信息安全管理系列之三十七?《中華人民共和國網(wǎng)絡(luò)安全法》中關(guān)鍵詞匯的定義及解析

李軍?謝宗曉

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之三十七

《中華人民共和國網(wǎng)絡(luò)安全法》的頒布實施使得國內(nèi)網(wǎng)絡(luò)安全管理進入了一個新的時期。在本系列之前的討論中，雖然也對“網(wǎng)絡(luò)安全（Cybersecurity）”的相關(guān)詞匯進行了解析，但是并不是專門針對該法律，更多的是從學術(shù)討論的角度。下文對其中的關(guān)鍵詞匯進行了相應(yīng)的解析，以加深對法律條文的解讀。

謝宗曉（特約編輯）

《中華人民共和國網(wǎng)絡(luò)安全法》中關(guān)鍵詞匯的定義及解析

李軍（內(nèi)蒙古自治區(qū)公安廳）

謝宗曉（中國金融認證中心）

摘要：對《中華人民共和國網(wǎng)絡(luò)安全法》中所定義的五個關(guān)鍵詞匯進行了解讀，并與平時所用的相似詞匯進行了區(qū)別。

關(guān)鍵詞： 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全法 網(wǎng)絡(luò)空間

Definition and Analysis of Key Words in Cybersecurity Law of PRC

Li Jun （ Inner Mongolia Autonomous Region Public Security Department ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper makes an understanding of the five key words defined in the cybersecurity law of the Peoples Republic of China， and differs from the usual similar vocabulary.

Key words： Cybersecurity， Cybersecurity Law， Cyberspace

《中華人民共和國網(wǎng)絡(luò)安全法》（下文中簡稱：《網(wǎng)絡(luò)安全法》）的第七十六條，定義了五個詞匯，分別為：（1）網(wǎng)絡(luò)；（2）網(wǎng)絡(luò)安全；（3）網(wǎng)絡(luò)運營者；（4）網(wǎng)絡(luò)數(shù)據(jù)；（5）個人信息。這幾個詞匯的定義與我們平時的習慣理解有一定的差異，有必要進行更進一步的解析。

1 網(wǎng)絡(luò)

“網(wǎng)絡(luò)”是《網(wǎng)絡(luò)安全法》中最重要的詞匯。原文定義如下：

網(wǎng)絡(luò)，是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)。

顯然，這個定義與“計算機網(wǎng)絡(luò)（Computer Network）”不同，強調(diào)的是“系統(tǒng)（System）”的概念。

楊合慶[1]158-159認為網(wǎng)絡(luò)存在狹義的網(wǎng)絡(luò)和廣義的網(wǎng)絡(luò)，狹義的網(wǎng)絡(luò)是指互聯(lián)網(wǎng)（Internet），廣義的網(wǎng)絡(luò)是指計算機信息系統(tǒng)（Computer Information System）。此處為廣義的網(wǎng)絡(luò)。

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（1994年2月18日中華人民共和國國務(wù)院令第147號發(fā)布）中第二條：

本條例所稱的計算機信息系統(tǒng)，是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

計算機信息系統(tǒng)的定義也被引用在強制性標準GB 17859—1999《計算機信息系統(tǒng) 安全保護等級劃分準則》中。但是，在平時的應(yīng)用中，我們更多地用“信息系統(tǒng)（Information System，IS）”，可以將此認為同義詞。在《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）中：

信息系統(tǒng)是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)。

通過比較，計算機信息系統(tǒng)的定義中更強調(diào)“人機系統(tǒng)”[2]，而在信息系統(tǒng)的定義中，并沒有強調(diào)這個概念，而只是強調(diào)了“系統(tǒng)或網(wǎng)絡(luò)”，此處的“網(wǎng)絡(luò)”沒有給出英文，從發(fā)布的時間以及上下文推斷，應(yīng)該是Network。

綜上所述，《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)，并不是傳統(tǒng)意義上的Network，或者Internet，而是廣義的信息系統(tǒng)的概念，英文中沒有明確的對應(yīng)詞匯。

2 網(wǎng)絡(luò)安全

《網(wǎng)絡(luò)安全法》標題中的“網(wǎng)絡(luò)安全”是一個詞匯，因為該法律對應(yīng)的英文是Cybersecurity Law。同理，最新的美國網(wǎng)絡(luò)安全法對應(yīng)的英文是Cybersecurity Act of 2015?！毒W(wǎng)絡(luò)安全法》中對網(wǎng)絡(luò)安全的定義如下：

網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

網(wǎng)絡(luò)安全對應(yīng)的英文是Cybersecurity，另一個佐證是《網(wǎng)絡(luò)安全法》中第二十一條：

國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

……

而對應(yīng)的網(wǎng)絡(luò)安全等級保護的相關(guān)標準，例如，GA/T 1390.2—2017中英文標題為：

● 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求 第2部分：云計算安全擴展要求；

● Information security technology—General requirements for classified protection of cybersecurity — Part 2： Special security requirements for cloud computing。

網(wǎng)絡(luò)安全的定義分為四個層次[1]160，如圖1所示。

圖1 網(wǎng)絡(luò)安全的四個層次

國際標準中，較常見的Cybersecurity（網(wǎng)絡(luò)安全）的定義來源于ISO/IEC 27032：2012或ITU-T X.1205，兩者共同的特點是，對于安全屬性的排列順序為：可用性、完整性和保密性[3]。

需要補充說明的一點是，網(wǎng)絡(luò)安全（Cybersecurity）是網(wǎng)絡(luò)空間安全（Cyberspace Security）的簡稱，而不是傳統(tǒng)的網(wǎng)絡(luò)安全（Network Security）。關(guān)于該詞匯的來龍去脈，可以參考文獻[3]、[4]。

3 網(wǎng)絡(luò)運營者

《網(wǎng)絡(luò)安全法》中有兩種重要的角色，即“網(wǎng)絡(luò)運營者”和 “網(wǎng)絡(luò)監(jiān)管者”。網(wǎng)絡(luò)運營者的具體定義為：

網(wǎng)絡(luò)運營者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

這個定義需要特別指出的是，《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)除了互聯(lián)網(wǎng)外，還包括局域網(wǎng)和工業(yè)控制系統(tǒng)，他們很多不向社會提供商業(yè)和公共服務(wù)，但其所有者和控制者也必須承擔相應(yīng)的安全義務(wù)，防范網(wǎng)絡(luò)安全風險，保障網(wǎng)絡(luò)安全穩(wěn)定運行[1]161。

4 網(wǎng)絡(luò)數(shù)據(jù)

網(wǎng)絡(luò)數(shù)據(jù)是從網(wǎng)絡(luò)概念延伸而來的，原文定義如下：

網(wǎng)絡(luò)數(shù)據(jù)，是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。

對比《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）：

信息系統(tǒng)是指……；

信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。

結(jié)合上文中的討論，《網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)”實際是指“計算機信息系統(tǒng)”或“信息系統(tǒng)”?？梢?，“網(wǎng)絡(luò)數(shù)據(jù)”的定義與“信息”的定義也類似。

但是嚴格來講，數(shù)據(jù)、信息和知識是不同的概念，是遞進的。信息主要指有序的數(shù)據(jù)，知識主要指有用的信息。如圖2所示。

圖2 數(shù)據(jù)、信息和知識

5 個人信息

在國外的信息系統(tǒng)研究（IS Research）中，隱私（Privacy）管理是一個熱門領(lǐng)域。

我們可以認為隱私是一個獨立的研究方向，也可以認為信息隱私（Information Privacy）是信息系統(tǒng)研究或信息安全中一個重要的方向。例如，在實踐中，ISO/IEC JCT 1是國際標準化組織（ISO）與國際電工委員會（IEC）的聯(lián)合技術(shù)委員會，即信息技術(shù)標準委員會，SC 27是其中一個分技術(shù)委員會（Subcommittee）——信息技術(shù)安全技術(shù)標準委員會（IT Security techniques）。其工作任務(wù)的描述為：開發(fā)protection of information and ICT 的標準，其中包括generic methods， techniques and guidelines to address both security and privacy aspects?？梢?，把Privacy與Security并列提出，但是這兩者又都在ISO/IEC JCT 1/SC 27的工作范圍內(nèi)。

《網(wǎng)絡(luò)安全法》中對“個人信息”的定義如下：

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

楊合慶[1]161-162認為“隱私”通常是指負面信息，個人信息在私密程度和負面性等弱于“個人信息”，但是有更強的商業(yè)性。在國外研究領(lǐng)域，隱私有諸多定義，例如，Clarke[5]將其描述為“隱私被認為是道德權(quán)利或合法權(quán)利（a moral right or a legal right）”，比較抽象。更通俗的定義如“隱私是一個人控制其個人信息的能力”[6-7]，但是個人信息這個詞匯并不常見。

我們將秘密分成三個層次[8]：（1）國家層次的秘密，國家秘密；（2）組織層次的秘密，商業(yè)秘密；（3）個體層次的秘密，個人信息或隱私。具體如圖3所示。

圖3 秘密的三個層次

組織秘密的管理無論是研究領(lǐng)域還是在實踐中都不是單獨的方向，一般會作為信息安全管理的一部分存在。國家秘密可以認為是一個相對獨立的方向，在實踐中表現(xiàn)的尤為明顯，例如，在國內(nèi)組織的架構(gòu)中，保密辦公室這個機構(gòu)與信息系統(tǒng)管理部門一般沒有太多關(guān)聯(lián)，其工作對應(yīng)國家保密局。

其中，國家秘密對應(yīng)的法律為《中華人民共和國保守國家秘密法》（1988年9月5日中華人民共和國主席令第6號公布），而更早的版本為1951年6月1日政務(wù)院1）第八十七次政務(wù)會議通過，1951年6月7日報請中央人民政府主席批準，1951年6月8日政務(wù)院命令公布的《保守國家機密暫行條例》。

國家秘密的范圍在《中華人民共和國保守國家秘密法》中也有詳細的定義，如下：

第二章 國家秘密的范圍和密級

第九條 下列涉及國家安全和利益的事項，泄露后可能損害國家在政治、經(jīng)濟、國防、外交等領(lǐng)域的安全和利益的，應(yīng)當確定為國家秘密：

（一）國家事務(wù)重大決策中的秘密事項；

（二）國防建設(shè)和武裝力量活動中的秘密事項；

（三）外交和外事活動中的秘密事項以及對外承擔保密義務(wù)的秘密事項；

（四）國民經(jīng)濟和社會發(fā)展中的秘密事項；

（五）科學技術(shù)中的秘密事項；

（六）維護國家安全活動和追查刑事犯罪中的秘密事項；

（七）經(jīng)國家保密行政管理部門確定的其他秘密事項。

楊合慶. 中華人民共和國網(wǎng)絡(luò)安全法解讀[M]. 北京：中國法制出版社，2017.

謝宗曉，甄杰，董坤祥，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中國質(zhì)檢出版社/中國標準出版社，2017.

謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解析[J]. 中國標準導報，2016（02）：26-28.

謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J]. 中國標準導報，2015（12）：30-32.

Clarke R.Internet Privacy Concerns Confirm the Case for Intervention[J]. Communications of the ACM， 1999， 42（2）： 60-67.

Bélanger F， Hiller J， Smith W J. Trustworthiness in Electronic Commerce： The Role of Privacy， Security， and Site Attributes[J]. Journal of Strategic Information Systems， 2002， 11（3/4）： 245-270.

Stone E F， Gardner D G， Gueutal H G， et. al. A Field Experiment Comparing Information-Privacy Values， Beliefs， and Attitudes Across Several Types of Organizations[J]. Journal of Applied Psychology， 1983， 68（3）： 459-468.

林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015.