《网络安全法》(草案)的出台,是中国在迈向网络强国道路上至关重要的阶段性成果,他意味着建设网络强国,维护和保障中国国家网络安全的战略任务,正在转化为一种可执行、可操作的制度性安排。与此同时,考虑到中国所处的国际环境、在网络领域显著而重大的利益需求、清晰而复杂的战略威胁以及艰巨的能力建设道路,未来《网络安全法》(草案)至少还可以在如下四个方向上做出更进一步的完善和努力:
首先,中国必须构建适应开放环境下有效保障网络安全的大战略。《网络安全法》(草案)要明确认知中国所处的国际环境,即一个开放且数据呈现高速流动态势的全球网络空间。中国司法的具体管辖对象可以是中国境内具体的网络基础设施或者是行为者,但其真正生效的,是一个没有显著边界的全球网络空间。在这个空间中,拓展中国的国家网络能力,保障中国的网络利益,而不是简单的将地理边界投射到网络空间,应该成为中国构建网络安全战略,提升国家网络能力,建设网络强国努力的宏观目标。
其次,中国在网络领域最重大的利益需求是用网络推进发展。“发展才是硬道理”,在冷战结束后的世界里,这点并没有过时,中国保障网络安全的目标,是为了确保中国能够从网络空间发展所带来的收益中获得综合国力的提升,提升自己在国际体系中的地位,缩小与最主要战略竞争对手的实力差距。换言之,中国网络安全战略是中国国家安全战略的组成部分,中国国家安全战略服从和服务于中国的大战略,中国大战略追求的核心目标之一,就是有效的通过可持续的发展,在国际体系中生存下去。中国网络安全战略当然会形成自己聚焦的具体目标,但不能让这种具体目标扭曲了国家总体的大战略目标;同样的,“发展才是硬道理”也意味着所有用于保障中国国家网络安全战略的措施都应该接受发展的检验,并在此基础上调整乃至淘汰那些不适用的手段、政策以及机制安排。
第三,中国在网络安全领域面临的重大威胁,正从内部转向外部,从信息安全转向网络安全。中国在网络安全领域面临的最大威胁,随着中国整体实力的提升,正在从内部治理、社会治安问题,转化成为外部威胁、国际竞争问题。今天的中国,对关键基础设施的依赖,远远超过人们的想象,不说其他,但就股市而言,2015年6月至今的波动幅度牵动各方的神经,背后折射的是金融市场关键基础设施的安全对于国家安全的重要性持续飙升,试想在剧烈波动时期金融市场的数据中心突然遭遇网络攻击,或者发生意外事故,对社会以及国家安全可能造成的冲击,真真是细思恐极。
第四,中国必须在《网络安全法》(草案)的修订中真正聚焦有效的国家网络能力建设。长期以来,中国的网络安全保障实践,是根据职能、条线的分工,在不同部门之间以行政管理、治安管理、社会管理的方式进行的;各种意义上的“合规性”检验取代了实质性的能力建设;在对抗性不强的非国家安全领域,合规性并不是太大的问题,金字塔形的资质需求也许是有效的,但是,上升到国家安全领域,挂在墙上的资质证书完全无法应对真刀真枪的战略威胁。2015年5月,美国国防部新发布的网络战略中,网络手段将和航母编队一样,成为美国总统和国防部长实施危机管控的有效工具之一。试想,如果再来一次类似1995-1996年的台海危机,而美国选择以网络攻击取代航母编队,威慑中国;《网络安全法》(草案)中包括等级保护在内的各项应对措施,有足以正面对抗美国网军司令部的网络安全能力么?在国家级的网络安全战略规划中,认真思考此类威胁场景,然后真正从国家网络安全战略需求出发,而不是从习惯做法以及部门需求出发,来构建中国的国家网络安全能力,应该成为《网络安全法》(草案)未来修订时的主要方向。
建设网络强国的坚实步伐已经迈出,任重道远,需要所有有识之士共同求索。