【法眼观天下】
没有网络安全,就没有国家安全。作为我国实施网络空间管辖的第一部法律,网络安全法已经正式施行了5个月。
该法施行以来,取得了哪些效果?在执行过程中遇到了哪些问题?如何进一步贯彻执行?带着这些问题,记者以全国人大常委会网络安全法和关于加强网络信息保护的决定(以下简称“一法一决定”)执法检查组在福建执法检查为契机,进行了采访。
1、资源共享:提升行业整体抗风险能力
回忆起金砖会议前夕的网络安全检查,林礼翔至今都还为一些中小网站感到惋惜。
林礼翔是福建省网络与信息安全测评中心重点企事业技术员,他和同事们负责在会议前对相关网站进行安全检查。面对被检查出的高危漏洞,一些中小网站不得不直接关网停运。
“在现在的网络环境下,一些网站并没有足够的能力去应对网络突发情况。如果遇到突发情况,他们的资金和人员投入、应急处置能力不足,不得不去找其他网络安全服务公司,或者直接停止运营。”林礼翔坦言。
执法检查期间,检查组相继走访了中国电信福建公司、兴业银行总行、福建省公安厅网安总队、东南网、漳州市供电公司等。有些单位网络安全设施和应急处置能力完善,但也有一些单位设备相对落后,网络安全保护升级难,应对网络安全事件时显得捉襟见肘。
面对企业、部门之间的不平衡,全国人大常委会委员、全国人大内司委副主任委员何晔晖开出了一剂药方——资源共享,责任共担。“即开发一个带有普遍性的网络病毒防范和网络安全保护的平台或者软件,然后各企业可以根据自身需求购买。”
网络安全法第17条规定,国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。“这样一来既可以节约成本,又可以提高保护规格,实现人才共享、信息共享、资源共享。而面对网络犯罪,可以责任共担,不管任何部门、单位、运营商,只要发现了网络犯罪就应该去监督、去举报,一起来打击犯罪净化环境。这样有助于发挥各部门、各单位的协调作用,制止网络犯罪。”何晔晖解释说。
实际上,厦门市早已迈出了资源共享的探索步伐。2016年7月,厦门市公共安全管理中心成立。该中心与市直部门以及供电、水务、燃气等72家单位建立协同处置机制,数据资源的共建共享,打破了各部门间的信息壁垒,使单一、分散的“死数据”变成“活资源”,使之能快速调度各方力量,高效地协同处置突发事故。成立一年来,该中心共派发87263起各类事件的协同处置任务,大部分突发事件被消灭在“萌芽”状态。
在对比了公安部等四部委2007年出台的《信息安全等级保护管理办法》、工信部2010年出台的《通信网络安全防护管理办法》以及网络安全法第21条后,国家计算机网络与信息安全管理中心福建分中心网络安全处处长张鸣建议打破行业壁垒,推动建立网络安全社会化服务体系的制度化和标准化。
“我发现它们有一些共同特点,都是要求对重要信息系统、重要网站定期进行测评,这些测评单位需要一些资质,而这些资质都由不同的行业管理部门掌握。网络安全法出台以后,可以考虑将网络安全等级保护制度的资质整合起来,形成统一的行业标准。”张鸣说。
2、明确分工:各部门合力拧成一股绳
“现在企业面临方方面面的检查特别多。今天这个部门来检查,明天那个部门来检查,企业负担很重,关键是还不能真正解决安全问题。”福建省委保密局科技处调研员江炳心在工作中,已经习惯了企业的抱怨。
网络安全法第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
在执法检查中,检查组发现这一规定面临两个问题,一是地方网信部门暂时难以肩负起统筹协调和监督管理的职责,二是部门之间职责交叉,九龙治水,难以形成合力。
以漳州市为例,在缺乏协调的前提下,漳州市公安局、漳州市中级人民法院、经济和信息化委员会、文化广电新闻出版局、互联网信息办公室、通信发展管理办公室、教育局、科技局、交通运输局、漳州银监分局,都在各自领域宣传贯彻落实“一法一决定”相关规定,履行各自领域的监管职能,但这种九龙治水给监管对象造成很大压力。
张鸣去年曾经到福建重点互联网企业做过调研,企业普遍反映被检查次数频繁,部门之间的职能交叉问题严重。他希望进一步明确各部门的职责,改善多头管理的情况。
福建省公安厅网安总队主任科员吴月鹤则道出了基层执法人员的委屈:“我们不希望有太多复杂、交叉的检查,目前我们跟其他行政单位职责分工有重合,但我们又很害怕工作中会有缝隙、有漏洞,怕属于我们职责范围的工作被落下,这就导致了大家在工作中很积极很努力,但是形成合力欠缺。”
在江炳心看来,网络安全问题实际上是一个木桶,安全检查是要保证木桶的所有板都要高,如果检查只侧重一个方面,那安全隐患很可能还在别的方面存在,桶能装多少水是看最短的板。“我觉得实际上应该统一部署,对以后的检查效率可能更有帮助。”江炳心建议。
针对这个问题,何晔晖解释说,网络安全法规定了中央网信办、国务院相关部门、地方政府、企业、公民个人五个层级的责任。“这五个层级有不同的责任,而首要任务是加强顶层设计,中央网信办要抓紧制定等级标准、关键信息基础设施的标准,以及对各个行业的要求等。其次,国务院各部委要抓好落实,地方政府要制定配套的实施细则,企业和个人要学习、遵守这些法律和相关规章制度等。”她强调。
3、分类宣传:让法律真正入脑入心
听说全国人大常委会执法检查组要来福建进行“一法一决定”执法检查,福州市民王金龙对福建省落实“一法一决定”的情况进行了一个简单测试。
“令我欣慰的是,十天以来,我没有接到一个诈骗电话,这比之前好太多了。”不过,他觉得也有一些地方做得不够好,最突出的就是法律宣传不到位。“如果不是这次执法检查,我都不知道我们国家还有这么一部法律。”
对此,福建师范大学信息办主任许力深有同感:“我去小区、学校宣传网络安全法的时候,大部分人都表示不了解这部法律。”
福建老友信息科技有限公司总经理陈学芹则向记者道出企业学习法律的困惑:“作为企业法人,首先应该学习了解网络安全法并做到不违法。企业一把手也应起码能够懂法守法并宣传贯彻下去,这样才能落实到每个员工。但现实情况却是,网络安全法出台后,很多法人都是在企业的经营一线,没有拿出专门精力去学习,更不用提员工了。”
实际上,福建省在网络安全法宣传方面下了很大力气。他们面向社会公众开展普及宣传,加强法律实施主管部门工作人员的教育培训,通过举办大型宣传活动、制作宣传展板、发放宣传品、利用媒体发布宣传信息等多种形式,不断加大网络安全法的普及。
“很多网络诈骗的手段已经非常老套了,但为什么还是有那么多老百姓上当受骗呢?”面对下了力气而成效不显著的现象,许力认为应当分类施策,将宣传沉下去。
“几乎每个人都在用手机,实际上我们每个公民跟网络安全法都是密切相关的。应该像宣传醉驾入刑那样,将网络安全法的宣传下沉到街坊邻居当中、下沉到小区当中、下沉到学校里,针对不同人群开展不同方式的宣传,比如在网吧就可以利用开机桌面进行网络安全法的宣传,等等。”许力建议。
(本报记者 刘华东)