作者:寿步(上海交通大学法学院,上海)
为方便在 二、ISO/IEC:中定义的四个基础概念
在国内外相关立法和学术文献中,信息安全(InformationSecurity)、网络安全(NetworkSecurity)、因特网安全(InternetSecurity)、网络与信息安全(NetworkandInformationSecurity)、网络空间安全(Cybersecurity)等概念都常见到。对这些术语如何进行取舍,我们可以借鉴ISO/IEC:。
与质量管理体系的ISO系列标准类似,信息安全管理体系(InformationSecurityManagementSystem,ISMS)是国际标准化组织(ISO)发展的一个信息安全管理标准族,用以保障各机构的信息系统和业务的安全和正常运作。从年ISO/IEC:《信息技术-信息安全管理实施细则》正式发布以来,信息安全管理体系被世界各国逐渐认可和接受,由此发展成为ISO/IEC系列标准族。该标准族中包括国际标准ISO/IEC:信息技术-安全技术-网络空间安全指南(ISO/IEC:Informationtechnology–Securitytechniques-Guidelinesforcybersecurity)。
ISO/IEC:阐述了“网络空间”(theCyberspace)所面临的独特的安全问题。网络空间存在着目前信息安全、应用程序安全、网络安全和因特网安全等多种安全领域所不能涵盖的安全问题;原因在于这些安全领域之间存在差距。网络空间安全将解决在网络空间中由于不同的安全领域差距所导致的安全问题。同时,网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。
在ISO/IEC:中已经给出了相关术语的准确定义。首先看对于四个基础概念的定义。
1.网络空间(theCyberspace)
(此处及后续术语的定义均来自ISO/IEC:,并由作者译出)
网络空间:不以任何物理形式存在的,通过技术设施和网络接入其中的,由因特网上(ontheInternet)的人员、软件、服务的相互作用所产生的复杂环境。
网络空间可以描述为一个虚拟环境。
2.网络空间安全(Cybersecurity/Cyberspacesecurity)
网络空间安全:在网络空间里(intheCyberspace)保护信息的保密性、完整性、可用性。此外,像真实性、可追责性、不可抵赖性、可靠性等特性,也可以提及。
注意到,“网络空间安全”的定义比ISO/IEC:中“信息安全”(informationsecurity)的定义只是增加了“在网络空间里”(intheCyberspace)。
3.网络空间安全态(Cybersafety)
网络空间安全态:是一种状态,可免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。
注释1:这可采用避免将引起健康损害或经济损失的某种经历或披露某事的形式。它包括对人和对财产的保护。
注释2:安全态(safety)通常也定义为一种特定的状态,这时负面影响将不会通过某种代理引发或者在设定条件下引发。
注意到,网络空间安全态(Cybersafety)不同于网络空间安全(Cybersecurity)。用网络空间安全态翻译Cybersafety、用网络空间安全翻译Cybersecurity正好可以在中文中明确区分这两者。后面将详细讨论“网络空间安全态”相关问题。
4.网络空间犯罪(态)(Cybercrime)
网络空间犯罪(态):是指在网络空间中的服务或应用程序被用于犯罪或者成为犯罪目标的犯罪活动,或者网络空间是犯罪来源、犯罪工具、犯罪目标、或者犯罪地点的犯罪活动。
注意到,“网络空间犯罪(态)”(Cybercrime)是与“网络空间安全态”(Cybersafety)对应的一个概念。它们构成网络空间安全的两种极端状态,若以二进制表示,即一为“零”(0)状态、一为“壹”(1)状态。网络空间安全的实际状态通常是在这两个极端状态之间。
三、在我国立法中引入网络空间安全态(Cybersafety)的必要性
为什么需要在我国立法中引入网络空间安全态(Cybersafety)的概念,这是因为仅有网络空间安全(Cybersecurity)的概念还不够。
网络空间安全态:Cybersafety=Cyber+Safety=Cyberspace+Safety;
网络空间安全:Cybersecurity=Cyber+Security=Cyberspace+Security。
因此,网络空间安全态(Cybersafety)与网络空间安全(Cybersecurity)的辨异问题实质上是Safety与Security的辨异问题。
1.安全态(safety)与安全(security)的辨析
从词源看,security源于拉丁词secura,意即freeofconcern(没有忧虑);se表“没有”,cura表“忧虑”。safety源于拉丁词salvus,意为healthy(健康的)。safety更具有个人色彩,针对意外伤害;而security则更多针对人为事件。例如,说一条道路很安全,用safe表示这条路不会遭遇山体滑坡等自然灾害;用secure,则说明这条道路有重兵把守,恐怖分子不会在这条道路上伏击你。中文中的“安全第一”,如果说safetyfirst,这表明说话者希望不会有伤及安危的意外发生(比如小朋友去河边玩水,母亲这样叮嘱是希望孩子不会溺水出危险);如果说securityfirst,则表明说话者希望不会发生人为的坏事(比如密码被盗银行存款被盗刷等等,故securityfirst可以用在网络购物上)。
通过对若干词典中safety和security的释义和例句的比较可以发现,两者在很多方面有共通之处,比如两者都可以翻译成“免受伤害的状态”,细微的区别在于:safety意为不危险的或无伤害的安全状态(freedomfromharmordanger:thestateofbeingsafe),而security意为被保护的或免受伤害的状态(thestateofbeingprotectedorsafefromharm)。
虽然两者同有“安全”之意,但是两者之间有下列区别:
(1)safety通常指免于意外发生的安全,而security是指免于人为故意破坏伤害的安全。两者的区别在于人和意图。中文此前常用“安全”(safety)和“安保”(security)来区分。
(2)safety常表示人体健康和生产技术活动的安全问题。常见的有生产安全、劳动安全、安全使用、安全技术、安全产品、安全设施等。security表示社会政治性的安全问题,常见的有社会安全、国家安全、国际安全等。而safetyandsecurity则表示人体健康、技术性的安全概念和社会政治性的安全联系到一起的安全。
(3)safety表示安全的状态(thestateofbeingsafe),即如果一个人或者物是safety的,则表示其处于安全状态,可以理解为此状态毫无危险存在,是一种完全安全的情况。security表示受保护的状态(thestateofbeingprotected),受保护并不表示没有危险存在,只是当一个人或物是security时,他(它)已经受到了一定的保护,处于相对安全的状态。
因此,在这个意义上,我们可以将safety理解为security的“极限”状态:当危险和伤害变为零,受保护的状态(security)就变成了完全安全的状态(safety)。当然,现实情况下,safety往往是一种永远不可能达到的理想状态。
如果引入crime(犯罪状态)一词,将其视为毫无安全可言的混乱状态,则可用图二来表述它们的关系:crime是“零”(0)状态;safety是“壹”(1)状态。security是“零”和“壹”之间的一个变量,也可用x表示,即security=x。图二给出了crime、safety、security这三者之间的关系。
图二crime、security、safety关系图
2.网络空间安全态(Cybersafety)与网络空间安全(Cybersecurity)的辨析
从IS0/IEC:的定义可以看出,网络空间安全态(Cybersafety)是指网络空间的一种安全状态。在此状态下,可以免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。可见,Cybersafety大体上排除了网络空间中任何可能出现的不安全因素。
与此对照的是,网络空间安全(Cybersecurity)是指在网络空间里保护信息的保密性、完整性、可用性以及真实性、可追责性、不可抵赖性、可靠性等特性。其侧重点与网络空间安全态(Cybersafety)有显著区别。
在明确crime、safety、security这三者之间的关系后,就不难推导出cybercrime、cybersafety、cybersecurity这三者之间的关系,因此有图三。其中,cybercrime表示网络空间犯罪态,cybersafety表示网络空间安全态。
图三cybercrime、cybersecurity、cybersafety关系图
3.我国立法中引入“网络空间安全态”(Cybersafety)的意义
保持“网络空间安全态”(Cybersafety)的要求本身,已经为保护个人信息和管控违法信息提供了依据。这是在我国网络空间安全相关立法中引入“网络空间安全态”(Cybersafety)的意义之所在。
其一,Cybersafety定义中涉及的在网络空间中出现的“身体的”、“精神的”、“情感的”、“职业的”、“心理的”等方面的负面情况就与保护个人信息直接相关。
其二,Cybersafety定义中涉及的在网络空间中出现的“社会的”、“财务的”、“政治的”、“教育的”等方面的负面情况就与管控违法信息直接相关。
因此,如果能够以该国际标准关于“网络空间安全态”的定义为依据、在网络安全法中给出其定义,则可以为该法保护个人信息和管控违法信息提供依据。
鉴于网络空间的违法信息管控问题涉及国家主权、宗教文化、意识形态等敏感领域,在国际间争议很大,因此,若能以国际技术标准的既有定义作为管控违法信息的立法依据,则有助于中国争取更多的国际共识、获得更多的国际支持。
四、ISO/IEC:中区分的六个相关概念
该国际标准对与Cybersecurity(网络空间安全)相关且容易混淆的下列五个相关概念给出了定义,进行了区分,提供了它们之间相互关系的示意图:
(1)Informationsecurity(信息安全);
(2)Applicationsecurity(应用程序安全);
(3)Networksecurity(网络安全);
(4)Internetsecurity(因特网安全);
(5)CriticalInformationInfrastructureProtection(CIIP,关键信息基础设施保护)。
该国际标准中的相关说明和定义如下。
网络空间安全依赖信息安全、应用程序安全、网络安全和因特网安全作为基础性的构建模块。网络空间安全是关键信息基础设施保护的必要活动之一,同时,对关键基础设施服务的足够保护有助于满足为达到网络空间安全之目标的基本安全需求(即关键基础设施的安全性、可靠性、可用性)。
然而,网络空间安全并不是因特网安全、网络安全、应用程序安全、信息安全或关键信息基础设施保护的同义词。它有独一无二的范围,需要利益相关者发挥积极作用以维持(如果不是改善的话)网络空间的可用性和可信性。
信息安全(Informationsecurity)通常涉及对信息的保密性、完整性、可用性的保护,以满足可用信息的用户需求。
应用程序安全(Applicationsecurity)是通过对机构的应用程序实施控制和量度以管理其使用风险所完成的过程。这种控制和量度可以施加于应用程序本身(它的进程、组件、软件和结果),施加于应用程序的数据(配置数据、用户数据、组织数据),施加于应用程序生命周期中涉及的所有技术、进程和参与者。
网络安全(Networksecurity)涉及网络的设计、实施和运营,以达到在机构内部的网络上、机构与机构之间的网络上、机构与用户之间的网络上的信息安全。
因特网安全(Internetsecurity)作为机构中和家庭中的网络安全的扩展,涉及保护因特网相关的服务和相关的信息通信技术系统与网络,以达安全目的。因特网安全也确保因特网服务的可用性和可靠性。
关键信息基础设施保护(CIIP)涉及由能源、电信和水务部门之类的关键基础设施提供商提供或运营的系统的保护。关键信息基础设施保护确保这些系统和网络受到保护,并可承受信息安全风险、网络安全风险、因特网安全风险以及网络空间安全风险。
该国际标准给出的网络空间安全与其它安全领域的关系图如图四所示。图四网络空间安全与其它安全领域的关系图
该国际标准对图四给出了如下说明:上图展示了网络空间安全和其他安全领域的关系。这些安全领域与网络空间安全的关系非常复杂。某些关键基础设施服务,如水务和交通,不会直接地或者显著地影响网络空间安全的状态。然而,网络空间安全的缺失却可能对关键基础设施提供商提供的关键信息基础设施系统的可用性产生负面影响。另一方面,网络空间的可用性和可靠性在许多情况下依赖于与之相关的关键基础设施服务的可用性和可靠性,例如电信网络基础设施。网络空间的安全通常也与因特网安全、企业/家庭的网络安全和信息安全密切相关。值得注意的是,该国际标准中本节所定义的安全域都有其自己的目标和 因此,如果能以该国际标准为基础在我国的网络空间安全立法中定义并且区分使用这些概念,则可避免在相关法律中相关术语的模糊、混淆和争论。
令人遗憾的是,在《国家网络空间安全战略》的一开始,就用“网络空间安全(以下称网络安全)”的说法进行了将“网络空间安全”(Cybersecurity)简称为“网络安全”(NetworkSecurity)的转换。这样做实质上是将“网络空间安全”这个概念用另一个不同的概念“网络安全”作为其简称,因此并不妥当。
类似的,在《网络空间国际合作战略》中文本和官方英译本中,将中文“网络安全”译为cybersecurity或者cyberspacesecurity也是不妥的。
五、Cyber应译为“赛博”
其实,仔细思考将“网络空间安全”简称为“网络安全”的缘由,不难看出一个思维误区:Cyberspace=Cyber+space,既然对space译为“空间”没有异议,用“网络空间”翻译Cyberspace又似乎是约定俗成的,则意味着译者已经默认Cyber应该译为“网络”。但这与Cyber≠Network矛盾。由此形成悖论。
显然,问题的关键在于译名。如果我们找到一个不同于“网络空间”的译名来翻译Cyberspace,就可以避免上述悖论。
这里可以参考唐代玄奘法师主持翻译佛经时制定的“五不翻”原则:
1.多含不翻:如“薄伽梵”,是佛陀名号之一,又含有自在、炽盛、端严、吉祥、尊重等义;又如“摩诃”,含有大、殊胜、长久及深奥等义。
2.秘密不翻:如楞严咒、大悲咒、十小咒、以及各种经咒,一经翻出,就会失去它的神秘性。
3.尊重不翻:如“般若”,不可直译为智慧;“三昧”不可直译为“正定”;“涅磐”不可直译为圆寂或解脱等。
4.顺古不翻:如“阿耨多罗三藐三菩提”不可直译为“无上正等正觉”;“阿罗汉”不可直译为“无生”;“菩萨”不可直译为“觉悟”等。
5.本无不翻:“本无”即中国没有。如阎浮树,中国没有,所以不翻。
Cyber之翻译问题,涉及上述五种情况中的三种:多含,尊重,本无。参照“五不翻”原则,宜音译,即为“赛博”。这样的话,对于同以Cyber作为词根的不同的英文组合词,就可以得到一致的译名。例如,Cybernetics可译为“赛博学”;Cyberspace可译为“赛博空间”。而不宜将Cybernetics译为“控制论”、将Cyberspace译为“网络空间”。那样就无法使不知道“控制论”和“网络空间”的英文原文的读者了解到它们在英文中本来是源于同一个词根。
显然,将Cyberspace/Cyber译为“赛博空间”是最佳译法。此时,Cyberspacesecurity就译为“赛博空间安全”。当Cyberspacesecurity简写为Cybersecurity/Cybersecurity时,在中文中就自然可以表述为“赛博空间安全”简称为“赛博安全”。这样,在英文和中文中都不会与networksecurity(网络安全)和Internetsecurity(因特网安全)相混淆。
目前国内用“网络空间”翻译Cyberspace、用“网络空间安全”翻译Cyberspacesecurity似已约定俗成。本文也将暂且使用“网络空间安全”的译法。但是,如果将“网络空间安全”简称为“网络安全”,则完全不妥。理想的解决办法就是直接将Cyberspace译为“赛博空间”,这时,由Cyber衍生的其它词汇组合(如Cybersecurity/Cybersecurity)的译成中文就没有混淆之虞。
六、网络安全法中“网络”的外延界定和cyberspace在中国的外延拓展
该法第七十六条定义了“网络”。该法所称“网络”的外延如何界定?
《中华人民共和国网络安全法释义》一书认为:该法所说的“网络”应该既包括“互联网(Internet)”(按:指因特网),也包括相对封闭的局域网和工业控制系统。这里的局域网可以理解为各机构内不与因特网连接的内部网(intranet)
实际上,该法所涉“网络”,除了因特网、局域网、工业控制系统之外,还应该包括不与因特网相连接的国家机关政务网络(该法第七十二条)、军事网络(该法第七十八条)。考虑到不与因特网相连接的国家机关政务网络和军事网络的安全问题的重要性,将它们纳入该法所涉范围,既是不言而喻的,也是该法已经明文规定的。
不与因特网连接的其它网络(network)的安全问题,就是上述国际标准中网络安全(networksecurity)定义所涉及的安全问题。通过图四“网络空间安全与其它安全领域的关系图”中所示的“网络安全”与“网络空间安全”之间的交叉关系可以看到,我国不与因特网连接的其它网络(network)的安全问题,仍可在网络空间安全法(CybersecurityLaw)中进行规范,并无遗漏。
另一方面,注意到,在该国际标准的“网络空间”(theCyberspace)定义中,用“因特网上”(ontheInternet)指明其所在。也就是说,cyberspace或其简写cyber只存在于因特网(Internet)上。因此,在该国际标准用“在网络空间里”(intheCyberspace)的“信息安全”来定义“网络空间安全”(Cybersecurity/Cyberspacesecurity)时,也就将此安全问题之所在领域限定在“因特网上”(ontheInternet)。
考虑到我国网络空间安全立法所涉网络必须包括不与因特网相连接的国家机关政务网络、军事网络、局域网、工业控制系统等,因此,当我们在中文语境之下谈论中国的网络空间安全法(CybersecurityLaw)时,这个“网络空间”(Cyberspace/Cyber)应该并不限定在因特网上,也应该包括不与因特网相连接的那些网络。cyberspace/cyber在中国法律中或中文语境下的外延拓展到不与因特网相连接的网络上,是应当明确的、也是不可忽视的。
七、小结
我国《网络安全法》未来应当更名为《网络空间安全法》,不再以“网络”、“网络安全”、“网络运营者”这三个概念为基础界定该法的调整范围,特别是不以“网络安全”作为该法的最核心概念。
未来《网络空间安全法》的基本概念,应当以ISO/IEC:为依据,以“网络空间”、“网络空间安全”、“网络空间安全态”、“网络空间犯罪”这四个术语为逻辑起点,将“网络空间安全”与另外五个术语“信息安全”、“应用程序安全”、“网络安全”、“因特网安全”、“关键信息基础设施保护”等进行明确区分,以此为基础构建我国《网络空间安全法》的逻辑框架。
在中文语境下针对中国国情进行扩大解释后使用的“网络空间”,并不限定在因特网上,还包括不与因特网相连接的国家机关政务网络、军事网络、局域网、工业控制系统等网络。如果引入“网络空间安全态”的概念,则可以为网络空间安全法保护个人信息和管控违法信息提供国际标准的依据。如果以上述国际标准为基础制定我国的网络空间安全法,既可以使法律本身建立在严谨、周密、坚实的技术基础上,给法律规制未来出现在“网络空间”中的新问题预留空间,也有助于建立科学的、完整的网络空间安全法学理论体系。
从长远考虑,宜将Cyber音译为“赛博”,将Cyberspace译为“赛博空间”。
注:该文章为作者独家授权,转载请获得本人同意。
(编辑党玉洁)
寿步赞赏