【編者按】美國在剛發(fā)布的《國家網(wǎng)絡戰(zhàn)略》中�,公開點名俄羅斯�、中國�、伊朗和朝鮮等國,反映出濃厚的網(wǎng)絡霸凌主義色彩��。當前�,反制霸凌主義�,當務之急是要加快我國網(wǎng)絡安全相關立法的步伐���,以法治手段穩(wěn)步推進網(wǎng)絡安全建設���。
當前網(wǎng)絡安全立法工作的三個重點
天津大學法學院副院長 藍藍
2018 年 9 月 18 日,美國發(fā)布了特朗普政府首份網(wǎng)絡安全戰(zhàn)略報告《國家網(wǎng)絡戰(zhàn)略》��,這份戰(zhàn)略報告在維護多利益攸關方治理模式����、實施網(wǎng)絡威懾、維護互聯(lián)網(wǎng)自由��、加強志同道合國家的合作�����、重視關鍵基礎設施等方面��,均繼承了奧巴馬政府時期的關鍵理念�,體現(xiàn)出網(wǎng)絡治理政策的一致性和連貫性��。戰(zhàn)略報告通篇都在強調美國利益至上�,這符合特朗普上任以來一貫強硬的表現(xiàn)����,同時也是他為自己爭取政治籌碼���、在中期選舉中拉攏選民的重要手段����,對此我們應當正確看待�����。
在這份《國家網(wǎng)絡戰(zhàn)略》中��,美國公開點名俄羅斯�����、中國�、伊朗和朝鮮等國,用非常霸道�、蠻橫的語言橫加指責,試圖將自己包裝成一個純粹的網(wǎng)絡安全受害者���,反映出濃厚的網(wǎng)絡霸凌主義色彩�。“打鐵還需自身硬”,反制霸凌主義的硬道理就是更好更快發(fā)展��。具體到網(wǎng)絡安全�����,當務之急是要加快我國網(wǎng)絡安全相關立法的步伐�����,以法治手段穩(wěn)步推進網(wǎng)絡安全建設�����。筆者認為�����,當前網(wǎng)絡安全立法工作應當關注如下三個重點:
一����、進一步完善《網(wǎng)絡安全法》這部基本立法
2016 年 11 月 7 日��,全國人大常委會表決通過了《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)���,該法的出臺在我國網(wǎng)絡治理進程中具有里程碑式的意義���。作為我國第一部網(wǎng)絡安全的專門性綜合性立法��,它提出了應對網(wǎng)絡安全挑戰(zhàn)這一全球性問題的中國方案����,使網(wǎng)絡安全從此有法可依����。但我們也應當看到,這部基本立法還有一些亟待完善和明確之處���。試舉兩例說明�����。
比如�����,“網(wǎng)絡安全”的范圍如何來界定���?《網(wǎng)絡安全法》附則部分第 76 條對網(wǎng)絡安全內涵進行了界定��,但這部法律要想在實踐中很好地應用�����,還需要明確網(wǎng)絡安全的準確外延�����,這個問題是整部立法的核心所在����。在這個問題上�,我認為要特別關注中美兩國對“網(wǎng)絡安全”的不同理解。在美國���,傳統(tǒng)意義上的網(wǎng)絡安全主要指信息系統(tǒng)安全�����,防范的是未經(jīng)授權侵入信息系統(tǒng)的行為�����,側重于對數(shù)據(jù)及關鍵網(wǎng)絡基礎設施的保護�。2015 年年底�,美國國會通過了《網(wǎng)絡安全法案》,該法案對“網(wǎng)絡安全”的范圍作了一定的擴展�,由單一的“信息系統(tǒng)安全”調整為“信息系統(tǒng)安全和網(wǎng)絡數(shù)據(jù)安全”兩部分,但是總體說來�,美國的“網(wǎng)絡安全”仍然屬于“小安全”的范疇。而中國的“網(wǎng)絡安全”則是“大安全”的概念�,其本質上是從主權的高度出發(fā),防御以網(wǎng)絡為手段對政治����、經(jīng)濟、文化和社會等實施的內外部威脅�����,因此其范圍要遠寬于美國���。筆者主張���,對“網(wǎng)絡安全”外延的界定不宜過寬,這一方面是考慮到網(wǎng)絡安全監(jiān)管的可行性和實效�����,另一方面也是網(wǎng)絡安全國際合作與對話的實際需要。
另一個例子是《網(wǎng)絡安全法》配套規(guī)定的出臺�。《網(wǎng)絡安全法》的某些條款將若干核心問題留給了相關部門進一步制定具體的制度措施����,作為該法的配套規(guī)定,包括第二十一條規(guī)定的網(wǎng)絡安全等級保護制度��,第二十三條規(guī)定的網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄�,第三十一條規(guī)定的關鍵信息基礎設施的具體范圍和安全保護辦法,第三十七條規(guī)定的個人信息和重要數(shù)據(jù)出境安全評估辦法等�。目前,國家網(wǎng)信辦已發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》(2017 年 4 月 11 日)�、《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》(2017年 5 月 2 日)、《關鍵信息基礎設施安全保護條例(征求意見稿)》(2017 年 7 月12 日)����,全國信息安全標準化技術委員會發(fā)布了《信息安全技術數(shù)據(jù)出境安全評估指南(草案)》(2017 年 5 月 27 日),公安部發(fā)布了《網(wǎng)絡安全等級保護條例(征求意見稿)》(2018 年 6 月 27 日)等等��。對于這些正在密集制定或已發(fā)布征求意見稿的配套規(guī)定����,我們需要注意兩點:一是配套規(guī)定要遵從上位法的規(guī)定��,二是配套規(guī)定之間應當協(xié)調一致�,不能相互矛盾��。之所以如此說��,是因為實踐中已經(jīng)發(fā)生了配套規(guī)定與上位法之間的矛盾現(xiàn)象����?���!毒W(wǎng)絡安全法》第三十七條只要求“關鍵信息基礎設施的運營者”在業(yè)務需要時,對其在中國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)進行出境安全評估�����,而《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》第二條則將出境安全評估的適用對象擴大到了“網(wǎng)絡運營者”��,這種擴大是否妥當值得商榷����。在《網(wǎng)絡安全法》的適用中,我們要對這些問題進行充分思考��、合理把握。
二�、全面啟動網(wǎng)絡安全的區(qū)域性立法和行業(yè)性立法
《網(wǎng)絡安全法》作為一部基本立法,規(guī)定了網(wǎng)絡安全中最為基本的事項����,具有普遍性和一般性,但這還遠遠不夠����,我們還需要進行區(qū)域性和行業(yè)性的專門立法,以提高立法的針對性與可適用性�����。
從區(qū)域性立法來看�,京津冀地區(qū)網(wǎng)絡安全的一體化立法就值得考慮。京津冀地區(qū)是我國經(jīng)濟最具活力��、開放程度最高�����、創(chuàng)新能力最強���、吸納人口最多的地區(qū)之一��,是拉動我國經(jīng)濟發(fā)展的重要引擎�����,被公認為繼長三角���、珠三角之后中國經(jīng)濟發(fā)展的“第三極”�。北京作為國家的政治中心�、文化中心���、國際交往中心和科技創(chuàng)新中心��,其核心地位更是不言而喻�,也正因如此���,它極易成為網(wǎng)絡攻擊的目標����,一旦發(fā)生網(wǎng)絡安全事件���,其后果將不堪設想���?���?梢?����,以北京為中心的京津冀地區(qū)在國家網(wǎng)絡安全戰(zhàn)略中占據(jù)著舉足輕重的位置���,有必要將京津冀網(wǎng)絡安全一體化立法問題納入視野�����。此外�,京津冀網(wǎng)絡安全一體化立法也是落實京津冀協(xié)同發(fā)展戰(zhàn)略的具體舉措�����。協(xié)同發(fā)展戰(zhàn)略自 2014 年2 月 26 日提出以來��,歷經(jīng)四年多的發(fā)展�,已在交通一體化、生態(tài)環(huán)境保護���、產(chǎn)業(yè)升級轉移等重點領域率先取得突破���,開始步入“快車道”�,當下需要尋找新的有力的突破口����,網(wǎng)絡安全領域正是一個非常好的選擇。一方面是因為網(wǎng)絡無邊界���,網(wǎng)絡安全整體上是“一盤棋”��,在協(xié)同發(fā)展�、一體化推進方面具有得天獨厚的優(yōu)勢���,在打破三省市行政壁壘時遇到的阻力會較小��;另一方面���,京津冀地區(qū)也是我國信息產(chǎn)業(yè)發(fā)展的重要集散地����,2016 年 10 月又獲批為跨區(qū)域類國家級大數(shù)據(jù)綜合試驗區(qū),因此�����,在網(wǎng)絡安全的人才���、技術和企業(yè)分布等方面都占據(jù)著明顯優(yōu)勢�,同時也帶來了網(wǎng)絡安全一體化立法的巨大需求和動力����。
另一方面,行業(yè)性網(wǎng)絡安全立法也必須得到高度重視�。根據(jù)《網(wǎng)絡安全法》的相關規(guī)定,該法的主要適用對象包括網(wǎng)絡運營者和關鍵信息基礎設施運營者���。其中�����,《網(wǎng)絡安全法》附則部分第 76條對于“網(wǎng)絡運營者”作了定義��,但該定義幾乎適用于所有擁有或管理其網(wǎng)絡的中國企業(yè)����,可以說,任何企業(yè)在中國通過運營網(wǎng)絡開展業(yè)務��,及提供服務或收集數(shù)據(jù)的���,就很可能包含在此法之內��。但我們必須看到��,不同行業(yè)的網(wǎng)絡經(jīng)營者在網(wǎng)絡安全方面負有的義務和責任應當是不同的����,需要區(qū)別對待�����,因而需要在《網(wǎng)絡安全法》的統(tǒng)領下����,分別制定適用于本行業(yè)的具體細則或規(guī)定��,如此方可使《網(wǎng)絡安全法》的落實更加到位���。
三���、深化個人信息保護立法的相關理論研究
網(wǎng)絡安全的重要內容之一是信息安全����,個人信息安全則是信息安全中的“重頭戲”�����。事實上���,我國個人信息保護立法在 2003 年就提上了議事日程���,數(shù)個版本的《個人信息保護法》(專家建議稿)業(yè)已問世。不過����,出于多種原因,個人信息保護立法的進程一度停滯�����。今年 9 月 7日����,十三屆全國人大常委會正式發(fā)布未來五年的立法規(guī)劃��,我們很高興地看到��,個人信息保護法被列入到了一類項目中���,屬于立法條件比較成熟、在本屆人大任期內擬提請審議的立法項目����,這意味著個人信息保護立法的出臺已經(jīng)指日可待。在這樣一個重要的歷史時期�,學界應當對個人信息保護立法可能涉及到的一些重點問題展開深入研究。這些問題包括:個人信息保護法的性質及立法體例���、個人信息的內涵與外延�����、個人信息保護等級的劃分����、個人信息權的確認與性質�、個人信息權的權能、個人信息權的保護�、個人信息利用與保護之間的平衡等。需要特別指出的是�����,個人信息保護的理論研究在十多年前曾經(jīng)是一股熱潮��,涌現(xiàn)出了不少研究成果�����,但當下的研究不應當是已有研究的簡單重復��,而應當是老問題新對策�����。原因很簡單:時過境遷���,我們已經(jīng)從當時的小數(shù)據(jù)時代跨越到了人工智能時代�,個人信息保護問題所生長的土壤已然有了本質的區(qū)別���,因此必須要結合大數(shù)據(jù)�����、人工智能���、量子科學�����、區(qū)塊鏈等新興技術的應用進行探討��,千萬要杜絕新瓶裝老酒���;此外,國際形勢和國內狀況也較十多年前有了顯著的變化��,我們一定要密切關注他國關于個人信息保護的立法與研究動態(tài)��,對國內相關立法與近期研究成果也要進行細致梳理和縝密分析����。總之�,要在全新的時代背景下開展研究,以結出豐碩的理論之花�����,為科學立法提供充足的依據(jù)。
本文刊登于《網(wǎng)信軍民融合》雜志2018年10月刊
在線咨詢
在線咨詢
0371-63319761
