“上天入地”,还是“度权量利”
——《网络安全法》(草案)述评
2016-01-23丁道勤
丁道勤
(京东集团 法律研究中心,北京 100176)
“上天入地”,还是“度权量利”
——《网络安全法》(草案)述评
丁道勤
(京东集团 法律研究中心,北京100176)
摘要:为应对网络安全日益严峻的威胁与风险挑战,近年来全球主要国家和地区纷纷加强网络安全战略制定和立法活动。在此背景下,全国人大2015年制定公布了《网络安全法》(草案),草案确立了网络安全监管体制、关键信息基础设施、安全审查制度、重要数据境内留存制度、个人信息保护制度等亮点制度,但仍存在立法理念“重赋权赋能,轻保护程序”、个人信息保护立法与网络安全立法价值取向的悖论、关键信息基础设施中的网络服务提供者标准和范围有待明确,合法侦听的职权和程序不明确、网络通信临时限制的适用条件偏低等诸多问题。制定网络安全法应坚持“安全和发展并重、管理和保护齐行”的立法理念,在赋权赋能监管机构管理的同时,明确网络安全保护的程序和流程,以改观我国长期以来网络安全立法“重安全、轻发展,重管理、轻保护”的现状。
关键词:网络安全法;关键信息基础设施;安全审查;个人信息保护;网络服务提供者
“风能进,雨能进,国王不能进”这句脍炙人口的法谚*这个广为传颂的名言出自英国的一位首相威廉·皮特。原文为:“即使是最穷的人,在他的小屋里也敢于对抗国王的权威。屋子可能很破旧,屋顶可能摇摇欲坠;风可以吹进这所房子,雨可以打进这所房子,但是国王不能踏进这所房子,他的千军万马也不敢跨过这间破房子的门槛。”“风能进,雨能进,国王不能进”道出了一个基本常识,那就是公权力和私权利有明确的界限,必须恪守“井水不犯河水”的原则。参见赵可:《风能进,雨能进,国王不能进》,载《人民法院报》2011年3月4日。,深刻阐释了公权力与私权利的关系和界限问题,而这一名言或可作为网络安全立法领域一个鲜活的反向注脚。
一、 《网络安全法》草案的立法背景
为了应对网络安全日益严峻的威胁与风险挑战,近年来全球主要国家和地区纷纷加强网络安全战略制定和立法活动。例如,英国政府在2009年6月公布了《网络安全战略》,又于2011年11月发布了《新网络空间战略》;澳大利亚政府2009年11月发布了《网络安全战略》;美国总统府于2011年5月发布了《网络空间国际战略》及《网络空间安全法案》,2014年11月出台《网络安全增强法》;欧盟2013年启动《网络信息安全指令》立法,目前已进入最后的审议阶段;日本政府将《保卫国民信息安全战略2010—2013》作为日本的网络空间战略,2014年11月通过了《网络安全基本法》;韩国2011年8月制定了《国家网络安全综合计划》。与此同时,西方国家纷纷通过立法、规划、战略等多种政策工具,不断推动国家关键信息基础设施安全保护的立法进程。例如欧盟2008年的《关键基础设施认定和安全评估指令》,美国先后制定发布了《1996年国家信息基础设施保护法》、《1996年关键基础设施保护行政令(第13010号)》、《2001年信息时代关键基础设施保护行政令(第13231号)》、《2002年关键基础设施信息保护法(CIIA)》、《2003年关于国家关键基础设施认定、优化和保护的国土安全总统令(第7号HSPD7)》、《2013年美国促进关键基础设施和网络空间安全保护性政令》等多部法律和行政法规。
“没有网络安全就没有国家安全”。同理,没有网络安全,也没法保障信息安全。从1994 年以来,我国信息安全法律保障能力有了全面的提升,初步建立了国家信息安全法律体系。[1]我国近年来更是加快了网络安全方面的立法步伐。2015年7月1日,十二届全国人大常委会第十五次会议通过《国家安全法》,明确要求“维护国家网络空间主权、安全和发展利益”,“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”,网络安全成为国家安全的重要组成部分。在《国家安全法》的大框架之下,为解决我国网络安全领域存在的突出问题,以制度建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益,顺应国内外日益复杂的网络安全态势,迫切需要在国家层面制定一部统一的网络安全基本法。在此背景下,2015年7 月 6日,全国人大网公布《网络安全法》(草案)(下文简称“《草案》”),向社会公开征求意见[2]。
二、 《网络安全法》草案的亮点制度
草案共七章六十八条。主要制度内容包括:
(一) 网络空间主权和网络安全战略(第1、11条)
《草案》第一条开宗明义提出立法目的是维护网络空间主权和国家安全。在数字化时代中,网络空间是国家经济社会运行的重要载体,网络安全已经成为国家安全的重要内容。例如,联合国信息社会世界峰会通过的《日内瓦原则宣言》明确表示:“互联网公共政策的决策权是各国的主权”。[3]
如上文所述,国家层面的网络和信息安全战略在美国*网络已经成为继领土、领海、领空之后的“第四空间”,将成为未来一个国家和民族发展赖以生存的空间,同时,第四空间将直接对现实空间起到制约作用,其战略地位远在领土、领海和领空之上。美国已经为更大范围地实行信息霸权做准备。参见陈宝国:《美国国家网络安全战略解析》,载《信息网络安全》2010年第1期。、欧盟、日本、韩国和俄罗斯等国家和地区陆续出台。其中,美国和韩国出台了多个网络空间战略和规划,欧盟是出台单独的信息安全战略,俄罗斯和日本是在国家战略或者国家外交战略中涵盖网络信息安全战略。有鉴于此,《草案》设专章规定网络安全战略及规划。
(二) 网络安全监管体制(第6条)
《草案》以法律形式明确了各管理职能部门权责,尤其明确了网络信息安全的执法部门,将原来有关政策文件中的互联网安全管理的国家互联网信息部门(以下简称国家网信部门)、工业和信息化部门、公安部门的“三驾马车”架构法律化,并完善各主管部门在维护网络信息安全工作中的协同配合机制。
(三) 网络安全等级保护制度(第17条)
《草案》将现行的网络安全等级保护制度*现行法规规定的是“信息安全等级保护制度”。上升为法律。要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。
(四) 网络关键设备和网络安全专用产品安全认证检测制度(第19条)
《草案》对网络关键设备和网络安全专用产品的安全认证和安全检测制度作了必要的规范,要求符合相关国家标准、行业标准的强制性要求,并经过安全认证合格或者安全检测符合要求后方可销售。
(五) 网络实名制的网络身份管理制度(第20条)
《草案》拓展了2012年《全国人大常委会关于加强网络信息保护的决定》所规定的网络实名制范围,从法律层面新增了一类,即在“网络接入、办理电话等入网手续或者为用户提供信息发布服务”基础上,新增“域名注册服务”。同时规定网络身份管理制度,即国家支持研发安全方便的电子身份认证技术,推动不同电子身份认证技术之间的互认、通用。
(六) 合法侦听协助制度(第23条)
《草案》授权侦查机关在为国家安全和侦查犯罪的需要时,可依法要求网络运营者提供必要的支持与协助。
(七) 关键信息基础设施运行安全保护制度(第25-29条、第32条、第33条)
在国际层面,主要国家和地区全面开展和完善对关键信息基础设施保护的立法活动,都将关键基础设施的网络安全作为保护的重点,立法多聚焦于关键信息基础设施的事前“安全性”和遭受到攻击之后的“可恢复性”上。《草案》规定了关键信息基础设施的范围,并对保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了规定。
(八) 关键信息基础设施网络产品服务安全审查制度(第30条)
《草案》在关键信息基础设施安全保护制度里规定了网络产品服务的安全审查制度,但留下立法开口,规定具体办法由国务院规定。
(九) 关键信息基础设施重要数据境内留存制度(第31条)
《草案》也是在关键信息基础设施安全保护制度里规定了关键信息基础设施的运营者在境内存储公民个人信息等重要数据的要求,确需在境外存储或者向境外提供的,应当按照规定进行安全评估。
(十) 个人信息保护制度(第34-39条)
《草案》在坚持《全国人大常委会关于加强网络信息保护的决定》所确立的原则基础上进一步完善了相关管理制度,主要包括公民个人信息收集规则(第35条),处理规则、信息泄露通知(第36条),删除更正权(第37条)及不受窃取、非法获取、出售或非法提供权(第38、39条)。
(十一) 网络信息管理制度(第40、41、43条)
《草案》在《全国人大常委会关于加强网络信息保护的决定》基础上,明确规定了网络运营者处置违法信息的义务(第40条),以及发送电子信息、提供应用软件合法发布或者传输信息义务(第41条)。
《草案》特别授权有关主管部门要求停止传输、采取消除等处置违法信息的权力,以及有关主管部门对境外的法律法规禁止发布或者传输的信息,采取包括采取防火墙在内的阻断措施。(第43条)
(十二) 重大突发社会安全事件的网络通信临时限制制度(第50条)
在《突发事件应对法》、《电信条例》和《无线电管制规定》等法律法规的基础上,为维护国家安全和社会公共秩序,处置重大突发社会安全事件,《草案》对网络通信管制作了规定。
此外,《网络安全法》草案还确立了总体国家安全观指导下的网络主权和战略规划制度、各项网络运行安全保障制度、监测预警与应急处置制度及法律责任等方面内容。
三、 《网络安全法》草案存在的不足
如上文所述,《网络安全法》草案规定了众多亮点制度,但仍存在有待完善的地方,主要表现为以下几个方面:
(一) 立法理念“重赋权赋能,轻保护程序”
在《国家安全法》这样框架性的法律之下,作为配套法律的《草案》也延续了赋权管控的立法理念——赋权、赋能于执法机关,为采取各项防范和处置网络安全的措施提供法律依据。在应对全球范围的日趋严重的网络安全威胁和挑战的当下,这样的立法理念具有重要意义。在此立法理念的指导下,《草案》从网络运行安全、网络信息安全和监测预警应急处置三大方面进行了规定。
应当说,网络安全立法领域是一个集中体现了公权与私权激烈冲突和对抗的区域。为了维护网络安全秩序,必然加大公权力的监管力度,这样势必会对行政相对人的私权利有所限制,私权需要做出适当让渡,但是,必须明确划定网络安全管理的程度和界限,防止公权力滥用,避免过度限制行政相对人的合法权益。包括美国等在内的主要西方国家以及我国实践,都试图在公权和私权的博弈中寻求平衡。在现代法治社会和依法治国的当下,如何调和、平衡公权与私权之间的利益冲突,如何在日益复杂开放的网络环境下保障网络安全,值得深入思考。
不容忽视的是,“重实体,轻程序”和“重管理,轻保护”是我国网络信息安全法律制度中比较突出的问题,对于严重影响行政相对人合法权益的多项措施,如果欠缺相应的程序性规定,在实践中容易被滥用,而且也会降低法律的可预期性。在“重赋权赋能,轻保护程序”的立法理念之下,据笔者不完全统计,《草案》共出现了19次“有关部门”、15次“有关主管部门”和3次“有关法律、行政法规”,以及3次由国务院规定具体办法(第17条的“网络安全等级保护具体办法”,第25条的“关键信息基础设施安全保护办法”及第29条“关键信息基础设施采购网络产品和服务的安全审查具体办法”),2次国务院网信办部门会同国务院有关部门制定办法(第19条“制定、公布网络关键设备和网络安全专用产品目录”和第31条“关键信息基础设施境内留存重要数据安全评估办法”),留下诸多立法开口。《草案》赋权、赋能“有关部门”采取上述十多个管理措施,如果没有相应明确的权限和程序性规定,“有关部门”真可以“上天入地”地进行执法了。
(二) 个人信息保护立法与网络安全立法价值取向的悖论
国外纷纷通过制定专门的数据保护法或个人信息保护法来规范个人信息所有者、持有者、使用者有关个人信息收集、处理和利用等方面的活动,其立法价值取向是维护公民的个人信息权等基本权利,规范个人信息的合理流动和秩序。而网络安全法本质是为了维护国家安全、社会安定和不特定公民权益,而采取对个人信息权在内的公民私权予以必要限制,某种程度构成了对个人信息安全的威胁。从价值取向方面,个人信息保护立法和网络安全立法存在明显区别。
《草案》大篇幅吸收和照搬《全国人大常委会关于加强网络信息保护的决定》有关个人电子信息保护的条款(不知道是有意还是无意,在进行“法律移植”过程中,《草案》删除了该决定中与“网络服务提供者”相并列的主体——“其他企业事业单位及其工作人员”),主要规定了网络运营者的个人信息收集、处理和利用的各项规则和流程,但对于个人信息收集、处理和利用的另外一大主体——政府机关和其他企业事业单位却一笔带过(第39条只提“负有网络安全监管职责的部门”)或根本不提。由此导致,在同一部法律的《草案》中,存在网络安全保护和个人信息保护的内在价值冲突,这样大篇幅规定个人信息保护的基本制度,一方面在一定程度上造成了立法资源的浪费,另一方面也挤压了未来专门出台《个人信息保护法》的立法空间。
(三) “网络”和“网络安全”定义有失准确,与立法内容不相匹配
从网络层次来分,广义上的网络安全主要包括设备设施安全、网络层安全和应用层安全,狭义的网络安全就是设备设施和网络层安全,应用层安全主要是信息安全,也即保护信息资源,防止不良的外来信息的入侵,和防止信息的泄漏、修改和破坏,保证信息的安全和可靠。信息安全是非实物性的、属于应用层面的安全问题。
网络安全和信息安全二者相互关联、相互影响、相互作用、密不可分。信息安全首先要建立在网络安全之上,信息安全的内容既有网络的运行安全(防止入侵),也有信息本身的安全(信息加密等),此外还包括构成网络的设备本身的安全。因此,在我国先前的法律政策文件多使用“网络与信息安全”的表述,如《国家安全法》使用的是“网络与信息安全”,但在成立中央网络安全和信息化领导小组以后,基本将“网络与信息安全”的提法统一为“网络安全”。
“网络”和“网络安全”是《草案》的“法眼”,但《草案》对“网络”和“网络安全”的定义过于狭窄,有失准确,没有包括信息安全,更是与“网络空间主权”没有关联,这样与立法内容明显不相符合。从《草案》的立法内容来看,此法的“网络安全”实为“Cyber Security”,而非“Network Security”。“网络”实指 “网络空间”(Cyberspace)。这点也从《草案》的“网络运行安全”和“网络信息安全”两大章节的区分得以印证。
(四) 网络责任主体的表述不统一
《草案》规定了众多网络责任主体,据笔者不完全统计,最多的“网络运营者”出现了27次,“关键信息基础设施的运营者”出现9次(另外还出现一次“国家机关政务网络的运营者”),“网络产品、服务的提供者”出现4次,“电子信息发送者”和“应用软件提供者”各出现3次,“电子信息发送服务提供者”和“应用软件下载服务提供者”各出现2次,“网络服务提供者”出现2次。在同一部法律里出现了规制对象的用语不统一,《草案》的相关规定有失严谨性。
(五) 变相新设许可有悖国务院取消行政审批的大趋势
根据2007年《国务院关于第四批取消和调整行政审批项目的决定》(国发[2007]33号)[4],国务院明确取消“通信电子质检机构设立与授权”行政审批项目。另据2012年《国务院关于第六批取消和调整行政审批项目的决定》(国发[2012]52号)[5],国务院明确取消“安全技术防范产品销售审批”项目。
《草案》第19条规定了网络关键设备和网络安全专用产品需要由具备资格的机构进行安全认证合格或安全检测符合要求后方能销售,这样就相当于新设两项行政许可,一是必须由国家网信部门会同国务院有关部门制定公布网络关键设备和网络安全专用产品目录,纳入目录的设备和产品必须经过安全认证合格或安全检测符合要求,才能进入市场销售。二是必须有具备资格的机构进行安全认证和安全检测。至于该机构如何设立和授权,没有明确规定。该条新设或变相新设的两项行政许可事项与国务院持续取消行政许可简政放权的大趋势相悖。
(六) 关键信息基础设施中的网络服务提供者标准和范围有待明确
关键信息基础设施安全立法保护是国际通行做法 国际上对关键基础设施保护(Critical Infrastructure Protection,简称CIP)已有多年,各国都出台了一系列相关政策,并成立或指定相关部门负责此项工作。例如在美国,国家关键基础设施和重要资源被分为信息技术(IT)、通信、农业和食品、国防工业基地、能源、医疗和公共卫生、国家纪念碑和标志、银行和金融、水、化学品、商业设施、关键制造业、大坝、应急服务、核反应堆/核原料和废料、邮政和物流、交通和政府设施等18个领域,其中的IT 和通信两个独立的基础设施领域属于信息基础设施,而其他16个领域中都有其Cyber组成部分,与两个基础设施领域共同构成信息基础设施。在澳大利亚,CII 被称为NII,是CI的一个分支。德国出台《信息基础设施保护国家计划》,定义了信息基础设施。此处参见任卫红:《分析国外信息基础设施关键性评价方法审视我国等级保护定级工作》,载自2012年第3期《信息网络安全》。,从法律层面规定关键信息基础设施安全保护制度有利于清理我国关键信息基础设施安全保护领域各种现行法律、行政法规以及部门规章中相互冲突、相互重复或不合时宜的规范内容,有利于争夺在关键信息基础设施和网络空间新兴领域的安全立法的国际社会规则的话语权,缩小与发达国家的法律制度鸿沟。
在美国“棱镜门事件”爆发后,引发我们对美国“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)的高度关注和忧虑。有鉴于此,《草案》第25条首次界定了关键信息基础设施范围,明确将“网络服务提供者”纳入其中。但是,对于“网络服务提供者”的“用户数量众多”的界定标准,到底是以用户数量达到一百万、一千万为标准,还是一亿呢,《草案》没有明确的量化指标。此外,对于提供何种类型的网络或服务的“网络服务提供者”,也没有予以明确。
更为关键的是,将“用户数量众多的网络服务提供者所有或者管理的网络与系统”纳入“关键信息基础设施”,与国际上大多数实行关键信息基础设施保护的其他国家的通行做法相违背。例如,美国定义“关键信息基础设施”(critical information infrastructure),是指一旦中断运行或受到破坏,将对国家安全和经济安全构成严重影响的金融、电信、交通、能源、应急救援(emergency services)和政府核心事务(government essential services)等行业或业务信息系统的关键部位。*此处参见《2002年美国关键基础设施信息法》(Critical Infrastructure Information Act Of 2002)。欧盟是通过先对“关键基础设施”进行定义,再对“关键信息基础设施”(CII)划定范围。欧盟《关键基础设施指令》将关键基础设施定义为“那些资产或其中的部分资产,它们是维护包括供应链、健康、保险、安全、人民的经济或社会福祉在内的关键社会职能所必不可少的”。OECD理事会在2008年4月通过的《关键信息基础设施OECD理事会建议》定义为,关键信息基础设施(CII)指具有……特征的互联的信息系统和网络,其破坏和中断会给健康、安全、公民经济福利、政府或国家的有效运作带来严重影响。日本国家信息安全管理机构——NISC对关键基础设施的定义是:在国民生活及社会活动中,提供不可或缺服务的社会基础,具有显著的难以替代性,因此停止其功能后将会对社会经济活动带来极大影响。
(七) 合法侦听的职权和程序不明确
美国、英国、欧盟、俄罗斯等主要西方国家都制定了专门的合法侦听法律法规,合法侦听范围已扩展至全球,合法侦听领域已经由传统通信侦听扩展至互联网侦听。国际上并没有关于合法侦听的严格统一定义,如美国界定合法侦听是“为了国家安全需要,根据国家法律明确规定并且经过授权机构的法律授权,由具有合法侦听权的机构在法律授权范围内对通信内容进行拦截侦查”。因为侦听是一种行使公权力的表现,会对公民权利带来严重的侵犯,因此,主要西方国家都规定了比较严格的侦听授权批准程序和权限。
为了保护公民的通信自由和通信秘密,在一般情况下,任何组织和个人均不得以任何理由对网络信息内容进行检查,这是基本的常态规则。只是在为了维护国家安全或侦查重大犯罪需要的特殊情况下,具有侦听授权的机构在法律授权的范围和严格程序下,可以采取侦听或拦截措施,要求网络服务提供者提供必要的侦听支持和协助。这是一个例外情况。《草案》第33条仅规定例外情形,没有重申和明确基本的常态规则,有些本末倒置,而且缺乏必要的侦听支持和协助的具体范围和程序流程。
(八) 个人信息的删除权及数据泄密通知缺乏操作性
《草案》第37条赋予公民享有个人信息“删除权”(其与国际上热议的“被遗忘权”仍有明显区别),与《侵权责任法》和《信息网络传播权保护条例》所设立的相对精准的“通知删除”规则相互矛盾。网络运营者只有在用户提出符合条件通知的情况下,才能断开相关链接或删除有关信息。泛泛地规定,公民有权要求删除其个人信息,容易引发用户的恶意投诉或滥用删除权。
如何判定哪些属于“违法法律、行政法规的规定或者双方的约定”情形,《草案》没有不明确,主观随意性太强。对于没有“违反法律、行政法规的规定或者双方的约定”的收集、使用其个人信息,是否可以要求网络运营者删除呢。此外,《草案》也没有规定本条的相应罚则条款。
(九) 网络通信临时限制的适用条件偏低,程序不明确
《草案》将使早前一些原本分散的规定或实践做法予以制度化和法律化。例如,2009年“7·5事件”就采取了切断新疆的互联网网络和电话联系的临时限制措施。
一般认为,网络信息安全紧急状态是指由于自然灾害、计算机系统本身故障、组织内部和外部人员违规(违法)操作、计算机病毒或蠕虫及网络恶意攻击等因素引起的,对计算机信息系统的正常运行造成严重影响的危机状态。同时,根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理。[6]但是《草案》规定的“维护社会公共秩序的需要”这一网络通信临时限制的适用条件偏低,容易被有关地方或有关部门滥用。而且在移动互联网和云计算、大数据时代,互联网金融、互联网医疗和物联网等业务的飞速发展,互联网渗透到社会的方方面面,与人们的人身权和财产权紧密关联,一旦采取网络通信临时限制,必然会对用户的财产权乃至人身权带来重要影响乃至重大损害。对于网络通信限制这样严重影响人身权和重大财产权的临时措施应当由全国人大决定或备案,而非由国务院直接决定。此外,《草案》没有明确规定网络通信临时限制的范围和时间(一周还是一个月)及其相应的审批权限和程序。
四、 完善《网络安全法》草案的建议
政府监管(又称政府规制)是政府依据规则和规范,运用公共权力,对国家的社会经济生活进行约束和控制。[7]政府监管也覆盖到网络安全领域。但是,政府对网络安全的监管并非任意妄为,有效监管是其正当性基础和衡量标尺。有效监管的前提是充分了解监管领域的特性,界定监管的范围,采取科学的监管决策程序,并以行之有效的监管措施最终建立起该领域良好的市场秩序。[8]美国保障网络安全与维护公民基本权利平衡的立法努力,对我国具有重要的借鉴意义。[9]为了实现网络安全领域的有效监管,建议从以下方面完善草案相关内容:
(一) 建议从广义上定义“网络安全”,明确将信息安全相关内容纳入其中
信息网络安全法的目的,在于对网络上的行为的正当与否做出实体意义上判断,进而保护利益主体的合理利益(主要由“网络社区法律规范”来解决),并通过程序性规则防止这些利益被不正当的行为所侵害(主要由“技术性法律规范”来解决)。[10]网络安全是本法的“题眼”,需要在适用范围条款予以明确界定。附则的“网络安全”定义过于狭窄,“网络安全”实为“Cyber Security”,而不仅仅是“Network Security”。但不建议采用“网络空间安全”的提法。
因此,建议删除附则有关用语含义的定义*“网络”、“网络运营者”、“网络数据”和“公民个人信息”并非本法需要明确界定的,为了避免与其他法律的冲突,保持统一,避繁就简,建议回避上述用语的定义。,并将“网络安全”定义提前至第二条,并分别明确界定“网络安全”和“信息安全”(第四章),第二条修改为:
“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
网络安全(Cybersecurity),是指组成网络信息系统的硬件、软件和数据资源受到妥善的保护,系统中的信息资源不因自然和人为因素而遭到破坏、更改或泄露,信息系统能连续正常运行。网络安全包括网络系统安全(Network Security)和网络信息安全(Information security)。”
(二) 建议第三章吸收《全国人大关于维护互联网安全的决定》的相关内容,规定保障互联网运行安全的各种举措
建议有关网络安全的一般性禁止性提前到最前面,因为无论是个人还是网络运营者等主体,都负有不危害网络安全的责任。建议将第22条调整为第17条,放于第三章第二节之首条,并修改为:
“任何组织和个人不得有下列危害网络运行安全的行为:
(一) 侵入第二十五条规定的关键信息基础设施的网络和系统;
(二) 故意制作、传播计算机病毒等破坏性或恶意程序,攻击网络和系统,致使网络和系统遭受损害;
(三) 违反国家规定,擅自中断网络或者服务,造成网络或者系统不能正常运行;
(四) 入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的;
(五) 提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;
(六) 为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
(七) 法律、法规禁止的其他行为。”
建议将第18条修改为:
网络产品、服务具有收集用户信息功能的,网络服务提供者应当向用户明示并取得同意;网络服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施。
网络服务提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。
建议将19条调整放置第三章第二节,修改为以下:
“纳入关键信息基础设施的网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求。
网络关键设备和网络安全专用产品目录由国家网信部门会同国务院有关部门制定和公布。”
(三) 建议鼓励用户数量众多的网络服务提供者自愿加入关键信息基础设施保护,并参照国家关键信息基础设施安全保护法规保护其所有或者管理的网络和系统
如上文所述,草案对于关键信息基础设施中的网络服务提供者*建议将草案中的“网络运营者”、“网络产品、服务提供者”(第18条)和“网络服务提供者”(第25条)统一规定为“网络服务提供者”。标准和范围规定不明确,而且将“用户数量众多的网络服务提供者所有或者管理的网络与系统”纳入“关键信息基础设施”与大多数国家的通行做法相悖。因此,建议第25条修改为:
“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
国家鼓励用户数量众多的网络服务提供者自愿加入关键信息基础设施保护,参照关键信息基础设施安全保护办法保护其所有或者管理的网络和系统。”
(四) 建议明确合法侦听是保护用户通信自由和通信秘密的例外情形
网络用户依法使用网络的自由和通信秘密受法律保护。相关部门要求网络服务提供者提供必要的支持和协助进行检查,需要依照法定的权限和程序进行。因此,建议将第23条修改为:
“任何组织和个人*建议将全文的“任何个人和组织”统一修改为“任何组织和个人”的表述。(第九条第二款、第十条、第二十二条、第三十八条)不得以任何理由对网络信息内容进行检查。但是,因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对网络信息内容进行检查除外,网络服务提供者应当提供必要的支持与协助。”
(五) 建议规范用户的删除权
本条与《侵权责任法》和《信息网络传播权保护条例》所设立的相对精准的“通知删除”规则相互矛盾。网络服务提供者只有在用户提出符合条件通知的情况下,才能断开相关链接或删除有关信息。泛泛地规定,公民有权要求删除其个人信息,容易引发用户的恶意投诉或滥用删除权。建议直接删除第37条,或者将其修改为:
“用户发现网络服务提供者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络服务提供者在收到有效通知后删除其个人信息;发现网络服务提供者收集、存储的其个人信息有错误的,有权要求网络服务提供者予以更正。”
(六) 建议第四章吸收《电信条例》和《互联网信息服务管理办法》所规定的“九不准”内容,并增加一条,放置为本章首条
因为《草案》主要着眼于规范互联网公共信息的安全管理,建议《草案》压缩或提炼个人信息保护相关条文,为后续制定专门的《个人信息保护法》留下空间。建议将第九条第二款修改为:“任何组织和个人不得利用网络从事危害国家安全、社会公共利益或他人合法权益的活动。”
(七) 建议严格网络通信临时限制的适用条件及程序
现在都移动互联网和云技术、大数据时代,很多互联网应用已广泛渗透到人们的生产生活的各个方面,一旦限网,必然带来的人身权的损害以及对人身自由所带来的限制,因此,限网措施应上升为人大常委会决定。
建议《草案》明确第五十条增加网络通信临时限制措施执法部门的具体权限和流程,严格审批程序保护网络人身权,防止限网措施的滥用。建议将网络通信临时限制的适用条件明确为“为了应对国家安全、内乱、处置重大突发社会安全事件、重大自然灾害等紧急状态的需要”。在实施程序上,明确规定“经国务院建议,报全国人民代表大会常务委员会决定采取网络通信临时限制”,并明确限制范围和限制时间。具体修改为以下:
“为了应对国家安全、内乱、处置重大突发社会安全事件、重大自然灾害等紧急状态的需要,经国务院建议,报全国人民代表大会常务委员会决定,可以在发生重大网络安全事项的核心区域对网络通信采取临时限制措施。临时限制措施不得超过一周,需要顺延的需再次报请全国人民代表大会常务委员会批准。
总之,制定网络安全法应当坚持“安全和发展并重、管理和保护齐行”的立法理念,在赋权赋能监管机构管理的同时,明确网络安全保护的程序和流程,以改观我国长期以来网络安全立法“重安全、轻发展,重管理、轻保护”的现状。应当明确网络安全管理和保障公民私权利之间的关系,依法保护公民的通信自由和通信秘密、个人数据权、隐私权、知识产权等合法权利,禁止各类网络侵权行为,明确规定行政相对人的法定救济权及其救济途径。
参考文献:
[1] 马民虎,王新雷.我国信息安全法律能力建设的思路[J].信息网络安全,2010(9).
[2] http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/ content_ 1940614. htm[EB/OL].2015-7-8.
[3] 黄惠康.加强网络领域的国际交流合作[EB/OL]. http://news.xinhuanet.com/world/ 2012-10/05/c_ 113280788. htm,2015-7-22.
[4] http://www.gov.cn/zwgk/2007-10/12/content_775186.htm[EB/OL].2015-7-22.
[5] http://www.gov.cn/zwgk/2012-10/10/content_2240096.htm[EB/OL].2015-7-22.
[6] 马民虎,贺晓娜.网络信息安全应急机制的理论基础及法律保障[J].情报杂志,2005(8).
[7] 吴爱民.公共管理学[M]武汉:武汉大学出版社,2012:167-168.
[8] 沈岿,付宇程,刘权,等.电子商务监管导论[M].北京:法律出版社,2015(8):84.
[9] 于鹏,解志勇.美国信息安全法律体系考察及其对我国的启示[J].信息网络安全,2008(10).
[10] 董皓,张楚.信息网络安全的法学定义研究——从技术视角向法律思维的转换[J].信息网络安全,2006(2).
Try Every Means to Seek or Consider the Rights and Obligations:A Brief Review on the DraftInternetSecurityAct
DING Dao-qin
(Center for Legal Studies, JD.Com.Inc., Beijing 100176, China)
Abstract:In response to the growing threat and risky challenge of cybersecurity in recent years, major countries and regions in the world have strengthened the related strategy formations and legislative activities. In this background, the National People’s Congress announced the Internet Security Act in 2015. The draft established the cybersecurity supervision system,critical information infrastructure, security review system,important data retention system and personal information protection system.Nevertheless, a great many problems still exist, for example, the legislative philosophy emphasizes too much on empowerment rather than how to preserve procedures; the standard and scope of internet services supplier need to be clarified in critical information infrastructure; the legislative value between personal information conservation and cybersecurity is contradictory;the right and procedure of lawful interception is ambiguous; the temporary restrictions of online communication is poorly operated. Consequently,for the sake of improving the situation of “giving priority to security and management over development and preservation” at long durations, the development of cybersecurity law should adhere to the concept that the security and improvement should be equally emphasized,meanwhile, the management and conservation should be coordinately propelled. Additionally,to endow the regulators with power and explicate the procedures and processes of cybersecurity is also necessary.
Key Words:Internet Security Act;critical information infrastructure; safety review;personal information protection;internet services supplier
中图分类号:D922.8
文献标识码:A
文章编号:1009-105X(2016)03-0034-08
作者简介:丁道勤(1977-),男,京东集团法律研究中心主任,中国互联网协会互联网法治工作委员会委员,中国政法大学法学博士后。原工业和信息化部电信研究院(现中国信息通信研究院)研究员,主要从事电子商务、数据保护、网络信息安全、互联网竞争等领域法律政策研究工作。
收稿日期:2015 - 03 - 26