《网络安全法》的立法定位、立法框架和制度设计
摘要:为促进我国网络社会的安全稳定发展,推进全球和平、安全、开放、合作的网络空间建立,应尽快修订并颁布《网络安全法》,并在实践中不断完善。国际网络安全立法变革决定了《网络安全法》“保障法”的定位,我国应搭建兼具防御、控制与惩治功能的立法架构,并以此为基础展开系统性的具体制度设计。
关键词 立法定位 立法框架 制度设计
如何应对网络安全威胁已是全球性问题,国际网络安全的法治环境正发生变革,美欧等网络强国纷纷建立全方位、更立体、更具弹性与前瞻性的网络安全立法体系,网络安全立法演变为全球范围内的利益协调与国家主权斗争,有法可依成为谈判与对抗的必要条件。2015年《中华人民共和国国家安全法》和《中华人民共和国反恐怖主义法》相继通过;2015年7月,作为网络安全基本法的《中华人民共和国网络安全法(草案)》第一次向社会公开征求意见;2016年11月7日,全国人大常委会表决通过了《网络安全法》。立法的迅速推进源自我国面临国内外网络安全形势的客观实际和紧迫需要,标志着我国网络空间法制化进程的实质性展开。
一、立法定位:网络安全管理的基础性“保障法”
科学的立法定位是搭建立法框架与设计立法制度的前提条件。立法定位对于法的结构确定起着引导作用,为法的具体制度设计提供法理上的判断依据。
第一,该法是网络安全管理的法律。《网络安全法》与《国家安全法》《反恐怖主义法》《刑法》《保密法》《治安管理处罚法》《关于加强网络信息保护的决定》《关于维护互联网安全的决定》《计算机信息系统安全保护条例》《互联网信息服务管理办法》等法律法规共同组成我国网络安全管理的法律体系。因此,需做好网络安全法与不同法律之间的衔接,在网络安全管理之外的领域也应尽量减少立法交叉与重复。
第二,该法是基础性法律。基础性法律的功能更多注重的不是解决问题,而是为问题的解决提供具体指导思路,问题的解决要依靠相配套的法律法规,这样的定位决定了不可避免会出现法律表述上的原则性,相关主体只能判断出网络安全管理对相关问题的解决思路,具体的解决办法有待进一步观察。
第三,该法是安全保障法。面对网络空间安全的综合复杂性,特别是国家关键信息基础设施面临日益严重的传统安全与非传统安全的“极端”威胁,网络空间安全风险“不可逆”的特征进一步凸显。在开放、交互和跨界的网络环境中,实时性能力和态势感知能力成为新的网络安全核心内容。
二、立法架构:“防御、控制与惩治”三位一体
在上述背景下,传统上将风险预防寄托于惩治的立法理念面临挑战。为实现基础性法律的“保障”功能,网络安全法需确立“防御、控制与惩治”三位一体的立法架构,以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范,从多方主体参与综合治理的层面,明确各方主体在预警与监测、网络安全事件的应急与响应、控制与恢复等环节中的过程控制要求,防御、控制、合理分配安全风险,惩治网络空间违法犯罪和恐怖活动。[2]
法律界定了国家、企业、行业组织和个人等主体在网络安全保护方面的责任,设专章规定了国家网络安全监测预警、信息通报和应急制度,明确规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、入侵、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”,已开始摆脱传统上将风险预防寄托于事后惩治的立法理念,构建兼具防御、控制与惩治功能的立法架构。
三、制度设计:网络安全的关键控制节点
美国大法官霍姆斯说过“法律的生命不在于逻辑,而在于经验”。无论从霍姆斯时代出发,还是从网络社会领域来探索,在“坚持问题导向”的立法原则下,经验之于网络安全法的作用比逻辑更加根本,更加精髓,更加有推动力。全国人大发布的《关于〈中华人民共和国网络安全法(草案)〉的说明》明确表示,“该法将近年来一些成熟的好做法作为制度确定下来”。
《网络安全法》关注的安全类型是网络运行安全和网络信息安全。网络运行安全分别从系统安全、产品和服务安全、数据安全以及网络安全监测评估等方面设立制度。网络信息安全规定了个人信息保护制度和违法有害信息的发现处置制度。法律制度设计基本能够涵盖网络安全中的关键控制节点,体系较为完备。除了网络安全等级保护、个人信息保护、违法有害信息处置等成熟的制度规定外,产品和服务强制检测认证制度、关键信息基础设施保护制度、国家安全审查制度等都具有相当的前瞻性,成为该法的亮点。从制度具体内容来看,部分规范性内容较为细化,打破了传统“原则性思路”的束缚,具有较强的可操作性。
《网络安全法》规定了网络安全等级保护、关键信息基础设施安全保护、网络安全监测预警和信息通报、用户信息保护、网络信息安全投诉举报等制度,以及网络关键设备和网络安全专用产品认证、关键信息基础设施运营者网络产品和服务采购的安全审查、关键信息基础设施运营者信息/数据境内存储、关键信息基础设施运营者信息/数据境外提供安全评估、关键信息基础设施运营者年度风险检测评估、网络可信身份管理、建设运营网络或服务的网络安全保障、网络安全事件应急预案/处置、漏洞等网络安全信息发布、网络信息内容管理、网络安全人员背景审查和从业禁止、网络安全教育和培训、数据留存和协助执法等制度。可以看出,一部切合网络安全战略,关注技术、管理与规范的网络安全保障基本法,由十多套(部)配套制度共筑框架的法律体系已悄然成型。
四、重中之重:关键信息基础设施安全保护办法
关键信息基础设施保护制度是网络安全法若干制度设计的核心之一。近年来,世界主要国家和地区都陆续出台了国家层面的关键信息基础设施保护战略、立法和具体的保护方案。以美国为主的西方国家都将关键信息基础设施的保护视为网络安全的最核心部分。
《网络安全法》在“网络运行安全”一般规定的基础上设专节规定了关键信息基础设施保护制度,首次从网络安全保障基本法的高度提出关键信息基础设施的概念,并提出了关键信息基础设施保护的具体要求。
第一,《网络安全法》中明确界定了关键信息基础设施概念的本质,即“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,并规定关键信息基础设施的具体范围由国务院另行制定。这表明,作为网络安全领域的基本法,应当尽可能确保网络安全法的稳定性而不宜进行过于细化的条款设定这一立法需求。而关键信息基础设施的范围将基于国家安全和社会运行的风险评估进行不断调整,即其认定范围遵循动态调整机制。
第二,关键信息基础设施安全保护办法是《网络安全法》中预留接口的下位法,也是法律中唯一明确规定“由国务院制定”的行政法规。我国关键信息基础设施法律制度在法律调整的社会关系及调整对象上更具复杂性。政治、法律传统等国情的差异导致我国关键信息基础设施保护制度的构建不能简单照搬外国的经验,应坚持国内经验总结和国外经验借鉴,建立符合我国国情且具有较强可操作性的关键信息基础设施保护制度,同时也科学合理地推动网络安全等级保护制度的演进与变革,有效融合等级保护评测和关键信息基础设施的风险评估等,实现制度间的互补和融合,降低关键信息基础设施运营者的守法成本和行政执法成本。
第三,为了鼓励网络运营者自愿参与国家关键信息基础设施保护体系,促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享,并加强对这些信息的保护,《网络安全法》规定,“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系;国家网信部门和有关部门在关键信息基础设施保护中取得的信息,只能用于维护网络安全的需要,不得用于其他用途。”这在一定程度上鼓励了网络运营者,尤其是承担重要社会职能的网络运营者能够利用其自有的技术能力和资源优势更加积极地投入关键信息基础设施保护的工作中,促进政府和企业双方共同保障关键信息基础设施安全运行。[2]
五、结语
网络安全法对维护网络空间主权,规范网络安全实践,指导下位法的制定完善等意义重大,影响深远。为持续推动我国网络空间的法制化发展进程,落实顶层设计,一方面亟需有效梳理基础性法律与现行法律法规之间的关系,开始部门、地方立法和政策的制定、调整和完善工作;另一方面也亟需出台系列配套规定,不仅包括《关键信息基础设施安全保护办法》等下位法的制定,也包括更为详细的制度规定、具体行业的网络安全规划和网络安全标准体系等,实现与基础性法律的有效衔接。(作者:黄道丽 西安交通大学法学院、公安部第三研究所)
参考文献:
[1]黄道丽.我国网络立法的目标、理念和架构. 中国信息安全. 2014(10):32-35.
[2]黄道丽.《关键信息基础设施安全保护办法》亟待制定.保密科学技术.2016(07).
(责任编辑:章勇 )