以法治化與標准化夯實網絡安全治理基石

網絡黑客攻擊、疫情期間大數據信息違規濫用、網上深度偽造換臉風波……隨著網絡技術的飛速發展，互聯網已經深度融入國家發展和社會生活的方方面面，不斷涌現的網絡安全問題也從未停止。這兩天正值2020年國家網絡安全宣傳周，網絡安全治理的議題也由此獲得更多關注。筑牢網絡安全防線，提升網絡安全保障能力，是推進國家治理體系和治理能力現代化的必然要求和重要體現。法律規范和技術標准作為兩大規范系統，於網絡安全治理而言，猶如車之兩輪、鳥之兩翼，理應協同驅動、共同發揮保障支撐作用。

標准化是網絡空間安全治理的技術基礎。作為現代風險管理科學手段——標准化的產物，技術標准是網絡安全領域經行業內專家一致協商制定的技術與管理要求，代表著當前一段時期內網絡安全技術的認知與水准，具有科學性、經驗性和客觀性的特點，且隨技術發展而不斷更新。近年來，全國信息安全標准化技術委員會在等級保護、個人信息、大數據、雲計算、人工智能、應急指南、工控行業等領域及時發布了大量國家標准及行業標准，網絡安全標准體系也在逐步健全完善中，為企業開展網絡安全管理提供了操作性強的技術參考。

法治化是網絡空間安全治理的根本保障。中國自接入國際互聯網以來，堅持依法開展網絡空間治理，2017年6月1日正式實施的《中華人民共和國網絡安全法》為網絡空間主權、網絡運行安全、數據信息安全、應急處置和監管處罰等提供了基礎性規定。3年來，配套立法不斷出台，個人信息保護法、數據安全法納入立法規劃，《網絡安全等級保護條例》《關鍵信息基礎設施保護條例》等條例正在起草，網絡安全法律規范持續加碼。App違法違規收集使用個人信息專項治理、淨網行動等網絡安全執法案例不斷涌現，法治效果逐步凸顯，網絡空間日漸清朗。

應該明確的是，關於網絡安全技術的引導與規范，不僅要看到標准化與法治化各自發揮規范作用，更要關注到兩者的融合互動、驅動發展：技術標准為網絡安全法落地提供支撐作用，法律規范為技術標准施行提供制度保障。沒有技術標准，法律的原則性規定難以落地。比如，網絡安全法第41條規定“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則”，但對於如何操作符合“必要”並無具體規定，國家推薦性標准《信息安全技術個人信息安全規范》對個人信息的收集、使用給出了“最小化要求”等詳細操作規定，彌補了個人信息保護法“空窗期”的法律空白。

同時，法律為標准施行提供強有力制度保障。比如，網絡安全法提到，國家實行等級安全保護制度，將等級保護上升為法律制度。2019年年底，《信息安全技術網絡安全等級保護基本要求》正式實施，意味著我國網絡安全等級保護標准從1.0時代步入2.0時代。尤其是我國實行關鍵信息基礎設施保護是在網絡安全等級保護的基礎上施行重點保護，網絡安全法強調要按照“國家標准的強制性要求”，為國標的執行提供了強制約束力。

法律法規和技術標准是保障網絡安全的兩大重要手段，提升網絡安全保障能力需要統籌法治化和標准化建設。因此，一方面既要重視法治化建設，加快配套立法，加強網絡安全跨部門、跨區域、跨行業的執法協作，明確司法實踐中行刑銜接、責任競合等問題的法律適用﹔另一方面，強化網絡安全國家標准頂層設計，優化完善網絡安全國家標准體系，加快急需重點領域標准審議，下大力氣提升標准質量，提高標准研制時效性，抓好標准化人才隊伍建設。此外，還要提高法律法規與標准規范之間的銜接性，借鑒國際上技術法規的先進經驗，建立法律援引標准的適用規則，明確標准實施的效力范圍，不斷推進法律與標准之間融合互動縱深發展。

（作者：郗蕊，系北京市習近平新時代中國特色社會主義思想研究中心研究員）