随着物联网、云计算、大数据和移动互联网等技术的快速发展,网络空间面临的威胁类型呈现出复合化的发展趋势,以此为基础的网络威胁治理模式也亟待更新和完善。2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上明确提出,要加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。
在此方面,我国已逐步认识到加强网络安全信息共享对于实现网络安全保障的必要性和迫切性。在《网络安全法》中明确提出了关键信息基础设施保护领域的网络安全信息共享及其参与主体,其中要求促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享。此外,《网络安全法》对关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系,以及网络安全监测预警和信息通报制度做出了原则性规定。由此可见,我国网络安全信息共享已迈入法制化轨道。
(一)积极倡导网络运营者之间、行业组织内部成员之间的网络安全信息共享
《网络安全法》明确规定国家支持网络运营者之间以及行业组织内部成员之间建立有效的网络安全保障协作机制,实际上即为企业之间或行业内部进行网络安全信息共享的一般规定。鉴于网络安全威胁的复合化发展趋势,国家也积极倡导关键信息基础设施运营者以外的网络运营者参与网络安全信息共享,以保障网络基本运行安全,同时也为现有的点对点共享模式、行业内部的会员制共享模式等提供法律实施接口。
(二)强化关键信息基础设施保护领域的网络安全信息共享
首先,从法律层面首次明确提出“网络安全信息共享”。《网络安全法》首次提出了“网络安全信息共享”这一术语,并且明确其涵盖有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享,即政府机构与企业相互之间的信息共享。
其次,原则性限定政府机构使用共享信息的目的。为了避免政府机构在网络安全信息共享的实施过程中滥用职权,不当获取、披露、存留和使用其获取的网络安全信息,《网络安全法》第三十条明确规定,国家网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途,例如不得用于行政执法中的证据,不得基于《政府信息公开条例》的披露义务向公众披露等,这一原则性限定与现有法律,如《行政诉讼法》、《政府信息公开条例》等能够进行有效衔接。
再次,明确网络安全信息共享的参与主体。《网络安全法》第三十九条明确规定了关键信息基础设施领域的网络安全信息共享参与主体,包括国家网信部门、有关部门、关键信息基础设施运营者以及有关研究机构、网络安全服务机构等。
较后,明确网络安全信息共享的主管机构。《网络安全法》明确规定国家网信部门是网络安全信息共享的主管机构,负责协调整体网络安全信息共享事项,其职责在于加强对政府和企业之间网络安全信息收集、分析和通报工作的指导、统筹和协调,按照规定统一发布网络威胁信息。(西安交大信息安全法律研究中心 方婷)
(三)建立网络安全监测预警和信息通报制度
《网络安全法》第五十一条规定,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。这一规定从组织机构建设的层面为网络安全信息共享的有效实施提供了保障。
综上所述,从网络安全基本法层面对网络安全信息共享,尤其是关键信息基础设施保护领域的网络安全信息共享机制做出原则性规定,是深化网络安全防护体系和国家网络安全态势感知能力建设的关键,其目的在于增强网络空间安全防护和安全事件识别能力,加强国家整体的网络安全监测、预警、控制和应急处置能力建设。实践证明,增强网络安全整体态势感知能力需要进行网络安全信息共享制度的顶层设计,特别是在网络犯罪、网络间谍、网络攻击和网络恐怖主义等行为日益猖獗的形势下,要求我国必须从原则上建立一套行之有效的网络安全信息共享机制。同时,鉴于网络安全法的基本法性质,不宜对相关内容做出过于细化的规定,针对网络安全信息共享的程序、网络安全信息共享的组织机构体系、网络安全信息共享的模式、具体的企业激励措施和隐私保护措施、技术标准等,应当在与网络安全基本法中的原则性规定不发生冲突,且能够进行有效衔接的前提下,考虑通过专门法律、配套的行政法规和技术标准予以明确并指导实施。
