安全披露机制的建立。上海泛洋律师事务所高级合伙人刘春权律师亦认为企业是信息安全的第一责任人，没有企业的安全也没有国防和公共机构的安全。企业信息保护的关键在于确立企业保护个人信息的信息安全保障义务，并通过规章、标准等予以具体落实。实现由设门槛的事前监管到注重合规的事中监管。同时可采用递进式惩罚性诉讼赔偿倒逼企业加强信息保护，防止发生滥用、失窃、非法交易等行为。综上可见，企业作为信息社会的重要主体,在信息安全问题上具有双重身份，既是被害者又是加害者，企业不仅应强化自身内部信息安全治理机制，还应提升法规遵从意识，履行个人信息安全保障义务。

微软公司可信赖计算工作组总经理陈静则进一步介绍了微软公司在企业信息安全治理与法规遵从方面的最佳实践：为确保合规性，公司让云服务接受严格的内部和外部审核，以确保对数据隐私和安全管理标准的遵从；为确保透明度，扩充政府安全计划，在世界各地开设透明度中心，发表透明度报告，合法披露尽可能多的数据；为保护客户数据，会质询与有关企业客户的国家安全信函相关的禁言令，反对搜寻仅存放在美国境外的内容数据的搜查令和法庭指令，反对收集海量数据的指令等。

四、网络监控与电子取证

网络监控是当前司法实践中一种全新的取证措施，对于打击网络犯罪、互联网维权等具有重大的推动作用。电子证据是网络监控中一种新形态的证据形式，也是目前法定证据种类之一。如何规范网络监控与电子取证是与会学者热议之焦点。中国人民大学高级工程师戴士剑认为，电子证据与传统证据相比，不仅有助于还原出整个案件的发展过程，还具备易于保存，不易销毁的优势。但当前电子证据鉴定缺少国家级统一的标准规范，从长远看，应出台一个从发现线索、收集固定、检验分析到法庭质证的综合性电子证据规范。中国人民大学法学院副教授刘品新补充，技术标准经过法律认可就可能转化为法律标准。电子取证既要遵循传统的法律原则，也要有自己相对独立的原则，除及时取证原则、全面取证原则与合法取证原则外，电子取证的全过程要尽可能保证电子证据的客观性、真实性与完整性。国家信息中心电子数据司法鉴定中心高级工程师魏连认为电子数据司法鉴定可确保电子证据的客观性、真实性、完整性。为应对电子证据对于传统鉴定的挑战，我们应将关注点由事后服务转移到事前服务上，即数据备份、在线固化与网上鉴定。“国信电子证据保全平台”提供了一种具有创新性的“主动取证”与“被动取证”相结合的解决方式*具体而言，在电子商务中，商家、客户事前确认电子商务系统的证据保全方案。司法鉴定机构可在事前对信息系统的安全性进行检验确认，在系统运行过程中可对关键数据进行实时固化保全，在案发后，可对已经固化的电子证据出具鉴定报告，以保证过程合法及结论合法。。鉴于我国数据取证技术的规范化、标准化和专业化直接影响电子证据的真实性、关联性和合法性。由执法机构单独执行和落实法律规范若存在困难，必要时则需要网络服务商、运营商等机构提供必要的协助执法帮助[7]。

随着网络时代的到来，互联网疆域已成为国家安全的“第五疆域”，推进网络空间法制化已经成为国际共识。我国网络信息安全法制建设及网络社会治理应着眼于中国网络技术的发展水平以及经济、社会对网络的依赖程度，立足于国家战略层面，理性描绘未来网络空间的“法治路线图”，科学建构法律治理框架。在法律治理思路上应以“总体国家安全观”为指导，既发挥立法机关和司法机关在依法治网中的主导作用，也应充分依赖社会力量和市场机制，并加强国际合作，共建和平、安全、开放、合作的网络空间。

[1] 沈昌祥，左晓栋.信息安全[M].浙江:浙江大学出版社，2007：5-6.

[2] 惠志斌.我国国家网络空间安全战略的理论构建与实现路径[J].中国软科学，2012(5)：22-27.

[3] 马民虎.信息安全法律体系：灵魂与重心[J].信息网络安全，2007(1)：13-15.

[4] 傅荣校.国家信息安全理念与信息安全能力建设[J].信息安全，2012(7)：49-51.

[5] 马民虎．信息安全立法三轮：价值、范围和原则[J].信息网络安全，2005(3)：13-15.

[6] 马民虎.国家网络空间“法治路线图”需处理好的五大矛盾[J].中国信息安全,2014(10)：44-45.

[7] 杨国辉.从网络安全对社会和经济发展的重要程度来寻求法律对策-访西安交通大学信息安全法律研究中心主任马民虎[J].中国信息安全，2013(2)：34-36.

(责任编辑：冯 蓉)

Information Security and Legal Governance of Network Society：Space, Strategy, Rights and Capabilities—Review of the Fifth China Information Security Conference

MA Minhu，ZHANG Min

(School of Law，Xi′an Jiaotong University，Xi′an，710049， China)

This paper reviews the scholars′discussion of the basic problems about network information seceurity and governance; the legal construction of network information seceurity should be started at the national strategic level, considering China′s specific national conditions, as well as clarifying the main threat and contradiction of cyber space. Therefore, the entity and procedural legal framework of China′s network space should be constructed comprehensively. Great attention ought to be paid to the privacy and data security problems, especially under the background of new technology application. This conference emphasized also the management duty in enterprise information security, so that it can play a major role in guaranteeing the safety of network space.

network space security; legal management of network space; protection of data and privacy; safety governance of enterprise information security; digital forensics

10.15896/j.xjtuskxb.201502013

2015-01-10

上海市科委基金项目(13511504100)

马民虎(1958- )，男，西安交通大学法学院教授，西安交通大学信息安全法律研究中心主任，博士生导师。

D90

A

1008-245X(2015)02-0092-06