中國人大常委會日前通過網路安全法,不僅是中國第一部網路安全專法,內容中,不僅重視關鍵基礎設施的安全性,也讓網路實名制的要求,正式入法。

由中國政府最高的權力機關,也是最高立法機構「中華人民共和國第12屆全國人民代表大會常務委員會」所通過的第一部網路安全專法:「中華人民共和國網路安全法」(簡稱網路安全法),已經於11月7日通過,並預計於明年6月1日正式實施。但是,臺灣第一部網路安全專法「資訊安全管理法草案」才剛於11月中旬,由科技政委吳政忠進行最後的草案審查會議,希望能夠以最快的速度,送交立法院進行院會一讀並儘速付委審查,期盼可以在年底通過臺灣的資安管理專法。

這種由政府透過立法的方式,明文規範網路安全的重要性,已經是一種國際趨勢,不管是中國或是臺灣,都不想置外於這樣國際趨勢當中。但是,因為中國已經是全球重要的經濟體,加上許多新興的網路服務都已經取得相當的進展,現在,中國推出這部網路安全專法後,對於中國業者和民眾,以及其他想要進軍中國的業者而言,將帶來什麼樣的影響呢?臺灣又可以從這樣的專法中,學習到哪些經驗呢?

中國過往對於許多網路安全的規範,往往散落在各種的規章當中,但此次,透過人大常委會正式立法的方式將網路安全的重要性明文入法,也清楚印證,對於中國政府而言,網路安全議題已經從一般的政府政策高度,提升為國家等級的政策高度。身為中國鄰近網路密切的臺灣政府和民眾而言,的確有必要進一步了解這部中國網路安全專法到底有哪些規範,是否會影響到包含臺灣在內的政府和民眾。

中國網路安全法的6大特色

首先,中國網路安全法開宗明義就提到,該法的基本原則就是要確保網路空間的自主權利,將該國的網路空間視為主權延伸的一環,如同領海、領土和領空一般,中國政府對於中國境內的網路空間,具有完全的控管權利。

網路安全法也強調,隨著中國的資訊發展,安全已經是不可或缺的重要且基本元素,不僅要持續推動網路相關的基礎建設,並鼓勵網路技術的創新應用外,同時得要確保網路安全的保護能力,讓中國的資訊發展可以在安全的基礎下突飛猛進。

其次,在該法中,對於提供網路產品和服務的業者,以及是網路營運業者,中國政府都強制,相關業者必須同時承擔起確保產品和服務安全,以及網路維運安全的責任。也就是說,相關業者必須採取各種必要措施確保相關產品和服務的安全性,也有義務,必須要協助政府防範各種網路犯罪,維持系統、資料的機密性、完整性和可用性。

舉例而言,在相關的法律中也規定網路產品和服務業者,不可以在產品中放置惡意程式,也必須主動修補相關的資安漏洞和採取補救措施,並且依照規定向主管機關通報。

按照這樣的標準,之前雄邁科技的網路攝影機機版,因為採用預設的帳號和密碼,讓網路攝影機成為駭客掌控的傀儡網路,也成為駭客發動全球DDoS(分散式阻斷式攻擊)的罪魁禍首之一。依照該法的規範,政府就可以要求雄邁科技進行產品的安全修補和補救。

另外,該法也規定,網路維運業者除了要制定相關的資安管理準則和有專人落實網路安全的保護責任外,像是使用防毒、入侵偵測防禦等技術,監測并確保網路安全有其必要性,甚至於,還規定相關的日誌檔(Log)保留必須超過6個月以上。

第三點,網路安全法讓中國網路實名制的要求正式入法,不再有任何模糊的彈性空間。不過,網路安全法的實名制仍是維持「前臺匿名」但「後臺實名」的作法,維持表面上的匿名性,但是,不論是辦理各種網路和電信服務,都一定要用戶提供真實的身分證明後,才可以申請;如果用戶沒有提供真實身分證明,網路和電信業者則不可以提供相關的服務。

第四點,中國政府將關鍵基礎設施正式納入網路安全保護的範圍,並應該採取包括監測、防禦、處置等方式,來因應各種中國境內和境外的網路安全威脅。

網路安全法中明文指出,包括公共通信和資訊服務、能源、交通、水利、金融、公共服務和電子政務等重要行業和領域,一旦遭到破壞、喪失功能或資料外洩的話,都可能會危害國家安全和各種公共利益。

因此,政府對於這些關鍵基礎設施不僅要做重點保護,對於負責關鍵基礎設施的資安負責人也必須要做背景審查、定期演練,連相關單位所採購的網路產品和服務,都必須經過政府相關部門的審查。

第五點,中國許多的網路服務比臺灣先進,許多網路業者原本就會蒐集使用者的各種個人資料做分析,不過,無法確認也無法規範這些網路業者,是否會販賣使用者個資牟利,但可以確定的是,中國近年來的網路詐騙事件層出不窮,也有許多受騙案件屢屢傳出。

因此,網路安全法中則明定,任何個人和組織都應該對其網路行為負責,不得用來詐騙、傳授犯罪方法、製作或銷售違禁和管制物品等,也不可以利用網路發佈涉及上述詐騙等資訊。如果有違反規定者,除了關閉網站和拘留外,也會處罰1萬元~50萬元人民幣罰款。

此外,也在網路安全法中規範網路營運業者,除了要符合使用目的且經使用者同意,才能蒐集個人資料外,也必須確保蒐集個人資訊的安全性,使用者本人也有權要求業者刪除或更正個資資訊;同時明定,不得非法出售或非法向他人提供個資。

也清楚規定,只要是關鍵基礎設施營運者,在中國境內營運所蒐集和產的個資,都應該儲存在中國境內,若因為業務需要而必須做到跨境傳輸,則必須由有關當局進行安全評估,或依照其他相關法律規定進行。

最後,在網路安全法中,也正式建立中國國家級的網路安全監測預警和資訊通報制度,更有甚者,如果爆發突發性的網路安全事件,也可以經國務院決定或批准,在特定區域對網路通信採取限制等臨時措施。

對於這種限制通信措施的作法,也有外界認為,這是一種限制言論自由的手段,為了避免類似茉莉花革命、太陽花革命甚至是雨傘革命,有機會透過各種網路工具做消息散播,甚至對於執政當局造成一定程度的影響。

為了維持中國網路環境的安全性,中國政府也在該法中直接制定報馬仔條款,強調「任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報;有關部門也應該對舉報人資訊負有保密之責。」

臺灣和中國同樣重視關鍵基礎設施的安全性

掌握中國網路安全法的立法精髓後,回頭看看臺灣的資安管理法的內容,兩者最大的共通點就是同樣關注關鍵基礎設施的安全性,因為,政府部門都很清楚知道,不管哪一種關鍵基礎設施面臨安全威脅時,造成的影響,輕者影響社稷民生,重則影響國家安全,因此,政府部門都明文列管。

不過,臺灣政府對於關鍵基礎設施業者的納管,主要是要求相關業者應該依照所提出的資通安全維護計畫,進行相關的規畫、執行、查核和矯正等PDCA的流程;但中國政府則清楚明訂關鍵基礎設施業者應該進行哪些重要的安全防護作為,連人員背景、採購和定期檢測等作法,都已經清楚制訂在網路安全法中。

同樣的,中國和臺灣政府也針對關鍵基礎設施業者,明訂負有通報應變的義務與規範通報應變的流程,並針對網路安全事件進行分級,依照危害程度、影響範圍,進行相關的緊急應變通報和處理。

臺灣的資安管理法在關鍵基礎設施的防護上,與中國網路安全法都具有基本的防護精神,差別在於臺灣關鍵基礎設施業者資安防護的作法,有賴更細節的資安管理法施行細則和安全維護計畫作為防護參考依據,不像中國網路安全法都已經清楚明訂在該法中。

中國資安人員違法,終身不能從事資安工作

在罰則上,中國政府的罰則遠遠高於臺灣規定,只要是違反網路安全法規定而給他人造成損害的,就必須承擔民事賠償責任;如果是情節比較嚴重的,也會有類似拘留的治安管理處罰;若是構成犯罪行為,則會追究刑事責任。進一步細看中國政府的罰則,多數也會直接處罰負責的主管人員或是直接的承辦人員,相對臺灣而言,中國政府對於資安防護人員有極高的規範要求。

甚至於,中國網路安全法中也明文規定,如果是受到治安管理處罰的資安人員,5年內都不能從事網路安全管理和網路營運關鍵系統的工作;若是受到刑事處罰的資安人員,更規定,終身都不能從事網路安全相關的工作。因為規定相當嚴格,也讓中國負責資安相關工作的人員,都不敢恣意妄為。

美國和中國基本上,是世界上進行各種網路滲透、攻擊數量最多的國家之一,雙方都認為對方是該國網路安全最主要的攻擊者,因此,早在2015年9月,中國國家主席習近平訪問美國時,雙方也同意就網路犯罪議題進行合作。根據資安專家的觀察,當年中美雙方對於網路犯罪議題有共識後,中國攻擊美國的比例瞬間大減,而中國網路測試和攻擊對象,則轉移到俄羅斯。

也因為這樣的「網軍」已經是習以為常的攻擊行動,中國政府也在網路安全法中明訂,一旦有境外的組織或個人從事網路攻擊、入侵、干擾或破壞中國網路基礎設施活動並造成嚴重後果的話,中國政府對該組織或人員追究相關的法律責任,必要時,也會採取凍結財產或是其他必要的制裁措施。

雖然臺灣長年是中國網軍攻擊和試探的標的,在資安管理法的規範上,並沒有涉及相關的網路犯罪議題,對於為惡的網路駭客的處罰,主要是以刑法網路犯罪專章作為起訴的內容外,其他則不涉及網路安全相關的懲處。這也是臺灣對於資安管理法的規範上,與中國有很大差異之處。


Advertisement

更多 iThome相關內容