市场化领域的网络安全

 

市场化领域的网络安全

国务院发展研究中心　陈小洪

　　与政治、行政、军事、治安等公务领域存在严格的网络安全监管不同，市场化领域由于网络信息活动高度市场化、个人化，网络安全主要依赖自己负责的市场机制，但市场机制的失灵不仅给市场主体带来损失，也给网络社会带来损失。政府要像维护公共秩序、提高消防安全一样承担必要的责任。

　　政府在市场化领域对网络安全应承担责任

　　政府要在市场化领域网络安全方面承担责任的理由：首先，网络安全具有很强的外部性。互联网是一个有机的整体，个体和部分的不安全会导致整个网络的不安全，如病毒的快速扩散，部分网络的停机导致其它网络的拥塞等。另外，大量公务领域的网络服务也开始并且正在外包给商业企业，或者通过商业企业的基础设施进行。

　　第二，互联网的普及及其与通信等网络的融合，使市场化领域网络活动日益重要，已成为网络活动的主要领域，成为与企业和个人的事业、生活不可分离的公众活动领域，并且与国家安全等公务领域网络程度不同地连通，要求国家必须承担市场化领域的网络安全责任。

　　第三，网络及互联网安全挑战已经日益严重。以互联网为例，据CNCERT（国家互联网应急中心）统计，互联网安全事件，2013年我国境内被篡改网站数24034个，移动互联网恶意程序达70．3万个，分别比2012年增长46．7％和3．3倍：安全类型快速变化，日益复杂多样；经济利益目标的安全事件增加（国际机构估计中国年损失已过1000亿美元），并会随中国企业发展、国民财富增加和对外开放扩大而增加。

　　第四，网络及互联网快速发展，正进入加快移动化、社交化、云化和大数据化及包括物联网、智能设备互联的万物互联（IOT）时代，使安全挑战更为尖锐复杂和广泛。少数商业企业具有较强的力量应对挑战，但绝大多数商业企业缺少相应技术，没有安全保障的规模经济性。

　　第五，发达国家，如美国网络安全战略明确了覆盖商业和个人活动，保护企业全球供应链信息安全的国家责任。

　　市场化领域网络安全的基本特点与主要问题

　　——市场化领域网络安全的基本特点

　　市场化网络安全与传统市场化领域安全，有相通之处，即都有损失威胁，都有外部性；也有很大不同，即网络安全的市场失效情况更复杂多样。传统安全问题多与个别物理实体的状况及相应的距离、时间因素有关。网络及互联网安全的市场失效则更复杂多样：网络安全可远程影响、复杂隐蔽、时间更长，不仅对个人或局部，还对他人及社会安全有不可忽视的复杂影响；网络企业掌握个人大量信息，数据挖掘技术迅速进步，信息不对称显著，法人、个人权益及隐私的信息安全威胁今非昔比，心理担心的“主观”不安全感甚至可能带来影响广泛的社会问题；网络及信息系统的犯罪，不受空间、时间限制，“性价比”可能很高，基于经济利益目的的网络安全攻击威胁不会停止，还会升级；在网络暨信息、暨服务，网络与资本和商品交易市场密切相关乃至不可分离的背景下，商业机构、个人利用网络的活动存在直接影响市场安全，甚至引致市场系统失效乃至崩溃的可能；网络的互联互通及互联网的普及，使市场领域和国家安全等公务领域的网络安全问题可能相联；网络和信息技术进步快，使安全问题的解决必须与技术持续开发及知识传播结合，解决网络安全问题的技术、管理和系统方案更为复杂。

　　市场化领域网络安全与公务领域有所不同。市场化领域的网络安全的基本特征是：自我负责和自律仍然是安全保障的基础，同时更复杂多样的市场失效需要政府进行必要的监管；安全保障的基本模式是重视安全的治理、监管和自律有机结合，对少数重要领域进行必要的直接监管，多数领域以间接监管为主，重视监管与市场结合，激励相容；网络和信息技术变化快，不同领域安全威胁可能渗透融合，要求安全技术和业务管理部门统筹协调；更重视民商法规制和公法规制结合。

——市场化领域网络安全的主要问题

　　中国政府重视市场化领域网络安全。自上世纪90年代初开始建立互联网信息安全管理体系，并与通信系统的安全管理体系逐步结合，至今20来年，中国市场化领域网络安全监管体系已经初步建立，已经对网络及信息安全的保障发挥了重要作用。

　　与公务网络领域相比，按照现行网络安全监管体系，市场化网络安全领域的国家责任还不全面、不到位，还有不少需要尽快解决的问题。主要问题有：市场化领域网络安全保障主要靠商业机构自律，一些领先公司重视安全自律，但很多公司因缺乏知识和更强约束力规则的规范，往往疏于安全管理；个人信息安全保护主要靠“不得侵权”的义务要求，信息不对称和个人信息商业价值开发与有关权益关系处理规则不清楚，容易诱使诸如倒卖个人信息等各种侵权活动的发生；安全监管，除少数按等保制度定级较高的金融及商业机构（主要是政府机构和国企）外，对掌握关键信息基础设施和大量商业及个人信息，乃至与资本市场、商品市场有大量商业数据交易的企业的网络信息安全缺乏更有力的监管；推荐性国家安全标准，有利于提升商业机构安全水平，但由于安全监管不到位，标准的指导和规范作用有限；重要领域存在漏洞，部分源于法规不健全，如上市公司信息系统就缺乏法律责任明确的监管，部分源于监管部门职责交叉不清；缺少监管标准体系及时评估改进的机制，一些新业务如云服务还因缺乏安全标准限制了业务的发展，如某民营企业开发出桌面云服务系统由于国家没有相应安全标准无法成为政府采购对象。

　　市场化领域网络安全保障国家责任不到位有多方面原因：市场化、个人化领域的安全保障，可以利用市场机制发展的公务网络外包业务的安全保障，中国缺相应的经验，规则不健全、不协调：以互联网为重点的网络市场化应用快速发展，使经验较少的中国政府较难应对快速发展带来的安全挑战；中国建立互联网信息安全监管体系已有20多年，受认识和力量不足制约，安全监管重点实际上仍主要放在传统国家安全及公务安全领域；市场化领域网络安全保障及监管职责不够明确；安全监管法律体系建设滞后，有关规定重管理轻治理、重权力轻责任问题突出。

落实市场化领域网络安全国家责任要抓三件事

　　——明确国家战略和设计战略实施方案

　　市场化领域网络安全是国家经济社会领域网络安全的主要部分，因而也是国家整体网络安全的重要部分。需要明确市场化领域网络安全的国家战略，因为它是国家网络安全总战略的子战略，是其重要支持。如前所述，市场化领域网络安全存在许多亟待解决涉及多因素的问题，需要明确战略，用统筹和分工结合的办法解决问题。

　　战略有总体的和分领域的。不同领域的战略，有协调又有所不同。确定战略，包括确定战略目标和实施战略。实施战略就是围绕战略目标确定分阶段的任务和完成任务的方法及路径安排。必须首先围绕两个课题安排任务：健全完善网络安全监管体系；健全支持中国网络安全产业创新发展的体系。

　　——健全完善市场化领域网络安全监管体系

　　健全完善市场化领域安全监管体系，是构建市场化领域网络安全保障制度的基础工作，是未来几年构建落实国家网络安全战略的重要工作。

　　市场化领域网络安全监管体系的健全完善必须与公务领域体系的健全完善相结合，因为两者有不同，但共通相联。共通之处是，都要通过政企合作或“官民合作”方式保障安全；都必须实现技术进步和管理结合，重视标准及相应监管体系的健全改进；强化法律责任。不同之处是安全管理，在公务领域更多靠政府直接推，主要根据公法监管；在市场化领域，政府重视治理与监管、自律的结合，仅对市场失效领域直接监管，公法和民法规制结合。抓住共通之处，统筹安排，有利于同时推进总体和各领域体系的健全。

　　政企合作保障网络安全模式的基本特征是：合理分工，政府是战略决定者、政策实施及监管者，企业是执行者，并与民众是主要受益者，企业参与规则和标准制定；企业是提供安全保障的主体，可以进行跨公务和市场领域的网络安全服务。

　　完善健全市场化领域网络安全监管体系，首先是明确安全监管体系健全完善的方向和目标，即按治理、监管和自律结合的方向完善监管体系。

　　其次，要分类确定安全风险影响和市场失效情况不同领域的监管模式。市场化领域网络可以分为五类：1．大型金融机构、国企、商业企业等重要经济和商业机构网络；2．掌握大量组织和个人信息的通信和互联网企业网络；3．有大量资本和商品市场交易及交易信息的机构；4．上市公司等机构信息及其真实性、可追溯性对资本或其他市场影响大的机构网络；5．一般商业用户及个人网络。对这些网络的前四类，政府有必要适当进行直接监管，直接监管可与对关键信息基础设施的监管结合。第一类要重点防止外部攻击入侵，对第二类要重点防止泄露和不当使用他人信息，对第三类要重点防止通过网络的交易对市场产生负面乃至破坏性的影响，对第四类要重点防止内部信息做假破坏资本市场监管基础（萨班斯法案规则）。对这四类机构安全监管的重点、模式将因问题及影响有所不同。共通之处是：自我负责和监管结合，监管以事中事后监管为主；基于标准进行一致性的监管；行业自律、内部管理和监管结合；重视违法违规惩罚；对有多种功能及问题的机构可以进行综合监管。第五类，即一般商业用户及个人网络安全主要靠自律规范，政府要通过协会等机构强化基于标准的指导、培训和教育。安全监管必须强化法律责任。对前四类机构实行公法和民商法结合的规制，对一般商业机构和个人主要靠民商法规制。后者与前四类机构有交易时会有民商法合同关系，此时对后者的公法、民商法相结合的规制，可以通过法律合同链对前者产生更有约束力的法律规制。

　　再次，建立健全安全管理标准、技术标准和保障标准不断完善的体系，主要用事中事后监管、发现问题严处方式督促标准的实施。对前四类机构的标准执行情况，用政府机构抽查、专业机构检查方式进行直接或直接间接结合的监管。对第五类商业机构主要在自律及合同基础上靠专业机构指导、检查推进标准执行，政府通过指导专业机构对一般企业进行间接监管。直接监管是公权干预私权，监管力度大，但必须有公法依据。为尽可能发挥市场机制作用，除与国家安全等重要公务系统及重要的关键信息基础设施系统有关的领域外，应该在明确标准的基础上，主要用事中事后方式进行直接监管。

　　第四，发展、健全能凝聚共识的行业、专业协会和有专业公信力的专业服务系统，以个人资质为基础覆盖安全设计、建设、运营管理等的分类分级的专业资质体系。专业资质体系的建设发展由行业及专业协会负责，同时接受政府的指导。

第五，理顺监管部门职责的统筹和分工协调关系，做到监管领域和环节不漏亦不重。

　　第六，修改完善有关法规，明确政府、企业及个人法律职责，提供合理监管的法律保障。

　　——健全支持中国网络安全产业的国家创新体系

　　保障国家网络安全，需要有“自主可控”能提供安全的系统、设备及服务的网络安全产业。中国网络安全产业是包括由综合制造和服务能力的IT企业、通信和互联网企业、专业安全设备提供和安全工程服务企业及专业的安全咨询评估服务企业组成的企业群体。中国网络安全产业在部分设备制造和网络运营及应用服务领域已有一定竞争力，但与国外领先企业相比还有不小差距。因此，必须建立国家创新体系，用需求引导、重要项目支持、政府采购等综合措施支持中国网络安全产业的发展。

各方已认可支持中国网络安全产业发展的意义。还存在的认识问题，其一是如何进一步发挥民营企业作用。中国民企对中国网络安全的保障已有重要贡献，但作用领域主要限于国企缺乏能力的设备制造和互联网服务领域。重要的网络安全工程和服务项目的实施主体目前仍多为国企。中国有系统集成安全资质的4家IT企业都是国企。中国有必要进一步发挥民企作用，因为中国的民企不仅在制造领域，而且在网络运营及服务领域已有较强能力；网络及其安全服务领域技术进步快，具有市场和技术结合型创新、服务和软件开发结合边干边学型创新的特点，需要有综合能力的企业持续发展和持续的大量创新投资，而许多优秀民企已有这样的经验和能力。中国必须支持民企不仅在市场化网络领域，而且通过安全资质管理在公务网络、网络安全外包服务领域发挥更大作用。民企在公务领域发挥作用由于范围经济和规模经济原因还会帮助其提升市场化领域的竞争力。

其二是可否用适当的重点支持中国企业。需要回答三个基本问题。

　　一是支持中国企业，是否违反中国政府加入WTO时的承诺。笔者以为，支持中国企业是发展“自主可控”的中国产业的应有之义，不违反WTO规则和国民待遇原则。因为WTO规则和发达国家都承认发展中国家可以实行相对差别原则；安全例外原则是各国承认的基本原则；美国法律已以安全等理由立法限制中国IT产品及服务进入美国；中国按国际公认原则和对等原则重点支持中国企业，适当限制外国企业，符合国际惯例。支持中国企业，首先是改进产业创新环境，其次是通过国家科技项目、关键基础信息设施项目和政府采购支持中国企业。用政府采购支持中国企业，需要制定体现“自主可控”原则的安全标准。

　　二是能否将经济问题与安全问题相联系。这个问题似是而非。首先，国际学术界和实务界都认为安全与经济是不可分的。其次，美国早在1980年代就开始将国家安全与经济竞争力相联系，这种认识是美国1988年《外国投资及国家安全法》（FINSA法）出台及以后多次修改的重要背景。再次，中国只在高技术等美国严格限制中国等有限领域实行安全与竞争力挂钩政策，适当支持竞争力弱的中国企业。

　　三是何为中国企业。一个有关争论是可否将中国人控制的有控制结构的按外资法注册的企业（VIE结构或VIE企业）视作中国企业。笔者认为中国人控制的VIE企业是中国高科技企业的重要力量（如百度、腾讯、阿里、360等）。理由之一，这些企业由中国人控制，是中国网络及网络安全产业的骨干，可给予支持。理由之二，这种按企业控制人确定企业国籍或法律待遇的做法，符合国际规则。1965年各国通过的处理跨国投资企业在东道国法律待遇的华盛顿条约已经明确企业的法律待遇，即企业“国籍”根据当事人的法律约定，可以按注册法、控制人等不同原则确定。在安全及经济利益问题上，美国常常是按控制人原则确定它国投资的企业的法律待遇的。理由之三，正在修改的外资法拟明确VIE企业与外国人投资的外资企业在某些方面待遇可以有所不同。