西安交大专家：网络安全视野下的5G政策与法律

文│ 西安交通大学 朱莉欣 李康

在激烈的地缘政治竞争影响下，5G所支持的网络空间将面临更大的安全挑战，既有来自网络技术应用、社会信息化程度加深带来的数据泄露、个人信息保护、漏洞治理、网络犯罪和人工智能（AI）法律规范等技术和应用层面的问题；也有包括地缘政治竞争带来的网络空间军备、网络监控、网络舆论战和网络战威慑等战略层面的威胁。理解5G技术应用及发展背后的政治较量，深入分析5G背后的网络安全问题，是全面认识和把握5G政策与法律的前提。

一、国外5G政策分析

对比国内外的5G政策可以看出，在各国对5G重要性的共同认知下，在具体的政策和法律层面，体现出不同的倾向和特点。中国是通过政府协调指导计划，对5G网络进行大量的公共投资，对频谱的开放，并推动5G技术的大面积覆盖。美国的5G发展则主要依靠私营企业的投入、研发，在大面积迅速推进的同时关注网络安全，力求在全球5G竞赛中获得主导权。欧洲面对中美两个5G的领跑者，其目标不是赢得比赛，而只是力求在5G竞赛中保持竞争力。

面对5G发展的重大机遇，中国政府把5G视为实施国家创新驱动发展战略的重要抓手之一。《国家信息化发展战略纲要》等重大文件及2018年底中央经济工作会议均对推动5G发展作出明确部署。2017年，5G首次被写入两会政府工作报告。各地方政府也纷纷出台鼓励5G发展的各项政策。

全球主要国家和地区的数字经济战略均将5G作为优先发展的领域，力图超前研发和部署5G网络，普及5G应用，加快数字化转型步伐，纷纷出台相关政策文件，支持本国5G发展。

二、我国5G发展的法律要点

（一）作为移动通信系统，5G的发展首先需要电信法的支持和规范

《中华人民共和国电信条例》规定，电信业“破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则”、电信网络和信息的安全受法律保护；任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动；我国电信实施电信业务经营许可，要求电信网间要“互联互通”、互联规程要遵守“非歧视和透明化的原则”。该条例第56条规定，不得利用电信网络制作、复制、发布、传播违反宪法原则，危害国家安全等九类信息；第57条规定，任何组织或者个人不得有四类危害电信网络安全和信息安全的行为。此外，为适应时代的发展变化，我国目前在起草《电信法》，以进一步完善电信法律制度。《电信法》将涉及5G的设施建设和安全、5G业务经营的开展和服务、5G 电信服务商之间的关系和与客户的关系、5G涉及的信息和行为合规等一系列内容，是支持和规范5G发展基础性的法律。

（二）以电信法为基础，5G发展也需要其他配套的网络安全相关法律规范

在5G网络安全方面，首先有《网络安全法》总体的要求和规范；运用5G技术和网络收集、存储、分析、运输和处理数据，要符合有关数据法的规定，如《中华人民共和国人类遗传资源管理条例》《金融信息服务管理规定》等；如果数据涉及个人信息，还要遵守个人信息保护法的相关规定，如《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、GB/T35273-2017《信息安全技术 个人信息安全规范》标准等。在5G基础设施规划、建设和运营方面，有关键基础设施保护法的相关规定，如《网络安全法》《信息安全技术 网络安全等级保护基本要求》规范关键基础设施安全的条款，且《关键信息基础设施安全保护条例（征求意见稿）》也已经出台。5G相关的技术和发展同时也受我国《著作权法》《专利法》和《商标法》等知识产权法律法规的保护。围绕5G的发展和应用涉及方方面面社会关系，这些相关的法律法规可以发挥各自的功能，指引、协调和规范由于5G应用而形成的新的社会关系。

三、5G与网络安全法

应对5G的新技术风险和政治安全挑战，《网络安全法》无疑是核心法律，其他一些配套的网络安全法律规范也调整与5G相关的安全关系。概括地说，我国现行网络安全法律体系主要从以下三个方面保障5G安全发展。

（一）明确相关各方责任，重构各方义务

1.设备供应商。设备供应商提供具有数据搜集和传输功能的各种硬件。5G网络设备供应商应该在其研发之初遵从相应的设备制造标准制造安全的设备，即遵从相关的安全法律规定和安全标准，制造安全的设备，认真履行自己的责任，打牢网络安全的根基。《网络安全法》要求，网络产品提供者提供的产品应当符合相关国家标准的强制性要求，不得设置恶意程序；发现其网络产品存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告，并且还应为其产品、服务持续提供安全维护。

2.运营商。5G时代的运营商将掌握更多、更准确的用户各种数据，其对用户个人信息保护的责任也会越来越大。运营商作为拥有国家关键基础设施的单位，除要遵循《网络安全法》第二十一条网络安全等级保护的规定外，还应当在第三级以上的网络中，确定关键信息基础设施并保证其安全。网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击等安全风险，并依据《网络安全法》承担通报、信息共享等其他合作义务。

3.行业、监管机构。5G行业和监管机构有责任共同制定统一网络安全标准和验证标准。依据《网络安全法》，国家建立和完善网络安全标准体系。国务院标准化行政主管部门和其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

（二）从设施到内容，全面保障网络安全

我国现有网络安全法体系虽然还在完善中，但是，已经形成了从物理设施到信息内容两个层面的5G网络安全保障，体现在《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对设施的保护，以及《侵权责任法》和《信息网络传播权保护条例》对知识产权的保护。

（三）明确智能社会风险治理目标，加大用户个人信息保护

与传统社会相比，5G带来的智能社会不应仅考虑5G技术风险治理问题，更要考虑如何构建整体性的法律治理体系问题。智能社会风险治理的主要目标应包括：保护个人数据隐私、安全及相关权益；抵御可能的集体风险，维护国家安全、公共安全及社会稳定；在个人数据权益保护和社会自主创新之间实现平衡。所以，我国网络安全法体现的是国家总体安全观，在认识到安全相对性前提下，鼓励安全与发展并重（第3条），鼓励数据安全技术的开发和使用（第18条），建立安全信息共享机制（第39条），通过风险评估（第26条）和监督检查（第38条）等制度，多种措施促进协同保障网络安全，同时实现网络安全风险治理。

相较于欧美百余年的隐私保护历史，我国并无保护隐私权的传统，甚至也没有隐私的法定概念。我国个人信息保护法律制度则从广义上涵盖了个人隐私数据的保护。2012 年，我国通过《关于加强网络信息保护的决定》，对个人信息保护的基本原则、数据控制者的义务等做了规定。2014 年，最高人民法院发布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，通过侵权责任保护个人信息。2016 年，《网络安全法》出台，对个人信息的概念做了界定，其第22条、37条、41-45条从个人信息的收集、使用、应用到储存都进行了规范，并在法律责任一章规定了相关责任者的处罚措施。这种保护力度，宣示国家保护个人信息的决心，也对5G发展应用中个人信息保护提出了明确的遵从要求。

（本文刊登于《中国信息安全》杂志2019年第9期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。