上篇对《法律3.0》这本书进行了自己的综述与评价,忽略了《法律3.0》自身的论述与案例解析,虽然对我而言这本书带来的震撼依然在延续和思考,但写的文章读者读起来未免显得枯燥无味。周末的间隙,跑步的过程,反思网络安全与法律的关系,不免觉得拿网络安全来阐释法律3.0,更为鲜活,也希望能给大家带来更多的启发和思考。
一、法律3.0回顾
首先还是要回顾下法律3.0的核心思想,法律1.0是规则规制主义,即以立法规则规范人的行为符合权利义务的强制规则,并通过司法对法律事件和法律结果按照规则确定责任和惩治违规行为实现对权利损害的强制力救济。事前的教育、指导、威慑,以及事后的惩治与救济是法律1.0的典型特征。
法律2.0是工具规制主义,规则规制主义的主要问题在于司法过程的教义(doctrine)一致性会造成实质的权利保护和义务强制的不公平。典型就是美国宪法修正案相关的争议判例,在种族歧视,言论自由等领域的一些案例争议就在于是按照宪法立宪的目的去评估还是按照宪法的条目符合性去评估,这是法律在社会变革过程中,社会环境,集体意识形态变动带来的难题。法律2.0的工具规制主义,相对于规则规制主义的教义一致性,提出效果一致性,从风险角度出发,法律的目的是实现法律对风险的有效治理,这个过程中工具作为技术手段,辅助完成对规则的应用,检查。
法律3.0是技术日渐成为人类生活的关键部分,人的基本权利,人的主观能动性日益受到技术的侵入与侵袭,相对于法律1.0和2.0中的规则规制和工具规制属于国家强制力的自上而下的规制,开始受到平台类企业自下而上的私人规制。即使公权力的法律规制,也开始采用技术管理手段进行工具规制,有别于2.0中的工具规制技术仅是辅助规则规制的手段,技术管理的规制是不依赖于规则的规制。而且,在法律3.0场景中的公权力技术管理,由于公权力机关的资源和能力制约,也一般通过委托或联合平台和技术企业进行技术管理的规制,有可能出现寻租与公权力的规制滥用。
社会进入法律3.0阶段,最大的风险在于技术管理的规制自身缺乏法律规制,导致技术管理的滥用对人的基本权利和社会能动性的系统性破坏。
二、法律3.0对网络安全规制的启发
网络安全的社会环境在于信息技术的企业组织应用过程中应用系统和数据保护的企业权利与义务,业务部门权利与义务,员工权利与义务,用户权利与义务,合作伙伴权利与义务,监管机构权利与义务的系统性规制。保护的是应用系统和数据资产,涉及到的是企业,部门,员工,客户,合作伙伴,监管机构的权利与义务,从规制的角度来看,符合法律规制的基本特征。
法律1.0-3.0不是线性替代关系,而是场景适用的复合模式,网络安全产业的实践来看,目前主流观点的是法律2.0的规制问题,即从风险治理的有效性角度来看网络安全的规制,首先进行风险分析和评估,然后制定对应的安全控制措施,通过技术手段实现对风险的处置方案,关注的是风险的有效性问题,技术管理也作为规制手段普遍应用,具有法律3.0的显著特征。
从法律规制的维度出发,网络安全规制的改进可以从以下几个方面思考。
1、安全制度是网络安全的法律1.0
网络安全制度是件有意思的事情,从合规的角度,从管理体系的角度,从传统企业的角度,制度都是必不可少的管理要件,一般谈网络安全和信息安全,也会从政策,组织,技术的维度进行体系化设计。但真正落实到进行规则规制的教义(doctrine)一致性处理,或者按照法律的逻辑立法、司法执行的企业,应该少之又少。虽然大多数企业,如果经历ISO27000体系认证,或者经历过内外部审计,都会有信息安全制度体系建设和管理,并且有相应的记录作为佐证,但是理论与实践两张皮的现状,应该是普遍存在。
这里面的核心问题就在于技术在网络安全的环境中占有绝对优势地位,技术规制主义轻而易举的可以占据上风,并且超越了法律2.0的风险解决方案的有效治理,以技术管理的法律3.0实现了网络安全自下而上的规制。
这其实是为企业网络安全的规制埋下不健康的伏笔,也是业务部门和公司管理层质疑网络安全工作的源头之一。网络安全工作不能单纯的以技术管理替代整体规制过程,需要关注不同场景下规制的复合应用。
网络安全工作同样需要法律1.0的规则规制主义,需要建立教义的一致性,做到师出有名。但也不是说建立一套繁文缛节,甚至是束之高阁的形式化制度体系。从个人实践的角度来看,制度需要考虑3个方面,一是类似于宪法的政策,对网络安全相关的关系人的权利,义务,以及风险,事件的发现,预警,响应的通用性流程,机制制定通用性的标准和规范;二是类似于法律的领域具体制度,包含专门领域风险的权利,义务规定,行为要求,以及事件的具体处理要求;三是相当于规章的具体执行和操作指南。
从网络安全的角度来看,虽然威胁既有外部威胁也有内部威胁,外部威胁自然不受内部制度流程的约束,但内部威胁以及脆弱性的保护和安全事件的处置,均来自于规制的约束机制,风险处置的关键在于降低脆弱性和威胁以及事件的概率,相对于外部威胁,内部规制对网络安全的影响超过80%。按照二八原则,规则规制的范围也应该是网络安全工作的重心。
2、网络安全技术管理的规制
网络安全工作忽视了法律1.0规则规制的制度体系建设是一个方面,另外一个方面就是技术管理缺少规制的风险问题。业务部门对网络安全部门的一大诟病就在于安全措施对业务的干扰和用户体验的影响,安全和业务的关系也是普遍困扰安全部门的关键问题,甚至有些论题讨论的就是安全与系统易用性,可用性对立的处置。这个问题的核心,就是技术方案作为规制手段超越了法律2.0工具规制主义中定义的技术是以规则辅助的方式出现,而以技术管理自下而上的对基本权利和能动性的制约的法律3.0,缺少监管和规制。
法律3.0中提到对技术方案的规制要从三个方面监管,第一是对人类基本利益和能动性权利约束的评估,第二是对身份利益团体的诉求的评估,第三是对不同团体冲突利益的平衡。只有三层审核符合才可以应用。
第一层人类基本利益和能动性的审核,从业务合规监管的角度,越来越受到监管部门的重视,个人信息保护,就是对技术方案应用对个人隐私权利影响的监管回应。
第二层身份利益团体的诉求与评估,网络安全涉及到的利益团体就包括员工,部门,用户,合作伙伴,监管。不少企业的桌面管理系统对员工的工作行为进行监控和管理,从网络安全终端受控,账号受控,网络受控,行为受控的角度的技术方案,对员工的权利和能动性约束。但在法律许可的范围内,如何实现员工能动性保护,同样是需要评估和探讨的。因此,如何建立技术管理的监督审核机制,并进行监督评估是网络安全工作可能缺失的一环。在安全范围日益演进的过程中,例如研发安全管理,技术管理方案同样需要架构、开发和SRE部门的协同和评审。
第三层是不同团体冲突利益的平衡,供应商,业务部门,网络安全部门在实现供应链安全管控技术方案中同样需要考虑利益平衡,供应商事先的安全能力与合规审核,事中系统对接过程中的安全检查与监管,事后安全脆弱性的修复,安全事件的响应与整改,都会对用户,业务,员工,合作伙伴和监管的权利和义务冲突,同样是需要关注的评估审核点。
企业网络安全部门的技术方案受到约束,本质上也对网络安全产业的解决方案和产品的相关厂商提出了要求,相应的产品与解决方案对三层相关审核方的权利和能动性约束,以及三层审核需要关注的评审内容和说明需要做好相应的规范和标准,为企业内部的网络安全技术管理评审提供支持。
三、监管合理性与建议
监管的目的是对不同利益集团合法权利的平衡保护和义务的强制性规定的审查与监督,为权利损害方提供司法救济的有效途径和对加害方进行违反义务规定的惩治。在《法律3.0》中对规制和监管进行了替换性使用,在这里使用监管这个词,代表规制的公权力机关对企业和产业的网络安全的监管。
监管机构对产业和企业的监管符合法律的发展演进路径,中国在网络安全领域的立法包含《网络安全法》《数据安全法》《个人信息保护法》以及授权的主管行政机关,网信办,工信部,公安部出台相关的部门规章,和省、自治区的地方法规,传统的监管方式通过审计方式对企业的制度,制度执行的记录进行审查,并对安全事件进行处置。在法律1.0规则规制主义的基础上,近年来也加大了法律2.0工具规制主义的辅助风险技术方案验证企业网络安全规制的有效性问题,例如通过等级保护制度对系统的安全监测和安全控制措施的约束,通过攻防演练实现企业实际防护能力的验证。
面对数字化浪潮,监管部门同时开始关注网络空间的技术管理规制带来的新问题,《个人信息保护法》从企业尤其是平台企业个人信息应用和保护的角度,提出了全面监管的要求,在APP层面,利用技术管理方案,对APP应用的操作系统权限,用户数据处理,流程的合理性进行全方位的监管,并向公众通报整改。这个方案已经从事实上进入了法律3.0,即以技术管理规制网络安全,而监管机构也确实通过支撑方进行委托或联合的方式实现技术管理应用的监管。
从三个方面建议监管机构关注技术管理的规制问题:
1、企业网络安全的技术管理监管
企业的网络安全应用技术管理进行网络安全风险处置的过程中,员工,业务,用户,合作伙伴,监管机构的权利和能动性影响,具有共性,需要作为公共课题研究,就像监管机构监管用户个人信息,算法以及人工智能一样,需要建立标准规范和评审审核机制,完全依赖于企业的实践和自我发展,网络安全的发展会受到制约和误导。
2、产业网络安全解决方案和产品技术管理的标准化评审与评估
虽然企业的网络安全规制能力逐渐发展,在数字化背景下,越来越依赖于企业的自身能力建设,但不可否认的是,从成本效益的角度,从人才稀缺性的角度,大部分企业依然要依赖于安全产业的解决方案和产品。但目前产业的安全产品和解决方案很少从法律3.0工具规范主义的技术管理的规制角度,去考虑企业和监管机构需要关注的对技术管理对不同利益相关方权利和能动性约束的审核问题。
这使企业网络安全应用技术管理解决安全问题的业务和管理层沟通层面,缺少有力的支持。
因此,产业需要建立法律3.0理念上三层规制审核与评估的规范和标准,有力的支持企业网络安全技术管理的应用决策。
3、监管的技术管理规制方案的监督与公开
网络安全监管从法律1.0的事后监管,向风险防范有效性的法律2.0监管,到技术管理支持的全生命周期实时法律3.0监管,更好的保护核心利益的权利和加强各方义务监督与惩罚。但网络安全监管也需要像《法律3.0》提出的技术管理应用的三重监管一样,在第一层关注人类基本利益和能动性的基础上,关注第二层身份集团的权利和义务的同时,关注第三方不同利益相关方的权利的平衡,避免过度监管带来的产业伤害,以及对不同利益相关方的利益侵害。
举个例子,电信欺诈的核心在于用户信息泄漏以及用户泄漏信息的诈骗方应用,从治理根源的角度是应该对用户信息进行绝对性保护,避免数据泄漏。但可悲的是,用户的基本信息泄漏已经成为既定事实,如果不进行诈骗应用的治理将难以保护用户的基本权利。从业务保护的角度出发,分析用户的通信和短信记录,对诈骗电话和信息进行分析和防范是个可行的技术管理路径,考虑不侵犯用户隐私的前提下,可以在终端进行分析和识别,仅提取诈骗相关的短信和通话记录,完善企业的黑名单规则库,更好的保护用户。但目前这个技术管理显然不具备可行性,因为从监管的角度禁止采集和处理用户的通话和短信记录,目的是保护用户的隐私权。这表面上看避免了隐私泄漏,却因为避免不了诈骗方应用而难以保护这个用户或更多用户受到欺诈。那么这样的技术管理是否经过了三重审核,应该如何经过三重审核,是个值得考虑的问题。
技术管理作为法律3.0的核心手段,突破了公权力的自上而下的规则规制,形成了自下而上的私有规制,即使公权力也在应用技术管理实现对企业和产业的监管。那么如何约束技术管理自下而上这头规制猛兽的负面作用,从目前来看无论意识和手段上都有所欠缺,但规制技术管理又刻不容缓。对安全产业而言,这说不定是个机会。
本文使用 文章同步助手 同步
网友评论