第五空间法律应该更多考虑其自身特性

日前，山石网科销售技术副总裁杨庆华先生在接受赛迪网记者的采访时表示，网络是继陆、海、空、天之后的第五空间，《中华人民共和国网络安全法（草案）》(简称“《草案》”)作为针对第五空间的法律需要更多考虑其自身特性。

“《草案》对所有做安全的人是翘首以盼的东西”，国家已经有将近10年没有出台与网络安全直接相关的法律，本次《草案》的公布十分鼓舞人心。而且《草案》本身上升到了国家的高度，这点也非常让人鼓舞。

“但从整体上来看，还是有些地方可以改进。”杨庆华提出，从整体来看，《草案》缺少了一个章节，安全运行的前提是网络和安全的基础建设，所以《草案》里应该有关于网络安全建设这类的篇章内容。“对于产业界支持方面的内容最好能够细化一下，比如国家项目基金、税收、招商引资等等。”“等保”这类词语是否需要在《草案》里提出也值得商榷。“如果需要提的话，那么放到网络安全建设这类章节里会更好一些。”另外，运维部分、出现问题的处置部分等则又写得有些“过细”。《草案》基本属于网络空间安全的基本大法，需要考虑其长期性，所以有些时候过多的技术细节也许不需要在《草案》里体现，更多的应该是设立原则性、方向性的规定。

对于《草案》中关键信息基础设施安全的相关条款，杨庆华表示“该条里所提到的‘重要基础设施’不应该仅仅是行业，维系国家、居民基础生活的都应该是重要基础设施，对于这部分应该加以定义、解释。”而可操作性则是该条法规所面临的最大难题，比如，惩罚力度的设定仅由罚款来界定是否恰当，如果由违法营业所得额度作为衡量标准而非具体数字是否会更好些？条款中所提“相关部门”是否能够给予更加清晰的界定？

现在已经有足够的第三方机构能够对企业、单位是否遵守“关键信息基础设施的运行安全”相关规定进行审核、抽查，《草案》相当于从法律上为其赋予了法理依据，而公正性则是在执行层面需要考虑的问题。另外，企业IT体系安全性上的改进应该从企业自身行为出发，本着“谁建设、谁维护”的原则由企业自行把握，不应该由于个案而做出时间表类的限定。

近几年，重大网络安全事件频发，安全预警的重要性愈发凸显。杨庆华认为，安全预警应该由国家担当主要责任，但现在相关部门所起作用还不够。另外，“安全事件应该所有人都知道”，每个人都应该有权力知道互联网上正在发生的安全事件。而通过建立安全预警等级一类的机制，能够保证让相应级别的人员第一时间获知安全警报信息。

其实，现在许多企业、单位都制定了安全应急预案，但是否有效则是一个大问题。杨庆华建议安全应急预案建立后还需要做两部分工作：首先，应急预案的任何一个场景都需要演练，不能仅仅制定出来就放到那里，然后根据演练的结果进行修改、完善。其次，还需要进行定期演练，因为安全不是一劳永逸的事情，需要根据最新业务情况、网络情况、恶意威胁情况等条件对安全应急预案进行调整。

自《草案》公布征求社会意见以来，人们对于“对网络通信采取限制等临时措施”这条法规讨论很多。杨庆华认为“涉及国家安全”应该是该条法规启动的唯一条件，“断网”机制一定要经过严格的审批，所以要建立起来严谨的审查机制，防止出现非法律规定之外的“断网”行为出现，导致法律被“滥用”。

杨庆华认为，《草案》是针对第五空间的法律，所以不能还是以四维空间的思路去制定。如果能让更多网络安全专业人员参与《草案》的制定，将会让其更具可行性、更易于执行。