咬文嚼字/网络安全法

  • A+
所属分类:云安全

0、前言


任何一个字句的变化,背后都可能隐藏着一场轰轰烈烈的博弈 …


1、方法


本文以网络安全法(草案)作为起点。

将2015年7月份发布的网络安全法(草案),和今年11月初发布的网络安全法进行比对。


网络安全法(草案)全文:http://dwz.cn/XWepg

中华人民共和国网络安全法(全文):http://dwz.cn/4RYl6k


网络安全法(草案)全文 —— 以下称为“草案”;

中华人民共和国网络安全法(全文) —— 以下称为“新版”。


2、分词


结巴分词,默认词库、默认模式,草案和新版分别跑一遍。

简单肉眼过一下,去掉空白、标点、无意义的单个文字、去掉仅出现一次的词。

按关键词出现次数生成云图,如下(为了方便,放了竖版,可以把手机横过来看,大小:106KB):

咬文嚼字/网络安全法



3、思路


因为是自动分词,而且没有用专业词库,所以匹配度上肯定不是十分满意。

因此还是需要再来一次人肉,从这些关键词里摘出一些敏感词,再放到不同版本的原文里去重新看一下内容。尤其关注一下上下文,以及草案和新版之间的多寡变化之处。


另外,大字部分选择性忽略的有:网络、安全、网络安全、有关(这个字放原文里去搜,出现最多的是“有关主管部门” …)

这些关键词就不会在下面单独做索引和翻查了。


4、人肉


以下仅列出我关注的几个关键词,不能覆盖所有人的意愿,各位将就一下。

另外,每个关键词我不一定会完全做一次全文索引和比对,毕竟经历有限。


关键词:个人信息

草案:22次,新版:19次,整体主旨未变。

总的来说,定义了个人信息(包括但不限于姓名、生日、身份证号 等等,反正就是很多),指明窃取和贩卖个人信息是犯法且要罚款的,并要求运营方获取个人信息要授权、要保护好、要放到境内服务器等。


关键词:信息安全

草案:7次,新版:5次。

新版对信息安全的内容做了不少简化和收敛,且明确指明了了网信在信息安全方面的监督管理职责。

而草案中的“军事网络和信息安全保护办法,由中央军事委员会制定 ”在新版中变为了“军事网络的安全保护,由中央军事委员会另行规定 ”。


关键词:运营者

草案:50次,新版:43次。

新版中,给运营者增加了一条“接受政府和社会监督,承担社会责任 ”,这个高度上去了,不只是遵循法律的问题了。

草案和新版都明确了运营者需要有网络安全事件的应急预案。

草案中提到,如果有国家安全和侦察犯罪方面的需要,可以要求运营者提供支持。而新版中则说,运营者应当为这些机关提供支持。

可以要求变为了应当,被动变为主动。

由于命中次数太多,就不逐一比对了,有运营者看到此文的话,最好再仔细翻查一下,并且琢磨琢磨为什么会有这些变化。


关键词:应当

草案:49次,新版:52次。

思路上可以顺延一下关于运营者的那个思路。

对于“应当”一词我没有逐一去搜索新版里多出的这三次是多在了哪里,但从总体数量上可以看出,新版中应该是对该法的受众群体的“主动性”要求更强了一些。


关键词:重点保护

草案:2次,新版:1次。

虽然只是 2:1 的变化,但其中的变化比较有意思。草案中比新版中多出的那一次重点保护的关键词在此处(原文):

为了保障关键信息基础设施安全,维护国家安全、经济安全和保障民生,草案设专节对关键信息基础设施的运行安全作了规定,实行重点保护。范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。并对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了规定。(草案第二十五条至第二十九条、第三十二条、第三十三条)

重点看后半句的范围定义,这个定义应该就是呼应前面提到的“关键信息基础设施”的范围了。而这段话在新版里却没有了。

重新搜索一遍“关键信息基础设施”,发现草案中和新版有一句比较相似,却又不完全相同的话。

草案中为:关键信息基础设施安全保护办法由国务院制定。

新版中为:关键信息基础设施的具体范围和安全保护办法由国务院制定。


草案中这句话,和上面引用的那一大段话,如果放在一起来看的话,就意味着,关键信息基础设施还有重点与非重点之分,这实际上从用词的严谨性方面是欠缺考虑的,而从执行层面来看,区分重点与非重点,更是对不起“关键”这两个字。所以改掉是必然,而顺手又在新版中把原来的办法由国务院制定,改成了范围和办法由国务院制定,留了个很大的坑,什么都能往里扔的坑…


关键词:基础设施

草案:30次,新版:27次

既然上面提到了关键信息基础设施,就顺便来看看基础设施。

不过放到原文里去搜才发现,分词出来的基础设施在原文中大多都是来自关键信息基础设施这个词的部分截取 … 不过没关系,按照关键信息基础设施的套路继续来。

好吧,在新版里又发现了上面的提过的部分,不过这次有新发现(原文部分截取):关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

等等,这是什么?在等级保护基础上?好吧,既然如此,去看看等级保护这个关键词吧。


关键词:等级保护

尴尬了 … 分词结果中没有等级保护 … 只好到原文去搜。

草案:5次,新版:3次

第一眼看起来的感觉就是,出现次数好少 …… 仔细再看,还有更悲剧的。

草案中出现:草案将现行的网络安全等级保护制度上升为法律。

新版中,没了 … 是的,这句话,没了 …

所以,在草案中出现过的 网络安全等级保护的具体办法由国务院规定 ”  这一句话,自然在新版中也就不会在有了 … 这就是这个关键词少了两次的原因。


那么,明白了那两次命中结果少在哪里了之后,再看看上面提到的那句来自新版的话:关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

现在看起来,似乎含义更加深刻了一些。深刻在哪里?自己琢磨吧 …


关键词:风险

草案:11次,新版:20次

新版中关于风险的用处更多、更广了。而且,从中发现了关于风险评估的描述,所以,搜索一下风险评估这四个字组成的关键词。草案中0次命中,新版中4次命中。

但这也并不意味着草案中没有关于风险评估的要求,只是,没有如此明确、如此专业的用词而已。所以看来,新版还是应该吸收了不少安全专业人士的意见和建议的。


关键词:主管人员

草案:10次,新版:14次

这个词在我的分词结果的排序中,正好和风险挨着,所以就挑中了它,结果发现的却是一片悲剧。

无论草案还是新版,几乎所有主管人员一词后面跟着的都是罚款数额 … 主管人员可以去哭了。


关键词:一百万

草案:1次,新版:5次

因为上面提到了罚款,所以抽取了一个与罚款相关的关键词,就是 —— 一百万,一个庞大的数额。

这个数额在草案中仅出现一次,而且还是出现在与关键信息基础设施相关的条目中。

而在新版中出现的就比较随意了,除了出现在关键信息基础设施的后面,这个巨大的数额还出现在个人信息的后面。以及从事危害网络安全活动,和为危害网络安全活动提供支持的,情节严重的,也可以罚款一百万。

虽然说,一百万是各种罚款的上限,应该不会很多见。但仔细去搜一下关于罚款数额的描述的话就会发现,其实还有很多罚款数额完全够一个小型服务项目或一台设备钱了 … 似乎发现到了不错的生意。


关键词:吊销

草案:4次,新版:10次

草案中出现该关键词的语句都是:撤销相关业务许可或者吊销营业执照。

而新版中出现该关键词的语句是:吊销相关业务许可证或者吊销营业执照。

所以严格来说,在条目数量上,新版并没有比草案多了6次,而是多了1次。

但这里却涉及到了一个撤销相关业务许可与吊销相关业务许可的差异。

百度了一下撤销和吊销两个词的差别:

吊销是一种行使法律处罚行为,具有强制性和制裁性。撤销是一种对行政许可的法律收回行为,具有剥夺性和不可逆转性以及补救性。

好吧,依旧看不懂,以驾照为例,又百度了一下撤销驾照和吊销驾照的区别:

撤销驾照,是对有严重、较大违法行为的一种处理办法,3年内 不得重新申请驾照。吊销驾照,是针对一般违法行为的,2年内不得重新申请驾照。


看起来更委婉一些了?这个需要法律专业人士来解释了。


以上对11个关键词进行了抽取和分析,从全面性上来说,绝对算不上全面。但应该还是可以解决一些关键性的问题。另外,我也希望能由此而提供一个分析思路,对于安全法有兴趣的朋友,可以利用这个思路继续去深究。

至于深究什么?我想,应该就是我开篇所说的 —— 任何一个字句的变化,背后都可能隐藏着一场轰轰烈烈的博弈。

明白了这些博弈而带来的变化,可能会更懂如何去解读未来即将实施的新版安全法。


----------------------------------


补充一句,最近承蒙各位错爱,夸我更新较快。

其实这是前段时间熬夜写了几篇然后再来个三连发的结果,不过现在大招都爆完了。接下来我再慢慢蓄力吧 … 请耐心等待。


本文始发于微信公众号(Piz0n):咬文嚼字/网络安全法

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: