文/李海英

网安观察·Cyber Security Observation

网络安全法的价值追求与制度选择

文/李海英

2015年7月6日，《网络安全法》草案在中国人大网上全文公布，并向社会公开征求意见。《网络安全法》是我国互联网领域的重大立法之一，它体现着国家对建立健全网络空间秩序的基本意志，并在重要制度方面也有所突破。

一、网络安全法是国家管理网络意志的集中体现

随着互联网的发展及向各行业的融合渗透，网络空间已经成为各国政治、经济、社会、文化、国防、军事发展的重要基础领域，各国对网络空间的治理意愿、治理能力和治理水平都在逐步加强。互联网具有跨国界性的特点，网络空间的国际规则也正在制定之中。各国试图在网络空间国际规则制定中施加影响并争夺主导权，而国内立法是影响国际规则、在国际规则的制定中体现本国国家意志的前提条件。《网络安全法》正是我国管理网络的基本意志的集中体现。

网络安全是国家安全的重要组成部分。2015年7月1日发布的《国家安全法》第二章的第二十五条，专门对网络与信息安全进行了规定，作为“维护国家安全的任务”之一。习近平在中央国家安全委员会第一次会议上的讲话中提出将“信息安全”作为国家安全体系的组成部分，《国家安全法》用一条的内容，明确“网络与信息安全”是国家总体安全观的重要组成部分，它涵盖了网络和信息核心产品和技术的安全、关键基础设施和重要领域信息系统的运行安全、数据的安全以及内容安全，是全产业链的概念；该条也指出，重点防范、制止和依法惩治的行为有网络攻击、网络入侵、网络窃密、散布违法有害信息等；要实现的目标是“维护国家网络空间主权、安全和发展利益”。《网络安全法》草案在《国家安全法》规定的基础上，对保障网络安全、维护网络空间主权和国家安全进行了系统的规定。

维护网络空间主权是我国的一贯主张。《网络安全法》草案立法目的明确指出要“维护网络空间主权”，与《国家安全法》保持一致。关于网络主权，早在2010年国务院新闻办公室发布的《中国互联网状况》白皮书中明确指出，“中国政府认为，互联网是国家重要基础设施，中华人民共和国境内的互联网属于中国主权管辖范围，中国的互联网主权应受到尊重和维护”。2014年7月16日，国家主席习近平在巴西国会发表《弘扬传统友好 共谱合作新篇》的演讲，指出虽然互联网具有高度全球化的特征，但每一个国家在信息领域的主权权益都不应受到侵犯，互联网技术再发展也不能侵犯他国的信息主权。

但目前为止我国相关法律文件中并没有对“网络空间主权”进行具体的阐释。从国际层面看，2013年北约发布的关于国际法对网络战适用性问题的《塔林手册》对网络主权进行了一定的阐释，“一个国家可以对其主权领土范围内的网络基础设施和网络活动行使控制”，“一个国家使用在一个任何位置的、享有主权豁免的平台上的网络基础设施所进行的任何干涉构成了对主权的侵犯”。综合以上，网络空间主权应该包括对本国领土范围内网络基础设施、网络服务平台、网络信息和数据的管辖权；网络管理政策制定的自主权；参与网络空间国际规则制定的独立权，等等。但是由于互联网全球架构的特殊性，在一定程度上会影响我国网络主权的实现。同时，随着互联网与实体经济融合趋势的发展，网络空间主权的内涵和范围也应随之变化。

形成网络空间秩序是网络安全法的价值追求。从目前《网络安全法》草案的内容上看，核心是网络运行安全（包括关键信息基础设施的运行安全）和网络信息安全，同时，也包括网络产品和服务安全、内容安全；规定了网络关键设备和网络安全专用产品在销售前进行安全认证或安全检测的制度；制定了针对关键信息基础设施运营者采购网络产品或者服务的安全审查制度、在境内存储运营中收集和产生的公民个人信息等重要数据的制度；在2012年《全国人大常委会关于网络信息保护的决定》基础上，重申和强化了个人信息保护制度、网络实名制、垃圾电子信息治理制度等；专门建立了监测预警与应急处置制度，等等。

2000年，中国初步建立互联网法律体系，前后发布《电信条例》、《互联网信息服务管理办法》、《全国人大常委会关于维护互联网安全的决定》等。此后，各相关部委围绕互联网资源管理、互联网信息服务管理（如新闻、视听节目、网络游戏、药品、医疗卫生等）、网络商品交易、网络支付、安全保护等共出台了30余部部门规章。总结起来，我国对网络空间的立法，其关键词有三个：“管理”、“发展”、和“安全”，这充分体现了中央制定的“积极利用、科学发展、依法管理、确保安全”的十六字方针。但互联网立法以部门立法为主体、立法分散、内容交叉、层级较低等问题也广受诟病。《网络安全法》草案虽然尚有不尽人意之处，但是其“坚持安全与发展并重”的指导思想，兼顾管理与保护，从国情出发并注意“借鉴有关国家的经验”，“对内外资企业同等对待，不实行差别待遇”等立法理念，可以说是国家对网络空间秩序尤其是安全秩序整体期许的集中体现。《网络安全法》中规定的所有制度背后，都体现着国家构建网络空间安全秩序的着眼点和着力点。

二、网络安全法的重点规范对象

《网络安全法》草案规定国家相关部门监督管理网络安全工作的职责，规定从事网络安全活动相关主体的权利和义务。草案中包含：网络产品和服务提供者、关键信息基础设施运营者、网络运营者、电子信息发送服务提供者、应用软件下载服务提供者等诸多主体，其中“网络运营者”在全文共出现了27次，关键信息基础设施保护也是首次引入的制度，都是网络安全法重点的规范对象。

1、关于网络运营者的定义

《网络安全法》草案第六十五条规定：“网络运营者，是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者，包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。”在具体的制度方面，主要规定网络运营者要按照网络安全等级保护的要求，履行安全保护义务（草案第十七条）。要求网络运营者采取数据分类、重要数据备份和加密等措施，防止网络数据被窃取或者篡改（草案第十七条）；规定网络运营者在网络身份管理制度即网络实名制中的义务（草案第二十条）；规定网络运营者制定网络安全事件应急预案的制度（草案第二十一条）；为国家安全和侦查犯罪，规定网络运营者的支持与协助义务（草案第二十三条）；规定网络运营者建立健全用户信息保护制度的义务（草案第三十四、第三十五、第三十六、第三十七条）；网络运营者处置违法信息的义务规定：网络运营者发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告（草案第四十条）；以及规定相应的法律责任。

由此可见，“网络运营者”是网络安全法中最重要的概念之一，也是它最主要的规范对象。但是在现有立法中，并没有“网络运营者”的定义。与《网络安全法》草案同时向公众征求意见的《刑法》第九修正案规定：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门通知采取改正措施而拒绝执行”的，应承担刑事责任；《侵权责任法》第三十六条规定：网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任；《保守国家秘密法》规定：互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查；《反恐怖主义法》草案规定：网络与信息系统运营者应当按照法律法规和国家机关标准要求，综合采取技术和管理措施，加强网络安全防护、技术检测、风险预警、应急响应和处置等各项工作，保护网络和信息系统运行安全。电信业务经营者、互联网服务提供者应当在电信和互联网的设计、建设和运行中预设技术接口，将密码方案报密码主管部门审查；而在电信和互联网行业的最主要的立法—《电信条例》和《互联网信息服务管理办法》中分别规定了电信业务经营者（基础电信业务经营者和增值电信业务经营者）和互联网信息服务提供者（经营性互联网信息服务提供者和非经营性互联网信息服务提供者）。不同立法其规范的目的、制度各不相同，但是只有“电信业务经营者”和“互联网信息服务提供者”有明确的界定和相关的准入制度相对应。

网络安全法是否要与原有立法保持一致，还是要另起炉灶？目前的草案明显是采用了后者，采用“网络运营者”这一新概念试图对所有网络的所有者、管理者以及利用网络提供服务的服务提供者进行规范，其含义极其广泛。但这么广泛的定义会不会反而失之于宽？不与现有立法中的准入制度相对应，企业如何能够对号入座，明确自己是否是法律所称的“网络运营者”？而且从草案规定的义务来看，不同的“网络运营者”如何明确自己应承担义务的范畴？这些都可能在操作中产生困境，影响法律实施的效果。笔者建议由于网络运营者的义务更多侧重于网络的运行安全，而网络服务提供者则侧重于信息安全（数据安全），其义务应有所区分，因此，《网络安全法》还是采用网络运营者和网络服务提供者两个定义，并分别对应于电信条例中的基础电信业务经营者和增值电信业务经营者。

2、关于关键信息基础设施运营者

《国家安全法》第二十五条规定：国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。首次提出了“关键基础设施”的概念，《网络安全法》草案专门规定了“关键信息基础设施的运行安全”。

在关键信息基础设施运营者的界定中，关于《中华人民共和国网络安全法（草案）》的说明中明确指出：关键信息基础设施的范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。其中，最为引人关注的是商业网络是否属于“关键信息基础设施”的范围。诚然，“用户数量众多的商业网络”无论在商业上，还是管理、安全的意义上都具有较大的影响力。但“商业网络”是否应纳入“关键信息基础设施”的范畴，还是要看“关键信息基础设施”制度的目标和制定初衷。从国外的界定看，关键基础设施对国家安全、经济社会发展十分重要，一旦遭到破坏，后果十分严重。也就是说，关键信息基础设施所在的行业具有全局性、战略性和基础性，对国家安全具有特殊意义，需要划定范围，给予特殊保护。如果关键信息基础设施涵盖“商业网络”，范围过宽，则可能使其“关键性”大打折扣。

三、适应新技术业务发展的网络安全立法

移动互联网、云计算、物联网、大数据等新技术新业务的发展，对网络安全、数据安全、个人信息保护等制度带来新的影响。例如，互联网经济的发展、信息和知识的分享传播等，依赖于全球信息的自由流动。但是为应对云计算等新技术发展对数据安全带来的新挑战，很多国家也在采取不同措施对数据跨境流动进行限制；保护个人的隐私安全是基本的公民权利，但是互联网的业务应用、大数据的发展都依赖于对个人数据等信息的挖掘与使用，也对传统制度形成挑战。

对此，全国人大在关于《中华人民共和国网络安全法（草案）》的说明中专门指出，“随着云计算、大数据等技术的发展和应用，网络数据安全对维护国家安全、经济安全，保护公民合法权益，促进数据利用至为重要。为此，草案作了以下规定：一是，要求网络运营者采取数据分类、重要数据备份和加密等措施，防止网络数据被窃取或者篡改（草案第十七条）。二是，加强对公民个人信息的保护，防止公民个人信息数据被非法获取、泄露或者非法使用（草案第三十四条至第三十九条）。三是，要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据；确需在境外存储或者向境外提供的，应当按照规定进行安全评估（草案第三十一条）。”可见，《网络安全法》重点从数据安全的角度，制定了应对云计算、大数据发展带来挑战的法律制度。

但是，这些新技术新业务除了带来数据安全问题，由于云服务的技术特点和商业模式也带来一些新的安全问题，例如由于虚拟化的引入带来的安全风险、云平台应用程序安全等。而从主体的角度看，云服务商在网络安全和数据安全中的责任也与传统的互联网数据中心、互联网接入业务、互联网信息服务商等有一定的区别，在法律责任上也应有所不同。例如，由于云计算具有降低成本等优势，云服务商为政府、银行等关键基础设施提供外包服务是各国云计算战略的重要内容。一个云服务商可能承担多个关键基础设施的外包服务，使其本身的云平台具有更重要的安全意义。欧盟网络与信息安全局2012年11月发布《重要云计算——从关键信息基础设施保护的角度看云计算》的报告中也特别分析了金融服务、医疗服务、电子政府服务等重要场景下的云计算安全问题。

在数据安全与数据利用的平衡方面，目前草案更多关注于数据的保护。为更好平衡大数据环境下的数据开放与数据利用的关系，草案可以更多考虑为数据利用扫清法律障碍，增加关于数据匿名化的规定。对于进行了数据匿名化或者脱敏处理的数据，并满足一定条件的情况下，允许企业对数据进行合理的使用。

《网络安全法》是我国第一部集中体现国家对互联网管理意志和政策的法律，它的出台对于我国建立有序的网络空间秩序，参与网络空间国际规则的制定都会产生重要的影响。

（作者单位：中国信息通信研究院互联网法律研究中心）X