网安法二审
2016-08-11肖辉龙
肖辉龙
7月5日,中国人大网公布了《网络安全法(草案)(二次审议稿)》(下称二审稿),开展为期一个月的公开征求意见。
与去年6月全国人大常委会提交审议的《网络安全法(草案)(一次审议稿)》(下称一审稿)相比,二审稿在加强关键信息基础设施及其数据保护,强调公民个人信息保护和加大对危害网络安全行为的惩戒力度等方面的条款,都进行了调整甚至扩增。
中国互联网立法进程不断加快,网络立法涉及的领域变得越来越宽,如“三个十条”(“微信十条”、“账号十条”和“约谈十条”)等规范性文件的出台,都呈现出纵深、细化的监管发展态势,这让互联网产业发展和网络用户的切身利益保护等问题备受关注。
作为中国首次系统性推出网络安全方面的基本法,网络安全法最终将如何平衡涉及国家、企业、公民等多元主体的权利义务关系?以及怎样处理政府管制和社会共治关系,形成以法律为根本治理基础的治理模式?
诸多影响公民使用网络信息服务的内容,成为草案征求意见中不可忽视的议题。
立法提速
中国关于网络安全的专门立法,可追溯到2003年中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》提出“抓紧研究起草 《信息安全法》”的动议。
直到2014年2月27日成立中央网络安全和信息化领导小组(下称网安领导小组),并确立中国网络安全和信息化最高领导体制和常设管理机制,中国的互联网安全治理,才正式上升至国家战略层面。
2015年7月,网安领导小组做出新的指示,将信息化推进、网络信息安全协调等职责明确赋予网安领导小组办公室,同时具体由工信部负责网络强国建设,致力于维护网络安全。
高规格加快网络安全法的起草与立法,与近年受到严重的网络安全威胁和趋于紧张的网络安全形势有关。这些威胁源自多个层面,有其他国家,也有组织和个人。
比如,恐怖组织和其他犯罪组织利用网络宣扬极端主义,传播、扩散不良信息和淫秽色情违法信息,以及黑客攻击重要互联网企业,盗用个人隐私数据等案例频发,这些都令网络安全局势不稳定。
据赛门铁克公司在《2015年度诺顿安全调查报告》中披露的消息,2014年大约有2.4亿中国消费者成为网络犯罪的受害者,经济损失高达7000亿元。
这些都是推动网络安全法立法工作提速的客观因素。
正在征求意见的草案二审稿,总共分7章72条,确立和突出了网络安全的战略,由网络安全战略、规划与促进,网络运行安全,网络信息安全,监测预警与应急处置,法律责任等七大板块内容组成。
草案公开征求意见三天后,7月8日,网安领导小组就启动了首次对全国范围关键信息基础设施网络安全的检查工作,时间持续至今年12月底。
金融、电力、通信、交通等关键信息基础设施,都被纳入检查范围。
早在2010年9月,伊朗布什尔核电站控制系统局部电脑感染名为“震网”(Stuxnet)的超级病毒事件,曾震惊世界。该病毒能通过漏洞实现入侵系统,并对系统控制的基础设施造成致命破坏,而该系统还被广泛应用于水利、核能、交通等关键领域。
广泛用于中国金融、电力、通讯,以及能源、水利、交通和军工等重要基础行业相关设备中的工控系统,也一度被国外黑客研究人员作为入侵演示的目标对象。
截至目前,除美国率先构建起网络安全战略体系外,英国、德国、法国、俄罗斯和日本等近50个国家也出台了国家安全网络空间战略,从机制、立法、基础设施、产业、贸易、攻防对抗等多个角度,加速网络空间战略部署。
随着“互联网+”行动升级,云计算、移动互联网、大数据等新技术的广泛应用,越来越多的关键信息基础设施的安全边界正在消失。
漏洞盒子的报告显示,仅2015年上半年,包括银行、证券和新兴互联网金融等关键信息基础领域网络安全漏洞数量,都在爆发性增长。互联网金融业的高、中危级别漏洞数量总和占比一度高达97.2%。
中国社会科学院法学研究所研究员周汉华对二审稿草案提出了反馈意见。他向《财经》记者表示,草案加强对关键信息基础设施及其数据的保护,是此次网络安全法立法条款中的主要创新之一——不仅首次确立了中国关键信息基础设施的概念,而且首次明确了对相关设施的保护制度。
对关键信息基础设施的解读,一审稿曾以列举方式作了介绍,但二审稿时取消了列举项,规定具体范围由国务院制定。
周汉华称,将立法重点落在关键信息基础设施领域,是吸收和借鉴了国外安全立法的普遍经验。
中国互联网协会研究中心法治工作委员会秘书长胡钢也曾参与草案意见反馈,他推测,按目前立法进度,二审稿结束征求意见后,还将进行第三次审议,并有望在年内发布。
用户实名制考量
二审稿第23条对实名制的强调并不属新规,但还是引人关注。
该法条规定,“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”
工信部赛迪智库信息安全研究所所长刘权介绍,用户实名制以2010年工信部宣布实施电话用户实名登记为标志。2012年,全国人大常委会通过的《关于加强网络信息保护的决定》中,也对此有明确要求。
这次草案将相关制度规定上升为法律,有利于为个人隐私信息保护提供更多法律保障。
不过,在实际的互联网服务中,如果网络运营者采取的信息安全防护手段不足,也会增加个人隐私信息泄露的风险。
2015年2月11日,国内十大知名连锁酒店因网站存在高危漏洞,导致房客开房信息泄露。千万级酒店顾客的订单信息,如顾客姓名、身份证号、手机号、住房信息、家庭住址、信用卡后四位数以及截止日期、邮件等大量敏感信息,都被黑客窃取。
无独有偶,4月22日,上海、重庆、沈阳等超过30个省市卫生和社保系统,也出现大量高危漏洞,数千万用户社保信息可能因此泄露。
为此,刘权建议草案应规定网络运营者采取必要措施,确保个人数据信息安全,并界定网络运营者保护个人数据安全的责任、义务和处罚措施。
二审稿第23条引发的讨论并不仅限于此,该条款在增加网络运营者的义务范围同时,还提高了网络运营者的义务标准,如增加对“即时通讯等服务”的规定。
业内法律研究专家介绍,中国移动即时通讯工具活跃用户数已超过10亿人次,成为名副其实的最常用网络联系手段。立法时,应对二审稿条款中规定的“用户”加以区分,不同的网络服务信息平台,都会有未实名存量用户和新增用户。
“增量用户容易实现实名,但存量用户的实名难度较大,因为不同用户愿意配合补充个人真实身份信息进行再注册的程度并不一致。”一位互联网产业界人士回应称。
二审稿规定,如果存量用户不提供实名身份信息,网络运营者只能对其采取停止网络信息服务的强制措施,这意味着大批存量用户账号将消失。
网络运营者如果不按规定执行,有可能面临最高50万元的罚款,还有被主管部门关闭网站、吊销相关业务许可证等风险。
上述研究专家称,大批存量用户的流失会影响产业发展,这也与二审稿第12条规定的“国家保护公民、法人和其他组织依法使用网络的权利”有矛盾之处。
依据行政法中的最小损害原则和便于法律落地的综合角度考虑,他建议,将停止服务的强制措施改为引导或鼓励用户配合实名的条款,并给予网络运营者和用户足够的缓冲推进期限,同时对网络实名制范围进行限定,因为是否所有的网络信息服务产品都需实名,值得商榷。
强化个人信息保护
截至去年底,中国的网民数达到6.88亿人次,通过技术手段盗取、倒卖个人信息的侵权案件,也随之呈井喷状增长。
今年6月中旬,广东省公安厅展开打击整治网络侵犯公民个人信息犯罪的系列专案行动,抓获近400名犯罪嫌疑人,打掉犯罪团伙78个。
犯罪嫌疑人不乏来自大型通信公司的员工,有的甚至充当“掮客”向他人提供和出售公司掌握的用户信息。
此外,犯罪嫌疑人还会利用受害人不慎点击或扫描带木马链接的短信、二维码等手段方式,将木马程序植入受害人手机,从而拦截、窃取受害人资料信息。
中国的个人信息保护制度,散见于诸多法律法规之中。
比如刑法中的侵犯公民个人信息罪,而个人信息保护法自2005年开展立法工作以来迟迟未出台,至今并无系统的保护个人信息之立法,尤其是互联网中的个人信息保护。
在此方面,二审稿强调保护公民个人信息,草案增加了具有收集用户信息功能的网络产品和服务,需事前向用户明示并取得同意,且遵守相关法律法规的规定。
不过,二审稿也给商业开发留下一定口子。
首先,一审稿第36条规定,网络运营者对个人信息必须严格保密。二审稿后,在与之对应的第40条,修改增加了“经被收集者同意”或“对特定个人信息数据进行处理达到无法识别且不能复原”两种情况,可允许网络运营者进行大数据及其商业开发利用。
其次,一审稿从法律层面,首次规定关键信息基础设施的运营者应当在境内存储公民个人信息等重要数据。二审稿则基于此还列明“重要业务数据”,也属强制境内存储的数据。
新增的第17条则指出,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展的内容,这也尚属国家首次从立法层面支持公共数据的开放。
周汉华介绍,有关推动数据立法和数据开放的问题,目前政府部门正在做相应研究和部署。
法律实务界人士评价称,不足之处在于诸多法条均是从网络运营者的义务角度做出规范,如果能更多从公民个人权利角度进行立法,立法的积极意义将显现得更为充分。
监管权力之忧
立法推进过程中,如何平衡好国家公权力介入网络运营和公民个人权利范围的尺度,考验着立法者的智慧。如果公权力过度介入,将导致公民个人权利与义务的失衡。
周汉华介绍,草案在推进过程中,对网络运营者增加监管义务等条款的确出现了争论。
他认为,权衡国家、公共安全与产业发展甚至公民个人权利之间的关系,是世界性难题,很难做到让所有人满意。因此,在二审稿征求意见期间,最好能通过充分的意见反馈实现多赢。
北京航空航天大学法学院教授龙卫球则表示,网络安全法作为网络安全法律规制的基本法,应体现以治理思维为基础的综合、动态立法特征,从治理原则上把握好网络运营、公平与安全相结合的原则。
二审稿第3条、第10条等条款,不同程度涉及网络自由和网络安全的协同问题,不过未上升至更宏观的整合高度,网络治理的公平问题提及不多,草案多为管理授权条款及运营者和用户义务的规定,仅有少数法条阐述运营者、用户的权利,较为典型的是第12条。如果将网络安全法建立在管理权力基础上,运营、公平与安全的协同基础将体现不足。
一些法律实务专家举例说明,第45条要求网络运营者需加强对网络用户发布的信息管理,第46条针对任何个人和组织发送的电子信息作出禁止性规定。第46条第2款作了进一步规定,要求电子信息发送服务提供者履行安全管理义务,一旦发现其用户有前款规定行为,需采取停止提供服务等措施。
法条中第45条用词为“发布”,而第46条用了“发送”,二者表述看似相同,但内涵意义完全不同——“发布”一般是用户公开发出的内容,而“发送”多指点对点的信息传输。
宪法规定公民享有通信自由。公民点对点发送的电子信息,属公民个人的通信自由,作为民事主体的电子信息发送服务提供者,显然不能采取涉嫌侵犯公民基本权利的措施,去履行主动发现义务。因此,上述法律实务专家建议删除“电子服务提供者”这一主体的此项义务。
二审稿第56条涉及“对特定区域网络通信采取限制性措施”,按宪法第40条规定,只有基于国家安全或追查刑事犯罪需要,才能由公安或检察机关依法定程序介入对通信进行检查。二审稿删除了“省、自治区、直辖市人民政府”对第56条的行政执法权力,只保留“经国务院决定或批准”的许可权,但“处置重大突发社会安全事件的需要”情况下,可采取限制等临时措施的条款,“重大突发社会安全事件”的概念未进行厘清。
一审稿征求意见时,曾有法学专家提出两种改进意见。一是在草案里补充“国家安全的需要”条件, 并说明国务院决定或批准对网络通信采取限制的程序、方法和时间,通过行政法予以具体明确。
二是把该条款需补充的内容写入《突发事件应对法》,再把限制网络通信所需的条件、程序和时间等给予明确规定。
中国传媒大学教授、网络法与知识产权法研究中心主任王四新也曾参与草案的意见反馈。
7月12日,他在互联网实验室和《中国信息安全》杂志联合主办的二审稿研讨会上表示,不仅欧美等发达国家和地区政府,会采取通过立法给自己更多授权的方式,加强对互联网的控制,南非、巴西等国也正在制定更多法律,以限制互联网上内容的自由流动。王四新评价称,这表现出世界各国政府普遍对互联网所引发的政府管理失效问题感到焦虑。
如果政府的焦虑加剧,所出台的管理措施和手段趋严,也可能使网络运营者遭受两面压力,即来自政府公权力越来越严的监管和来自广大网络用户越来越多的权利诉求和司法诉讼。
正如两年前,欧盟法院通过司法判决承认用户享有被遗忘权以来,世界上最大的互联网公司谷歌,所面临要求删除个人相关记录的请求也随之成倍增长。
他认为,二审稿文本仍有可调整之处,立法者应尽量使用语义清晰的条文,避免在释义方面的模糊和歧义。
“对所要解决的问题要表述到位,让被规范对象清楚法条意思,对无法说清楚又容易产生歧义或范围太广的表述,要尽量避免。”王四新说,这是立法应遵循的原则,否则会影响法律的实施,也容易在实践中产生纠纷。
本刊记者陈玉峰对此文亦有贡献