中国网络安全管理体制回顾与展望

2018-12-22 14:18王政坤
网络空间安全 2018年12期
关键词:领导小组个人信息关键

王政坤

(清华大学公共管理学院, 北京 100062)

1 引言

随着信息技术的快速发展,以互联网为代表的新技术新应用新模式新业态已经融入生产生活的方方面面,与国家经济社会发展的各个层面密不可分。网络空间已经成为与陆、海、空、天相并列的新空间,人类社会中的种种形态都进一步延伸至这个新生的空间。任何事物都具有两面性。信息技术特别是互联网给人类带来巨大福利的同时,网络安全问题也伴随而生且日益突出。攻击信息系统、破坏系统和数据的行为日益升级,网络窃密、网络诈骗、个人信息泄露等网络违法犯罪活动日益增多,网络谣言成本极低、传播极快、影响极大,给国家网络安全管理造成巨大挑战。

网络安全不单纯是技术问题,而是与国家社会治理密切相关的重大理论课题,与我国两个“一百年”奋斗目标,实现中华民族伟大复兴的中国梦息息相关的重大时代命题。习近平总书记深刻指出,没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮。目前,我国全社会网络安全意识还比较薄弱,对网络安全的重要性和紧迫性有了一定认识却还不够深刻,站在这样的历史节点上,回顾中国网络安全管理体制改革进程,总结我国网络安全管理的得与失,对完善我国网络安全管理体制、应对新技术新应用带来的全新网络安全挑战、提升全社会网络安全意识、助推中国梦的实现具有重要意义。

2 我国网络安全管理体制改革进程

我国网络安全管理体制改革,有两个最重要的时间节点:一个是2001年中共中央、国务院重新组建国家信息化领导小组,另一个是2014年中央网络安全和信息化领导小组成立。根据这两个时间节点,可以将我国网络安全管理体制改革进程分为三个阶段。

2.1 第一阶段:网络安全管理草创阶段,法律制度标准不健全,没有统一管理部门

我国网络安全的起步,最早可以追溯到三四十年前,当时一批数学家和通信专家转行开始研究密码,最终成为了我国第一批网络安全工作者。后来随着计算机技术的发展和普及,特别是国际互联网接入中国之后,信息安全的社会需求急剧增加,网络安全的队伍迅速扩大。1987年,国家信息中心信息设立安全处,这个第一个网络安全专门机构。1994年公安部颁布了《中华人民共和国计算机信息系统安全保护条例》,这是我国网络安全方面的第一部法规,较全面地从法规角度阐述了关于计算机信息系统安全相关的概念、内涵、管理、监督、责任。受制于当时社会经济发展的实际情况,我们对网络安全的认识还仅仅停留在计算机系统安全这个层面。这个时期,国家层面没有网络安全统一管理机构,法律制度也不健全,网络安全标准非常少,党政部门和广大人民群众网络安全意识非常淡薄,网络安全只是在少数部门和少数网络安全专业人士中摸索着进步。

2.2 第二阶段:国家层面加强协调管理和顶层设计,建立信息安全等级保护制度,产生“九龙治水”的管理弊端

1 9 9 9年,为了加强对全国信息化工作的领导,国务院决定成立国家信息化工作领导小组,负责组织协调国家计算机网络与信息安全管理方面的重大问题,组长由时任国务院副总理吴邦国担任,领导小组没有单设办事机构,具体工作由信息产业部承担。2001年中共中央、国务院决定重新组建国家信息化领导小组。这个领导小组规格更高,时任国务院总理朱镕基总理担任组长,副组长包括两位中央政治局常委和两位中央政治局委员。伴随着领导小组的成立,国务院信息化办公室(以下称国信办)也宣告成立。国信办设置了专门的小组负责网络与信息安全相关事宜的协调、管理与规划。这标志着国家网络安全管理工作有了最高协调机构,网络安全统筹协调力度大幅度增强,网络安全管理开始步入正轨。这一段时期的重要成果是2003年中共中央转发的《国家信息化领导小组关于加强信息安全保障工作的意见》,文件确立了我国信息安全保障工作大政方针,产生了广泛而深远的影响。在这份文件的指导下,我国建立了网络安全管理的基础性制度—信息安全等级保护制度。2007年公安部发布《信息安全等级保护管理办法》,标志着等级保护制度的全面建立。2017年开始实施的《网络安全法》将信息安全等级保护制度修改为网络安全等级保护制度,从法律层面确立了它的地位。2017年全国人大关于检查《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况的报告中提到,网络安全等级保护“已累计受理备案1 4万个信息系统,其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施”。但是,这一时期的网络安全管理也暴露出来许多问题,最主要是管理体制分散,主管部门太多,除国信办负责统筹协调之外,最主要有四个部门—公安、保密、机要、国安,此外还有信产、密码、发改、科技、质检等部门,构成纵横交错的管理体系,被业界戏称为“宫保鸡丁”。这一时期我国网络安全呈现出“九龙治水”的管理格局,对国家网络安全事业的长远发展产生了不利影响。

2.3 第三阶段:中央网络安全和信息化领导小组成立,加强网络安全集中统一领导,管理面貌焕然一新

2014年2月27日,习近平总书记主持召开中央网络安全和信息化领导小组第一次会议,标志着中央层面成立了网络安全工作的最高统筹协调机构。习近平总书记亲自担任中央网络安全和信息化领导小组组长,中央对网络安全的重视程度可想而知。其后各地和有关部门纷纷成立网络安全和信息化领导机构,并设立网信办,国家网络安全管理机制进一步理顺。2018年党和国家机构改革中,中央网络安全和信息化领导小组改为中央网络安全和信息化委员会,负责网信领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实,职能进一步增强。同时对中央网信办职责进行了优化,将国家计算机网络与信息安全管理中心由工业和信息化部管理调整为由中央网信办管理,进一步增强网络安全统筹协调能力。中央网络安全和信息化领导小组成立以后,我国网络安全管理格局发生了深刻改变,集中统一领导得到了加强,“九龙治水”局面明显改善,办成了一些过去想办而没有办成的大事,我国网络安全管理的“四梁八柱”基本建立,为网络安全工作快速发展打下了良好的基础。主要体现在四个方面:

一是《网络安全法》迅速出台。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《网络安全法》,并于2017年6月1日开始实施。《网络安全法》是我国网络安全领域第一部基础性、框架性法律,是我国网络安全管理法律进程的里程碑,是网络安全管理迈向法治轨道的最重要标志,是我国网络安全管理体制改革的最新成果。它规定了一系列网络安全管理制度,如关键信息基础设施保护、网络安全审查、个人信息和重要数据出境评估、关键网络设备和网络安全专用产品认证检测、个人信息保护等,并赋予国家网信部门负责统筹协调网络安全工作和相关监督管理工作的职能。

二是发布《国家网络空间安全战略》。目前世界上几乎所有的大国都有网络安全战略,我国的战略迟迟没有出台,网络安全管理体制分散是重要原因之一。中央网络安全和信息化领导小组成立以后,国家网络空间安全战略的起草进程随之加快。2015年12月2 7日,经中央网络安全和信息化领导小组批准,中央网信办发布了《国家网络空间安全战略》,对外阐明中国关于网络空间发展和安全的重大立场和主张。这是指导国家网络安全工作的纲领性文件。

三是实施关键信息基础设施保护。按照《网络安全法》的要求,国家要在网络安全等级保护的基础上对关键信息基础设施进行重点保护。这就在原来以系统为单元的等级保护模式基础上,推出了系统性保护的制度,更加符合当前网络安全实际。《关键信息基础设施安全保护条例》已经公开征求意见。

四是设立网络空间安全国家一级学科。网络安全人才培养是网络安全的重要基础性工作。我国网络安全人才缺口很大,严重制约国家网络安全保障能力。中央网络安全和信息化领导小组成立后,设立网络安全一级学科的进程随即加快。2015年“网络空间安全”被国务院学位委员会正式批准为国家“一级学科”,有学者称这是:我国网络安全界十余年的梦想,终于实现了。至此,我国网络安全管理有了强有力的集中统一领导机构、有了法律、有了战略、有了人才基础依托、有了具体明确的制度安排,网络安全管理整体面貌焕然一新。

3 我国网络安全管理面临新挑战

随着大数据、云计算、物联网、移动互联网、人工智能等新技术不断进步,网络安全管理的难度和挑战越来越大。

一是网络安全形势与现有管理格局存在矛盾。原来信息系统基本上是孤立的,可以通过一个个系统的网络安全管理来实现网络安全。但是现在网络连通一切,早已经没有孤立的系统,只要一点突破,全网都会受到影响,网络安全管理去边界化的态势越来越明显。但是原有的网络安全管理体制存在较大的滞后性,不可能迅速随之变化,特别是原来网络安全管理的基础制度—等级保护,仍然是建立在有边界的系统安全管理基础之上,难以适应当前的网络安全形势,由此可能会产生较大的网络安全风险。

二是大数据、人工智能等新技术对个人信息保护提出新挑战。我们现在正在步入数据时代,越来越多的国家认识到数据的重要性,认为它是一种战略资源,跟石油、黄金一样。大数据、人工智能等新技术,可以对公民个人精准画像,让个人信息几乎无处隐身。2018年爆出的“剑桥分析”事件,充分暴露了大数据时代个人信息保护的难题。科根通过“这就是你的数字生活”这一个小程序,轻而易举地收集到5000万脸书用户的个人信息。“剑桥分析”公司利用这些个人信息开始为用户画像,精准掌握用户心理,甚至比用户自己还了解自己,在大数据分析的基础上开展精准营销,潜移默化影响用户。目前我国个人信息保护问题严峻,各种个人信息泄露事件层出不穷,山东徐玉玉电信诈骗案给公众敲响了警钟,近期又爆出铁路购票软件12306大量用户数据泄露,公众对个人信息安全问题高度关注。

三是大型互联网平台对网络安全格局产生巨大影响。以BAT为代表的中国大型互联网公司掌握了海量的数据资源,通过大数据分析等技术,这些平台可能会产生巨大的社会影响力,如百度、高德等发布路况信息,会影响很多人行车路线选择,发展到一定程度之后,这些大型平台可以预测经济走势、影响公众心理、引导舆论方向,在某些领域甚至会影响到政府权威。各类新闻信息内容分享平台,通过人工智能算法推荐等方式,向用户精准投放信息内容,个性化、定制化新闻信息传播特征愈加明显,客观上限制了用户获取信息的自由,它们还可以借此进行针对性的商业营销活动,其中风险不容小觑。如何管理大型互联网平台,是国家网络安全管理面临的新课题。

四是物联网时代关键信息基础设施保护面临新问题。金融、能源、电信、交通等领域的信息基础设施,事关国家命脉,事关广大人民群众,不出事则已,一出事就是大事,甚至会造成不可挽回的后果。伊朗“震网”病毒事件是个标志,关键信息基础设施网络安全风险之大,管中窥豹,可见一斑。我国《网络安全法》中对关键信息基础设施保护提出了明确要求:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。目前国务院正在制定《关键信息基础设施安全保护条例》,但落实关键信息基础设施保护工作仍然任重而道远。

4 对策建议

习近平总书记2016年在网络安全和信息化座谈会上的讲话中指出,要树立正确的网络安全观,网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。网络安全管理工作必须把握正确的网络安全观。

一是进一步加大网络安全统筹协调力度。网络安全的整体性决定网络安全必须是集中统一领导,不能分散力量,更不能各行其是。国家有关部门在网络安全政策、资源、资金、技术力量等方面实现有效管理,进一步加大统筹协调力度。

二是国家层面成立数据安全管理的专门机构。数据时代,个人信息保护和重要数据安全管理事关国家安全和广大人民群众的核心利益。地方政府在这方面做了很多有益探索,贵州等地都成立了大数据管理局,专门负责大数据发展利用和安全管理工作,但是目前实践中还存在重发展、轻安全的问题。国家层面亟需成立数据安全管理的专门机构,进一步加强对数据安全管理工作的领导和指导,着力解决个人信息保护等难点问题。

三是加速推进关键信息基础设施安全保护。关键信息基础设施是网络安全保护的重中之重。《网络安全法》明确关键信息基础设施的具体范围和安全保护办法由国务院制定。但是《网络安全法》已经实施一年多了,《关键信息基础设施安全保护条例》自2017年7月10日公开征求意见到现在也一年多了,却迟迟没有出台,这对国家关键信息基础设施保护进程影响不小。有关部门要加快关键信息基础设施保护立法进程,迅速推进关键信息基础设施保护制定的建立和落实。

5 结束语

网络安全是信息化时代最前沿的领域之一,技术发展日新月异,风险挑战层出不穷,且事关国家发展大局和广大人民群众的切身利益,需要不断优化管理体制机制,以适应变化迅速的客观形势,切实保障国家安全、经济发展和社会稳定。

猜你喜欢
领导小组个人信息关键
硝酸甘油,用对是关键
个人信息保护进入“法时代”
高考考好是关键
敏感个人信息保护:我国《个人信息保护法》的重要内容
主题语境九:个人信息(1)
警惕个人信息泄露
江苏高邮农商银行成立巡察工作领导小组
江苏省侨办系统“侨梦苑”建设领导小组成立
蒋百里:“关键是中国人自己要努力”
生意无大小,关键是怎么做?