李衛(wèi)東
【摘要】數(shù)字組織是數(shù)字化時代的必然產(chǎn)物,是數(shù)字經(jīng)濟和數(shù)字社會的重要載體。數(shù)字組織的網(wǎng)絡(luò)安全已經(jīng)成為社會安全和國家安全的“命門”。數(shù)字組織網(wǎng)絡(luò)安全治理的目標就是要保障數(shù)字組織系統(tǒng)內(nèi)全部要素的安全。在治理思維層面,我們需要強化數(shù)字組織安全治理的系統(tǒng)觀念和整體觀念,不僅要關(guān)注關(guān)鍵數(shù)字要素的安全問題,更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問題。在頂層設(shè)計層面,需要從等級保護制度、網(wǎng)絡(luò)安全審查制度和網(wǎng)絡(luò)安全信息共享制度三個方面進一步完善網(wǎng)絡(luò)安全治理制度框架。
【關(guān)鍵詞】數(shù)字組織? 網(wǎng)絡(luò)安全? 治理制度
【中圖分類號】TP391.9/TP309? ? ? ? ? ? ? ? 【文獻標識碼】A
【DOI】10.16619/j.cnki.rmltxsqy.2024.02.009
數(shù)字化是當前經(jīng)濟社會發(fā)展的主流。隨著數(shù)字化的不斷深入,人類的社會結(jié)構(gòu)由純粹的現(xiàn)實一體性結(jié)構(gòu)衍生出現(xiàn)實世界和數(shù)字世界并存的二重結(jié)構(gòu)。[1]數(shù)字組織是數(shù)字世界的基本構(gòu)成單元,也是數(shù)字經(jīng)濟的基本功能單元。整個社會數(shù)字化建設(shè)的目標就是建立一個個能承擔基本經(jīng)濟社會功能的“數(shù)字組織”。因此,數(shù)字組織可看成是一個與現(xiàn)實組織相對應的“鏡像”。在數(shù)字化的高度發(fā)達階段,整個社會的正常運行和持續(xù)發(fā)展都建立在無數(shù)的數(shù)字組織之上。一旦數(shù)字組織本身出現(xiàn)問題,或遭到攻擊和破壞,就會小則一個組織遭受重大損失或停止運行,大則整個社會陷入混亂。例如,數(shù)字政府一旦受到攻擊,將會直接動搖一個國家整體安全的基石;若一些關(guān)乎國計民生的數(shù)字企業(yè)遭到侵害,將可能導致整個國家蒙受嚴重的經(jīng)濟損失。而現(xiàn)實狀況是,各類數(shù)字組織遭受的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件頻發(fā),數(shù)字組織網(wǎng)絡(luò)安全形勢較為嚴峻。在國內(nèi),2018年,一個包含超2億中國求職者簡歷信息的“MongoDB”數(shù)據(jù)庫被發(fā)現(xiàn)可以公開訪問;同年6月某快遞公司泄露10億條用戶數(shù)據(jù);8月某快遞公司泄露3億條用戶數(shù)據(jù),包括寄(收)件人姓名、電話、地址等數(shù)據(jù)項;11月某酒店的系統(tǒng)被入侵導致5億條客戶數(shù)據(jù)泄露,包括客戶的姓名、住址、電話號碼、電子郵件地址、護照號碼、信用卡等數(shù)據(jù)項。在國外,2019年,委內(nèi)瑞拉全國23個州中的18個州在當?shù)貢r間3月7日下午5點發(fā)生了停電,原因是向全國提供80%電力的古里水電站遭到蓄意破壞,9日上午,全國70%的地方恢復了供電,但沒過多久電子系統(tǒng)再次遭到“高科技手段”實施的電磁攻擊,導致再次大范圍停電。2021年,美國最大的成品油管道運營商Colonial Pipeline在當?shù)貢r間5月7日因受到勒索軟件攻擊,被迫關(guān)閉其美國東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò),5月9日,美國政府宣布,美國17個州和華盛頓特區(qū)進入緊急狀態(tài)。
在這種情況下,如何實現(xiàn)數(shù)字組織的網(wǎng)絡(luò)安全治理是亟待解決的重大理論問題;如何建構(gòu)數(shù)字組織的網(wǎng)絡(luò)安全治理的制度框架是亟待回答的實踐問題。本文試圖探索上述問題,擬提出數(shù)字組織網(wǎng)絡(luò)安全治理的生態(tài)思維和制度框架。
數(shù)字組織網(wǎng)絡(luò)安全治理的理論綜述
確保數(shù)字組織的網(wǎng)絡(luò)安全是一個國家網(wǎng)絡(luò)安全的基礎(chǔ)。數(shù)字組織網(wǎng)絡(luò)安全治理的本質(zhì)是數(shù)字組織與政府職能部門、數(shù)字技術(shù)服務提供商等有關(guān)責任主體相互協(xié)作,共同發(fā)現(xiàn)數(shù)字組織所在網(wǎng)絡(luò)環(huán)境中的漏洞,減少或消除網(wǎng)絡(luò)攻擊的威脅。其中漏洞是數(shù)字組織網(wǎng)絡(luò)安全系統(tǒng)中的潛在弱點,威脅是通過利用數(shù)字組織系統(tǒng)漏洞進行網(wǎng)絡(luò)攻擊的可能性。[2]現(xiàn)有研究提出了包括政府監(jiān)管、國際協(xié)議與合作、技術(shù)治理、自我規(guī)制、多利益攸關(guān)方、多邊主義等多種網(wǎng)絡(luò)安全治理模式,呈現(xiàn)出明顯的多元復合和統(tǒng)分結(jié)合的特點。[3]如有學者提出的網(wǎng)絡(luò)安全綜合治理模式強調(diào)要給予網(wǎng)絡(luò)企業(yè)、第三部門尤其是網(wǎng)民公眾參與網(wǎng)絡(luò)安全治理的權(quán)利和機會,[4]構(gòu)建以政府、企業(yè)、網(wǎng)民為主體的網(wǎng)絡(luò)協(xié)同治理機制。[5]“多利益攸關(guān)方”治理模式則側(cè)重從公司和技術(shù)精英的技術(shù)治理層面對市場和社會兩者進行融合。[6]當前對治理模式的爭議主要集中在對美國等西方發(fā)達國家實踐的多利益攸關(guān)方共同治理模式與以中國和俄羅斯為代表的主權(quán)國家政府主導的治理模式的比較上。[7]而由“賦權(quán)社群”主導、基于“多利益攸關(guān)方”的共治模式正逐漸成為共識。我國2020年施行的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》也從制度層面明確了中國共產(chǎn)黨領(lǐng)導下多元參與協(xié)同共治的治理模式,由政府、企業(yè)、社會、網(wǎng)民等主體共同發(fā)揮作用。[8]但總體來看,目前我國的網(wǎng)絡(luò)立法不夠系統(tǒng)全面,行業(yè)自律缺乏主動性和創(chuàng)造性,配合網(wǎng)絡(luò)安全治理的信息技術(shù)工具體系尚未建立。[9]因此,在國家層面完善立法,在行業(yè)層面加強自律,在市場主體層面建立信息技術(shù)工具體系,是提高我國網(wǎng)絡(luò)治理能力的有效路徑。[10]
數(shù)字組織網(wǎng)絡(luò)安全治理的關(guān)鍵問題是如何建構(gòu)一個科學的治理框架,以實現(xiàn)數(shù)字組織與政府職能部門、數(shù)字技術(shù)服務提供商等多個治理主體的相互協(xié)作治理。不過,國家整體層面的網(wǎng)絡(luò)治理是以政府為主導的,數(shù)字組織網(wǎng)絡(luò)安全的責任主體還在于數(shù)字組織本身。在這個前提下,如何劃分各個主體的治理職能,如何分配各個主體的治理權(quán)力,如何形成體系完備的治理制度,是需要探討的幾個重要問題。
首先,在頂層設(shè)計層面,應注意提升國家參與網(wǎng)絡(luò)空間治理的能力。例如,技術(shù)性權(quán)力、解釋性權(quán)力和制度性權(quán)力等,進而努力實現(xiàn)公平、有序的治理。[11]有學者指出,為了滿足我國經(jīng)濟社會發(fā)展、建設(shè)網(wǎng)絡(luò)生態(tài)家園以及面對復雜嚴峻的網(wǎng)絡(luò)安全形勢的現(xiàn)實需要,法治化是目前網(wǎng)絡(luò)安全治理的最優(yōu)模式。[12]
其次,在政府層面,我國網(wǎng)絡(luò)安全治理應加快推進由碎片化管理到協(xié)同化治理、靜態(tài)化管理到動態(tài)化治理、控制式管理到法治化治理以及機械化管理到生態(tài)化治理取向的轉(zhuǎn)型。[13]在此過程中,進一步明確政府的治理職能定位,積極推進公私合作,實現(xiàn)數(shù)字組織網(wǎng)絡(luò)安全的合作治理。[14]
最后,在數(shù)字組織層面,需要綜合運用系統(tǒng)思維和辯證思維,切實承擔主體責任,綜合考慮數(shù)字組織網(wǎng)絡(luò)安全與成本、發(fā)展、開放和權(quán)利的關(guān)系,[15]不能因為顧慮安全問題而放棄數(shù)字組織的建設(shè)和發(fā)展。
據(jù)此,下文試圖從治理思維和治理制度兩個層面提出數(shù)字組織網(wǎng)絡(luò)安全的治理框架。在明確安全治理的總體目標前提下,治理思維旨在闡明安全治理的總體思路,治理制度旨在闡明頂層設(shè)計視角的治理路徑。在此基礎(chǔ)上,構(gòu)建以安全基礎(chǔ)設(shè)施為基礎(chǔ)、以數(shù)字組織自身的安全管理為中心、以法律制度為保障的三位一體的數(shù)字組織網(wǎng)絡(luò)安全治理體系。[16]此治理框架旨在構(gòu)建協(xié)同共治的網(wǎng)絡(luò)秩序格局,保障各類數(shù)字組織自身的權(quán)益,實現(xiàn)公共利益最大化。[17]此治理框架的建立,需要國家權(quán)力機關(guān)制定和完善網(wǎng)絡(luò)安全治理的法律法規(guī),國家行政機關(guān)制定和完善有關(guān)的政策、規(guī)范和監(jiān)管機制,并引導數(shù)字組織積極參與網(wǎng)絡(luò)安全治理。[18]
數(shù)字組織網(wǎng)絡(luò)安全治理的生態(tài)系統(tǒng)思維
數(shù)字組織本質(zhì)上是一個由云邊端的海量數(shù)字要素(設(shè)施、平臺、應用和數(shù)據(jù))相互連接而成的復雜生態(tài)系統(tǒng),涵蓋云端、邊緣端和終端的各類基礎(chǔ)設(shè)施、應用平臺、數(shù)據(jù)和終端設(shè)備。無論云端、邊緣端和終端的哪種數(shù)字要素受到攻擊,整個生態(tài)系統(tǒng)的安全缺口都可能被打開,進而衍生出一系列安全問題,甚至導致嚴重的安全災難。強化數(shù)字組織安全治理的系統(tǒng)觀念和整體觀念,不僅要關(guān)注關(guān)鍵數(shù)字要素的安全問題,更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問題。確保“云邊端生態(tài)系統(tǒng)”的安全就相當于加固數(shù)字組織的“邊界”,只要“邊界”安全了,“邊界”里面裝載的內(nèi)容自然也就安全了。加強“云邊端生態(tài)系統(tǒng)”安全治理的具體思路包括三個方面。
一是盡可能地消除云邊端生態(tài)系統(tǒng)安全保障體系中的薄弱環(huán)節(jié)。云邊端生態(tài)系統(tǒng)安全保障體系中的薄弱環(huán)節(jié)相當于人的“命門”。盡管云邊端生態(tài)系統(tǒng)中某些局部的安全性很強,但攻擊者往往會掃描和嗅探云邊端生態(tài)系統(tǒng)中存在安全漏洞,并以其數(shù)字要素作為突破口,攻入云邊端生態(tài)系統(tǒng)的要害。例如,在云邊端生態(tài)系統(tǒng)中,僅具有有限資源的邊緣設(shè)施和物聯(lián)網(wǎng)終端,難以部署較為高級的安全保障機制,如復雜的加密算法。[19]這些邊緣設(shè)施和物聯(lián)網(wǎng)終端極易被入侵者進行“重新編程”,以便通過它將數(shù)據(jù)發(fā)送到入侵者的數(shù)據(jù)庫服務器。[20]如2018年,某犯罪團伙將安裝在物流網(wǎng)點手持終端(俗稱“巴槍”)中的“菜鳥驛站”應用軟件破解后,植入控件程序,直接通過數(shù)據(jù)回傳獲得數(shù)據(jù),非法竊取“菜鳥驛站”快遞數(shù)據(jù)超過1000萬條。[21]同時,敏感數(shù)據(jù)也可能經(jīng)由組件分析被提取出來,云邊端生態(tài)系統(tǒng)中的某個硬件或軟件部件也可能被非法替換。[22]在未來,數(shù)字工廠中的智能制造設(shè)備,數(shù)字組織辦公區(qū)域內(nèi)安裝和使用的智能電表、智能家居,以及數(shù)字組織員工使用的智能汽車都可能成為攻擊的對象。如根據(jù)國家互聯(lián)網(wǎng)應急中心發(fā)布的《2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》可知,工業(yè)控制系統(tǒng)安全方面,我國有4630臺工業(yè)設(shè)備被暴露在互聯(lián)網(wǎng)上,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)持續(xù)遭受來自境外的掃描嗅探。為此,數(shù)字組織需要建立統(tǒng)一的或協(xié)調(diào)一致的云邊端生態(tài)系統(tǒng)訪問控制和身份認證機制,以便為數(shù)字流程在分布式邊緣節(jié)點和物聯(lián)網(wǎng)終端設(shè)備間的切換提供可靠高效的安全保障。
二是確保數(shù)據(jù)在云端、邊緣端和終端間的傳輸安全。盡管在云邊端生態(tài)系統(tǒng)中,邊緣節(jié)點無需將大量原始數(shù)據(jù)實時向云端傳輸,但大量邊緣節(jié)點之間、邊緣節(jié)點與終端設(shè)備之間、終端設(shè)備之間的數(shù)據(jù)傳輸是不可避免的。特別是,在擁有數(shù)字工廠的數(shù)字組織中,大量工業(yè)設(shè)備已接入網(wǎng)絡(luò),設(shè)備間、機器間的數(shù)據(jù)傳輸無處不在。具體而言,數(shù)字組織的數(shù)字流程在流轉(zhuǎn)過程中,其數(shù)據(jù)傳輸和信息交互可能發(fā)生在云端與云端之間,也可能發(fā)生在云端與應用端、云端與邊緣端、云端與終端之間。因此,數(shù)字組織必須確保敏感數(shù)據(jù)在頻繁傳輸中不被監(jiān)聽和竊取。
三是確保國家網(wǎng)絡(luò)邊疆的總體安全,有效防范網(wǎng)絡(luò)恐怖活動。數(shù)字組織的云邊端生態(tài)系統(tǒng)在整個國家的網(wǎng)絡(luò)空間生態(tài)系統(tǒng)中,也僅僅是一個子系統(tǒng)。單個數(shù)字組織內(nèi)的數(shù)字要素安全有賴于云邊端生態(tài)系統(tǒng)的整體安全;單一數(shù)字組織的云邊端生態(tài)系統(tǒng)安全也有賴于國家網(wǎng)絡(luò)邊疆的總體安全。網(wǎng)絡(luò)邊疆是一國劃定的屬于本國主權(quán)管轄范圍內(nèi)的網(wǎng)絡(luò)空間,國家對網(wǎng)絡(luò)邊疆內(nèi)信息、數(shù)據(jù)的流通行為具有管轄權(quán),若未經(jīng)授權(quán)進行竊取,就是對國家主權(quán)的侵犯。[23]特別是,國家關(guān)鍵信息基礎(chǔ)設(shè)施往往是各類數(shù)字組織正常運行的基礎(chǔ),包括公共通信、廣播電視傳輸?shù)确盏幕A(chǔ)信息網(wǎng)絡(luò),能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領(lǐng)域數(shù)字組織中的重要信息系統(tǒng),以及重要互聯(lián)網(wǎng)應用系統(tǒng)。這些國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全是數(shù)字組織網(wǎng)絡(luò)安全的“基石”,一旦出現(xiàn)問題,后果不堪設(shè)想。當前,我國網(wǎng)絡(luò)安全的總體形勢不容樂觀。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第49次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示,截至2021年12月,全國各級網(wǎng)絡(luò)舉報部門共受理舉報16622.4萬件,較2020年同期(16319.2萬件)增長1.9%。2021年,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收集整理信息系統(tǒng)安全漏洞143319個,較2020年同期(20721個)增長591.7%;其中,收集整理信息系統(tǒng)高危漏洞40498個,較2020年同期(7422個)增長445.6%。特別是,一些非法團體、恐怖組織出于政治、社會或宗教目的,通過互聯(lián)網(wǎng)針對某個國家的關(guān)鍵信息基礎(chǔ)設(shè)施進行非法攻擊,以恐嚇或脅迫政府、國際組織或公民等。[24]這種對網(wǎng)絡(luò)恐怖主義行為的防范已經(jīng)超出了單一組織的能力范疇,屬于網(wǎng)絡(luò)邊疆的范疇。因此,我們只有從總體上確保國家網(wǎng)絡(luò)邊疆的安全,才能為數(shù)字組織的網(wǎng)絡(luò)安全提供堅實的基礎(chǔ)保障。
數(shù)字組織網(wǎng)絡(luò)安全治理的制度框架
數(shù)字組織網(wǎng)絡(luò)安全的責任主體是組織自身。如前所述,數(shù)字組織網(wǎng)絡(luò)安全不僅關(guān)系到數(shù)字組織自身的生存和發(fā)展,更重要的是關(guān)乎國家網(wǎng)絡(luò)空間的總體安全。如何確保數(shù)字組織切實履行安全治理責任?國家必須建立健全網(wǎng)絡(luò)安全的法律制度框架,為數(shù)字組織的網(wǎng)絡(luò)安全治理提供基本遵循。
現(xiàn)有制度建設(shè)的不足。從制度建設(shè)來看,我國在網(wǎng)絡(luò)安全領(lǐng)域的制度建設(shè)已取得一定成效。如在戰(zhàn)略層面,2016年,國家互聯(lián)網(wǎng)信息辦公室發(fā)布并實施了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》,闡明了我國在網(wǎng)絡(luò)空間安全與發(fā)展問題上的戰(zhàn)略立場和主張,細化了網(wǎng)絡(luò)安全治理的目標與任務,是當前我國開展網(wǎng)絡(luò)安全治理的綱領(lǐng)性文件。在法律層面,相繼完成網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護等領(lǐng)域的專門立法,確立了共同治理的基本理念和思路,設(shè)置了大量的倡導性規(guī)范,[25]標志著中國的網(wǎng)絡(luò)安全治理已進入法治化軌道。在行政法規(guī)和部門規(guī)章中,對關(guān)鍵信息基礎(chǔ)設(shè)施安全、工業(yè)互聯(lián)網(wǎng)安全、云計算服務安全、網(wǎng)絡(luò)安全審查等內(nèi)容作出了具體規(guī)定。在標準和細則層面,截至2021年,全國信息安全標準化技術(shù)委員會下屬的4個工作組(信息安全評估工作組、通信安全標準工作組、信息安全管理工作組和大數(shù)據(jù)安全標準特別工作組)共發(fā)布211項相關(guān)國家標準,[26]涉及網(wǎng)絡(luò)安全等級保護、網(wǎng)絡(luò)安全漏洞管理、網(wǎng)絡(luò)產(chǎn)品和服務安全、代碼安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)存儲安全、大數(shù)據(jù)安全、個人信息安全、云計算服務安全等領(lǐng)域的具體規(guī)定和實施細則??傮w來看,中國已經(jīng)形成了包括戰(zhàn)略規(guī)劃、法律、行政法規(guī)、司法解釋、部門規(guī)章、地方法規(guī)、地方規(guī)章、企業(yè)管理規(guī)定以及其他規(guī)范性文件在內(nèi)的較為健全的網(wǎng)絡(luò)管理制度框架。
然而,現(xiàn)有制度建設(shè)也存在一定的滯后性,導致關(guān)鍵制度和治理結(jié)構(gòu)不足以應對大數(shù)據(jù)和云服務所面臨的安全和隱私問題。當前,網(wǎng)絡(luò)空間的技術(shù)架構(gòu)不斷向云邊端融合的方向發(fā)展,這一布局正催生出一個以云計算、物聯(lián)網(wǎng)和邊緣計算為基礎(chǔ)、以核心企業(yè)為主導、產(chǎn)業(yè)鏈上各主體相互配合并在政府監(jiān)管支持下安全運作的云邊端生態(tài),系統(tǒng)中的各要素相互影響、相互制約,并不斷演化以求達到動態(tài)平衡狀態(tài)。技術(shù)環(huán)境的變化導致網(wǎng)絡(luò)安全保障的基礎(chǔ)理論和制度建設(shè)已經(jīng)不能滿足現(xiàn)實的需要。具體而言,云邊端生態(tài)環(huán)境下,遠程辦公、醫(yī)療、教育等領(lǐng)域涉及節(jié)點眾多,應用環(huán)境復雜,包括網(wǎng)絡(luò)接入環(huán)境、終端設(shè)備、數(shù)據(jù)存儲、云平臺、可信認證、密碼強度等,若存在薄弱環(huán)節(jié),可能引發(fā)網(wǎng)絡(luò)遠程協(xié)同業(yè)態(tài)中的系統(tǒng)運行安全、網(wǎng)絡(luò)邊界安全、數(shù)據(jù)安全等方面的風險。如2014年國家質(zhì)量監(jiān)督檢驗檢疫總局和國家標準化管理委員會發(fā)布的《信息安全技術(shù) 云計算服務安全指南》從控制能力、責任界定、司法管轄、數(shù)據(jù)安全等方面明確指出可能存在的云計算安全風險。但現(xiàn)行制度并未對數(shù)字組織應如何應對新技術(shù)生態(tài)環(huán)境下的安全風險問題作出規(guī)定,尤其是當面臨重大的網(wǎng)絡(luò)安全問題時,各職能部門存在條塊分割、權(quán)責不清、橫向協(xié)調(diào)困難等一系列問題,難以形成有效的網(wǎng)絡(luò)安全協(xié)調(diào)治理體系。同時,在構(gòu)建網(wǎng)絡(luò)安全體系框架時,在政府職能部門、企業(yè)、事業(yè)單位和個人等網(wǎng)絡(luò)安全服務者的責任與義務分配(如數(shù)字組織的安全審查義務)、安全等級劃分、不同主體之間的聯(lián)動與信息共享等方面的制度建設(shè)存在薄弱之處。例如,有學者指出,我國網(wǎng)絡(luò)安全治理的法律仍有需要完善的地方,法律對策應當直指預防、控制安全風險的客觀需求,以程序保障為重點,從評估、責任和應急三方面展開過程控制的制度設(shè)計。[27]國家也應當以網(wǎng)絡(luò)社會各分層主體的法律地位為基礎(chǔ)來構(gòu)建網(wǎng)絡(luò)安全治理的法律規(guī)范體系。[28]網(wǎng)絡(luò)安全治理的法律規(guī)范體系應當涵蓋國家關(guān)鍵信息基礎(chǔ)設(shè)施和重要數(shù)據(jù)的安全保障、數(shù)字技術(shù)服務提供商的行為規(guī)制、網(wǎng)絡(luò)信息傳播主體的行為約束等方面。
健全網(wǎng)絡(luò)安全治理制度框架。面對互聯(lián)網(wǎng)生態(tài)系統(tǒng)的巨復雜性,互聯(lián)網(wǎng)技術(shù)發(fā)展帶來的新挑戰(zhàn)與新風險,互聯(lián)網(wǎng)管理中政府、市場、社會等多元主體權(quán)力邊界模糊,管理缺位、越位、錯位,以及網(wǎng)絡(luò)安全突發(fā)事件等各種現(xiàn)實難題,數(shù)字組織作為網(wǎng)絡(luò)安全的治理主體之一,應該承擔哪些主體責任,如何與政府部門、數(shù)字技術(shù)服務提供商(網(wǎng)絡(luò)運營者、關(guān)鍵信息基礎(chǔ)設(shè)施運營者、云平臺管理運營者)、社會組織(非政府組織和非盈利組織)、互聯(lián)網(wǎng)社群和網(wǎng)絡(luò)用戶等其他主體進行有效的協(xié)作?為回答這些問題,本文擬從等級保護制度、網(wǎng)絡(luò)安全審查制度和網(wǎng)絡(luò)安全信息共享制度三個方面,來討論如何進一步完善網(wǎng)絡(luò)安全治理制度框架。
第一,等級保護制度。信息系統(tǒng)等級保護系列國家標準被廣泛應用于網(wǎng)絡(luò)安全職能部門、各行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全管理部門及等級測評機構(gòu)開展系統(tǒng)定級、安全建設(shè)整改、等級測評、安全自查和安全監(jiān)督檢查等相關(guān)工作。[29]2019年12月1日,配合《中華人民共和國網(wǎng)絡(luò)安全法》,《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019),即“等級保護2.0”正式實施,確立了網(wǎng)絡(luò)安全等級保護制度的法律地位,明確了網(wǎng)絡(luò)安全等級。等級保護2.0實現(xiàn)了新技術(shù)、新應用對安全保護對象和安全保護領(lǐng)域的全覆蓋,更加突出技術(shù)思維和立體防范;對安全測評服務機構(gòu)、等級保護對象的運營使用單位及主管部門的等級保護工作提出了更加細致的規(guī)定;[30]依據(jù)“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則,明確了等級保護的主體職責。數(shù)字組織須依據(jù)等級保護2.0開展定級評審,明確自身的網(wǎng)絡(luò)安全等級要求,建立數(shù)字組織內(nèi)部的安全等級保護制度。數(shù)字組織可以根據(jù)各類數(shù)據(jù)的敏感程度將組織的數(shù)據(jù)資源進行分級,區(qū)分敏感數(shù)據(jù)并對其進行加密存儲。[31]具體內(nèi)容包括劃分和認定全部數(shù)字資源的密級;設(shè)定每位用戶的數(shù)字流程身份,設(shè)定每種數(shù)字流程身份的數(shù)據(jù)訪問權(quán)限和數(shù)字平臺操作權(quán)限;建立組織成員與數(shù)字流程身份的匹配與對應關(guān)系。有學者提出,可以使用數(shù)據(jù)防護成熟度[32]測量模型來評估和提升一個組織的數(shù)據(jù)管理水平。[33]該模型將數(shù)據(jù)防護成熟度劃分為五個等級,包括初始級、已管理級、已定義級、定量管理級和優(yōu)化級。[34]“初始級”的數(shù)據(jù)缺乏管理的有效性;“已管理級”的數(shù)據(jù)管理通常以項目為基礎(chǔ)展開;“已定義級”的數(shù)據(jù)管理在組織層面展開且具有主動性;“定量管理級”的數(shù)據(jù)管理可測評且可控;“優(yōu)化級”的數(shù)據(jù)管理注重數(shù)據(jù)的改進與提高。[35]數(shù)字組織可以自行開展數(shù)據(jù)防護成熟度水平的等級評估,找出漏洞和不足,不斷提高數(shù)據(jù)管理水平,以便更好地滿足國家對等級保護的要求。
第二,網(wǎng)絡(luò)安全審查制度。目前,大量國外數(shù)字技術(shù)產(chǎn)品和服務已經(jīng)深度滲透至中國的關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和各類組織的數(shù)字化建設(shè)中,中國的網(wǎng)絡(luò)安全審查面臨著嚴峻挑戰(zhàn)。[36]實施網(wǎng)絡(luò)安全審查制度已經(jīng)成為世界各國的通行做法。如美國建立的網(wǎng)絡(luò)安全審查機制具有內(nèi)容廣泛、審查嚴苛、標準模糊等特點。[37]2022年2月,由國家互聯(lián)網(wǎng)信息辦公室等13部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》開始施行,該辦法要求,關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務的,應當預判該產(chǎn)品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。
如果一個數(shù)字組織建設(shè)的數(shù)字平臺和數(shù)字設(shè)施屬于關(guān)鍵信息基礎(chǔ)設(shè)施,無疑需要嚴格遵守該辦法。但一般的數(shù)字組織在數(shù)字化建設(shè)中同樣需要采購和部署大量數(shù)字技術(shù)產(chǎn)品和專門的安全產(chǎn)品。因此,數(shù)字組織需要建立其內(nèi)部的網(wǎng)絡(luò)安全審查制度。一方面,需要審查組織數(shù)字化建設(shè)方案中所采用的國外數(shù)字技術(shù)及產(chǎn)品是否會給數(shù)字組織帶來安全威脅。例如,某些西方國家的情報組織自冷戰(zhàn)時期至21世紀初期,一直秘密地控制第三方公司向外國政府和企業(yè)出售加密機器,一邊賺取數(shù)百萬美元的高額利潤,一邊收集重要情報。[38]另一方面,需要審查組織的數(shù)字化建設(shè)方案中涉及的關(guān)鍵核心技術(shù)是否自主可控,是否存在“斷供”風險。
第三,網(wǎng)絡(luò)安全信息共享制度。如前所述,數(shù)字組織本身是一個典型的“云邊端生態(tài)系統(tǒng)”,數(shù)字組織之間的開放合作也能形成一個復雜網(wǎng)絡(luò)系統(tǒng)。某一數(shù)字組織一旦發(fā)生網(wǎng)絡(luò)安全事件,可能直接導致與其有關(guān)聯(lián)的其他數(shù)字組織發(fā)生連鎖的安全事故,并最終演化為大范圍的重大網(wǎng)絡(luò)安全事故,直接威脅國家網(wǎng)絡(luò)安全和國家總體安全。有學者提出,國家需要通過立法從安全信息披露主體、信息披露對象、信息披露的主要內(nèi)容和時間、信息披露要求和責任,以及信息披露的例外等五個方面建立網(wǎng)絡(luò)安全事件信息披露機制。[39]也有學者提出,建立強有力的獎懲制度和訂立信息共享道德契約,能夠有效構(gòu)建網(wǎng)絡(luò)安全威脅情報共享與交換機制。[40]安全信息共享的范圍主要包括數(shù)字組織與政府間的安全信息共享,數(shù)字組織之間的安全信息共享,數(shù)字組織與社會公眾間的安全信息共享。
一是數(shù)字組織與政府間的安全信息共享。數(shù)字組織較難依靠自身的力量響應和處置突發(fā)網(wǎng)絡(luò)安全事件,因此必須及時向國家有關(guān)部門報告。如在“阿里云阿帕奇”事件中,阿里云工程師發(fā)現(xiàn)了一個重大安全漏洞,按照行業(yè)規(guī)定上報到開發(fā)方阿帕奇社區(qū),但并沒有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息,導致我國網(wǎng)絡(luò)安全在長達15天的時間里面臨重大威脅。對于涉及跨境網(wǎng)絡(luò)攻擊和跨境網(wǎng)絡(luò)犯罪問題的網(wǎng)絡(luò)安全事件,只有及時上報,相關(guān)政府機構(gòu)才有權(quán)限開展跨境協(xié)作,國家相關(guān)部門才能及早介入調(diào)查事故原因,科學判斷此次安全事件是否威脅國家安全,及時防止網(wǎng)絡(luò)安全問題的進一步升級和惡化。
二是數(shù)字組織之間的安全信息共享。數(shù)字組織的網(wǎng)絡(luò)安全問題本質(zhì)上是云邊端生態(tài)系統(tǒng)的安全問題,該生態(tài)系統(tǒng)中任何一個硬件系統(tǒng)或軟件系統(tǒng)出現(xiàn)安全事故,都可能涌現(xiàn)出一系列新的安全問題。如果云邊端生態(tài)系統(tǒng)中涉及的各類產(chǎn)品和服務提供商之間無法充分共享安全信息,就難以采取協(xié)調(diào)一致的安全防范和應急處置行動,最終可能導致系統(tǒng)性風險。
三是數(shù)字組織與社會公眾間的安全信息共享。數(shù)字組織需要主動向用戶共享涉及個人隱私的安全信息,包括將收集哪些個人數(shù)據(jù),如何使用收集到的個人數(shù)據(jù),是否會向第三方機構(gòu)開放這些個人數(shù)據(jù)。同時,數(shù)字組織網(wǎng)絡(luò)安全事件一般都涉及用戶的切實利益,一旦事故發(fā)生應向用戶及時通報有關(guān)情況,以便用戶配合做好相關(guān)的事后處置事宜,以防用戶在不知情的情況下受到人身安全和財產(chǎn)安全的二次損害。例如,一些數(shù)字組織網(wǎng)絡(luò)安全事件中,用戶的個人數(shù)據(jù)遭到大量泄露,直接威脅用戶的隱私安全。若不及時向用戶通報,不法分子可能利用泄露的個人數(shù)據(jù)對用戶實施詐騙等犯罪行為。如據(jù)央視“3·15”晚會曝光,多家在線招聘網(wǎng)站存在簡歷泄露情況,記者僅花費7元,便在網(wǎng)上購買到一份求職者簡歷。而這些在線招聘網(wǎng)站從未主動向用戶通報過相關(guān)情況。
結(jié)語
數(shù)字組織是數(shù)字化時代的必然產(chǎn)物,是數(shù)字經(jīng)濟和數(shù)字社會的構(gòu)成要素和重要載體,數(shù)字組織網(wǎng)絡(luò)安全關(guān)乎國家總體安全。數(shù)字組織網(wǎng)絡(luò)安全治理要保障數(shù)字組織系統(tǒng)內(nèi)全部要素的安全,更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問題,確?!霸七叾松鷳B(tài)系統(tǒng)”的安全。為了確保數(shù)字組織切實履行安全治理責任,國家必須建立健全網(wǎng)絡(luò)安全的法律制度框架,為數(shù)字組織的網(wǎng)絡(luò)安全治理提供基本遵循。
(本文系國家社會科學基金重大項目“健全互聯(lián)網(wǎng)領(lǐng)導和管理體制研究”的階段性成果,項目編號:22ZDA078;華中科技大學新聞與信息傳播學院博士研究生覃亞林對本文亦有貢獻)
注釋
[1]蔣廉雄:《數(shù)字化時代建立領(lǐng)導品牌:理論與模式創(chuàng)新》,北京:社會科學文獻出版社,2020年,第220頁。
[2]See K. Graves, Certified Ethical Hacker Study Guide, Wiley Publishing, Inc., 2010.
[3]張偉、金蕊:《中外互聯(lián)網(wǎng)治理模式的演化路徑》,《南京郵電大學學報(社會科學版)》,2016年第4期。
[4]何明升:《中國網(wǎng)絡(luò)治理的定位及現(xiàn)實路徑》,《中國社會科學》,2016年第7期。
[5]羅方祿:《網(wǎng)絡(luò)非技術(shù)風險及其安全治理》,《中南大學學報(社會科學版)》,2020年第6期。
[6]蔡翠紅:《國家-市場-社會互動中網(wǎng)絡(luò)空間的全球治理》,《世界經(jīng)濟與政治》,2013年第9期。
[7]崔保國:《網(wǎng)絡(luò)空間治理模式的爭議與博弈》,《新聞與寫作》,2016年第10期。
[8]黃楚新、曹曦予:《論中國共產(chǎn)黨的網(wǎng)絡(luò)治理領(lǐng)導能力》,《科技與出版》,2021年第7期。
[9][10]范靈俊等:《我國網(wǎng)絡(luò)空間治理的挑戰(zhàn)及對策》,《電子政務》,2017年第3期。
[11]任琳、呂欣:《大數(shù)據(jù)時代的網(wǎng)絡(luò)安全治理:議題領(lǐng)域與權(quán)力博弈》,《國際觀察》,2017年第1期。
[12]魏光禧:《法治化是網(wǎng)絡(luò)治理創(chuàng)新的最優(yōu)模式》,《人民論壇》,2017年第6期。
[13]唐慶鵬、康麗麗:《當前我國網(wǎng)絡(luò)突發(fā)公共事件的發(fā)展新態(tài)勢及其治理轉(zhuǎn)型》,《求實》,2018年第4期。
[14]陳越峰:《關(guān)鍵信息基礎(chǔ)設(shè)施保護的合作治理》,《法學研究》,2018年第6期。
[15]陶文昭:《網(wǎng)絡(luò)安全的國家戰(zhàn)略》,《人民論壇》,2016年第4期。
[16]田麗、李洪磊:《網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全綜合治理體系研究》,《情報雜志》,2007年第2期。
[17]馮建華:《中國網(wǎng)絡(luò)秩序觀念的生成邏輯與意涵演變》,《南京社會科學》,2020年第11期。
[18]張?zhí)N昭:《中國特色治網(wǎng)之道:理念與成就——十八大以來我國網(wǎng)絡(luò)空間治理的回顧與思考》,《中國行政管理》,2019年第1期。
[19]M. Ikram et al., “An Analysis of the Privacy and Security Risks of Android VPN Permission-Enabled Apps,“ Proceedings of ACM Internet Measurement Conference, 2016, 11.
[20]J. Sathish Kumar and D. R. Patel, “A Survey on Internet of Things: Security and Privacy Issues,“ International Journal of Computer Applications, 2014, 90(11).
[21]《菜鳥驛站1000萬條數(shù)據(jù)被非法竊取:均為學生快遞信息》,2018年9月21日,https://tech.sina.com.cn/i/2018-09-21/doc-ihkhfqnt4484262.shtml。
[22]I. Stojmenovic, “Large Scale Cyber-Physical Systems: Distributed Actuation, in-Network Processing and Machine-to-Machine Communications,“ 2013 2nd Mediterranean Conference on Embedded Computing (MECO), 2013, 6.
[23]吉鵬、許開軼:《政治安全視閾下網(wǎng)絡(luò)邊疆協(xié)同治理的困境及其突破路徑》,《當代世界與社會主義》,2019年第4期。
[24]趙紅艷:《國際合作背景下的網(wǎng)絡(luò)恐怖主義治理對策》,《中國人民公安大學學報(社會科學版)》,2016年第3期。
[25]庹繼光:《〈網(wǎng)絡(luò)安全法〉的治理思路辨析》,《新聞愛好者》,2017年第8期。
[26]數(shù)據(jù)來源于全國信息安全標準化技術(shù)委員會發(fā)布的信息安全國家標準列表,https://www.tc260.org.cn/advice/list.html。
[27]馬民虎:《網(wǎng)絡(luò)安全:法律的困惑與對策》,《中國人民公安大學學報(社會科學版)》,2007年第1期。
[28]黎慈:《社會分層視野下網(wǎng)絡(luò)安全立法體系的構(gòu)建》,《湖北社會科學》,2019年第5期。
[29]曲潔等:《新時代下網(wǎng)絡(luò)安全服務能力體系建設(shè)思路》,《信息網(wǎng)絡(luò)安全》,2019年第1期。
[30]馬力等:《網(wǎng)絡(luò)安全等級保護基本要求(GB/T 22239-2019)標準解讀》,《信息網(wǎng)絡(luò)安全》,2019年第2期。
[31]周勝利等:《大數(shù)據(jù)環(huán)境下電信運營商數(shù)據(jù)安全保護方案》,《電信科學》,2017年第5期。
[32]其內(nèi)涵為研究對象與其完美狀態(tài)的相對值,包含確定對象的理想狀態(tài)、目前狀態(tài)以及衡量目前狀態(tài)與理想狀態(tài)之間差距三個步驟。
[33]黨洪莉、譚海兵:《基于DMM的數(shù)據(jù)管理成熟度模型及在服務評估中的應用》,《現(xiàn)代情報》,2017年第9期。
[34]葉蘭:《研究數(shù)據(jù)管理能力成熟度模型評析》,《圖書情報知識》,2015年第2期。
[35]K. Crowston and J. Qin, “A Capability Maturity Model for Scientific Data Management: Evidence from the Literature,“ Proceedings of the American Society for Information Science and Technology, 2011, 48(1).
[36]李青:《美國網(wǎng)絡(luò)安全審查制度研究及對中國的啟示》,《國際安全研究》,2017年第2期。
[37]張孟媛、袁鐘怡:《美國網(wǎng)絡(luò)安全審查制度發(fā)展、特點及啟示》,《網(wǎng)絡(luò)與信息安全學報》,2019年第6期。
[38]《美德間諜秘密曝光:多國通訊加密裝置疑一直被設(shè)“后門”》,2020年2月12日,https://www.163.com/dy/article/F570C8180534B8CV.html。
[39]趙麗莉、鐘晗:《論網(wǎng)絡(luò)安全事件信息披露機制的建構(gòu)》,《重慶大學學報(社會科學版)》,2017年第1期。
[40]林玥等:《網(wǎng)絡(luò)安全威脅情報共享與交換研究綜述》,《計算機研究與發(fā)展》,2020年第10期。
責 編∕李思琪