信息安全管理系列之三十七?《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中關(guān)鍵詞匯的定義及解析

李軍?謝宗曉

“十二五”國(guó)家重點(diǎn)圖書(shū)出版規(guī)劃項(xiàng)目《信息安全管理體系叢書(shū)》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢(xún)與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專(zhuān)著近20本。

信息安全管理系列之三十七

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布實(shí)施使得國(guó)內(nèi)網(wǎng)絡(luò)安全管理進(jìn)入了一個(gè)新的時(shí)期。在本系列之前的討論中，雖然也對(duì)“網(wǎng)絡(luò)安全（Cybersecurity）”的相關(guān)詞匯進(jìn)行了解析，但是并不是專(zhuān)門(mén)針對(duì)該法律，更多的是從學(xué)術(shù)討論的角度。下文對(duì)其中的關(guān)鍵詞匯進(jìn)行了相應(yīng)的解析，以加深對(duì)法律條文的解讀。

謝宗曉（特約編輯）

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中關(guān)鍵詞匯的定義及解析

李軍（內(nèi)蒙古自治區(qū)公安廳）

謝宗曉（中國(guó)金融認(rèn)證中心）

摘要：對(duì)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中所定義的五個(gè)關(guān)鍵詞匯進(jìn)行了解讀，并與平時(shí)所用的相似詞匯進(jìn)行了區(qū)別。

關(guān)鍵詞： 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全法 網(wǎng)絡(luò)空間

Definition and Analysis of Key Words in Cybersecurity Law of PRC

Li Jun （ Inner Mongolia Autonomous Region Public Security Department ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper makes an understanding of the five key words defined in the cybersecurity law of the Peoples Republic of China， and differs from the usual similar vocabulary.

Key words： Cybersecurity， Cybersecurity Law， Cyberspace

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（下文中簡(jiǎn)稱(chēng)：《網(wǎng)絡(luò)安全法》）的第七十六條，定義了五個(gè)詞匯，分別為：（1）網(wǎng)絡(luò)；（2）網(wǎng)絡(luò)安全；（3）網(wǎng)絡(luò)運(yùn)營(yíng)者；（4）網(wǎng)絡(luò)數(shù)據(jù)；（5）個(gè)人信息。這幾個(gè)詞匯的定義與我們平時(shí)的習(xí)慣理解有一定的差異，有必要進(jìn)行更進(jìn)一步的解析。

1 網(wǎng)絡(luò)

“網(wǎng)絡(luò)”是《網(wǎng)絡(luò)安全法》中最重要的詞匯。原文定義如下：

網(wǎng)絡(luò)，是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。

顯然，這個(gè)定義與“計(jì)算機(jī)網(wǎng)絡(luò)（Computer Network）”不同，強(qiáng)調(diào)的是“系統(tǒng)（System）”的概念。

楊合慶[1]158-159認(rèn)為網(wǎng)絡(luò)存在狹義的網(wǎng)絡(luò)和廣義的網(wǎng)絡(luò)，狹義的網(wǎng)絡(luò)是指互聯(lián)網(wǎng)（Internet），廣義的網(wǎng)絡(luò)是指計(jì)算機(jī)信息系統(tǒng)（Computer Information System）。此處為廣義的網(wǎng)絡(luò)。

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年2月18日中華人民共和國(guó)國(guó)務(wù)院令第147號(hào)發(fā)布）中第二條：

本條例所稱(chēng)的計(jì)算機(jī)信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

計(jì)算機(jī)信息系統(tǒng)的定義也被引用在強(qiáng)制性標(biāo)準(zhǔn)GB 17859—1999《計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則》中。但是，在平時(shí)的應(yīng)用中，我們更多地用“信息系統(tǒng)（Information System，IS）”，可以將此認(rèn)為同義詞。在《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字〔2004〕66號(hào)）中：

信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)。

通過(guò)比較，計(jì)算機(jī)信息系統(tǒng)的定義中更強(qiáng)調(diào)“人機(jī)系統(tǒng)”[2]，而在信息系統(tǒng)的定義中，并沒(méi)有強(qiáng)調(diào)這個(gè)概念，而只是強(qiáng)調(diào)了“系統(tǒng)或網(wǎng)絡(luò)”，此處的“網(wǎng)絡(luò)”沒(méi)有給出英文，從發(fā)布的時(shí)間以及上下文推斷，應(yīng)該是Network。

綜上所述，《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)，并不是傳統(tǒng)意義上的Network，或者Internet，而是廣義的信息系統(tǒng)的概念，英文中沒(méi)有明確的對(duì)應(yīng)詞匯。

2 網(wǎng)絡(luò)安全

《網(wǎng)絡(luò)安全法》標(biāo)題中的“網(wǎng)絡(luò)安全”是一個(gè)詞匯，因?yàn)樵摲蓪?duì)應(yīng)的英文是Cybersecurity Law。同理，最新的美國(guó)網(wǎng)絡(luò)安全法對(duì)應(yīng)的英文是Cybersecurity Act of 2015。《網(wǎng)絡(luò)安全法》中對(duì)網(wǎng)絡(luò)安全的定義如下：

網(wǎng)絡(luò)安全，是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

網(wǎng)絡(luò)安全對(duì)應(yīng)的英文是Cybersecurity，另一個(gè)佐證是《網(wǎng)絡(luò)安全法》中第二十一條：

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

……

而對(duì)應(yīng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)，例如，GA/T 1390.2—2017中英文標(biāo)題為：

● 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第2部分：云計(jì)算安全擴(kuò)展要求；

● Information security technology—General requirements for classified protection of cybersecurity — Part 2： Special security requirements for cloud computing。

網(wǎng)絡(luò)安全的定義分為四個(gè)層次[1]160，如圖1所示。

圖1 網(wǎng)絡(luò)安全的四個(gè)層次

國(guó)際標(biāo)準(zhǔn)中，較常見(jiàn)的Cybersecurity（網(wǎng)絡(luò)安全）的定義來(lái)源于ISO/IEC 27032：2012或ITU-T X.1205，兩者共同的特點(diǎn)是，對(duì)于安全屬性的排列順序?yàn)椋嚎捎眯浴⑼暾院捅Ｃ苄訹3]。

需要補(bǔ)充說(shuō)明的一點(diǎn)是，網(wǎng)絡(luò)安全（Cybersecurity）是網(wǎng)絡(luò)空間安全（Cyberspace Security）的簡(jiǎn)稱(chēng)，而不是傳統(tǒng)的網(wǎng)絡(luò)安全（Network Security）。關(guān)于該詞匯的來(lái)龍去脈，可以參考文獻(xiàn)[3]、[4]。

3 網(wǎng)絡(luò)運(yùn)營(yíng)者

《網(wǎng)絡(luò)安全法》中有兩種重要的角色，即“網(wǎng)絡(luò)運(yùn)營(yíng)者”和 “網(wǎng)絡(luò)監(jiān)管者”。網(wǎng)絡(luò)運(yùn)營(yíng)者的具體定義為：

網(wǎng)絡(luò)運(yùn)營(yíng)者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

這個(gè)定義需要特別指出的是，《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)除了互聯(lián)網(wǎng)外，還包括局域網(wǎng)和工業(yè)控制系統(tǒng)，他們很多不向社會(huì)提供商業(yè)和公共服務(wù)，但其所有者和控制者也必須承擔(dān)相應(yīng)的安全義務(wù)，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行[1]161。

4 網(wǎng)絡(luò)數(shù)據(jù)

網(wǎng)絡(luò)數(shù)據(jù)是從網(wǎng)絡(luò)概念延伸而來(lái)的，原文定義如下：

網(wǎng)絡(luò)數(shù)據(jù)，是指通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。

對(duì)比《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字〔2004〕66號(hào)）：

信息系統(tǒng)是指……；

信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。

結(jié)合上文中的討論，《網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)”實(shí)際是指“計(jì)算機(jī)信息系統(tǒng)”或“信息系統(tǒng)”。可見(jiàn)，“網(wǎng)絡(luò)數(shù)據(jù)”的定義與“信息”的定義也類(lèi)似。

但是嚴(yán)格來(lái)講，數(shù)據(jù)、信息和知識(shí)是不同的概念，是遞進(jìn)的。信息主要指有序的數(shù)據(jù)，知識(shí)主要指有用的信息。如圖2所示。

圖2 數(shù)據(jù)、信息和知識(shí)

5 個(gè)人信息

在國(guó)外的信息系統(tǒng)研究（IS Research）中，隱私（Privacy）管理是一個(gè)熱門(mén)領(lǐng)域。

我們可以認(rèn)為隱私是一個(gè)獨(dú)立的研究方向，也可以認(rèn)為信息隱私（Information Privacy）是信息系統(tǒng)研究或信息安全中一個(gè)重要的方向。例如，在實(shí)踐中，ISO/IEC JCT 1是國(guó)際標(biāo)準(zhǔn)化組織（ISO）與國(guó)際電工委員會(huì)（IEC）的聯(lián)合技術(shù)委員會(huì)，即信息技術(shù)標(biāo)準(zhǔn)委員會(huì)，SC 27是其中一個(gè)分技術(shù)委員會(huì)（Subcommittee）——信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)委員會(huì)（IT Security techniques）。其工作任務(wù)的描述為：開(kāi)發(fā)protection of information and ICT 的標(biāo)準(zhǔn)，其中包括generic methods， techniques and guidelines to address both security and privacy aspects。可見(jiàn)，把Privacy與Security并列提出，但是這兩者又都在ISO/IEC JCT 1/SC 27的工作范圍內(nèi)。

《網(wǎng)絡(luò)安全法》中對(duì)“個(gè)人信息”的定義如下：

個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話(huà)號(hào)碼等。

楊合慶[1]161-162認(rèn)為“隱私”通常是指負(fù)面信息，個(gè)人信息在私密程度和負(fù)面性等弱于“個(gè)人信息”，但是有更強(qiáng)的商業(yè)性。在國(guó)外研究領(lǐng)域，隱私有諸多定義，例如，Clarke[5]將其描述為“隱私被認(rèn)為是道德權(quán)利或合法權(quán)利（a moral right or a legal right）”，比較抽象。更通俗的定義如“隱私是一個(gè)人控制其個(gè)人信息的能力”[6-7]，但是個(gè)人信息這個(gè)詞匯并不常見(jiàn)。

我們將秘密分成三個(gè)層次[8]：（1）國(guó)家層次的秘密，國(guó)家秘密；（2）組織層次的秘密，商業(yè)秘密；（3）個(gè)體層次的秘密，個(gè)人信息或隱私。具體如圖3所示。

圖3 秘密的三個(gè)層次

組織秘密的管理無(wú)論是研究領(lǐng)域還是在實(shí)踐中都不是單獨(dú)的方向，一般會(huì)作為信息安全管理的一部分存在。國(guó)家秘密可以認(rèn)為是一個(gè)相對(duì)獨(dú)立的方向，在實(shí)踐中表現(xiàn)的尤為明顯，例如，在國(guó)內(nèi)組織的架構(gòu)中，保密辦公室這個(gè)機(jī)構(gòu)與信息系統(tǒng)管理部門(mén)一般沒(méi)有太多關(guān)聯(lián)，其工作對(duì)應(yīng)國(guó)家保密局。

其中，國(guó)家秘密對(duì)應(yīng)的法律為《中華人民共和國(guó)保守國(guó)家秘密法》（1988年9月5日中華人民共和國(guó)主席令第6號(hào)公布），而更早的版本為1951年6月1日政務(wù)院1）第八十七次政務(wù)會(huì)議通過(guò)，1951年6月7日?qǐng)?bào)請(qǐng)中央人民政府主席批準(zhǔn)，1951年6月8日政務(wù)院命令公布的《保守國(guó)家機(jī)密暫行條例》。

國(guó)家秘密的范圍在《中華人民共和國(guó)保守國(guó)家秘密法》中也有詳細(xì)的定義，如下：

第二章 國(guó)家秘密的范圍和密級(jí)

第九條 下列涉及國(guó)家安全和利益的事項(xiàng)，泄露后可能損害國(guó)家在政治、經(jīng)濟(jì)、國(guó)防、外交等領(lǐng)域的安全和利益的，應(yīng)當(dāng)確定為國(guó)家秘密：

（一）國(guó)家事務(wù)重大決策中的秘密事項(xiàng)；

（二）國(guó)防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)；

（三）外交和外事活動(dòng)中的秘密事項(xiàng)以及對(duì)外承擔(dān)保密義務(wù)的秘密事項(xiàng)；

（四）國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)；

（五）科學(xué)技術(shù)中的秘密事項(xiàng)；

（六）維護(hù)國(guó)家安全活動(dòng)和追查刑事犯罪中的秘密事項(xiàng)；

（七）經(jīng)國(guó)家保密行政管理部門(mén)確定的其他秘密事項(xiàng)。

楊合慶. 中華人民共和國(guó)網(wǎng)絡(luò)安全法解讀[M]. 北京：中國(guó)法制出版社，2017.

謝宗曉，甄杰，董坤祥，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社，2017.

謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解析[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（02）：26-28.

謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2015（12）：30-32.

Clarke R.Internet Privacy Concerns Confirm the Case for Intervention[J]. Communications of the ACM， 1999， 42（2）： 60-67.

Bélanger F， Hiller J， Smith W J. Trustworthiness in Electronic Commerce： The Role of Privacy， Security， and Site Attributes[J]. Journal of Strategic Information Systems， 2002， 11（3/4）： 245-270.

Stone E F， Gardner D G， Gueutal H G， et. al. A Field Experiment Comparing Information-Privacy Values， Beliefs， and Attitudes Across Several Types of Organizations[J]. Journal of Applied Psychology， 1983， 68（3）： 459-468.

林潤(rùn)輝，李大輝，謝宗曉，等. 信息安全管理理論與實(shí)踐[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2015.