摘要:為促進我國網路社會的安全穩定發展,推進全球和平、安全、開放、合作的網路空間建立,應儘快修訂並頒布《網路安全法》,並在實踐中不斷完善。國際網路安全立法變革決定了《網路安全法》“保障法”的定位,我國應搭建兼具防禦、控制與懲治功能的立法架構,並以此為基礎展開系統性的具體制度設計。
關鍵詞 立法定位 立法框架 制度設計
如何應對網路安全威脅已是全球性問題,國際網路安全的法治環境正發生變革,美歐等網路強國紛紛建立全方位、更立體、更具彈性與前瞻性的網路安全立法體系,網路安全立法演變為全球範圍內的利益協調與國家主權鬥爭,有法可依成為談判與對抗的必要條件。2015年《中華人民共和國國家安全法》和《中華人民共和國反恐怖主義法》相繼通過;2015年7月,作為網路安全基本法的《中華人民共和國網路安全法(草案)》第一次向社會公開徵求意見;2016年11月7日,全國人大常委會表決通過了《網路安全法》。立法的迅速推進源自我國面臨國內外網路安全形勢的客觀實際和緊迫需要,標誌著我國網路空間法制化進程的實質性展開。
一、立法定位:網路安全管理的基礎性“保障法”
科學的立法定位是搭建立法框架與設計立法制度的前提條件。立法定位對於法的結構確定起著引導作用,為法的具體制度設計提供法理上的判斷依據。
第一,該法是網路安全管理的法律。《網路安全法》與《國家安全法》《反恐怖主義法》《刑法》《保密法》《治安管理處罰法》《關於加強網路資訊保護的決定》《關於維護網際網路安全的決定》《電腦資訊系統安全保護條例》《網際網路資訊服務管理辦法》等法律法規共同組成我國網路安全管理的法律體系。因此,需做好網路安全法與不同法律之間的銜接,在網路安全管理之外的領域也應儘量減少立法交叉與重復。
第二,該法是基礎性法律。基礎性法律的功能更多注重的不是解決問題,而是為問題的解決提供具體指導思路,問題的解決要依靠相配套的法律法規,這樣的定位決定了不可避免會出現法律表述上的原則性,相關主體只能判斷出網路安全管理對相關問題的解決思路,具體的解決辦法有待進一步觀察。
第三,該法是安全保障法。面對網路空間安全的綜合複雜性,特別是國家關鍵資訊基礎設施面臨日益嚴重的傳統安全與非傳統安全的“極端”威脅,網路空間安全風險“不可逆”的特徵進一步凸顯。在開放、交互和跨界的網路環境中,實時性能力和態勢感知能力成為新的網路安全核心內容。
二、立法架構:“防禦、控制與懲治”三位一體
在上述背景下,傳統上將風險預防寄託于懲治的立法理念面臨挑戰。為實現基礎性法律的“保障”功能,網路安全法需確立“防禦、控制與懲治”三位一體的立法架構,以“防禦和控制”性的法律規範替代傳統單純“懲治”性的刑事法律規範,從多方主體參與綜合治理的層面,明確各方主體在預警與監測、網路安全事件的應急與響應、控制與恢復等環節中的過程式控制制要求,防禦、控制、合理分配安全風險,懲治網路空間違法犯罪和恐怖活動。[2]
法律界定了國家、企業、行業組織和個人等主體在網路安全保護方面的責任,設專章規定了國家網路安全監測預警、資訊通報和應急制度,明確規定“國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵資訊基礎設施免受攻擊、入侵、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序”,已開始擺脫傳統上將風險預防寄託於事後懲治的立法理念,構建兼具防禦、控制與懲治功能的立法架構。
三、制度設計:網路安全的關鍵控制節點
美國大法官霍姆斯説過“法律的生命不在於邏輯,而在於經驗”。無論從霍姆斯時代出發,還是從網路社會領域來探索,在“堅持問題導向”的立法原則下,經驗之於網路安全法的作用比邏輯更加根本,更加精髓,更加有推動力。全國人大發佈的《關於〈中華人民共和國網路安全法(草案)〉的説明》明確表示,“該法將近年來一些成熟的好做法作為制度確定下來”。
《網路安全法》關注的安全類型是網路運作安全和網路資訊安全。網路運作安全分別從系統安全、産品和服務安全、數據安全以及網路安全監測評估等方面設立制度。網路資訊安全規定了個人資訊保護制度和違法有害資訊的發現處置制度。法律制度設計基本能夠涵蓋網路安全中的關鍵控制節點,體系較為完備。除了網路安全等級保護、個人資訊保護、違法有害資訊處置等成熟的制度規定外,産品和服務強制檢測認證制度、關鍵資訊基礎設施保護制度、國家安全審查制度等都具有相當的前瞻性,成為該法的亮點。從制度具體內容來看,部分規範性內容較為細化,打破了傳統“原則性思路”的束縛,具有較強的可操作性。
《網路安全法》規定了網路安全等級保護、關鍵資訊基礎設施安全保護、網路安全監測預警和資訊通報、用戶資訊保護、網路資訊安全投訴舉報等制度,以及網路關鍵設備和網路安全專用産品認證、關鍵資訊基礎設施運營者網路産品和服務採購的安全審查、關鍵資訊基礎設施運營者資訊/數據境記憶體儲、關鍵資訊基礎設施運營者資訊/數據境外提供安全評估、關鍵資訊基礎設施運營者年度風險檢測評估、網路可信身份管理、建設運營網路或服務的網路安全保障、網路安全事件應急預案/處置、漏洞等網路安全資訊發佈、網路資訊內容管理、網路安全人員背景審查和從業禁止、網路安全教育和培訓、數據留存和協助執法等制度。可以看出,一部切合網路安全戰略,關注技術、管理與規範的網路安全保障基本法,由十多套(部)配套制度共築框架的法律體系已悄然成型。
四、重中之重:關鍵資訊基礎設施安全保護辦法
關鍵資訊基礎設施保護制度是網路安全法若干制度設計的核心之一。近年來,世界主要國家和地區都陸續出臺了國家層面的關鍵資訊基礎設施保護戰略、立法和具體的保護方案。以美國為主的西方國家都將關鍵資訊基礎設施的保護視為網路安全的最核心部分。
《網路安全法》在“網路運作安全”一般規定的基礎上設專節規定了關鍵資訊基礎設施保護制度,首次從網路安全保障基本法的高度提出關鍵資訊基礎設施的概念,並提出了關鍵資訊基礎設施保護的具體要求。
第一,《網路安全法》中明確界定了關鍵資訊基礎設施概念的本質,即“一旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益”,並規定關鍵資訊基礎設施的具體範圍由國務院另行制定。這表明,作為網路安全領域的基本法,應當盡可能確保網路安全法的穩定性而不宜進行過於細化的條款設定這一立法需求。而關鍵資訊基礎設施的範圍將基於國家安全和社會運作的風險評估進行不斷調整,即其認定範圍遵循動態調整機制。
第二,關鍵資訊基礎設施安全保護辦法是《網路安全法》中預留介面的下位法,也是法律中唯一明確規定“由國務院制定”的行政法規。我國關鍵資訊基礎設施法律制度在法律調整的社會關係及調整對象上更具複雜性。政治、法律傳統等國情的差異導致我國關鍵資訊基礎設施保護制度的構建不能簡單照搬外國的經驗,應堅持國內經驗總結和國外經驗借鑒,建立符合我國國情且具有較強可操作性的關鍵資訊基礎設施保護制度,同時也科學合理地推動網路安全等級保護制度的演進與變革,有效融合等級保護評測和關鍵資訊基礎設施的風險評估等,實現制度間的互補和融合,降低關鍵資訊基礎設施運營者的守法成本和行政執法成本。
第三,為了鼓勵網路運營者自願參與國家關鍵資訊基礎設施保護體系,促進網路運營者、專業機構和政府有關部門之間的網路安全資訊共用,並加強對這些資訊的保護,《網路安全法》規定,“國家鼓勵關鍵資訊基礎設施以外的網路運營者自願參與關鍵資訊基礎設施保護體系;國家網信部門和有關部門在關鍵資訊基礎設施保護中取得的資訊,只能用於維護網路安全的需要,不得用於其他用途。”這在一定程度上鼓勵了網路運營者,尤其是承擔重要社會職能的網路運營者能夠利用其自有的技術能力和資源優勢更加積極地投入關鍵資訊基礎設施保護的工作中,促進政府和企業雙方共同保障關鍵資訊基礎設施安全運作。[2]
五、結語
網路安全法對維護網路空間主權,規範網路安全實踐,指導下位法的制定完善等意義重大,影響深遠。為持續推動我國網路空間的法制化發展進程,落實頂層設計,一方面亟需有效梳理基礎性法律與現行法律法規之間的關係,開始部門、地方立法和政策的制定、調整和完善工作;另一方面也亟需出臺系列配套規定,不僅包括《關鍵資訊基礎設施安全保護辦法》等下位法的制定,也包括更為詳細的制度規定、具體行業的網路安全規劃和網路安全標準體系等,實現與基礎性法律的有效銜接。(作者:黃道麗 西安交通大學法學院、公安部第三研究所)
參考文獻:
[1]黃道麗.我國網路立法的目標、理念和架構. 中國資訊安全. 2014(10):32-35.
[2]黃道麗.《關鍵資訊基礎設施安全保護辦法》亟待制定.保密科學技術.2016(07).
[責任編輯:張曉靜]
京ICP證130248號京公網安備110102003391