网络安全立法的几个重点问题 作者:龙卫球赵精武

编者按:《网络安全法(草案)》的推出,有利于以法律的方式固化、提升国家治理体系和治理能力现代化,成为依法治国的一个标志性事件。《网络安全法》作为国家网络治理的基本遵循,在治理系统、治理过程、治理重点上尤其要注重七个关键问题,即平衡网络安全与运营的利益关系;确立统一领导、分工管理的体制架构;完善战略制订主体、内容和实施的配套机制;制定网络安全分级及信息共享制度;强化个人信息保护和数据资产化;加强数据开放、流动和国际合作;建立行业自治、社会共治的规范体系,从而实现在保护用户隐私和数据开放、维护国家安全利益和保护企业权利之间达到动态平衡,为国家网络空间治理奠定基础。

 

作为我国网络安全治理基本法的《网络安全法》,不同于传统法律,从法律定位来看,其具有治理法的典型特征,在立法中宜对此种定位加以明确。网络安全法的此种定位主要体现在治理系统、治理过程、治理重点三个方面。从治理系统方面来说,应从体制、战略、机制整套制度安排的角度,完善以治理思维为基础的综合、动态立法。从治理过程来看,《网络安全法》自身具有动态管理与配置的过程特点,实有必要以“治理思维”为抓手,妥善安排国家、社会、企业、个人四元关系。从治理重点来看,由于《网络安全法》涉及多方面、复杂的纵横交错的法律关系,所以存在系统设计与重点兼顾之必要,尤其应重点解决以下七个问题。

一、厘清网络安全与运营的关系

网络安全法的立法中,网络运营、网络公平、网络安全作为三大平衡价值不可偏废,当前世界各国的网络安全立法均对网络运营促进意识不足,过分片面地强调维护安全问题。美国政府固然倡导网络自由,但近期政府部门为了安全过度压制、强制企业协助配合问题被曝光,例如前段时间发生的“苹果解密门”案。在网络安全法中,对网络安全与运营自由的协同方面应进一步加以明确,避免单纯强调安全而不当限制网络的自由和发展。实践中侦查部门超过范围,绝对化地要求网络运营商提供短信及公司留存的相关信息在我国十分常见,使得公民的通信秘密权和隐私权与作为公权力的监管权直接冲突的情形频发,在此类情形中,互联网服务提供商的信息支配权成为矛盾的焦点。从运营自由及涉及的企业和个人正当利益保护与网络安全的协同关系角度,有关行政权和侦查权的配置和行使,应当以尊重企业正当利益、用户个人信息权等为出发,以必要性和可控可追溯为原则作为条件限制。信息社会,政府部门对于信息的获取,应当具有法律依据的权力,并且依据必要的程序和资质条件,方可对信息进行收集,以保证信息获取的过程可控、信息处理过程可追溯。

二、完善网络安全体制架构

从网络安全主体框架角度来看,鉴于网络安全对于当今国家整体利益和安全重要性及战略性,应当建立统一的、立体化的网络安全领导体制,同时又要结合网络安全事务特点、现行机构职能分工特点处理好具体管理的部门分工配置问题,确立领导、分工管理协作的基本架构,建立职权监管与行为监管相互结合的治理模式。目前我国《网络安全法》草案在网络安全体制上没有专门突出一章,而且并未明确网络安全治理体制实施统一领导与分工协作监管相配合的体制,虽然区分上下层有特殊意义,仅第六条的模糊表述显然不能满足网络安全管理需求。

一方面,尚未明确上层是否具有统一领导职责。相关法条中“国家网信部门负责统筹协调网络”的说法,比较微妙难解。究竟谁是最终的上层机构(本法作为专门法都不明确,就不可能再有其他法律加以明确),是现在有的国务院的网络信息化办公室,还是党中央设立的最高领导小组呢?依据笔者理解,现有国务院网信办应该级别不够,而且其本身也没有法律既有授权,上层似乎是目前的中央领导小组,但如何从政治体制向国家体制转化有待进一步明确。

另一方面,下层分工管理说法也不明确,虽提及“依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作”显然不够,有必要就网络安全管理事项作出明确重点分工。从现行机构职能的科学设计来看,应该由工信部负责网络基础设施安全及网络运行、技术和管理安全中的技术范畴,应该由新闻总署专设信息管理机构负责网络运行、技术和管理中的信息范畴,应该由工商部门负责网络基础设施、运行、技术和管理中的公平问题、市场秩序问题。

至于公安部门和检察机关等,则比较复杂,既有既定的治安、侦查权力延伸到网络空间行使问题,还有特殊网络监控权力的新配置问题,后者体现为在网络技术以及活动复杂化之后,以网络安全预防、网络安全有效处置和应急管理为必要的体制配置(我国缺少此方面的配置依据,导致公安、检查等执法部门、司法部门不能有效预防、发现和控制网络犯罪、严重违法行为,具有极大的滞后性,例如网络诈欺、电信诈欺、违法竞标广告现象愈演愈烈都源自于此)。

三、完善网络安全战略管理机制

网络安全必须提升到战略管理层次,方可有效从整体上加以重点保障。这里所谓战略层次,并非单纯的管理意识问题,而是一种实实在在的科学机制,包括战略制订主体、战略内容、战略实施过程的配套体系。以美国为例,2016年2月9日,奥巴马推出《网络安全国家行动计划》,将从加强网络基础设施建设、加强专业人才队伍建设、加强与企业的合作、加强民众网络安全意识宣传以及寻求长期解决方案5个方面入手,全面提高美国在数字空间的安全。奥巴马还计划仿照美国公司的运行模式,设立联邦首席信息安全官,负责联邦政府网络安全政策与行动的规划与执行,这是美国政府首次设立专职的高级官员主管网络安全。

我国《网络安全法(草案)》以专章确立网络安全战略机制,此为重大机制安排,实有必要。例如:第11条规定了“国家制定网络安全战略”的要求,并对安全战略的内容加以明确,第12-16条对各部门职责进行了细致阐释,此做法固然有前瞻性,但是比较而言战略内容方面针对性还有不少含糊之处和可操作性问题,虽然战略一般性强调了保障基础建设、保护能力建设等内容,却没有强调哪种保障属于战略保障、哪种能力属于战略能力,以及谁来实施或执行,是否该通过特别立法手段来促进。

四、制定网络安全关键基础设施分级制度及信息共享制度

国家提升网络基础设施安全,重点在于强化其中关键基础设施的安全,关键信息基础设施指的是所在的行业具有全局性、战略性和基础性的设施,往往对国家安全具有特殊战略意义,需进一步划定范围,并给予特殊保护。国家强化保障关键设施的办法,一是强化更加安全先进的基础技术系统开发和应用;二是加强保护体系建设,包括发展关键基础设施安全监控体系,监控防御系统,强化黑客入侵时的实时应对和恢复机制。

关键设施的完善在制度上需进一步匹配网络安全信息共享,特别是私企将其安全信息与政府共享,是互联网技术时代的发现和治理网络安全的特有要求,是互联网特点决定的合作共治原理的必然。我国目前推行“网络安全长城”值得肯定,但宜以立法的方式确立安全信息共享机制,可以学习美国经验,激励关键基础设施运营者自愿分享安全威胁信息。网络安全信息共享制度,从域外经验来看,以分级、激励、保密三个要素为核心,应仿照网络安全等级保护制度,实行信息共享分级制度,以信息的重要程度为标准进行分类管理,并对不同的企业和人群进行分级授权。斯诺登事件为我们敲响警钟,不对情报进行分类极有可能使得安全保密机制具有很大的脆弱性,而网络安全信息共享分析制度,可以避免类似情形再度发生。在信息共享规则上,同时应当对用户隐私和商业秘密加以严格保护,并要对何种情况下可以豁免因为私主体披露相关信息的刑事责任和民事责任进行类型化分析,平衡维护国家安全利益和保护个人和企业私权利之间的利益关系。

五、强化个人信息保护和数据资产化

大数据时代催发数据巨大的经济和社会价值,数据本身存在一种资产化趋势,在这种情况下,数据安全包括个人信息安全在内,其保护设计不能过于简单以致于妨碍数据资产化的价值需求,个人信息保护、数据保护需要在一种更加复杂化的“双赢”机制之中发挥效果。

必须注意保护个人信息。欧盟国家在其立法中将个人信息资料权作为一项独立权利加以保护。近年来,包括欧盟、美国等国家,在个人信息保护的基础上也着力推动一种基于前端保护的“设计保护”新理念。这种设计理念主张,个人信息保护不仅依赖“个人信息保护法”,更鼓励企业加强自律,更新内部机制,建立健全内部数据风险评估机制,在产品和服务初期导入个人信息保护机制。我国也宜推行这种“设计保护”的模式,加强企业自律规范。

也要注意数据资产化过程中的各方利益的合理配置。数据资产化,不能简单地以作为个人信息权的人格权商品化方式开展,也不能简单采取债权保障和债权交易的方式正当化,因为这种情况下会严重制约数据资产化的实际功能和经济结构需求。一种数据财产权理论开始出现,主张数据规范从单纯的人格权、债权模式中走进人格权、债权、财产权复合重叠的样态,数据财产权各种形式呼之欲出,个人信息安全和数据产业发展正在展开动态平衡。

六、加强数据开放、数据流动和国际合作

数据的采样和加工有赖于巨大的数据规模,其基础正是在于数据的开发性和流动性,然而数据在来源上往往受到数据封闭的限制,不同国家均鼓励原始数据开放,特别是针对公共数据,往往促进其公开。此外,数据存在跨境的复杂性,从数据价值发挥而言,跨境是一种必要,但是数据背后存在数据安全问题,各国数据空间主权观念的差别,或者数据法制、数据利益、数据安全保护观念的差异,导致相互之间在数据流动和国际合作的复杂性。这个问题需要特别规范。

我国《网络安全法》草案总则第5条规定了网络空间治理的国际合作原则,第43条规定“国家网信部门和有关部门依法履行网络安全监督管理职责,但两款内容均未对就数据开放专门规定,实为一大憾事。2015年出台的《反恐怖主义法》在第17〜21条、第61条和第86条,进一步强化了互联网企业在反恐事项上的各项义务和责任承担方式,但对互联网企业数据是否必须全部在境内存储和对于跨境存储和传输的要求,尚无明确规定,此前的实践中不乏将数据信息存储在境内的要求。互联网企业的核心在于技术资源,如何在保护用户隐私和反对恐怖主义之间达到动态平衡,有效保持企业正常的运营并保护企业知识产权,是接下来部门配套立法应当重点思索的核心问题。

七、推动行业自律规范的建立

当前企业、个人和行业都存在自律机制,这是由网络空间技术无限自主特点和行为无限集散特点决定的,如果没有自律,控制和监管将十分被动,成本极高,应付不及,防不胜防。随着Web2.0时代的飞速发展,当代网络安全治理理论认为,单纯的从上到下的管理模式很难实现纵览全局,更难以解除网络安全空间治理的困境,应以国家治理与社会合作为平衡。美国网络法大家劳伦斯·莱希格教授认为,“网络空间治理应该依从四维规制理论,以此拓展空间治理的思路,其主张法律、社会准则、市场机制之外还要充分挖掘网络空间自身技术架构的自我规制特征,其核心在于将网络安全治理视为一个动态多元且上下协作的领域,应具有主体多元、行为多样的特征”。

但是,自律不可能简单自动实现,有赖于配套法律上的机制。网络安全法中,要做出对自律的鼓励和导引,同时建立若干必要的自律机制加以约束,包括建立和规范行业自治、社会共治体系等等。从当今网络产业发展来看,在多元自律体系中,用户自律应当倡导,但是企业和行业自律尤为紧迫和重要。《网络安全法》草案在第4条倡导“诚实守信、健康文明的网络行为”,旨在鼓励用户自律;在第8条又规定了加强行业自律的原则,这些规定实为必要,但还欠充分和具体的可操作性。例如,由于外部监管不足,加上自身自律不足,许多企业虽然声称其会对用户个人数据进行匿名化处理,且不会对用户隐私数据进行滥用,但是“前台匿名后台实名”,俨然已经成了互联网公司收集用户个人数据的潜规则。就此,应当推行行业自律,通过协会的力量推动数据的匿名化处理。

2016-06-28 15:39
来源:中国信息安全杂志(2016.06)
热门推荐更多
热点新闻更多