APP下载

大数据战略视野下我国信息网络安全立法分析*

2018-08-15刁胜先

关键词:个人信息网络安全战略

刁胜先,郑 浩

(重庆邮电大学 网络空间安全与信息法学院,重庆 400065)

目前,“大数据”“大数据战略”等成为世界性热词,“数据驱动”也正成为新的全球大趋势,也是新一轮国际竞争与格局改写的聚焦所在。技术对个人隐私的威胁已超出原有法律框架[1],“棱镜计划”*2013年5月,爱德华·斯诺登披露了美国国家安全局自 2007年实施的绝密电子监听计划,即“棱镜计划”(PRISM),曝光该计划允许FBI和NSA对包括微软、雅虎、谷歌、苹果在内的共九家IT巨头的数据进行监控和挖掘,直接或间接接触大量个人聊天日志、私人数据、语音通信、传输文件和社交网络数据。等不时发生的信息网络安全事件,使信息网络安全的重要性在各个领域得以体现,成为大数据战略的核心之一。本文拟以大数据战略为视野,对我国信息网络安全立法进行分析,以求有益于信息网络安全法治之构建。

一、大数据、大数据战略与信息网络安全立法概析

(一)大数据与大数据战略

关于大数据的内涵,各界理解并不一致。麦肯锡全球研究所(McKinsey Global Institute)将其定义为“超出常规数据库软件工具所能捕获、存储、管理和分析的超大规模数据集”[2]。其特点主要被界定为3V特征:规模性(volume)、多样性(variety)和高速性(velocity),加上价值性(value),合称为4V特征。

综合看,“大数据”的含义因不同领域而有区别,可从静态的现实层面、技术层面和应用与方法层面进行理解。对于后者,“大数据”指的是大数据思维或者大数据方法,即从海量数据中发现问题,利用海量数据进行分析、处理并用以辅助决策,或者直接进行机器决策、半机器决策的全过程大数据方法与大数据认知方式,该方法用全样本的思维来思考问题,表现出模糊化、相关性和整体化特点[3]。作为新思维和新方法,大数据是人们获得新认知、创造新价值的源泉,是改变市场、组织机构以及政府与公民关系的方法[4]。毋庸置疑,大数据将给社会各方面都带来革命性的深刻改变,对此不进则退。

所谓大数据战略,是指对大数据在社会政治、经济、文化、科技和外交等领域长远、全局、高层次重大问题上进行的筹划与指导。世界上,美国较早推出大数据战略,并将大数据视为强化美国竞争力的关键因素之一,把大数据研究和生产计划提高到国家战略层面,其中涉及信息网络安全的项目众多,是其大力发展的内容[5]。日本也出台多份国家战略文件和一系列战略举措,核心在于开放公共数据和大数据,并以建设世界一流的“信息安全先进国家”和“网络安全立国”为国家战略目标[6]。英国、法国、印度等国虽未浓墨重彩地明确网络安全内容,但是相关战略项目推进的结果都必然会保障其网络安全[5]。对此,欧美一些国家已经开始实践,并取得了一定成效。北约网络空间安全框架表明,目前世界上有100多个国家具备一定的网络战能力,公开发表网络安全战略的国家达56个之多[7]。新加坡网络安全立法将内容管制和信息保护并重,主要涉及网络内容安全、垃圾邮件管控和个人信息保护等方面。印度以《信息技术法》为中心和“母法”,与部门法规相辅相成,形成点、线、面结合的互联网法律体系[8]。无疑,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进。

从世界上主要国家在网络立法方面的经验看,我国信息网络安全立法可获得以下启示:(1)国际趋势表现为监管力度在加强,监管范围与法律调整对象在扩大,网络安全倍受关注,具体涵盖关键基础设施安全、网络信息安全、打击网络欺诈与犯罪等方面。(2)在网络立法宗旨与管控手段上,各国制度从宏观宣誓和整体规划向精细化发展,操作性越来越强,体现出安全监控与信息保护之间的平衡需求。美国、澳大利亚、新加坡、印度等国通过专门的国内立法进行管制,英国、日本等国则积极开展公私合作、推行“协同作战”,推动互联网业界的行业自律以实现网络管制。(3)立法模式与法律体系构建上,分散立法与统一立法整合并存,就算美国等主要采取逐一制定、分散立法的国家,都在寻求宏观整体规范与具体规范的结合;印度、新加坡、日本等多数国家围绕网络技术、网络安全等特定中心来制定基本法,再辅以其他具体的、多层次的配套法律法规,以构建完备的法律保障体系。(4)不是孤立采取法律手段,而是法律之外的社会保障体系同步进行,在立法之外将战略与实践有机配合、协同发力,力求全方位构建网络安全保障体系。比如,通过技术标准、行业自治、人才培训、社会宣传、全民参与与监督等综合手段,力保网络安全,实现网络法治。

(二)大数据战略与信息网络安全立法的关系

从国际上主要的大数据战略与信息网络安全立法实践来看,二者关系密切。

1.宗旨与内容的一致性

大数据战略与信息网络安全立法在宗旨与内容上具有高度一致性,都是围绕大数据与信息安全展开,意在保障大数据与信息安全,以促进国家大数据战略目标的实现。首先,大数据战略为信息网络安全立法确立了指导思想与规制内容,并指导立法的进一步展开。从国际上看,多数国家都是先确立大数据发展战略,再根据战略规划确立相应立法。在网络安全立法方面,战略指导对立法的作用尤其重要,很多立法内容直接就是战略内容的细化。其次,信息网络安全立法是大数据战略得以实施的重要保障。不可否认,大数据战略涉及一国的政治、经济、文化等全方面内容,但是立法却是不可替代的保障。网络安全立法先行,才能对大数据的政治、经济与文化发展保驾护航,否则,大数据战略难免沦为纸上画饼。

2.目标与实施途径有所区别

大数据战略着眼于指导思想、指导原则与国家整体利益的全面规划,具有全局性、整体性、前瞻性,目标宏大,手段抽象,需要不同领域进一步配套落实。但是,信息网络安全立法作为一种法律活动,目标与实施途径比较具体,并遵循立法的具体规则与程序,有些内容较为保守滞后。针对大数据战略对信息网络安全的要求,立法主要解决网络主权、个人信息、数据财产、信息网络基础设施等方面的权利与权力的确认、运行、救济等法律内容,这既是对大数据战略的必要回应,也是自身任务的必然要求。

大数据战略与信息网络安全的紧密联系是不言而喻的。本文以大数据战略为视野,就是将信息网络安全立法分析限定在特定范围,回应大数据战略对安全立法的特别需求,在庞杂的战略内容中梳理出相关要求,进而分析相关的来源不一、效力不同的较为散乱的立法文本,发现问题,为战略与立法的深度契合和更好的互训互动提出建议。

二、大数据战略视野下信息网络安全的立法分析

(一)我国大数据战略的形成与概析

习总书记指出,没有网络安全就没有国家安全,没有信息化就没有现代化[7]。当前,国内实务界和学术界尽管开始关注大数据的应用,但相关研究还比较缺乏。为了回应大数据时代对国家与社会治理、信息网络安全带来的机遇与严峻挑战,党中央提出总体国家安全观,成立了中央国家安全委员会,建立了集中统一、高效权威的国家安全领导体制。我国正在采取各种措施积极应对,一些地方政府和领域已经先行。2012年12月,广东省政府通过《广东省实施大数据战略工作方案》,宣布在全国率先启动大数据战略。此后,国务院等多次发布相关文件、意见,推动大数据的战略化,直到2015年8月,国务院及相关部门正式发布《促进大数据发展行动纲要》(以下简称《纲要》),意味着大数据正式成为国家战略。《纲要》中部署的第三项主要任务包括“强化安全保障”,并具体安排了工程专栏以保障大数据和网络安全,将“加快法规制度建设”作为第二条而列为战略重要内容,这些战略都需要法律界积极努力而为之方能实现。

在借鉴发达国家经验和《纲要》里我国国家大数据战略内容的指导下,工业和信息化部印发了《大数据产业发展规划(2016-2020年)》(以下简称《规划》),在其发展原则、发展目标中均将“安全”作为重要的、突出的内容予以阐释。《规划》部署的重点任务和重大工程中,把“提升大数据安全保障能力”“大数据安全保障工程”作专章安排,“保障措施”第二条则要求“健全相关政策法规制度”,这在法治方面提出了方向清晰、内容明确的要求,体现了避免法治总被技术与人性之恶牵着鼻子走的决心。

2016年12月,我国《国家网络空间安全战略》发布,其开篇即指出网络空间安全在全人类、全世界与各国国家安全方面的重要性,视野极其宏大开阔,并在明确信息革命面前我们面临的重大机遇的同时,又明确了具体挑战*我国《国家网络空间安全战略》明确指出,网络空间机遇和挑战并存、机遇大于挑战。其重要性是“事关人类共同利益,事关世界和平与发展,事关各国国家安全”。随后列出我国面临的七个重大机遇。;该战略还制定了推进网络空间和平、安全、开放、合作、有序发展的目标,在网络主权、治理、和平、发展等方面以安全为核心,确立了四项基本原则*其中,安全主要指“网络安全风险得到有效控制,国家网络安全保障体系健全完善,核心技术装备安全可控,网络和信息系统运行稳定可靠。网络安全人才满足需求,全社会的网络安全意识、基本防护技能和利用网络的信心大幅提升”;四项基本原则是“尊重维护网络空间主权”“和平利用网络空间”“依法治理网络空间”“统筹网络安全与发展”等。;并在网络空间主权、国家安全、关键信息基础设施、网络文化、网络反恐、网络犯罪与违法、网络治理、网络安全基础、网络空间国际合作与防护等方面,确立了9项战略任务,均与安全紧密相关。

(二)大数据战略下我国信息网络安全立法概况

我国大数据战略落地的首要挑战在于大数据安全与开放的矛盾,以及围绕该矛盾产生的一系列法律问题,比如大数据的权益界定与归属、大数据的开放标准与范围、流通交易、法律责任、事前事后的安全保障机制等等[9]。以大数据战略为视野,对我国的信息网络安全立法展开实证分析,对完善其法律保障不无裨益。

近年来,我国网络安全立法紧锣密鼓,成效明显。从1994年接入互联网以来,尤其是近两年来,在以《纲要》为核心的国家大数据战略规划指导下,我国制定了数量不少的相关法律法规及其他规范性文件,内容涉及网络空间安全、网络基础设施安全、运行安全、网络中信息内容安全、个人信息安全、数据安全、数据流通安全等,并对国外经营者做出特别规定,这些无疑对我国的网络发展起到了引导与保障的作用。较为浓墨重彩的是,2014年11月1日,十二届全国人大常委会第十一次会议审议通过《反间谍法》;2015年7月1日和2016年11月7日,全国人民代表大会常务委员会先后通过了《国家安全法》和《网络安全法》,以法律的形式规定了国家安全、网络安全所涉及的一系列重大问题,从而将维护国家安全、网络安全的问题纳入法治轨道,是我国信息网络空间安全领域立法的重大成就。其中,《国家安全法》的一个重要目标是维护国家经济和金融安全,并首次明确“网络空间主权”概念,其主要亮点之一就是维护国家网络空间主权,指出保护网络空间主权既是我国维护国家安全和利益,也是参与网络国际治理合作应该坚持的原则。《网络安全法》明确对网络数据的完整性、保密性和可用性,网络数据安全,防止网络数据泄露或者被窃取、篡改以及网络数据的境内外流动作出了相关规定。

2016年,《中华人民共和国电子商务法(草案)》公布,国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》,同年12月,两高一部发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,对信息网络安全都有不同层面的规定。

2017年是我国网络安全立法集中出台的一年。1月,中共中央办公厅、国务院办公厅印发《关于促进移动互联网健康有序发展的意见》,对移动互联网安全风险的防范作了专门规定,明确要求完善用户信息保护制度,严格规范个人信息行为,特别要规范对用户身份、地理位置、联系方式、通信内容、消费记录等加以收集和使用的行为*围绕移动互联网的安全保障,该意见还提出要严格保障用户知情权、选择权和隐私权;严厉查处造谣诽谤、电信网络诈骗、攻击窃密、盗版侵权、非法售卖个人信息等违法犯罪行为;建立健全网络数据管理、个人信息保护等重点管理制度。。 5月2日,国家互联网信息办公室同时发布国家互联网信息办公室令第1号和第2号,分别是《互联网新闻信息服务管理规定》《互联网信息内容管理行政执法程序规定》,并自2017年6月1日起施行。同时,《互联网新闻信息服务许可管理实施细则》发布与实施[10]。在我国尚无个人信息与数据财产等专门保护法的当前,这几个规定在信息内容安全规制方面将起着重要作用,并对《网络安全法》加以衔接、细化和明确责任,以进一步确保其落实。5月9日,国务院办公厅发布《开展基层政务公开标准化规范化试点工作方案》,其内容对将来的政府信息公开立法有很强的指导与实践意义,对于政府信息公开与信息安全保护的平衡有初步指导意义。6月1日起施行的还有《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,进一步确保了个人信息安全在刑法适用中的落实。7月,作为根据《网络安全法》制定的第一部法规,《关键信息基础设施安全保护条例(征求意见稿)》正式发布,更加强化和提高了我国大数据战略下网络空间安全法律法规的操作性、可行性和完整性。

10月4日,首轮中美执法及网络安全对话成果清单中,网络犯罪与网络安全的合作与共识赫然在列[11]。国家互联网信息办公室10月30日公布《互联网新闻信息服务单位内容管理从业人员管理办法》和《互联网新闻信息服务新技术新应用安全评估管理规定》,自2017年12月1日起施行。相较于之前的政策文件,该办法与规定的一些内容操作性较强,对从业人员严格管理,无疑对信息网络安全的源头具有保障作用[12]。10月11日, 国家发展改革委办公厅发布《关于组织实施2018年“互联网+”、人工智能创新发展和数字经济试点重大工程的通知》, 以贯彻落实“十三五”规划《纲要》,加快推进“互联网+”行动、人工智能发展规划、数字经济发展等重大部署[13]。11月14日,工信部已印发《公共互联网网络安全突发事件应急预案》,明确了事件分级、监测预警、应急处置、预防与应急准备、保障措施等内容。

自2018年1月1日起施行的《工业和信息化部关于规范互联网信息服务使用域名的通知》,围绕网络域名的相关当事人设定了明确的信息网络安全义务,在域名领域再次保障了大数据安全战略的落实。

信息网络安全的法律保护是信息社会得以彰显的一个综合法律问题,单靠某一个部门法并不能完全或很好地实现保护之目的。截至目前,我国基本上形成了以《国家安全法》《网络安全法》为核心的普通法,辅以《反间谍法》《刑法》(主要是修正案七和九)、《侵权责任法》《电子签名法》,配套以《信息网络传播条例》《电信条例》《国家网络空间安全战略》《互联网广告管理暂行办法》《网络空间国际合作战略》《互联网新闻信息服务管理规定》《信息基础设施重大工程建设行动方案(2016-2018)》等信息内容、网络服务与安全管理方面的法规、规章、司法解释及其他规范性文件,形成了一个初步保障体系;信息网络安全法律法规体系有了《网络安全法》这一基本法,其法律保障体系显得更加扎实,随着立法立体式的进一步细化展开,有望实现跨越式的实质性突破。

(三)我国现有相关立法所受制约及不足

网络是一个不断发展着的空间与社会,新情况层出不穷,这给立法带来了挑战。就网络立法而言,目前制约我国网络立法发展的原因主要有:(1)产业发展没充分展开,尚不能为立法提供足够充分的经验素材与生长土壤,在法律应适当固守其滞后性的前提下,立法不能也无法太超前。(2)法律实践上,立法与司法的经验教训都还不足,现成的借鉴不多,不利于立法的完善。(3)学术研究提供的学术建议不够,主要表现在:在社会转型时期,以大数据、网络安全为主要方向的信息法研究人才不多;学术研究资料欠缺,公共信息的获取还没有实现完全、充分与便捷的资源共享。(4)政府、产业(行业)与公民之间的联动机制尚需落地和完善,需要投入更多指导和深入细致的工作,以期可行并有实效。

综上分析,我国现有相关立法表现出以下不足。

1.相关立法中基本概念称谓不统一,内涵与外延混乱,不利于落实与完善相关规定

国务院1994年通过、2011年修订的《计算机信息系统安全保护条例》确立了8项安全制度,将“计算机信息系统”明确为“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”;指明计算机信息系统的安全保护范围包括:计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。而1997年3月14日修订的《刑法》第二百八十五条、第二百八十六条规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪,但是没有对计算机信息系统做出界定。

国务院1996年通过、1997年修订的《计算机信息网络国际联网管理暂行规定》规定:计算机信息网络国际联网(简称国际联网)指中华人民共和国境内的计算机信息网络为实现信息的国际交流,同外国的计算机信息网络相联接;互联网络,是指直接进行国际联网的计算机信息网络。但是,《计算机信息网络国际联网安全保护管理办法》使用了“进入计算机信息网络”的提法,该“信息网络”与“互联网络”有何异同,并无解释。此后的一些法律法规里常见“网络”“互联网”用语,但其内涵是否与前述“互联网络”“信息网络”等相同,多不明确。

再如,对“信息网络安全”“网络信息安全”“网络空间安全”“信息与网络安全”等概念与词语使用较为随意,其内涵与外延未见清晰界定。自2013年9月1日起施行的《电信和互联网用户个人信息保护规定》使用了“维护网络信息安全”一语,但没有对其作出界定。《计算机信息网络国际联网安全保护管理办法》使用的则是“危害计算机信息网络安全”一语。2013年最高人民法院、最高人民检察院《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》也使用“信息网络”,将利用信息网络诽谤他人“严重危害社会秩序和国家利益”上升至国家安全,指出“信息网络”“包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络”。《刑法修正案(九)》第二百八十六条之一增加了网络服务提供者的管理义务,且称为“信息网络安全管理义务”,并以“监管部门责令采取改正措施而拒不改正”作为入罪前置程序,以确保犯罪得到追究。显然,这些语境中的“信息网络”外延远大于《电信和互联网用户个人信息保护规定》中的“网络信息”。后来的法律法规中,多见的是用“与”将信息与网络并列使用,比如,工业和信息化部2015年6月30日起施行的《通信短信息服务管理规定》第十五条规定:短信息服务提供者应当建立和执行网络与信息安全管理制度,采取安全防范措施,加强公共信息巡查。2015年7月1日实施的《国家安全法》第二十五条则将网络与信息安全并列,强调软硬两手结合,规定国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究、开发应用和网络管理,维护国家网络空间主权、安全和发展利益。

但是,国务院2015年7月发布的《关于积极推进“互联网+”行动的指导意见》中,先指出要“保障安全基础”,随后分别使用了“信息安全”“网络安全”与“数据安全”等提法,但对其区别与联系并未明确。

2.立法层次偏低,立法部门众多,法律法规操作性和系统性较差

目前,法律的整体数量较少,对个人信息保护而言,都不是专门法,涉及个人信息网络安全保障的内容有限,法律条款内容过于笼统宏观,对信息网络安全无法实现直接全面的保障,有待进一步细化。其余行政法规与部门规章适用范围与力度都非常有限,且因部门利益与领域差异,而存在互相冲突与矛盾之处,立法中相关部门与当事人的权利、义务与职责规定有待衔接、整合。

比如,《电信和互联网用户个人信息保护规定》第十五条中,对“培训机构与人员”有无资质要求、具体如何落实等问题并未规定*该条规定:“电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。”。该规定第六条确立了电信业务经营者、互联网信息服务提供者对用户个人信息安全负责的义务,但其主要起到的是宣示与定调作用,因欠缺具体措施与途径、权利义务分配不明确而难以落实。该规定的第二章专章确立了信息的收集和使用规范,但在后果上只规定了限期改正、警告、罚款、公告等行政处罚,衔接了刑事责任,而没有民事侵权责任后果的规定;第三章规定了一系列安全保障措施,但对措施缺位或不当等情形没有规定法律后果,安全保障措施得以落实的配套规定缺乏、不明确或不得当。

再如,《互联网新闻信息服务管理规定》第十三条第二款规定了用户信息保密义务*具体要求是:“互联网新闻信息服务提供者对用户身份信息和日志信息负有保密的义务,不得泄露、篡改、毁损,不得出售或非法向他人提供。”,但是,该规定的法律责任部分,并未规定相应的法律后果。《网络安全法》第四十条也总括规定了用户信息保密义务,即“用户信息保密与保护制度建立健全义务”;第四十一条到第四十四条分别规定“个人信息收集使用的原则与处理依据”“个人信息消极积极义务与例外”“个人信息主体权利”和“个人信息权的对世效力”,第四十五条则规定了“履行职责中知悉的个人信息、隐私和商业秘密严格保密义务”,但是对第四十条与第四十五条并没有直接规定责任。 如果出现现实案例,这些义务的落实与保障,会因责任的不健全而受到影响,因此需要后续立法的进一步完善。

3.与立法的配合中,非法律治理的管理规定比较薄弱

除了法律治理外,我国对技术管理、行业自律等非法律治理有关的规则较少,协同治理的宣示性规定、价值引导与基本原则等内容需要加强;国际层面的立法尚需努力,目前空白较多。这些任务尚显艰巨,非一朝一夕可以完成。阿里巴巴、腾讯等集团公司都形成有自己内部的关于信息安全保护的制度规则体系,很多内容非常行之有效,是实践检验出的活的规则。但是,除了协议效力之外,这些行业、企业内部规则并无法律强制执行力。对此,可以借鉴英美国家的安全港模式,通过特定程序将其中一些内容赋予法律的强制力,这将为我国立法节约很多成本,并提高其效率,确保其可行性。

三、大数据战略视野下完善我国信息网络安全立法的建议

2017年12月8日下午,中共中央政治局就实施国家大数据战略进行第二次集体学习,将大数据战略的推进与实施掀起了新的高潮。中共中央总书记习近平强调,要“分析我国大数据发展取得的成绩和存在的问题,推动实施国家大数据战略……保障数据安全……更好服务我国经济社会发展和人民生活改善”[14]。这表明,我国目前在这些方面还有待努力。因此,结合大数据战略这个全方位的前瞻视野,针对我国信息网络安全法律保障所面临的问题,笔者建议如下:

(一)回应大数据战略要求,进一步明确国家信息网络安全立法的目的与宗旨

大数据战略主要是一种指导思想与整体规划,不能靠自身得以实现,立法是其重要保障,也唯有回应其需求的立法,才能确保其落地繁荣。

《国家安全法》第二条指出,国家安全是一种状态和能力,即国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。由此,维护这种安全状态、提升安全保障能力就是安全工作的目的。所以,该法第三条对国家安全工作做出了指引性规定,要求安全工作“坚持总体国家安全观,以人民安全为宗旨”。显然,国家安全工作的目的与宗旨不完全等同于国家安全立法的目的与宗旨,但前者对后者具有指导作用。国家安全立法作为极其特殊的一种“安全工作”,其目的具有阶段性和领域性,受制于立法时社会的主要需求,不同领域不同阶段的立法目的并不完全相同,甚至可能相互制约与矛盾。立法宗旨则具有根本性与终极性,是协调不同目的的准则。

根据《网络安全法》第一条,其目的和宗旨在于“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”。就目前信息网络所涉的各种矛盾关系而言,该规定体现了我国信息网络安全立法的多重目的。但是,在大数据静态层面、技术层面、应用与方法层面都日新月异,网络技术不断进步、网络设备不断迭代、网络应用不断创新的时代背景下,如何做到《网络安全法》第三条中“网络安全与信息化发展并重”的基本路线,是十分紧迫的首要问题。在个人信息泄露极其严重、非法买卖个人信息层出不穷、基于非法获取个人信息的各类诈骗(尤其是网络电信诈骗)屡见不鲜甚至出现受害人死于非命的恶性案件的当前,笔者认为在信息网络安全立法的多重目的中,第一是保护信息网络的国家主权与安全[15];第二是保障网络中个人与企业、组织的合法利益,特别是个人信息保护;第三是保障金融、电信、能源、交通、卫生、教育、科研等重要信息系统和数据产生、使用、交互极端频繁的部门在网络领域的健康发展。立法宗旨是寻求多种立法目的的统一与平衡,归根结底是保障人民安全。在各目的无法统一时,可以根据网络社会矛盾的发展变化而作出国家安全、个人与企业组织安全、行业发展安全等不同利益的保障次序,并根据后续发展做出立法修正或执法调整。

(二)在大数据战略指导下,规范用语,提升效力,加快制定《信息公开法》《个人信息保护法》等基本法,以完善信息网络安全法律保障体系

目前的相关立法中,信息网络安全的法律保障体系基本成形。但是,内容上涉及面比较广,一些用语不统一,效力层次低,基本的《信息公开法》《个人信息保护法》等尚付阙如。对此,建议从以下几方面着重加以完善。

第一,名称上,应在文本中尽量统一称谓。笔者建议,在厘清“信息”“网络”“信息网络”与“网络信息”基础上,相关立法应准确采用相应的词语表达。一则,“信息”存在于网络之上和之下,但在网络时代,这两种形式通常被同一信息同时享有,网上网下并非截然无关,而是互为补充。二则,“网络”既包括网络基础设施、网络系统及运营、网络空间等内容,还特别包括网络中的信息内容。因此,“信息”和“网络”属于交叉关系,对二者并列保护,兼顾了“信息化时代信息普及并形成大数据资源”与“网络空间社会已成为相对独立的社会结构”之现实与趋势。立法以此为核心,能更为全面规制和保护信息网络安全,避免法律偏废一方,顾此失彼。我国已颁布的《网络安全法》采用的是“网络安全”一词,笔者认为,这对于网络之外的信息安全难以顾及,如果采用“信息网络安全法”,则可以包含更多信息。

第二,内容上,笔者建议以“信息网络的内容与服务”为核心,对信息网络安全在国家、社会与个人、企业等层面,立法应当全面覆盖,并在各领域不断延伸,结合国家大数据战略进一步明确信息网络安全的具体内涵与外延。世界上主要国家的网络立法与大数据战略中,对信息网络安全涉及的面各有侧重,全面者不多见。对此,国外的一些大数据战略与立法中也有例子,比如美国既有《2012年联邦信息安全改革法》,又有《2014年国家网络安全保护法》,这将外延交叉的信息安全与网络安全均纳入保护。借鉴他国内容,以现有法律法规的规定为基础,我国完全可以发挥后发优势,对“信息网络安全内容”做出全面而妥当的规定。

第三,效力级别上,着重构建法律层面的保障体系。在《宪法》与《国家安全法》统领下,已经出台基本法《网络安全法》,再以此法为核心纵横发展:纵向制定法规、规章与其他规范性文件,横向完善民法、知识产权法、刑法、行政法、经济法、诉讼法等领域涉及信息网络安全的部分,以期形成纵横统一、疏密有致的立体体系。目前,比较紧迫的就是尽快制定个人信息保护专门法、政府信息公开法。

第四,效力领域上,兼顾国内安全与国际安全来确立国内与国际法律体系。立法可参考欧洲理事会《网络犯罪公约》等,既要实现国内法与国际法的接轨、明确国际条约的适用与必要保留,又要延伸国内法的域外效力、扩大国内法的影响。网络空间和现实空间存在重叠之处,例如,一桩网络交易的支付国与提货国、用于攻击的服务器所在国、被攻击的计算机所在国等互不相同时,就需要各国协商合作,建构各国都能接受的网络国际治理与合作的法律框架。

(三)法律法规实施层面,需加强与完善具体领域的单行法与配套法建设,增强法律规定的可操作性,并完善执法规范

我国已经出现以《网络安全法》为处罚依据的案例,对违反信息安全等级保护制度导致学生信息泄露的淮南职业技术学院进行了处罚[16],对其他负有信息安全保护义务的单位起到了威慑作用,应该说具有较好的社会效果。但是,网络安全中存在公权力与私权利的冲突、权利外延的界定与认定、不同安全义务的处罚责任不同等等问题,所以潜在的立法冲突、执法困难等问题还不可能一下子通过案例涌现出来。因此,防患于未然,需要加强配套立法与执法规范。

针对信息网络安全的不同层面,要加强个人信息法、政府信息公开法、信息财产法、电信法、网络知识产权保护及各行业网络发展的法律、法规与规章的制定与完善,力求法律关系明确、权利义务及责任分配合理而具体,纠纷解决机制有效,加强立法、司法与执法的沟通与配合,确保信息网络安全利益得到全面而切实的保障。这些方面,美国、欧盟等发达国家与地区有许多立法可供参考,国内也已存在较多法规规章和科研成果,但是正式立法还有待加强加快。同时,建议政府设立相应的科研项目或由政府出面,统一翻译、整理并公布和及时更新发达国家的立法,便于学者便捷地致力于他山之石用以攻玉,以打破信息孤岛与瓶颈。

根据《大数据发展行动纲要》和《大数据产业发展规划 (2016-2020年)》,目前需要修改和制定的法律法规主要涉及公共信息资源保护和开放、政府信息资源管理、个人信息保护、基础信息网络和关键行业领域重要信息系统保护、数据流通特别是重要敏感数据跨境流动等方面。同时,既有立法的可操作性也需加强。比如,工信部公布的《电信和互联网用户个人信息保护规定》第十三条要求电信业务经营者、互联网信息服务提供者采取“记录对用户个人信息进行操作的人员、时间、地点、事项等信息”之措施,以防止用户个人信息泄露、毁损、篡改或者丢失,但仅此规定并不足够,还可增加“及时公布处理用户投诉,公布行业黑名单”等内容,以发挥惩戒、威慑和示范效应。再如,该规定第十五条对电信业务经营者、互联网信息服务提供者规定了培训义务,对此应当出台配套政策,以落实培训机构与师资的资质要求与具体单位,明确常规性的培训范围与时间等等。

(四)完善法律框架之外的协作保障体系

网络空间是传统现实社会空间在向网络延伸中发展起来的新的现实社会空间,该空间随着技术的发展已然形成相对独立的社会结构,许多现实问题对社会治理与法律规制带来了极大的挑战。《国家网络空间安全战略》部署的战略任务包含“(六)完善网络治理体系”,该内容的实现对法律规范的构建提出了急迫的要求,同时要求形成一个行政监管、行业自律、技术保障、公众监督、社会教育相结合的网络治理体系和联动机制。因此,在创新社会管理更加受到重视的当今,对其信息网络安全单靠法律保障是远远不够的,所以需要在法律框架之外建立和完善协作性的保障体系,采取综合治理手段全面发力,才能标本兼治地实现网络法治与安全保障。

其一,行业自治方面,我国目前一些行业出现了自治规约,有效地配合了法治的运行,但是存在行业利益优先保护的倾向、执行机制乏力、与法律规定矛盾等问题,这需要强化企业与行业的社会责任,加强法律的指导等。

其二,在技术规范与创新机制上,我国针对大数据和网络技术也出台了一些规定,确立了一些技术标准,这为法律制定与落实提供了有力的基础;今后在更多领域的技术标准与国际技术标准制定上,还应更加努力,比如加快“中国芯”的研制和“长城网”的加固等。

其三,行政监管在我国网络安全保障方面担任着重要的角色,其灵活多样、直接作用的特点决定了在法律完善之前、之后,信息网络安全的法治运行都离不开其有力的协作。

其四,在网络战略层面,需要成立网军作为防备,确立以我之长、击敌之短的战法,发展网络人民战争、网络游击战,结合军用、民用,国家、地方等资源,组建网络信息安全实验室,进行大数据背景下的网络安全攻防实验和演练,为应对美国等发动的网络不对称攻击作出准备。

其五,公益管理、媒体与民众监督等力量不容小视,但目前在我国还比较弱,意识缺乏、组织不全、制度模糊、经费欠缺等问题突出,对此应当出台政策加强鼓励、培育与支持。

[1] 马奔,毛庆铎.大数据在应急管理中的应用[J].中国行政管理,2015(3):141.

[2] MANYIKA J,CHUI M,BROWN B,et al.Big Data:The Next Frontier for Innovation,Competition,and Productivity[EB/OL].(2011- 05- 01)[2017- 03- 01].http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/big-data-the-next-frontier-for-innovation.

[3] COUCH N, ROBINS B.Big Data for Defence and Security[EB/OL].(2013- 09- 01)[2017- 03- 01].https://www.Rusi.org /downloads/assets/RUSI_BIGDATA_Report_2013.pdf.

[4] 维克托·迈克-舍恩伯格,肯尼斯·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州:浙江人民出版社,2012:13.

[5] 世界主要国家的大数据战略和行动[EB/OL].(2015- 07- 03)[2017- 03- 03].http://www.cac.gov.cn/2015- 07/03/c_1115812491.htm.

[6] 王舒毅.日本网络安全战略:发展、特点及借鉴[J].中国行政管理,2015(1):152.

[7] 沈昌祥.网络空间安全战略思考与启示[EB/OL].(2015- 06- 01)[2017- 03-25].http://www.cac.gov.cn/2015- 06/01/c_1115472703.htm.

[8] 崔清新,王思北.聚焦新国家安全法五大亮点[EB/OL].(2015- 07- 01)[2017- 03-27].http://www.cac.gov.cn/2015- 07/01/c_1115787848.htm.

[9] 何宝宏.国务院大数据行动纲要说了些什么?[EB/OL].(2015- 09- 06)[2017- 04-10].http://companies.caixin.com/2015- 09- 06/100846784.html.

[10] 中华人民共和国国家互联网信息办公室,中共中央网络安全和信息化领导小组办公室.互联网新闻信息服务许可管理实施细则[EB/OL].(2017- 05-22)[2017- 09-26].http://www.cac.gov.cn/2017- 05/22/c_1121015789.htm.

[11] 首轮中美执法及网络安全对话成果清单[EB/OL].(2017-10-10)[2018- 01- 08].http://www.cac.gov.cn/2017-10/10/c_1121781756.htm.

[12] 国家互联网信息办公室公布《互联网新闻信息服务单位内容管理从业人员管理办法》[EB/OL].(2017-10-30)[2018- 01- 08].http://www.cac.gov.cn/2017-10/30/c_1121877890.htm; 国家互联网信息办公室公布《互联网新闻信息服务新技术新应用安全评估管理规定》[EB/OL].(2017-10-30)[2017-11-25].http://www.cac.gov.cn/2017-10/30/c_1121878100.htm.

[13] 发改办高技〔2017〕1668号[EB/OL].(2017-10-30)[2018- 01- 08].http://www.cac.gov.cn/2017-10/30/c_1121875472.htm.

[14] 习近平:实施国家大数据战略加快建设数字中国[EB/OL].(2017-12- 09)[2018- 01- 08].http://www.cac.gov.cn/2017-12/09/c_1122084745.htm.

[15] 齐爱民,盘佳.大数据安全法律保障机制研究[J].重庆邮电大学学报(社会科学版),2015(3):24-29.

[16] 等级保护测评微信公众号.国内高校首例违法案例诞生,因未落实等保制度致学生信息泄露[EB/OL].(2017-10-13)[2017-10-15].http://www.ankki.com/AboutNewsDetail_84_1468.html.

猜你喜欢

个人信息网络安全战略
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
精诚合作、战略共赢,“跑”赢2022!
警惕个人信息泄露
网络安全
网络安全人才培养应“实战化”
战略
上网时如何注意网络安全?
战略
我国拟制定网络安全法