我国网络安全立法的顶层设计与制度安排
2016-02-21李海英中国信息通信研究院互联网法律研究中心高级工程师
李海英 中国信息通信研究院互联网法律研究中心高级工程师
专家视点
我国网络安全立法的顶层设计与制度安排
李海英中国信息通信研究院互联网法律研究中心高级工程师
我国网络安全立法进程加快,以《国家安全法》、《网络安全法》(草案)为代表的一系列立法构成我国网络安全立法的顶层设计,而网络空间主权、关键信息基础设施保护、数据跨境流动等制度成为网络安全立法的重点制度安排。
网络安全;网络空间主权;关键信息基础设施;数据跨境流动
1 引言
十八届四中全会提出依法治国的总要求,重点提出“加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为。”我国网络法治建设进程进一步加速。网络安全立法是互联网领域立法的重要组成部分,目前,我国多部相关立法正在推进,其重点制度涉及网络空间主权、关键信息基础设施保护、数据安全等领域。
2 我国网络安全立法的顶层设计
2015年7月1日,新的《国家安全法》发布施行,将网络与信息安全作为“维护国家安全的任务”之一。第二章第二十五条专门对网络与信息安全进行了规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”2014年4月,习近平在中央国家安全委员会第一次会议上的讲话中提出将“信息安全”作为国家安全体系的组成部分,《国家安全法》进一步明确“网络与信息安全”是国家总体安全观的重要组成部分,它涵盖了网络和信息核心产品和技术的安全、关键基础设施和重要领域信息系统的运行安全、数据的安全以及内容安全,是全产业链的概念。而“维护国家网络空间主权、安全和发展利益”,是要达到的目标。
2015年7月6日,《网络安全法》(草案)在中国人大网上全文公布,并向社会公开征求意见。《网络安全法》(草案)在《国家安全法》规定的基础上,对保障网络安全、维护网络空间主权和国家安全进行了系统的规定,是我国互联网领域的重大立法之一,体现着国家对建立健全网络空间秩序的基本意志。
2015年11月1日,《刑法》第九修正案正式实施,对刑法中涉互联网安全的内容做了补充和完善。其中包括加强对公民个人信息的保护,加强网络服务提供者履行网络安全管理的责任,规定设立用于实施诈骗、传授犯罪方法等违法犯罪活动的网站、通讯群组,可以作为犯罪追究,为网络犯罪提供技术支持也被独立定罪等。
除此之外,还有几部法律草案对网络安全保护有重大影响,是我国网络安全立法体系的重要组成。
●一是《反恐怖主义法》(草案),草案第十五条要求网络与信息系统运营者应当综合采取技术和管理措施,保护网络和信息系统运行安全;电信业务经营者、互联网服务提供者应当在电信和互联网的设计、建设和运行中预设技术接口,将密码方案报密码主管部门审查;在中华人民共和国境内提供电信业务、互联网服务的,应当将相关设备、境内用户数据留存在中华人民共和国境内。
●二是商务部发布的《外国投资法》草案规定了“国家安全审查”制度,对任何危害或可能危害国家安全的外国投资进行审查。
●三是对于电信设施的物理安全保护,将在《电信法》及电信设施保护的专门立法中进行规定。
随着互联网的发展及向各行业的融合渗透,网络空间已经成为各国政治、经济、社会、文化、国防、军事发展的重要基础领域,各国对网络空间的治理意愿、治理能力和治理水平都在逐步加强。互联网具有跨国界性的特点,网络空间的国际规则也正在制定之中,各国试图在网络空间国际规则制定中施加影响并争夺主导权,而国内立法是影响国际规则、在国际规则的制定中体现本国国家意志的前提条件。这些立法体现了我国网络安全立法的顶层设计思路,从网络空间主权、国家安全审查到关键信息基础设施的设备安全、物理安全、网络安全和数据安全、内容安全,再到网络运营者维护网络安全的责任等,一个较为完善的网络安全法律体系正在形成。
3 立法明确维护网络空间主权
维护网络空间主权是我国的一贯主张。《国家安全法》要求“维护国家网络空间主权、安全和发展利益”。《网络安全法》(草案)立法目的也明确指出要“维护网络空间主权”。关于网络主权,早在2010年国务院新闻办公室发布的《中国互联网状况》白皮书中就明确指出,“中国政府认为,互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护”。2014年7月16日,国家主席习近平在巴西国会发表《弘扬传统友好共谱合作新篇》的演讲,指出虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。
但目前为止我国相关法律文件中并没有对“网络空间主权”进行具体的阐释。
从国际层面看,2013年,北约发布的关于国际法对网络战适用性问题的《塔林手册》对网络主权进行了阐释,“一个国家可以对其主权领土范围内的网络基础设施和网络活动行使控制”,“一个国家使用在一个任何位置的、享有主权豁免的平台上的网络基础设施所进行的任何干涉构成了对主权的侵犯”。综合以上,网络空间主权应该包括对本国领土范围内网络基础设施、网络服务平台、网络信息和数据的管辖权;网络管理政策制定的自主权;参与网络空间国际规则制定的独立权等。但是由于互联网全球架构的特殊性,在一定程度上会影响我国网络主权的实现。同时,随着互联网与实体经济融合趋势的发展,网络空间主权的内涵和范围也应随之变化。
4 建立关键信息基础设施保护制度
“棱镜门”事件曝光后,承载重要信息的关键基础设施的安全问题受到前所未有的关注。美国、欧盟、印度、俄罗斯等国家都相继制定了国家层面的战略或出台了相关的法律法规,以提升本国关键基础设施安全保障的水平。
我国《国家安全法》也首次在法律层面提出了“关键基础设施和重要领域信息系统”的概念,《网络安全法》(草案)专门规定了“关键信息基础设施的运行安全”。在关键信息基础设施运营者的界定中,关于《中华人民共和国网络安全法(草案)》的说明中明确指出:关键信息基础设施的范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。其中,最为引人注意的是商业网络是否属于“关键信息基础设施”的范围。诚然,“用户数量众多的商业网络”无论在商业上,还是管理、安全的意义上都具有较大的影响力,但是,是否“商业网络”应纳入“关键信息基础设施”的范畴,还是要看“关键信息基础设施”制度的制定初衷和制度目标。从国外的界定看,关键基础设施对国家安全、经济社会发展十分重要,一旦遭到破坏,后果十分严重,也就是说,关键信息基础设施所在的行业具有全局性、战略性和基础性,对国家安全具有特殊意义,需要划定范围,给予特殊保护。如果关键信息基础设施涵盖“商业网络”,范围过宽,则可能使其“关键性”大打折扣,有待于草案进一步修改完善。
关键信息基础设施保护关注于网络运行安全,而对于设施的物理安全,是近年来地方出台的电信设施建设和保护规定中的重点内容,也将通过《电信法》等相关立法进行规定,以期对关键信息基础设施实现全方位的保护。
5 新技术新业务安全问题与跨境数据流动
移动互联网、云计算、物联网、大数据等新技术新业务的发展,对网络安全、数据安全、个人信息保护等制度带来新的影响。例如,互联网经济的发展、信息和知识的分享传播等,依赖于全球信息的自由流动,但是为应对云计算等新技术发展对数据安全带来的新挑战,很多国家也在采取不同措施对数据跨境流动进行限制;保护个人的隐私安全是基本的公民权利,但是互联网的业务应用、大数据的发展都依赖于对个人数据等信息的挖掘与使用,也对传统制度形成挑战。
对此,全国人大在关于《中华人民共和国网络安全法(草案)》的说明中专门指出,“随着云计算、大数据等技术的发展和应用,网络数据安全对维护国家安全、经济安全,保护公民合法权益,促进数据利用至为重要。为此,草案作了以下规定:
●一是要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条)。
●二是加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(草案第三十四条至第三十九条)。
●三是要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(草案第三十一条)。
可见,《网络安全法》重点从数据安全的角度,制定了应对云计算、大数据发展带来挑战的法律制度。但是,这些新技术新业务除了带来数据安全问题,由于云服务的技术特点和商业模式也带来一些新的安全问题,如由于虚拟化的引入带来的安全风险、云平台应用程序安全等。而从主体的角度看,云服务商在网络安全和数据安全中的责任也与传统的互联网数据中心、互联网接入业务、互联网信息服务商等有一定的区别,在法律责任上也应有所不同。在数据安全与数据利用的平衡方面,目前草案更多关注于数据的保护。为更好平衡大数据环境下的数据开放与数据利用的关系,草案可以更多考虑为数据利用扫清法律障碍,增加关于数据匿名化的规定,对于进行了数据匿名化或者脱敏处理的数据,并满足一定条件的情况下,允许企业对数据进行合理的使用等。
对于跨境数据留存和设施本地化问题,《反恐怖主义法》(草案)不仅规定了境内用户数据的境内留存,要求在境内提供电信业务、互联网服务的,应当将相关设备设置在境内。目前,美国拥有在互联网、云计算、大数据等新兴领域的绝对优势,其跨国公司在全球扩张过程中,在一些国家遭遇数据留存和设施本地化的限制,为此,美国极力主张数据自由流动,反对他国提出的设施本地化要求,并在WTO电子商务工作组提出该方面建议,也在各国际多双边谈判中推销此类主张。在刚刚公布全文的《跨太平洋伙伴关系协定》(TPP)的“电子商务”章节规定,不得将设立数据中心作为缔约方企业进入本国市场的前提条件(第14.13条),不能要求其转让或提交软件源代码(第14.17条),也不允许缔约方以歧视性措施或直接阻止的方式支持本国类似产品的生产或供应商(第14.4条)。在数据跨境流动方面,将在保障个人信息等合法公共政策目标的前提下,确保全球信息和数据自由流动(第14.11条)。可见,数据的跨境自由流动和本地存储已经成为国际规则制定中新的博弈点。
我国网络安全立法体现了国家对互联网的管理意志,其顶层设计和重点制度安排将对我国建立有序的网络空间秩序,进而参与网络空间国际规则的制定,“提高我国在全球经济治理中的制度性话语权”奠定基础。
[1]崔文波.《塔林手册》对我国网络安全利益的影响[J].江南社会学院学报,2013,03:22-26.
[2]刘杨钺,杨一心.网络空间“再主权化”与国际网络治理的未来[J].国际论坛,2013(6):1-7+77.
[3]曹磊.网络空间的数据权研究[J].国际观察,2013(1):53-58.[4]国务院新闻办公室.《中国互联网状况》白皮书,2010.
Top-level Design and Institution Arrangement of Cyber Security Legislation
Li Haiying
China’s cyber security legislative process is speeding up.The National security act,draft cyber security law and other related legislations constitute an entire Chinese cyber security legislative framework.The focus of cyber security legislation may include but not limited to cyber sovereignty,critical information infrastructure protection and cross-border data flow s.
cyber security;cyber sovereignty;critical information infrastructure;cross-border data flows
2015-12-10)
