《网络安全法》的宏观立法思路与具体制度设计 作者:中国法学会法律信息部助理研究员/刘金瑞

编者按:出台《网络安全法》是党和国家针对网络安全的战略举措。要使其成为国家网络空间治理的基本遵循,就必须在立法思路和具体设计上高度把握全局性、战略性和实践性要求。立法思路应战略统筹,立足国家安全把握立法重点,立足国内和国外经验相结合把握立法范围,立足公共和私营部门把握监管框架,立足安全与发展把握监管标准,立足国际合作把握国际规则。具体制度设计应抓住核心重点,突出解决国家安全,充分落实关键基础设施保护制度;突出综合应对网络安全挑战,建立网络安全信息共享制度。从而在全局和细节两个方面,充分发挥《网络安全法》在国家治理体系和治理能力现代化以及全球互联网治理体系变革中的关键作用和重要价值。

 

制订《网络安全法》具有重大意义,是全面落实党的十八大和十八届三中、四中全会相关决策部署的重大举措,是我国第一部针对网络安全起草的专门性综合性立法,提出了应对网络安全挑战这一全球性问题的中国方案。此次立法进程的迅速推进,显示了党和国家对网络安全问题的高度重视,对我国网络安全法治建设来说是一个重大的战略契机。在《网络安全法(草案)》(以下简称“草案”)二次审议之际,针对草案提出以下几点思考和建议。

一、明确宏观立法思路

网络安全是指保护网络信息系统及其所存储和传输的信息数据不受非法行为的威胁和侵害。网络安全法立法的基本思路,笔者认为可以从如何应对网络安全风险入手进行思考,主要包括预防威胁、填补漏洞、应对危害、风险信息共享四个方面。根据这一思路,结合习总书记在网络安全和信息化工作座谈会上讲话(以下简称“讲话”)的重要精神,在宏观立法思路上提出以下建议:

(一)应从国家安全的高度上把握网络安全立法的重点

网络安全立法涉及了社会生活的多个领域,包括网络犯罪、隐私权保护、电子商务、电子政务、技术标准、内容管制以及基础设施保护等等,内容多样复杂,需要战略性的安排和体系化的研究。确定立法重点最基本的指导原则就是确保国家安全,也就是说关注网络信息系统及其所存储和传输的信息数据受到威胁和侵害时所引发的国家安全问题。从美国、欧盟等国家的立法设想看,这个重点就是关键基础设施的保护。

但关键基础设施并不等于重要基础设施。习总书记在讲话中明确指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢”,一旦出问题,“具有很大的破坏性和杀伤力。”笔者理解,判断这些作为“经济社会运行神经中枢”的关键基础设施的标准,就是这些设施一旦遭受攻击是否直接影响国家安全。

应该承认网络安全法制是一个多层次规范相互配合的法律体系,而网络安全专门性立法应该着重解决其中事关国家安全的重点问题,面面俱到有可能导致重点不明、成效有限。有些问题应该通过其他法律规范来解决,不建议在《网络安全法》中规定。比如第三章第22条禁止网络非法侵入,重复了《刑法》第285条、第286条的规定,笔者认为一般的入侵网络信息系统在刑法里规定比较恰当。再比如草案第四章“网络信息安全”第34条——38条对个人信息的保护,《刑法》《消费者权益保护法》等已经有了类似规定,而且还有制定专门个人信息保护法的主张,个人信息保护本身也不是网络信息系统受到侵害会引发的国家安全问题,没有必要写进《网络安全法》。

此外,建议删去草案的第二章“网络安全战略、规划与促进”。这不是否定战略的重要性,相反国家网络安全战略极其重要。从域外经验看,一般是先制定国家网络安全战略,再推进网络安全综合性立法。遗憾的是,虽然有关部门努力多年,但我国至今没有网络安全国家战略。建议在这次立法进程中适时制定公布这一战略,以保持战略适度公开透明,防止其他国家战略误判。但战略构想可以通过立法的具体制度设计来体现,写成法条形式的必要性并不充分,战略构想本身很难成为具有规范效力的法律规定。

(二)坚持国内经验总结与国外经验借鉴相结合的原则

我国网络安全工作积累了不少工作经验,比如“信息安全等级保护管理制度”,体现在草案第三章“网络运行安全”第一节“一般规定”的第17条(条文称之为“网络安全等级保护制度”)。但草案中还借鉴了国外的“关键基础设施保护”制度,规定在草案第三章“网络运行安全”第二节“关键信息基础设施的运行安全”。两部分的内容有很多重复之处,比如第18、19条和第29、30条,都是为了确保供应链安全。如何协调二者的关系成为完善草案的关键问题。建议草案保留这两个制度,但界定清楚二者适用范围。对于关键基础设施保护制度,应适用于事关国家安全和命脉的基础设施。而等级保护管理制度,以“自主定级、自主保护”为原则,则适用于所有网络信息系统。可以将关键基础设施规定为最高等级的网络信息系统或其中之一部分,但关键基础设施的保护范围和强制性监管标准,应该授权国家网信部门按照法定授权予以确定制定。

(三)区分公共部门和私营部门设计不同的监管框架

草案中对政府部门和私营部门网络信息系统没有进行区分保护,提供信息服务的政府网络基本可以纳入草案所定义的“网络经营者”的范围,而遵循与私营部门一样的网络安全义务。而政府部门的网络信息系统比一般私营部门更加重要,政府网站信息被篡改、窃取往往造成的危害更大,所以在监管标准、技术建设等方面都应不同于私营部门。美国早在2002年就通过了《联邦信息安全管理法》,并在2014年12月进行了修改,将建立对联邦计算机网络的实时、自动监控,减少在安全审查过程中所需的文书工作量,明确保护联邦计算机网络安全各机构的角色。美国在政府系统内部署“爱因斯坦”计划(入侵检测系统和入侵防御系统)应对政府关键基础设施的威胁,但对于大部分的私有关键基础设施,美国政府不可能强行将其纳入监测防御系统,所以美国网络安全立法中的重点是“私有”关键基础设施的保护。习总书记在讲话中明确指出,“要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施”,要明确由政府保障的方面和由市场力量防护的方面。建议草案针对公共部门和私营部门设立不同的监管框架,对于公共部门要规定采用统一的技术规范、严格遵守统一的监管标准。

(四)在私营部门监管中要贯彻安全与发展并重的原则

坚持安全与发展并重是草案起草说明中提到的基本原则,习总书记讲话进一步指出“坚持鼓励支持和规范发展并行”。规范私营企业的发展,确实是因为企业掌握了“一些涉及国家利益、国家安全的数据”,私营企业某些网络设施确实事关国家安全和国家利益。从美国和欧盟的立法经验和设想来看,综合性网络安全立法针对私营企业的规定主要是确定私营关键基础设施的范围并要求遵守强制性的监管标准。考虑到鼓励支持和规范发展并行,建议遵循安全与发展并重的原则,注意两个方面:一是审慎划定私营关键基础设施,但纳入关键基础设施范围内的私营基础设施,要严格遵守依法制定的强制性监管标准;二是构建政府和企业的协作机制。首先是行业网络信息系统保护标准的制定要反映行业最佳实践;其次是建立网络安全信息共享制度,包括政府和企业的网络安全信息共享机制和行业内网络安全信息共享机制。 

此外,建议草案相关条文协调好与已有私营企业法定义务的关系。草案中对于规制对象,分为“网络运营者”、“网络服务提供者”、“关键信息基础设施的运营者”、“电子信息发送服务提供者”四种。而在我国的《电信条例》中,将相关服务描述为,基础电信业务中的“互联网及其他公共数据传送业务”和增值电信业务中的“互联网接入服务、互联网信息服务”。而在我国的《互联网信息服务管理办法》中,也明确提出了互联网信息服务提供者和互联网接入服务提供者两大主体,即业界耳熟能详的“ICP\ISP”。建议沿用之前的管制框架,并赋予不同的义务和责任,比如电信运营商这种网络接入服务提供者一般仅承担信息传输通道的责任,对信息内容不承担审查义务。

(五)在相关条文拟定中为国际规则制定留下适当空间

建议草案从国际规则制定和适用的角度修改相关条文。比如,草案第2条仅规定了法律的域内效力,完全没有考虑本法的域外效力,不利于充分维护我国的国家安全和网络空间主权。建议参照《刑法》第6-9条的相关规定,除了“属地管辖权”之外,还要规定“属人管辖权”、“保护管辖权”和“普遍管辖权”。对于普遍管辖权,可以拟定如下:“对于中华人民共和国缔结或者参加的国际条约所规定的网络安全非法行为,中华人民共和国在所承担条约义务的范围内行使管辖权的,适用本法。”在网络空间谋求绝对安全几乎是不可能的,我国未来应该积极主导、参与网络安全国际规则的制定,起草相关国际条约,通过国际合作来实现各国网络空间真正的普遍安全。而管辖权规定也为这些战略设想留有空间。

二、完善具体制度设计

如果赞同宏观立法思路的第一点,承认网络安全法应着重解决其中事关国家安全的重点问题,删去不宜在此法规定的问题,那么就应该突出立法重点,细化完善网络安全法重点制度的立法设计。以“关键基础设施保护制度”和“网络安全信息共享制度”为例,提出以下完善建议:

(一)落实关键基础设施保护制度

针对草案第三章第二节“关键信息基础设施的运行安全”,提出以下完善建议:

1.      明确“关键基础设施”的定义。强调纳入关键基础设施范围的信息系统,是指一旦被攻击,很可能会严重危害人民群众生命安全、造成国家经济灾难性损害或者导致国家安全严重恶化。

2.      授权国家网信部门来认定关键基础设施的网络安全威胁,指定哪些资产或系统属于关键基础设施,并协同国家有关部门制定相应的强制性监管方案和监管标准。纳入关键基础设施范围的私营系统或资产必须遵守监管要求,否则要承担相应的法律责任。

3.      授权国家网信部门和相关行业主管部门开展与私有关键基础设施运营者的合作,设立专门的网络安全公私合作计划;制定专门的程序和限定条件,与这些运营者分享必要的网络安全威胁信息和应对策略。

4.      对于遵守监管标准的关键基础设施,可以考虑规定免除其信息系统被恶意攻击而导致大规模数据泄露时,不用向消费者承担惩罚性赔偿责任。

(二)建立网络安全信息共享制度

网络安全风险信息的共享对于应对网络安全挑战至关重要。2015年12月18日,美国《网络信息安全共享法》生效,建立了相对完善的网络威胁信息共享制度,值得借鉴。而草案第33条、第44条只是原则上规定了“网络安全信息共享”、“网络安全监测预警和信息通报制度”。建议在此基础进一步扩充完善,建立网络安全信息共享制度:

1.      授权私主体可以为了网络安全威胁而监控自身信息系统、以及获得同意的第三方的信息系统,以解决信息共享存在的法律障碍。

2.      授权国家网信部门为了有效接收和分发网络安全威胁预警的目的,可以指定网络安全信息交换。授权非政府主体可以在网络安全信息交换中获得网络安全威胁预警信息,但只能为了抵御或减轻网络安全威胁的目的而使用、持有或进一步披露。

3.      规定在网络安全信息交换中共享的信息,免除《政府信息公开条例》的披露义务,以及行政法上单方面接触的限制。

4.      规定网络安全信息交换中共享信息不会导致放弃该信息上的任何权利,包括对个人隐私和商业秘密的保护。规定任何政府机构不允许使用网络安全威胁预警信息,作为针对共享信息主体的行政执法行为的证据。

5.          规定向政府部门披露网络威胁信息,在一定条件下免除所产生的民事和刑事责任。免责条件草拟如下:(1)向网络安全信息交换机关披露;(2)网络安全服务提供商向用户披露;(3)向提供或管理关键基础设施的私主体或政府机构提供;(4)向其他私主体披露,如果该威胁信息也会在一定合理的时间内向网络信息交换机关提供。

2016-06-28 15:36
来源:中国信息安全杂志(2016.06)
热门推荐更多
热点新闻更多