近日,哈尔滨工业大学“网络空间国际治理基地”和相关智库就俄罗斯新出台的《主权互联网法》内容、实施、影响,结合当前形势和我国发展需要进行了研究,并认为该法出台是“俄网”战略深化、立法深化、对抗深化的最新举措。

一 俄罗斯《主权互联网法》的主要内容

俄罗斯新近出台的《主权互联网法》突破了此类立法的传统背景,在俄罗斯的10余部网络主权类的立法之中重塑了俄罗斯的网信法治。当前,俄罗斯的网络安全战略,体现在2016年12月5日由普京总统批准的新版《俄罗斯联邦信息安全学说》之中,该战略强调了要加强俄罗斯防御国外网络攻击的能力,提出了要从战略层面防止和遏制与信息科技相关的军事冲突,以求保证俄罗斯在信息领域的国家安全。围绕这一战略,俄罗斯2017年出台了《关键数据基础设施法》、《VPN法》、《即时通讯服务法》等。而对于此前出台的、构成了俄罗斯网络电信领域的主要法律——1995年《俄罗斯联邦通信法》、1995年《俄罗斯联邦关于信息、信息技术和信息保护法》、1999年《俄罗斯联邦邮政通信法》、2014年《知名博主新规则法》和《Wi-Fi实名制法》等,俄罗斯立法进一步强化网络主权,由跨党派议员在2018年12月联合推出名为《<俄罗斯联邦通信法>及<俄罗斯联邦关于信息、信息技术和信息保护法>修正案》,也被称为《稳定俄网法案》(Stable Runet Act)或称《主权互联网法》(Sovereignty Internet Law)。该法案由俄罗斯的国家杜马于2019年2月12日一读通过,由俄罗斯联邦委员会于2019年4月22日正式批准,将于2019年11月1日生效,其中有关国家域名系统的内容将于2021年1月1日生效。

俄罗斯《主权互联网法》的主要内容,是从五个方面立法确立了俄网的“自主可控”网络主权;

第一是“域名自主”,规定了俄罗斯须建立可接收域名信息的全国系统和自主地址解析系统,以在紧急时刻取代现有域名服务系统,与本国重大利益相关的网络全部应使用这一系统。这在一定程度上是创建了本国自主互联网。

第二是“定期演习”,规定了俄联邦电信、信息技术和大众传媒监督局将负责确定这一域名系统的设计要求、建设流程和使用规则。同时,法案强调政府、电信运营商和技术网络所有者定期演习的必要性,以识别威胁并制定应对措施。

第三是“平台管控”,该法案规范了互联网流量管理。法案规定,俄罗斯的互联网服务提供商有义务向监管部门展示,如何将网络数据流引导至受俄政府控制的路由节点,使国内网络数据传输不经过境外服务器,最大程度减少俄罗斯用户数据向国外传输。电信运营商有义务确保在发生威胁时集中管理流量的可能性,如应当在确定传输流量来源的通信网络上安装技术设备。

第四是“主动断网”,规定俄联邦的电信、信息技术和大众传媒监督局(Roskomnadzor)负责维持俄网的稳定性。一旦认定俄网受到威胁,监督局可主动切断与外部互联网连接,在确保本国网络仍能够稳定运行的同时,集中控制大众使用的沟通网络;监督局有权决定是否构成威胁以及采取何种消除措施。

第五是“技术统筹”,该法案还定义了路由选择的原则,提出了用之于追踪监控的方法,并要求俄联邦的电信、信息技术和大众传媒监督局下设公共通信网络监测和管理中心。该中心将对国内通信运营商的通话信息、国家数据传输系统的信息传递内容进行分析,以确保俄罗斯互联网的安全。

综上,俄罗斯《主权互联网法》在传统的关键信息基础设施领域树立了自主可控的网络主权、特别是以“主动断网”为特色的新规则。

二 俄罗斯《主权互联网法》的立法特点

首先,俄罗斯《主权互联网法》最突出的特点,是其旗帜鲜明地针对着并反对美国的网络霸权。该法在起草说明中明确指出是俄罗斯“在考虑到2018年9月通过的《美国国家网络安全战略》的侵略性质的基础上编写的”,旨在对抗“美国国家网络安全战略的侵略特性”。一直以来,俄罗斯面临大量网络攻击,根据俄联邦安全局的统计数据,俄罗斯的总统办公厅、国家杜马、联邦委员会网站每天遭受黑客攻击就达1万余次,俄罗斯已成为全球网络安全风险最高的国家。

其次,俄罗斯《主权互联网法》最显著的特征,是全球首次立法“主动断网”、定期演习,以识别网络主权威胁。关于“主动断网”,我国学者曾于2018年网信办内部闭门会议上有所提出以针对大规模整体性的国家网络风险;关于“被迫断网”,我国此前在技术层面也有过相关的技术演练和深入的应对研究;关于“局部断网”,我国《网络安全法》第五十八条规定:”因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施”——但是,在分析“主动断网”的背后,如何做到威胁的识别、技术的处置、决策体制的设置等问题,仍有必要细化落实,仍需要我国相关专家主动地与俄罗斯此次的立法者进行交流,仍有必要在技术层面加强沟通与合作,互通有无、彼此借鉴。

再次,俄罗斯《主权互联网法》最争议的评价,是被俄罗斯国内外的一些评论者看做是“极限维权”,表名其虽有争议、但相对极端的数据主权保护主义,在俄罗斯仍是主流。在国内层面,该法案仍然任重道远、阻力重重。要打造自主可控的互联网不仅耗费巨大,而且网络运营商和互联网服务提供者的运营成本也将显著增加,而且自主互联网的实际效用和可行性亦饱受质疑,监管部门也将面临着诸多的意想不到的技术难题;在国际层面,由于网络与数据治理路径、平台的竞争将不断加剧,美俄“拉锯”非常明显,双方在网络空间的国家责任等议题上仍存在严重的“理念分歧”。美国加大了国际贸易中对网络安全技术出口与投资的管控并形成了数据治理的“长臂管辖”,加剧了数据资源的全球化竞争态势,国际上网络空间政治化与军事化日益明显,俄罗斯被西方国家孤立、制裁甚至引发网络战的国际形势日益严峻。 

最后,俄罗斯《主权互联网法》最严重的后果,是造成俄网孤立。俄网是处于1992年成立的“欧洲互联网网址注册中心(RIPE NCC)管辖之下,而RIPE NCC则覆盖了欧洲和俄罗斯(含俄罗斯亚洲部分)等75个国家的15000前沿。在2008年8月的“俄格冲突”中俄罗斯率先向格鲁吉亚发动强大的互联网攻击,格鲁吉亚由于无法利用网络发布有关战争的准确信息而在两国冲突中处于了劣势。俄罗斯显然是明白网络战的现实作用,俄罗斯的国家杜马依然认为有必要通过批准《主权互联网法》,以确保俄罗斯联邦境内互联网的安全和可持续运行,完善建立新的俄罗斯自主可控的互联网(The Runet)、自主根服务器、自主域名解析系统、自主路由节点、自主统筹管理机构,并立法通过俄罗斯有权“主动断网”来达到孤立存在、极限安全的状态。

三 俄罗斯《主权互联网法》的应对建议

比照我国2015年《国家安全法》、2016年《网络安全法》可发现,俄罗斯《主权互联网法》力图建立一个自身可以主权掌控的“俄网”国家系统,我国在政治上、经济上、技术上应对其表示赞赏和支持,并运用《网络安全法》第七条“国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系”以及《国家安全法》第十条“维护国家安全,应当坚持互信、互利、平等、协作,积极同外国政府和国际组织开展安全交流合作,履行国际安全义务,促进共同安全,维护世界和平”的规定,积极落实习近平在上合组织元首理事会第十九次会议的讲话精神,针对俄罗斯《主权互联网法》的出台提出团结互信、安危共担、互利共赢、包容互鉴的“上合网络合作”的新宗旨,从政治上、经济上、技术上加强协调、交流,力图在技术合作基础上达成新共识。 

第一,抓住“俄网”主权合作的新契机。俄罗斯《主权互联网法》提出了大规模网络基础设施建设需求,我国有必要从技术上给与支援、从经济上加深合作。通过加强我国《网络安全法》中规定的八大关键网络基础设施机制的互鉴与交流,提出网络主权合作方面的团结互信、安危共担、互利共赢、包容互鉴的新宗旨,并将之固定到“上海精神”在网络主权国际合作领域的具体机制新典范。俄罗斯《主权互联网法》的出台是旨在补足其网络安全的“短板”、完善其网络主权的安全,同时提出了俄罗斯须建立可接收域名信息的全国系统和自主地址解析系统、政府和电信运营商以及技术网络所有者应当定期演习以识别威胁并制定应对措施、俄罗斯互联网服务提供商应当向监管部门展示如何将网络数据流引导至受俄政府控制的路由节点以使得国内网络数据传输不经过境外服务器、一旦认定俄网受到威胁则俄罗斯将主动切断与外部互联网的连接并确保本国网络仍能够稳定运行等一系列的网络关键基础设施建设新诉求。一直以来,俄罗斯把网络空间视为继陆、海、空、天之后的“第五空间”,俄罗斯曾经强化了网络管控,冻结了900家极端主义网站,俄罗斯国家杜马曾建议过政府机构禁止使用Windows10操作系统,并封锁俄语版的维基百科;俄罗斯《主权互联网法》的推出,是俄罗斯应对“网络霸权”、反击当今愈发严峻网络威胁的“重拳”,然而,其立法目的的实现有赖于技术能力提升、技术合作深化、区域互联加强。为此,建议我国提出区域网络“互析”方案,在区域网络共同安全方面抓住契机,深化合作,引领话语权。 

第二,处理好“孤岛维权”与开放合作的平衡点。俄罗斯《主权互联网法》关于“主动断网”的新规定是全球争议焦点。尽管如此,俄该法案中对网络主权的坚决坚持和保护令人印象深刻,这一理念也是我国所倡导的。然而,如何才能成功地创建自主可控的根域系统以建成自主解析、自主互联的国家互联网?能够既防断网、又保互通?依然是维护网络主权的前沿性技术难题。立足于中国特色的网络主权实践,总结好包括路由端点的管理、境内外信息的管理、内部市场的孵化、根域系统自主研发、网络关键基础设施等级保护、适度的网络实名制等,我国的网络主权实践与制度自信应当进一步地总结归纳,以求进一步赢得国际上的示范性声誉。鉴于此,我国在网络安全自主、网络产业自主、网络科技自主方面率先走出了全球互联网自发明以来的天然性的技术垄断,既是丰富了国际合作,又是壮大了本国实力,同时也避免了韩国历史上全面网络实名制立法的失败以及当前欧盟GDPR信息管制的困境。因此,在俄罗斯“断网”特色的“孤岛维权”极端网络主权保护立法比较下,如何更加灵活、准确、共享、共治地维护国家的网络主权与安全利益,乃至如何能在上合组织成员国之间基于“俄网”立法试点来加强技术合作,对我国的网络空间国际治理工作提出了新课题、新挑战、新机遇。故此,建议通过处理好“孤岛维权”与开放合作的平衡点,来引领国际合作的话语权。

第三,提升“上合组织”网络主权合作的新高度。2015年1月9日,中国、俄罗斯联邦等上海合作组织六国的常驻联合国代表致信给联合国秘书长,提交了新版《信息安全国际行为准则》,提出了“与互联网有关的公共政策问题的决策权是各国的主权”观点,即“国家主权决策网络政策”,受到了国际社会高度重视。2015年5月8日,中俄签订了《中华人民共和国政府和俄罗斯联邦政府关于在保障国际信息安全领域合作协定》,两国认为:国家主权原则适用于信息空间;中俄将致力于构建和平、安全开放合作的国际信息环境,建设多边、民主,透明的国际互联网治理体系。2015年7月1日,中国公布并实施的《国家安全法》在25条首次立法“维护国家网络空间主权”, 中国2016年11月7日发布、2017年6月1日施行的《网络安全法》更在第二条就明确规定了“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法”等等非常明确的网络主权法治边界。中国“网络主权”立法后,韩国、越南、澳大利亚、新加坡、欧盟、俄罗斯等国加紧了有关网络主权的相关立法。2019年,俄罗斯认识到俄网由于没有类似于中国的防火墙,无法阻止不受欢迎的外部流量并过滤掉负面或不受欢迎的内部信息,而中国互联网建设从一开始就与外界只有几个交换中心,因此很容易控制,而俄网却有几百个交换中心和安全部门甚至不知道的交换中心的存在。由于中国已经成功地运用自己的网络系统取代了大多数全球互联网服务,当中国用户都聚集在从支付系统到社交网络的同一个平台上时,比如微信,就更容易形成可控、统一的市场,显著降低了用户离开该平台成为西方竞争对手的风险;而俄罗斯没有自己的微信,且面临外国断网的国家安全风险。所以,我国应赞赏并支持俄罗斯《主权互联网法》,借此扩大深化“上合组织”成员国之间的网络主权合作,为国际网络安全树立区域互信、网址互析的合作典范。

【作者简介】

赵宏瑞,哈尔滨工业大学人文社科与法学学院院长、教授、博导,哈工大网络空间国际治理基地副主任,中国WTO法研究会副会长,民盟中央经济委员会副主任,民盟黑龙江省经济委员会主任,省政协委员。王宏伟,哈尔滨工业大学人文社科与法学学院法律系副主任、副教授、硕导,哈萨克斯坦国立大学法学博士。张春雷,哈尔滨工业大学讲师,人文社科与法学学院在职博士生,哈工大网络空间国际治理基地成员。王合永,俄罗斯圣彼得堡大学博士预科、哈尔滨工业大学人文社科与法学学院博士生,哈工大网络空间国际治理基地成员。

声明:本文来自北大法律信息网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。