论技术标准增强《网络安全法》适用效能
2021-12-08郗蕊
郗 蕊
一、问题的提出
随着网络信息技术的发展和网络安全形势的需要,我国网络安全法治历经多次变革,从零散的、低位阶的《计算机信息系统安全保护条例》等行政法规和《计算机信息系统安全专用产品检测和销售许可证管理办法》等部门规章,逐渐走向统一的、高位阶的专门法律,以《网络安全法》为基本法的网络安全法律法规体系已经初具规模。〔1〕参见黄道丽主编:《中国网络安全法治40 年》,华中科技大学出版社2020 年版,第1 页。同时,在国家网信部门负责领导统筹协调下,国务院电信主管部门、公安部门和其他有关机关依照《网络安全法》等法律法规之规定分工负责的网络安全管理体系也已在运行之中。然而,面对具有技术属性的网络安全领域,当前立法还存在立法者专业知识不足、立法规范可操作性较低、立法更新相对滞后等局限性;实践中,网络安全监管“九龙治水”现象仍然存在,行政执法过程中还存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题。〔2〕《全国人民代表大会常务委员会执法检查组关于检查〈中华人民共和国网络安全法〉 〈全国人民代表大会常务委员会关于加强网络信息保护的决定〉 实施情况的报告》,载中国人大网,http://www.npc.gov.cn/npc/c30834/201712/73685f79f8014eceadd9354bc48d1bc9.shtml,最后访问日期:2017年12 月24 日。这导致了《网络安全法》适用的有效性降低,法律治理的效能不高。〔3〕何治乐:《〈网络安全法〉 有效性评估及提升路径》,载《中国信息安全》2018 年第7 期,第67~70 页。立法的实施还需要其他规范作为补充,而网络安全标准正是《网络安全法》实施中发挥重要作用的规范之一。
我国《标准化法》规定,标准(含标准样品)〔4〕本文所指标准是标准化工作中的“标准”(standard) 二字。根据国家质检总局和国家标准委2014 年发布的中华人民共和国国家标准《标准化工作指南第 1 部分:标准化和相关活动的通用术语》(GB/T20001.1-2014),标准是指“通过标准化活动,按照规定的程序经协商一致制定,为各种活动或其结果提供规则、指南或特性,供共同使用的和重复使用的文件”,同时注明“标准宜以科学、技术和经验的综合成果为基础,以促进最佳的共同效益为目的。”是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。网络安全标准是网络安全领域需要统一的技术要求。例如,《网络安全法》实施以来,国家从立法层面相继发布了一系列与个人信息保护有关的法律法规、规范性文件及司法解释;由全国信息安全标准化技术委员会牵头制定的《信息安全技术 个人信息安全规范》(GB/T 35273-2017,以下简称《个人信息安全规范》),从国家标准层面明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向;APP 违法违规收集使用个人信息专项治理中,网信、工信、公安等监管部门在执法中参考了《个人信息安全规范》等技术文件;互联网协会、网络空间安全协会等社会组织以及各大互联网应用平台在工作中引用、参考相关技术文件;各类技术文件已经逐步成为各行业、各领域开展APP 个人信息保护工作的“统一标尺”。
上述表明,这些本不具有法律属性的技术标准却在法治领域发挥着类似“法”统一调整的功能。标准化在网络安全治理中的作用早已为学界和实务界所认识〔1〕参见王智江主编的《网络安全法概论》、张楚主编的《网络法学》以及朱明编著的《公安机关信息网络安全管理及法律适用研究》等书籍都提到技术标准,其中,《网络安全法概论》将标准放入法律体系中进行论述;《公安机关信息网络安全管理及法律适用研究》认为标准对法律法规的执行具有支撑性的作用,指出标准提供了网络安全等级保护的依据和内容,并将标准作为公安机关执法的依据;张楚主编的《网络法学》将技术标准纳入网络技术规范范畴,并与网络技术性法律规范相区别。,主要观点是模糊地把标准当成“法”的一种而作为互联网企业合规和行政监管执法的依据,却没有真正厘清标准与法律的关系,也没有阐释标准发挥作用的机制原理。这样的观点还是比较浅显的。为此,本文以《网络安全法》为样本,分析网络安全标准进入法治领域而获得合法效力的授权根据,从弥补立法局限和支撑法律实施两个方面阐释标准增强法治效能的作用原理,尝试提出我国网络安全法律援引技术标准法制化的完善建议,以期有益于该领域企业合规、行政执法等法务实践,并以专业研究进一步推进“标准支撑法律”等标准化法基础理论研究。
二、进入《网络安全法》的技术标准
网络安全标准能够增强法治效能的前提是技术标准在与《网络安全法》规范领域和对象重叠基础上,因法律引用而进入到《网络安全法》法条文本,获得合法的效力授权。
(一) 技术标准与《网络安全法》的关系
网络安全标准与法律之间存在区别,又密切联系。网络安全标准是关于网络安全技术术语、技术参数、技术措施和管理要求等的一类技术文件,其本质是不同于法律规范、存在于网络安全法律法规体系之外可自行运转的一类社会规范系统。但是,现代治理背景下,标准已然成为治理的工具;自2010 年以来,治理理论正从“传统治理”走向“新治理”;新治理理论一致强调标准的重要性。〔2〕李容华、刘瑾、徐海宁:《标准作为治理工具及其立法观察》,载《中国标准化》2020 年第11 期,第59~66 页。《网络安全法》以法律形式认可技术标准作为网络安全治理工具的一种。第7 条明确规定了网络安全标准在网络治理体系中的作用,对于构建和平、安全、开放、合作的网络空间而言,网络安全标准制定和打击网络违法犯罪一样,是有效的治理工具之一。这为技术标准“进入”网络安全法治领域提供了可能。具体而言,由于法律与标准把网络的运行安全和信息安全作为同一规范对象,把维护网络安全与秩序作为同一追求目标,《网络安全法》与技术标准的规范领域发生重叠。这些领域的问题既是法律治理的问题,也是标准治理的问题。
网络安全标准进入法律,是指《网络安全法》以法律援引标准的方式,使标准成为法条中的一部分内容,并赋予相应法律效力。所谓“进入”是指两个不同的事物,在某种途径下,由一个事物嵌入另一个事物内部。标准的实施有三种基本方式:一是法律引用(也称法律援引);二是当事人约定;三是合格评定(认证认可)〔1〕参见柳经纬:《论标准替代法律的可能及限度》,载《比较法研究》2020 年第6 期,第174~184 页。。法律援引指把与标准有关的内容作为法律条款的构成部分。它既是技术标准自身得以实施的方式之一,也是技术标准进入法治系统〔2〕参见柳经纬:《论标准的私法效力》,载《中国高校社会科学》2019 年第6 期,第76~79 页。的方式之一。这种援引就像是一条传送带,把法律的齿轮与标准的齿轮环环相扣。这种援引方式并不改变标准的属性,只是让标准从法律之外进入到法治领域,成为法律规范的技术工具,标准的法律效力依赖于法律的规定。
(二) 《网络安全法》关于标准的条款
《网络安全法》为鼓励政府、社会、企业和个人共同参与治理,以达到预防、控制、合理分配安全风险的目的,在法律条文中设置涉及技术标准的专门条款,以授予网络安全标准合法地位和法律效力。关于标准制定的条款,涉及标准制定的主体和参与标准制定主体,还涉及标准的类型。关于标准效力的条款,一方面涉及网络运营者应遵守强制性标准的要求,另一方面涉及违反强制性标准要求应当承担相应的法律责任。
1.关于标准制定的条款
《网络安全法》第一章、第二章中对标准的网络安全治理工具地位、标准的制定主体与参与主体、标准体系以及标准类型一一进行了规定,其目的在于赋予网络安全标准合法地位,授予政府部门主导网络安全标准化活动的相关权限。
《网络安全法》第15 条规定“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准”。网络安全标准体系建立和完善的主责部门在于政府。《网络安全法》将标准制定主体以组织规范意义上的空白授权方式赋予国务院标准化行政主管部门和国务院其他有关部门如公安部、工信部等,国务院各相关部门根据自己的职责,制定国家标准或行业标准。
《网络安全法》第15 条第2 款规定“国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定”,以法律形式认可标准治理的民主性,以提升履行含有合标要求之义务的自愿性。按照现代治理理论,标准化活动的主体是多元化的,包括政府机构、社会中间组织和企业。〔1〕于连超:《作为治理工具的自愿性标准:理论、现状与未来——兼论中国标准化法制的革新》,载《宏观质量研究》2015 年第4 期,第92~99 页。在标准制定过程中,可以通过众多利益相关方的充分讨论来影响标准制定的最终结果〔2〕于连超:《标准支撑法律实施:比较分析与政策建议》,载《求是学刊》2017 年第4 期,第91~97 页。,体现了网络安全治理工具的民主性,也使标准更容易得到权威与遵从。
根据适用范围,网络安全标准可以分为国家标准、行业标准和企业标准等。标准类型与《关于加强国家网络安全标准化工作的若干意见》中“原则上不制定地方标准”相一致,以确保标准的高度统一性。在国家标准方面,截至2020 年12 月,全国信息安全标准化技术委员会共归口国家标准320项〔3〕参见《已发布网络安全国家标准清单》,https://www.tc260.org.cn/front/bzcx/yfgbqd.html,最后访问日期:2020 年12 月21 日。,其中强制性国家标准不到10 条,其余均为推荐性国家标准。在行业标准方面,国务院承担网络安全监管职能的部门还制定大量行业标准。如工信部制定的《YD/T 3212-2017 内容分发网络服务信息安全管理系统接口规范》、公安部制定的《GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求》。
2.关于标准效力的条款
《网络安全法》通过配置网络安全义务以达到调整网络安全行为的目的。将标准援引入法律则是为了明确网络安全义务的具体操作要求,表现为将合标要求作为义务的构成元素,多以“应当”“必须”等表述为主。网络监管部门开展网络安全管理,监督网络运营者提供网络产品、服务和开展网络运行,均需按照法律法规的规定,符合网络安全领域国家标准和行业标准的要求。如第15 条。网络运营者建设、运营网络或者通过网络提供服务应当依照法律、行政法规的规定和国家标准的强制性要求,采取相关技术措施,保障网络运行安全和数据安全。如第10 条。网络运营者提供的网络产品与服务要符合相关国家标准的强制性要求。如第22 条。特别是网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,经检测认证或符合要求后,才可以对外销售或者向社会提供。如第23 条。总之,网络安全产品的生产、服务的提供、措施的组织需遵守有关标准和认证要求成为网络运营者网络安全义务的一部分。
既然合标属于义务的部分要求,那么违标也应承当相应法律责任,以保障标准与法律之共同目的的实现。《网络安全法》设置了相对应的法律责任条款,指出违反涉及相关标准和认证的义务条款时须承担的法律责任。网络运营者违反标准,可能被有关主管部门处以责令改正、警告等处罚;拒不改正或者导致危害网络安全等后果的,对单位和直接负责人处以罚款等处罚。如第60 条。网络安全认证、检测机构违反标准开展认证、检测,可能被有关主管部门处以责令改正、警告等处罚;拒不改正或者情节严重的,既处以罚款,并处以暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚,同时还对直接负责的主管人员和其他直接责任人员处以罚款。如第62 条。
由于法律规范是一种包含条件的命令,包括事实要件和法律后果两个层面;一旦事实要件具备,法律后果就产生。〔1〕参见[德] 哈特穆特·毛雷尔:《行政法学总论》,高家伟译,法律出版社2000 年版,第122页。标准效力条款表明,按照法律规范“假定条件+行为模式+法律后果”的形式,当网络运营者提供网络产品、服务时,要依照合标条款履行义务,否则将受到违标责任条款的惩罚。这样的合标要求条款与违标责任条款恰好构成一条完整的法律规范,标准的技术规范转换为法律的行为规范。这是网络安全标准的法律效力来源,也是标准能够发挥“法”作用的根源。
三、技术标准弥补《网络安全法》立法局限
网络安全标准增强法治效能的首要表现是标准可以弥补法律漏洞、提升立法质量、节约立法资源,使《网络安全法》科学、明确、先进以更符合良法品质,从而为法律适用提供基础依据。
同作为规范系统,《网络安全法》与网络安全标准不仅规范领域重叠、规范对象一致,而且两者具有相同的价值追求,都强调民主与程序,即通过利益相关方的充分参与,按照一定的程序协商制定共同遵守的规则。这使两者在文本形式上可以相互引用、实现融合互通。面对技术密集型的网络安全领域,在调整以技术对象为基础的网络安全法律关系时,《网络安全法》保持开放性和包容性并与标准规范互动才得以取标准之长补法律之短。
(一) 弥补立法者专业知识的不足:标准的专业性
《网络安全法》是由全国人民代表大会常务委员会于2016 年11 月7 日表决通过。作为一部网络安全领域的基本法,其功能在于调整网络安全法律关系和设置权力与责任、权利与义务等,其定位本身就不在于解决具体技术问题。但是对于什么样的操作流程、技术措施是可以抵御网络安全威胁的,需要有一定的客观衡量尺度,根据当前科技发达水平来度量在当前一段时间内至少应达到什么程度的防范水平。由于全国人民代表大会常务委员会的审议委员多为人大代表、法律专家等,并非精专于网络安全的技术专家,难以在法律中规定具体的技术要求和技术措施。
与之相对的,技术标准是由网络安全领域的专家起草,在科学论证的基础上,依据一定的程序经协商一致而制定的技术规范文件。在我国,全国信息安全标准化技术委员会(以下简称“信安标委”),是专门从事信息安全标准化的工作组织,委员会分别由国内相关部门、研究所、企事业单位及高等院校等代表组成,如中国电子技术标准化研究院、中国科学院计算技术研究所、清华大学、华为技术有限公司,等等。且委员多为网络与计算机专业的高级工程师、研究员。
具体到某一个标准的起草单位,也具有很强的专业性。如《信息安全技术 网络安全漏洞标识与描述规范》(GB/T 28458-2020) 起草单位包括国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国信息安全测评中心,中国电子技术标准化研究院、中国科学院信息工程研究所等研究机构,中国科学院大学国家计算机网络入侵防范中心等大学,启明星辰信息技术集团股份有限公司、北京百度网讯科技有限公司、奇安信科技集团股份有限公司等企业……可以看出,技术专家比一般立法者更有技术话语权,这使技术标准在规范的科学性、客观性上更有专业权威。
(二) 弥补立法的概括性:标准的具体性
“网络安全首先是一个技术问题。从技术上讲,网络安全是一个立体的、多方位、多层次的系统,覆盖了信息网络中的物理环境、通信平台、网络平台、主机平台和应用平台等多个系统单元。”〔1〕张楚:《网络法学》,高等教育出版社2008 年版,第95 页。网络安全与否是一门专门学科研究领域,有专门的语言代码、运算法则、发展规律和管理规则。而法律条文记录不了技术语言。以网络安全等级保护为例,《网络安全法》第21 条规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务:……采取防范……危害网络安全行为的技术措施”。该条文可以看出《网络安全法》没有也不能把具体技术措施穷举在法条中,只能使用界定内涵的描述性语言进行概括。实践中,网络安全等级保护制度则配套有《计算机信息系统安全保护等级划分准则》(GB 17859-1999)、《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006)、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、《网络安全等级保护测试评估技术指南》(GB/T 36627-2018) 等一系列国家标准。
网络安全等级保护包括定级、备案、安全建设、等级测评、监督检查等五个阶段,具体而言:网络运营单位第一步确认定级对象,参考《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020) 等初步确认等级,组织专家评审,主管单位审核;第二步,持定级报告和备案表等材料到公安机关网安部门进行备案;第三步,以《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019) 中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改;第四步,委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告,测评机构依照《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019) 开展测评;第五步,向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。公安机关的监督检查是对依照技术标准采用技术措施后的网络安全秩序给予一种法律上的审核,这种网络安全秩序实质上是网络运营者遵循技术标准的结果。
上述可见,技术标准提供了明晰而易操作的工作规范和管理规则,以保障用户使用的便捷性。相较于法律规范,标准规范更具备实施上的可操作性。网络安全标准能够为网络运营者履行网络安全义务提供操作指南,指出如何保障网络安全的具体做法,细化《网络安全法》中的不确定法律概念。
(三) 弥补立法的滞后性:标准的先进性
网络安全是相对的,会随着时代技术发展而不断变化。网络攻防技术的发展总是“道高一尺魔高一丈”。要想保障安全,必须时刻保持在技术的前沿。法律规范具有稳定性,即制定出来后在一段时间内保持稳定,不可朝令夕改。面对日新月异的互联网技术,法律的稳定性容易随时代与技术的发展表现为不适应性。与之相对,技术标准通常随公认技术发展而不断修订,这种相对灵活性使其更容易适应社会对技术安全的要求。《标准化法》规定了我国技术标准的复审制度,复审周期不超过5 年。经过复审,对不适应经济社会发展需要和技术进步的标准应当及时修订或废止。网络安全标准往往在当前科学技术研究成果和实践经验的基础上,经专家深入调查论证和向社会广泛征求意见,不断更新,以保障网络产品、服务的安全性、通用性和先进性。〔1〕参见《标准化法》第4 条、第22 条、第29 条。例如,针对个人信息安全问题,为规范个人信息控制者在收集、保存、使用信息环节中的相关行为,《信息安全技术 个人信息安全规范》(GB/T 35273-2017) 于2017 年12 月29 日发布、2018 年5 月1 日实施。但随着我国个人信息应用实践的迅速推广和执法活动的深入开展,原规范的修订很快纳上日程,以应对新技术和商业模式,2019 年一年之内,2 月、6 月、10 月先后三次分别发布了原规范的修订草案和修订征求意见稿。最终2020 年3 月6 日,国家市场监督管理总局、国家标准化管理委员会正式发布了《信息安全技术个人信息安全规范》(GB/T 35273-2020),实施后将替代《信息安全技术 个人信息安全规范》(GB/T35273-2017)。因此,技术标准在适应技术进步上更具优势。
综上,《网络安全法》引入网络安全标准,可以弥补纯粹法律条文在专业性、原则性、滞后性等方面的局限,打破具体适用上的技术壁垒,借以将法律规范效应延伸至技术领域,以完成《网络安全法》对网络安全法律关系的实质性规制。就援引效果而言,从表面看,《网络安全法》通过援引技术标准解决了法律规范在技术领域的规制困境。当法律遇到网络安全技术问题时,立法部门不必另行寻找解决技术问题的办法,而是充分吸纳符合立法目标的标准规范。这不仅使网络安全立法更加科学合理,还节约了立法资源,提升了立法效益。从更深层次看,《网络安全法》通过援引技术标准使法律规范在保持形式上稳定性的同时,又在实质上保持“与时俱进”。面对技术问题,网络安全立法不再解决技术细节,而把实现网络安全的具体技术问题交给标准化组织完成,不需要再启动法律修订程序对法律条款进行调整,通过升级其所援引的标准即可实现对网络安全法律关系调整规范。加之,通常情况下标准应在五年之内被修订一次,以保证标准反映最新技术发展现状,因而《网络安全法》援引最新标准有利于推动立法水平实质上的进步。
四、技术标准支撑《网络安全法》的实施
网络安全标准增强法治效能的表现除了弥补立法局限提升立法品质外,更主要体现在支撑《网络安全法》的实施,使法律真正成为可具操作性的“活”法而发挥善治作用。
网络安全标准的技术规范效力主要作用于产品、服务、措施等事务对象,以规制产品的质量、服务的功能、系统运行的状态、数据的完整保密属性等性能,主要依靠市场主体基于经济效益的考量而自愿执行,不具有强制性。《网络安全法》通过援引标准,使标准在本身技术规范效力基础上,获得了法律意义上的规范效力,即一旦被援引则具有一定的法律拘束力。依据《标准化法》《网络安全法》的规定,强制性标准必须执行;推荐性标准和行业标准经法律引用后,应具备强制实施效力〔1〕参见柳经纬:《标准的类型划分及其私法效力》,载《现代法学》2020 年第2 期,第165 页。;标准经企业自我声明公开后,必须遵守。在《网络安全法》实施的不同阶段,针对不同的实施主体,这些被援引的标准表现出的法律规范效应大不相同:对于网络运营者而言,网络安全标准是网络安全义务规定的具体化;对行政机关而言,网络安全标准则是具体行政行为事实认定的判断依据;对司法机关而言,网络安全标准则是审判中事实认定和法律适用的重要参考。
(一) 对网络运营者的规范效应
《网络安全法》通过设置网络安全义务对网络安全行为进行调整规范。《网络安全法》关注网络运营者“应当为”的问题,而该义务履行的判断在于网络运行的状态。当网络运行达到风险防控标准要求时,运营者义务履行落实到位;反之,则没有。标准通过网络安全义务具体化产生作用,解答网络运营者“如何为”的问题,为网络运营者履行网络安全义务提供技术规范指引,提升网络运营者对《网络安全法》的遵从性。
1.衡量产品、服务安全与否的标尺
这种表面看似以产品服务为调整对象,实则对网络运营者产生规范效应,构成网络产品服务提供者的安全义务之一。《网络安全法》第9 条创设了网络安全保护义务,而第10 条指明了第九条义务的总体要求与相关依据,即网络运营者采取技术措施维护网络安全时,除了应当依照法律和行政法规的规定,还要依照国家标准的强制性要求。《网络安全法》第22 条、第23 条规定网络产品、服务特别是网络关键设备和网络安全专用产品应当符合相关国家标准的强制性要求,如强制性国家标准《网络关键设备安全通用要求》(GB 40050-2021)。《网络安全法》明确了网络产品、服务提供者的安全义务,其中规定“国家标准的强制性要求”是网络产品服务的准入性“门槛”。除了强制性标准,推荐性标准、行业标准经法律援引或经企业自我声明或作为第三方检测认证依据后,也成为网络安全义务的构成部分,对网络运营者产生拘束力。此效力主要来源于《标准化法》第27 条“国家实行团体标准、企业标准自我声明公开和监督制度。企业应当公开其执行的强制性标准、推荐性标准、团体标准或者企业标准的编号和名称;企业执行自行制定的企业标准的,还应当公开产品、服务的功能指标和产品的性能指标。”网络安全产品、服务不符合标准要求的,应承担相应的民事、行政甚至刑事责任。如《网络安全法》第60 条、第62 条,《标准化法》第25 条、第36 条、第37 条、第38 条。
2.第三方机构检测认证的依据
标准是认证的依据,认证是标准的实施。《网络安全法》第23 条规定网络关键设备的销售,除了符合强制性国家标准,还需要通过安全检测或认证,方可对外销售。网络关键设备的安全检测需要由具备资格的机构按照网络关键设备安全检测依据的标准实施检测。《网络关键设备安全检测实施办法(征求意见稿)》规定检测机构应按照检测标准执行检测任务,检测机构不按照检测标准要求执行检测任务,工业和信息化部采取暂停采信其检测结果等处理措施;还规定网络关键设备安全检测依据的标准另行发布。〔1〕参见《网络关键设备安全检测实施办法(征求意见稿)》第7 条、第11 条、第14 条。又如,为规范移动互联网应用程序收集、使用个人信息的行为,市场监管总局、中央网信办于2019 年3 月15 日决定开展App 安全认证工作并发布了《移动互联网应用程序(App) 安全认证实施规则》。根据该规则,App 数据安全认证的依据为最新版本《信息安全技术 个人信息安全规范》(GB/T 35273) 及相关标准、规范。〔1〕《〈个人信息安全规范〉(2020 版) 简要解读和合规建议》,载https://www.sohu.com/a/41754 7927_672137,最后访问日期:2021 年3 月7 日。
3.网络安全措施的技术指南
《网络安全法》第41 条规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《信息安全技术个人信息安全规范》(GB/T 35273-2020) 对如何开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动提出了具体要求和操作规范,并以附录形式给出个人信息示例、个人敏感信息判定、实现个人信息主体自主意愿的方法、个人信息保护政策模板。虽然该网络安全标准为推荐性国家标准,不具有强制实施效力,但是行政执法机关常以媒体曝光、产品下架等方式查处违反标准的企业,从而影响到企业名声和股价等市场价值。这在一定程度上对网络运营者产生震慑效应,迫使其依照标准组织网络运营,履行企业网络安全义务。如2020年12 月,广东省公安机关发布新闻称,在超范围收集用户信息App 清理整治专项行动中,直接点名共监测发现“万联e 万通”“微信电话本”“中国移动”“百度地图(iOS)”等38 款移动互联网应用程序(APP) 存在超范围收集用户信息违规行为。〔2〕《这38 款APP 违规收集用户信息! 广东警方曝光》,载https://www.sohu.com/a/441049255_118392,最后访问日期:2021 年3 月7 日。公安机关认定这38 款APP 存在超范围采集个人信息行为即参照《信息安全技术个人信息安全规范》(GB/T 35273-2020),特别是个人信息保护政策(也称隐私政策) 模板。
(二) 对行政机关的规范效应
《网络安全法》授予行政监管机关监督管理网络安全义务履行的职权,依法采取行政许可、检查、处罚等具体行政行为。具体行政行为是行政机关适用法律的过程。法律适用依次包括四个阶段:①调查和认定案件事实;②解释和确定法定事实要件;③函摄:案件事实与法定事实是否相符;④确定法律后果。〔1〕参见[德] 哈特穆特·毛雷尔:《行政法学总论》,高家伟译,法律出版社2000 年版,第123页。前三个阶段都是在进行事实认定,是确定法律后果的必要条件。标准发挥作用的环节也是在事实认定阶段,一方面,对法律原则性规定和不确定概念给予具体化解释,构成法定事实要件;另一方面,对案件事实与法定事实之间的相符性进行专业认知判断。在此基础上,才是适用包含标准的法律条款作出许可、处罚等处置后果。总体而言,标准对行政机关的规范效应主要是作为事实认定环节的判断依据。
1.行政检查的技术依据
根据《网络安全法》的规定,网络安全监管内容包括技术监管与非技术监管两部分。技术执法需要技术标准来认定违法事实,例如备案风险等级与重要性是否相符,收集个人信息是否超出范围;非技术执法一般运用日常检查和逻辑判断,例如:是否符合强制性要求,是否通过认证,是否备案,是否留存日志等。在此意义上,网络安全监管中的行政检查更多时候是一种技术执法。技术执法要以标准等为依据,采用检验检测仪器和设备,运用各种技术方法认定违法事实,用科学的数据说话。以公安机关监督检查网络安全等级保护为例,《网络安全法》第21 条规定“国家实行网络安全等级保护制度”,《公安机关互联网安全监督检查规定》第10 条规定公安机关应当依照国家有关规定和标准,监督检查互联网服务提供者和联网使用单位是否履行网络安全等级保护等义务。具体而言,公安机关依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、《网络安全等级保护测试评估技术指南》(GB/T 36627-2018) 等一系列国家标准,采取现场监督检查或者远程检测的方式检查网络运营者是否落实了网络安全措施。
2.行政违法事实认定的客观依据
网络安全义务基本逻辑为:“由政府主导至上而下施加义务,并通过国家、行业标准规定非常具体的措施性要求作为义务的主要内容,然后通过行政处罚等手段强制性要求管理对象合规”〔2〕洪延青:《“以管理为基础的规制”——对网络运营者安全保护义务的重构》,载《环球法律评论》2016 年第4 期,第28 页。。行政检查发现有违法行为的,网络安全监管机关则需立即作出行政处罚的判断。网络安全标准为判定行为合法性与违法性提供事实证据,而非直接作为违法处罚的依据;行政执法的具体罚则依据是《网络安全法》。例如,2017 年7 月22 日,宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件〔1〕《〈网络安全法〉 实施后处罚案例盘点》,载https://www.sohu.com/a/166415789_713041,最后访问日期:2021 年3 月7 日。。宜宾市公安机关网安部门调查发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度。我国实行网络安全等级保护制度,要求网络运营者首先要依据强制性国家标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 进行定级,而该案中涉事单位未开展定级工作,且后续的备案、测评等工作也无从谈起。根据《网络安全法》第21 条、第59 条第1 款的规定:决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。
3.行政处罚裁量基准
网络安全标准是裁量适用不同档次行政处罚的基准,是行政裁量选择的客观参照。《网络安全法》通过设定网络安全法律责任规定了不同处罚类型,而网络安全标准为行政裁量或免于处罚提供客观证据。《网络安全法》在行政处罚中设定了不同的法律责任,如责令改正、警告、罚款等。作为证明客观事实的证据材料,网络安全标准不仅关系到违法事实认定,又关系到违法行为处罚裁量认定。由于国家标准一般是最低要求,即使严格按照网络安全标准落实防护措施,网络信息系统还是有被攻击的可能。标准只是一个便于操作的判断违法行为成立的方法,符合标准并不能成为行为正当性的抗辩事由〔2〕蒋怡琴:《论标准在民事裁判中的适用》,载《行政与法》2018 年第7 期,第120 页。。虽说遵守网络安全标准并不是遵守网络安全义务的唯一途径,符合标准也并不能完全对抗法律责任,但网络安全标准是网络安全义务履行与否的重要判定“标尺”,是网络安全保护与否这一法律事实认定的关键证据。“合规达标”可以是行政机关在行政处罚时选择不同档次裁量基准的事实证据。当发生意外或轻微网络安全事件时,更甚者“合规达标”也可以成为免于行政处罚的一个裁量情节。网络安全标准为《网络安全法》在平衡法与情、法律效益与社会效益的法律适用过程中搭建了一座桥梁。
(三) 对司法机关的规范效应
在网络安全法治领域,标准作为一种涉及技术规范从而指引规范安全行为,对网络运营者和行政监管部门产生事实上的法律拘束力,是相对容易论证的命题。然而,标准可否作为法院的审判规范,则是一个比较复杂的问题。这既涉及行政机关制定的非法律性文件是否具有审判依据地位问题,又涉及对于不同的法律责任法院审理行政、民事、刑事案件时如何事实认定和法律适用等问题。如前所述,标准不是一种法律渊源,自然不能直接作为审判依据,但是标准还是法律责任的构成要件、事实认定的客观证据、法律适用的技术参照。事实上对司法机关审判起到一定的规范效应。
1.追究违标责任的依据
面对网络安全风险,不仅要依照标准治理做好风险预防,还要通过法律强制后盾对违标行为做好违标惩处,以起到安全警戒作用。立法机关在《网络安全法》通过违标责任条款把标准作为法律责任构成要件之一。这也是司法机关在审理涉及网络安全标准案件时给予适用的法律依据。对此,《网络安全法》第六章设定了专门的法律责任,大部分以行政责任为主,如第60 条、第62 条;本法在制度设计上进行了责任之间的衔接,特别是行刑衔接,第71条和第74 条明确了违法本法,依照法律法规,亦可承担相应的民事、治安和刑事责任。这与《标准化法》第36 条、第37 条的规定相一致。此外,《刑法》第 146 条还专门规定“生产、销售不符合安全标准的产品罪”,以严厉的法律惩罚要求网络产品、服务提供者履行合标义务。
2.事实认定的客观证据
在事实认定环节,网络安全标准是网络安全义务履行与否的重要判定“标尺”,是网络安全保护与否这一法律事实认定的关键证据。依照标准做出的事实认定结论主要体现为鉴定报告、鉴别报告、检验检测报告等。例如,是否采取了网络等级保护措施由网络安全等级保护检测报告呈现,是否采取了个人信息保护措施可由个人信息安全影响评估(PIA) 报告呈现。这种检测数据分析报告形成鉴定意见,作为事实认定的证据材料,具有更强证明力。鉴于网络安全技术的专业性,只要鉴定程序合法,法院往往会采纳鉴定意见。毕竟法官是法律专家不是技术专家,依据技术标准进行事实认定则更具有科学性和客观性。例如,被告人韩某某自2019 年2 月起,在任深圳市某某有限公司(以下简称“某某公司”) 经理期间,设立网站域名为某某公司的“某某网”,为他人进行包括公民个人信息在内的数据交易提供平台,牟取非法利益。上海市公安局宝山分局网安支队制作的《远程勘验工作记录》、上海弘连网络科技有限公司计算机司法鉴定所出具的《司法鉴定意见书》,证实经对本案涉案IP “某某”服务器内涉案文件进行远程勘验,涉案“某某网”服务器上存有数据条数总计为5421 万条,含数据的文件有162 件,经人工梳理去重,其中含公民个人信息的文件共39 件,合计为38 万条。〔1〕暨附带民事公益诉讼被告人韩某某、暨附带民事公益诉讼被告人杨某某等侵犯公民个人信息案,上海市宝山区人民法院刑事判决书(2019) 沪0113 刑初2482 号。
3.法律适用的技术参照
在法律适用环节,基于网络安全技术的专业性,法院在适用法律时通过参照网络安全标准进行法律解释厘清相关技术概念和内涵。以浙江省绍兴市越城区人民法院审判的张某、陈某明、张某荣等提供侵入、非法控制计算机信息系统程序、工具罪一案中,2015 年平某始,被告人陈某明将编写的“思华”软件接入“快啊答题”平台,并上传至平台供他人使用软件进行批量识别验证码服务(即批量扫号) 等违法活动,从中收取返利。该软件绕过腾讯QQ 登录验证码保护措施,批量验证QQ 账号密码是否一致。审理过程中,辩护人提出“根据《网络安全法》第23 条以及《网络关键设备和网络安全专用产品目录》的规定,验证码并不属于网络关键设备和网络安全专用产品,因此认定图文识别技术为非法,并将识别腾讯公司验证码视为非法侵入计算机信息系统没有法律依据。”法院审理认为,《网络关键设备和网络安全专用产品目录》公布的目的在于加强对网络关键设备和网络安全专用产品的安全管理,该目录项下的网络关键设备、网络安全专用产品类别须经过具有相关资质的认定机构按照国家标准的强制性要求进行安全认证后方可对外提供、销售,该目录的公布不具有规定“网络关键设备和网络安全专用产品是什么”或“目录之外均不属于网络关键设备和网络安全专用产品”的内在意旨,更非对“计算机信息系统安全保护措施”作出定义式限定,辩护人以验证码不在该目录中而否定其安全保护属性的意见,故不予采纳〔2〕张鑫、陈天明、张朝荣等提供侵入、非法控制计算机信息系统程序、工具罪案,浙江省绍兴市越城区人民法院(2018) 浙0602 刑初101 号。。
五、网络安全法治与标准化科学结合的建议
网络安全标准之所以能够增强法治效能是其对《网络安全法》的补充与支撑作用。而该作用的发挥又依赖《网络安全法》及其配套法规对标准援引规定的完善程度。《网络安全法》对如何援引标准及标准怎样发挥规范效力等问题规定得越细,标准条款适用得越规范,标准对法治效能的作用越明显。由中央网信办、国家质检总局、国家标准委三部门联合发布《关于加强国家网络安全标准化工作的若干意见》明确要求“推动网络安全标准与国家相关法律法规的配套衔接”。两者就像一对相互咬合的齿轮相互带动也相互制约。我国应该重视规范网络安全法律规范与标准规范之间的衔接,建立健全《网络安全法》与网络安全标准的良好协调机制。对此,可以从以下三方面加以完善,防止标准“异化”法治:
(一) 设立更新机制,标准要符合立法目的
可以借鉴国外技术法规的先进经验,完善网络安全标准的引入和退出机制。在欧美日等国家,技术法规是按法律规范的程序由政府制定和发布并由政府强制实施的一系列行政法规,其规定的范围都是涉及人类健康安全、动植物安全、环境保护、国家安全等目标〔1〕参见刘春青:《美欧日技术法规体系共性研究及其对我国的启示》,载《标准科学》2010 年第2 期,第69~77 页。。对于技术中立的自愿性标准,各国立法者可根据立法意图来决定采用与否;一旦不符合立法目的,又回归到自愿性标准〔2〕刘春青、于婷婷:《论国外强制性标准与技术法规的关系》,载《科技与法律》2010 年第5期,第42 页。。相比于我国《网络安全法》以全国人大审议通过的法律来援引网络安全标准,国外技术法规对标准的吸纳更加形式多样、方式灵活。我国《网络安全法》援引技术标准既不改变标准属性,也不是立法权任意扩张,主动权仍掌握在立法者手中。因此,可以借鉴国外技术法规吸纳标准的方式,除了通过“标准条款”明确规定外,对虽没有明确规定但符合立法目的且在实践中被默认适用的标准,明示给予纳入援引范围;对于不符合立法目的的标准,及时给予退出援引范围。这样,让网络安全标准在符合立法需要时被援引以完成法律规范的使命任务,在不符合立法需要时被退出以回归到技术规范的职责范畴。
(二) 明确授权范围,援引要符合程序规则
有针对性明确援引标准类别和范围,明确网络安全标准的规范效力和适用规则。当前,我国网络安全领域初步建立了网络安全标准和认证认可的体系规范。随着5G、物联网等互联网技术的快速发展,金融、工控、教育等各个专业领域的网络安全标准将更加丰富。面对日益庞大的网络安全标准体系,我国《网络安全法》目前援引标准的模式,对于谁有权力决定是否适用标准、适用哪个标准以及适用标准的法律后果如何等并没有具体适用规则,就很导致网络运营者、执法机关和司法机关在适用法律条款时选择参照的标准不明确、不统一。特别是网络安全监管者在执行涉及标准法律条款时,可自由裁量选择适用标准,选择不同的鉴定测评机构进行合标检测,选择的不同将影响合标与违标的公正判断。因此,对于网络安全中涉及国家安全、社会安全、公民基本权益等基础领域,法律应该具体明确援引标准的类别和范围,尽快出台《网络安全法》援引标准的程序规定,以法的形式明确援引网络安全标准的类别范围、适用规则及其规范效力,为行政执法和司法裁判适用标准提供具体参照。
(三) 建立救济途径,合标要经过司法审查
欧盟《网络安全法案》规定了申述权与处罚。我国法律也需借鉴欧盟《网络安全法案》建立认证、合标相关的救济渠道。同时,民事、行政、刑事司法审判中要对标准进行审核。网络安全标准虽然具有较强的科技专业性,大多数法官并不是网络技术领域的专家,不擅长对涉及网络技术领域的标准进行分析,但这并不必然说明法院不可能对标准进行审查。究其本质而言,标准并不是一种法律渊源,只是一种技术文件,法院完全可以对其进行审查。例如,当公安机关依照《公安机关互联网安全监督检查规定》(公安部令第151 号) 第十条依照有关标准进行监督检查时,法院就可以对行政行为所依照的有关标准进行审查,包括对标准文件合法性的实体性审查和对依标行政行为的程序性审查。具体而言,其一,对标准的实体内容进行审查,从标准制定的必要性和可行性的角度,对行政机关执法过程中适用标准的合法性进行审查,主要是审查执法依据是否符合上位的法律、行政法规的规定,然后将审查的过程与结果作为法院判决说理的组成部分。其二,对标准的适用程序进行审查,一方面审查行政机关在运用标准实施行政管理行为的程序是否合法,另一方面也可审查标准本身的制定程序是否合法。
结语
在网络安全领域,《网络安全法》与网络安全标准是不同规范。为了维护网络安全秩序,法律本身并不直接规定所涉及的技术问题,而是以援引方式将其交予标准解决,标准由此成为法律在网络空间安全治理中不可缺少的工具。从作用上看,网络安全标准可以弥补立法局限,为《网络安全法》实施提供技术支撑作用;从效果上看,网络安全标准影响着《网络安全法》的可适用性和实施效能。可见,网络安全标准与法治之间呈正相关关系,标准质量高,则法治水平高;反之,亦然。“随着新的标准的采纳,技术将继续推动法律产生变化,从这个意义上看,掌控了互联网的新技术标准也就掌控了未来法律的方向。”〔1〕张平:《互联网法律规制的若干问题探讨》,载《知识产权》2012 年第8 期,第16 页。因此,我国在加强网络安全法治化的同时,要注重援引网络安全标准,积极采纳最新标准化成果,使技术规范与法律规范相得益彰共同发挥治理作用,以提升我国网络安全总体保障能力。同时,加强标准与法律融合的理论研究,从网络安全标准作为标准化的专门领域看,可为“标准对法律具有支撑作用”提供理论经验;从网络安全标准作为法律系统之外的规范看,则为“社会规范如何与法融合发挥作用”提供例证示范。