《网络安全法》以维护“网络安全”为立法目的,电信主管部门为维护网络安全的有关主管部门之一。工业和信息化部和省级通信管理局作为电信主管部门,依法负责电信和互联网行业管理,以电信业务(含互联网信息服务)切入网络管理,网络与信息安全管理是行业管理的重要组成部分。
《网络安全法》出台前,电信主管部门即以《电信条例》、《互联网信息服务管理办法》为主要依据,承担电信网和互联网的网络与信息安全管理。《网络安全法》出台后,赋予电信主管部门的网络安全管理职责,与电信主管部门一直以来开展的网络与信息安全管理之间的关系如何(是不同的制度还是同一制度但依据多元?),电信主管部门如何适用《网络安全法》,如何处理相关立法的冲突问题,需要认真研究,廓清分歧,理顺制度,推进形成科学合理的网络管理体系。由于基础电信运营商作为“基础电信业务经营者”,建设和运营的“公共网络”为《网络安全法》所规范的“网络”中的基础,笔者将以基础电信运营商为主要考察视角,以务实态度对前述问题进行系列研究。本期将聚焦“网络”这一基础概念。
一、网络运营者与电信业务经营者
《网络安全法》中的“网络运营者”,指“网络的所有者、管理者和网络服务提供者”,而“网络”指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,未限定网络的性质和范围。
虽然理论上可以将网络运营者细分为“网络基础设施的运营者”(对应于网络所有者和管理者)和“网络服务提供者”,但网络基础设施的运营者由于运营网络本身即是提供网络服务(服务对象包括其他网络服务提供者和一般终端用户),所以其同时也是网络服务提供者。网络基础设施的运营者和网络服务提供者的区分意义,在于明确提供的网络服务是基于自有或者自我管理的网络还是基于他人网络。一般而言,网络基础设施的运营者是利用自身网络提供服务,而其他网络服务提供者是利用他人网络提供服务,二者在网络体系中的位置和作用不同。
基础电信业务经营者,是电信和互联网行业管理中的概念。电信和互联网行业管理将电信业务划分为基础电信业务和增值电信业务两大类,又将每大类业务又细分为若干小类。基础电信业务是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务,增值电信业务是指利用公共网络基础设施提供的电信与信息服务的业务。
根据《网络安全法》关于“网络运营者”的定义,基础电信业务经营者、增值电信业务经营者和互联网信息服务提供者均属于“网络运营者”。
二、关键信息基础设施与电信网
《网络安全法》规定了关键信息基础设施保护制度,对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。基础电信运营商作为公共通信服务提供者,相关网络和设施自然属于关键信息基础设施范畴。
在电信和互联网行业管理中,一般将电信网络划分为公用电信网和专用电信网(《电信条例》第十九条)。《电信条例》设定的电信业务许可制度,针对的是利用公用电信网提供的服务,如基础电信运营商提供的服务,而专用电信网则不涉及办理电信业务许可,如机关、气象、电力、金融、交通、铁路、大型矿山等用以内部通信、调度所用的电信网络。当然,如果专用电信网拟向社会公众提供服务,则需要办理相应的电信业务经营许可,如歌华有线利用自有有线电视网提供互联网接入服务和互联网本地数据传送业务,需要办理电信业务经营许可手续。
能源、交通、水利、金融、公共服务等行业或领域的关键信息基础设施,由于属于网络,具备信息传输、交换和处理等功能,从电信和互联网行业管理角度看,其符合专用电信网的特征,故其为专用电信网。
三、网络与计算机信息系统
《网络安全法》第七十六条参考《计算机信息系统安全保护条例》第二条关于“计算机信息系统”的定义,将“网络”界定为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。《计算机信息系统安全保护条例》将“计算机信息系统”界定为“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。对比二者的定义,可以发现如出一辙。
字面上,《网络安全法》将“其他信息终端”与“计算机”并列作为网络的构成要素,似乎外延要比计算机信息系统大些,但《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》已将计算机信息系统解释为“具备自动处理数据功能的系统”,包括计算机、网络设备、通信设备、自动化控制设备等。从实际涵盖范围看,“网络”即“计算机信息系统”,二者外延是相同的。
《网络安全法》参照“计算机信息系统”定义界定“网络”,有利也有弊。利的方面,是可以实现管理对象的广泛化,大到全国性的基础电信网络小到驾校培训系统甚至一部手机只要具备信息(或称数据)自动处理功能,都可以称之为“网络”。[i]从保护具有数据处理功能的设施、设备或者系统不被攻击、侵入、干扰和破坏角度,将“网络”界定为“系统”是稳妥的,但从规范“网络运营者”行为角度分析,难免不会存在“打击面过大”和“管理标准一刀切”的问题,即其弊的一面。按照《网络安全法》的“网络”标准,手机、单台计算机或者网吧管理系统等符合“网络”的定义,如此一来,不仅给人以“大炮打蚊子”的印象,而且也不适宜将手机等自用设备或者系统作为管理对象(如《网络安全法》规定的信息留存、重要数据备份、采取防范措施、制定内部管理制度、应急预案等诸多制度不适用于自用的系统)。
另一方面,从定义切入路径看,《网络安全法》是由内而外,从网络服务提供者或者信息处理功能发出者角度,对“网络”进行界定,未考虑到用户以及用户与该系统之间的“联结”,因此是封闭的,与一般认识中网络的“开放性”不同。如,某提供电子交易平台的网站,建有相关处理信息的服务器,从“计算机信息系统”和“网络”定义看,既为计算机信息系统又为网络,但在一般观念上网站不过是网络服务提供者,即通过网络向用户提供服务,其本身为计算机信息系统还说得过去,但却不是网络,而联结服务提供者与用户的正是“网络”,但《网络安全法》对“网络”的定义似乎不能涵盖此处的“网络”。
细究起来,计算机信息系统是“点”的概念,而网络是“面”的概念。在物理层面,网络的建立,需要机房、信息系统、管线、基站等要素,信息系统仅是其中的构成要素之一。在逻辑层面,网络四通八达,可以将众多网络服务提供者(从计算机信息系统角度看,网络服务提供者是计算机信息系统的使用单位)和广大用户之间进行联结。因此,计算机信息系统不过是网络中的节点而已,网络更多体现为“联结”特点。《网络安全法》参照“计算机信息系统”定义界定“网络”存在不妥,未能点明网络的“联结”这一基本特征。[ii]
四、基础电信网络在“网络”中的地位
我国以“基础电信网络”为纽带,联结了诸多计算机信息系统与用户,形成了全国的“一张网”。这是我国开展网络安全管理需要立足的现实基础。计算机信息系统之所以有保护的必要,在于其与网络“联结”。同样,《网络安全法》将能源、交通、金融等行业和领域作为关键信息基础设施进行重点保护,也在于这些信息系统与外界之间通过“网络”建立了联结。外界可以通过“网络”这一联结对关键信息基础设施等信息系统进行攻击和破坏。若无网络联结,则无所谓建立计算机信息系统安全保护和关键信息基础设施保护制度的必要。
基础电信网络是联结不同信息处理系统的纽带,是国家“一张网”的基础。制定《网络安全法》的目的,是为了保障网络安全。其中,全国“一张网”本身的安全是国家网络安全的基础,而基础电信网络的安全又是全国“一张网”安全的核心。因此,保障基础电信网络安全是实现国家网络安全的核心要义。
与保障基础电信网络安全直接关联的,是保障网络联结的关键信息基础设施及其他计算机信息系统等的安全。关键信息基础设施及其他计算机信息系统是网络运行的数据承载平台,是网络运行的传输载体与终端显示。因此,计算机信息系统安全保护和关键信息基础设施保护与保障基础电信网络密不可分,缺一不可。
基础电信运营商和关键信息基础设施及其他计算机信息系统运营或者使用单位,由于在网络中的地位和性质不同,所承担的网络安全义务不同。在安全义务分担上,基础电信运营商运营的电信网络是国家网络的主干和基础,承担着维护国家“一张网”安全运行的责任,是维护国家网络安全的根本保证。基础电信网络安全,是国家网络安全的“皮”,相应的关键信息基础设施保护和计算机信息系统安全保护则是国家网络安全的“毛”。
因此,电信和互联网行业开展的网络与信息安全管理,对于维护国家网络安全,发挥着基础、不可替代的作用。电信主管部门开展电信和互联网行业网络与信息安全保障活动,不仅仅是落实《网络安全法》规定的维护公共通信和信息服务行业关键信息基础设施安全职责,更是践行维护国家网络基础安全的职责。电信主管部门不单是公共通信和信息服务行业关键信息基础设施保护的主管部门,更是维护国家“一张网”安全运营的主管部门。
[i]见江苏省泰州市中级人民法院(2016)苏12刑终19号刑事裁定书,河北省承德市中级人民法院(2016)冀08刑终307号刑事裁定书。
[ii]《计算机信息系统安全保护条例》关于“计算机信息系统”的定义,区分了“网络”与“计算机信息系统”,将“网络”作为计算机信息系统的构成要素之一。
本文原载于CAICT互联网法律研究中心微信公众号。
作者简介
许长帅,中国信息通信研究院工业和信息化法律服务中心副主任。联系方式:xuchangshuai@caict.ac.cn。
