文/陈根
继5月13日被国家市场监管总局因涉嫌垄断行为依法立案调查后,6月23日,知网又被网络安全审查办公室宣布启动网络安全审查,消息一出,立时引起热议,而上次因为网络安全审查引发巨大讨论的还是滴滴被网络安全审查事件。要知道,网络安全审查制度的根本目标在于维护国家安全,早在《国家安全法》和《网络安全法》中就已经对国家安全审查制度进行了确立,并最终作为《网络安全审查办法》的立法背景予以确认。那么,这一次知网为何又因网络安全被审查?在教育、科研行业成为境外黑客势力重点攻击对象的今天,我们国国家数据安全底线又该如何去保障?
在受到网络安全审查以前,知网已经成为了频繁引起网络声讨和争议的对象。作为国内最大的学术电子资源集成商,知网此前其被诟病的最大焦点,在于其收取下游用户高额“知识付费”的同时,却并未获得上游作者的知情同意,且支付相应报酬。2021年12月,中南财经政法大学退休教授赵德馨,因不满知网在未获得作者授权的情况下,擅自使用作者学术成果,并对外售卖而展开维权。最终,赵德馨教授在知网涉及的100多篇著作全部胜诉,并获赔70余万元。而今年,诸多大学等高等教育机构则对知网提出公开质疑,甚至宣布暂停使用。前不久,4月20日,中科院才宣布停用知网数据库,一大重要原因仍为“续订价格涨幅过高”。就在今年5月13日,国家市场监管总局还依法对知网涉嫌实施垄断行为进行立案调查。现在,国家层面再次出手——网络安全审查办公室对知网启动了网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及重大项目、重要科技成果及关键技术动态等敏感信息。尽管对于知网进行网络安全审查的具体内容并没有披露太多,但在数据安全被越发重视的背景下,对于知网的网络安全审查还是受到了广泛的关注。就在前不久,大学生学习软件学习通还被曝光被拖库,泄露了包括学校名称、姓名、手机号码、学号、工号、性别、邮箱等在内的共计1.7273亿条信息。其中包括用户 ID,用户昵称,密码等等。实际上,对于知网的网络安全担忧并非空穴来风,很大原因就在于其容易成为境外黑客组织的攻击对象——高校、科研院所等拥有我国前沿学术研究成果的机构,其核心数据遭到境外黑客群体的入侵的风险正在扩大。6月22日,西北工业大学还发布公告称,经公安机关初步判定,有来自境外的黑客组织和不法分子,向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。而网络安全审查的出发点、着眼点正是保护国家利益、公共利益。对知网开展安全审查,一方面,可加深公众对于网络安全审查的了解,保护国家安全、公共安全和公民安全。今年,1月4日,国家网信办、国家发改委等十三部门联合修订发布《网络安全审查办法》,并自2022年2月15日起施行。新修订内容更加针对了数据处理活动,聚焦国家数据安全风险,而这已经是《网络安全审查办法》的第三版。可以看见,国家对数据主权、网络安全已经愈发重视,一个数据严监管的时代正在到来。另一方面,对知网开展安全审查也有利于我国与国际网络信息产业进一步衔接。实际上,部分发达国家很早就建立了网络安全审查体系,早在2016年4月,欧洲议会就出台了《一般数据保护条例》(GDPR),对内扩大数据主体的权利,对外提高对于数据输出的审查标准,以规范数据传输和主权问题。网络产品和服务供应链也已发展为遍布全球的复杂系统,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度,开展网络安全审查已成为世界各主要国家防范关键信息基础设施安全风险的通行做法。此前,通过对滴滴网络安全审查,我国的网络信息产业环境在安全审查过程中才得以与国际网络信息产业环境进一步进行对接。
网络安全对于国家的重要性不言而喻。事实上,网络安全作为国家安全的一项基本内容,还是从1991年的海湾战争开始的。海湾战争被定性为世界上第一次信息化战争。彼时,美国提前知晓了伊拉克全部军事防御信息,当地时间1991年1月16日,15点35分,美军开始“沙漠风暴”空袭行动。战斗机和巡航导弹都是从美国境内的军事基地发射,对伊拉克境内设施实施精确打击。不到一天,美国就宣布获取了空中优势,伊拉克空军和防空力量遭到毁灭性打击,基础设施被严重破坏,首都巴格达满目疮痍,国家陷入瘫痪。战斗耗时不到一个半月,联军就歼灭了伊拉克的全部部队,总伤亡人数不到1500。究其原因,就是美国通过信息化技术手段,取得了伊拉克部队几乎全部的作战计划与行动,伊拉克部队准备何时进攻,重要领导人藏身何处、部队编制如何都在联军的掌握之中,根据敌军部队战术,见招拆招、采取针对化的战略打击,最后通过极小的代价就取得了战争的胜利。尽管美国通过海湾战争给世界各国都上了一课,但很长一段时间里,各国对于网络安全的保护依然还停留在军事层面。 毕竟,在1991,国内的个人电脑普及率为每人0.0007台,联网都困难,更不用说安不安全。而在此后互联网发展起来的很多年里,我们也是更多地停留在重建设、轻安全的阶段里——根据国际战略研究所报告,中国网络实力被“夸大”,薄弱的网络安全和情报分析拖累其网络实力。2020年12月,美国官员发现,俄罗斯对外情报局(SVR)攻击了太阳风(Solar Winds)软件,以入侵华盛顿方面的政府目标,包括美国商务部和财政部。在这样的背景下,国际战略研究所(IISS)研究员尝试将各国按照网络能力进行排名。排名指标涵盖数字经济强大程度、情报和安全职能成熟度、以及网络设施与军事行动的整合程度。其结果是,只有美国被该智库列为“第一梯队”网络强国,而中国、俄罗斯、英国、澳大利亚、加拿大、法国和以色列是第二梯队。第三梯队包括印度、印度尼西亚、日本、马来西亚、朝鲜、伊朗和越南。据IISS,美国独自位列第一梯队的原因在于它无与伦比的数字产业基础,它的加密技术能力,以及对敌人实施“复杂、外科手术式”网络攻击的能力。与中国和俄罗斯等对手不同,美国还受益于和其他网络强国的紧密联盟关系,包括它的五眼联盟(美国、英国、加拿大、澳大利亚和新西兰)伙伴。IISS网络、太空和未来冲突专家格雷格?奥斯汀表示,媒体报道往往只关注了中国数字进步的积极面——例如中国成为人工智能全球领导者的抱负。但归根到底,安全的本质是一种能力,而不是一个产品,也不是一个过程。要提升网络安全能力,就需要把网络安全视为一个复杂巨系统问题进行统筹应对,从国家角度考虑,对数据安全和社会治理都进行建设。
如今,全球范围内限制数据跨境流动的趋势越来越明显,随着信息化、数字化在近年来呈现出新的发展趋势,各国对于网络主权的守护与争夺也日益激烈。各国各地区都将自己境内的数据看作事关国家安全的宝贵资产。欧洲和美国一系列网络主权的宣言和行动,正凸显了网络安全挑战在全球范围内正在发生的深刻变化。在欧盟,2020年2月的《欧洲数据战略》《塑造欧洲的数字未来》和《人工智能白皮书》集中提出了“技术主权”,在科技、规则和价值三方面强化了欧盟对网络空间的控制力和主导权,强调在网络关键技术、基础设施领域、规则制定和价值观上确保欧盟的自主性和选择的能力。在美国,在前总统特朗普“美国优先”的路线下,“政策走向保守、战略转向收缩”的态势已然成型。从《出口管理条例》和《澄清域外合法使用数据法案》对数据流动的政府管制,到以网络安全、数据安全和意识形态潜在威胁为由,对华为、抖音和微信的制裁和禁令,均展现出美国在网络空间的重大政策转向。2020年,美国国务卿蓬佩奥发起“清洁网络”计划,以期将中国的运营商、应用商店、应用程序、网络云和网络电缆排除在美国和其他国家使用的互联网基础设施之外。而对于我国来说,改进网络安全治理,有效应对网络安全的挑战,依然是个提升国家竞争力的一个不容回避的迫切问题。除了在法律层面确认对网络安全的重要性和对网络安全的保护,此外,还需要强化网络安全的能力建设和动员全社会参与和协作。从强化能力建设来看,进入新发展阶段后的中国全面提速开展新型基础设施、工业互联网、智能城市等的建设,网络安全问题将愈发突出,尤其在互联网核心技术、核心元器件严重依赖外国和供应链的“命门”受制于人的最大隐患之下,而只有技术实力与创新能力技高一筹,才不会陷入被动。同时,还要在机制、政策、法律、人才、产业、资源、国际话语等的较量中力争上游,形成立体防御和以体系对抗体系的全面反制。从全社会参与和协作来看,随着信息技术的创新发展,互联网已经从简单的娱乐、消费与信息交换工具,转向具有更复杂的思想表达与政治参与功能,网络已经渗入社会和生产的方方面面,而网络安全自然也涉及到社会生活和生产的方方面面。“网络安全人人有责”并非一句口号,而是应对网络安全防线过长、网络安全威胁主体多样化的有力保障。政府、企业、技术社群、公民、组织等既担负应尽的责任,更要形成合力,相互配合。网络信息时代,网络安全与个人、企业乃至国家都休戚相关,随着信息技术的持续进化,网络安全挑战也在不断变化和增加。因此,网络安全治理也必须更快地进化和完善,只有这样才能经受得住实战的考验。
沪公网安备 31010402000581号
