龙卫球:我国网络安全管制的基础、架构与限定问题

——兼论我国《网络安全法》的正当化基础和适用界限
选择字号:   本文共阅读 639 次 更新时间:2017-05-26 08:16:06

进入专题: 网络安全法   网络安全管制  

龙卫球 (进入专栏)  

   《网络安全法》在网络一般运行安全要求方面,比较其他国家和地区的规定,确立了较多的管理权力和刚性义务,因此导致网络经营者和用户较重的负担。例如在欧盟指令(NIS Directive),其适用于数字服务提供者的网络安全监管义务,相当于我们的网络一般运行安全义务,总体上较轻且具有灵活性(关于与程度适应的要求),多属于事后监督。 欧盟指令还特别鼓励小微企业(工人在10~50人之间,且年营业额或资产总额在200万~1000万欧元之间为小型,之下为微型)的发展,将之排除在监管之外,明令对于数字服务提供者的网络安全监管义务不适用于小微企业。 许多国家包括欧盟、美国也没有像我国《网络安全法》第二十八条那样宽泛规定一种为依法维护国家安全和犯罪侦查而提供技术支持和协助的义务。 我国《网络安全法》第二十四条关于实行实名制的规定,在立法过程中更是争议颇多,而韩国在2012年就通过宪法法院的一个著名判决推翻了实名制要求,认为实名制或者说身份认证虽然是控制网络安全的一种有效手段,但是另一方面却也可能成为妨碍网络自由、威胁个人信息等的原因。

   4.关键信息基础设施运行的安全保障

   各国都将关键信息基础设施视为网络安全保障的核心部分。这是因为关键信息基础设施不仅对于具体的运营者和用户而言,而且对于整体的经济安全、社会安全甚至对于国家安全而言,都具有至关重要性,并且与国家安全和社会公共利益息息相关,因此国家重点保障其运行网络安全非常必要。 美国在2015年《网络安全法》(该法重点网络安全信息共享制度)之前,就将关键基础设施视为网络安全核心的组成部分,联邦立法虽然一直在努力,但是进展并不顺利。 白宫在2014年初发布《促进关键基础设施网络安全的框架》,提出了实际操作和相关技术标准的指引,成为全球典范。

   我国《网络安全法》与其他国家一样,特别强调保障关键信息基础设施运行的网络安全的要求。第三十一条对“关键信息基础设施”采取了列举加限定的办法,为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”,并且授权关键信息基础设施的具体范围和安全保护办法由国务院制定。从比较法上看,不同国家对于“关键信息基础设施”范围理解并不一致,但大都是从自身据以为国计民生的角度来界定。比如,欧盟界定为能源、运输、银行、金融市场基础设施、医疗卫生领域、饮用水供应及分配、数字基础设施等领域。

   我国《网络安全法》赋予国家在此事项保障运行安全的强大权力或职责。对于关键信息基础设施,除了网络一般运行安全的保障职责之外,还具有以下多项重大保障权力:(1)实行重点保护。(第三十一条)(2)明确专门机构负责规划和监管。(第三十二条)(3)确保设施性能和保证安全技术措施同步。(第三十三条)(4)运营者应当履行特别安全保护义务。(第三十四条)(5)实行国家安全审查。(第三十五条)(7)采购应签订安全保密协议。(第三十六条)(7)实行境内个人信息和重要数据境内存储。(第三十七条)(8)实行运营者安全年检和报告。(第三八条)(9)国家网信部门还应统筹协调其他安全保护措施,包括抽查检测、定期组织进行网络安全应急演练、促进网络安全信息共享、对网络安全事件的应急处置与网络功能的恢复等提供技术支持和协助。(第三十九条)对于上述特殊权力,立法前后也产生不少争议,一种观点认为,这些保障措施特别是其中的审查机制、境内存储要求等过于严苛,没有被立法采纳。

   5.网络信息安全保障

   我国《网络安全法》第4章引入了多层次的信息安全概念,并在第41条至50条,确立了极有特色的网络信息安全保障制度。除了对于用户个人信息安全(立足个人隐私和身份信息利益的安全角度)的重点保障之外,还涉及对“禁止信息”(有害信息)的安全监管。后者立足的不再是个人信息利益保护,而是基于法律和行政法规上的社会安全、经济安全、国家安全的需要,实践中甚至可能超出一般意义的法律范围,扩及到一般的政治安全、文化安全、意识形态安全。 比较起来,其他国家网络安全法关于网络信息安全的监管,没有采用广义的网络信息安全概念,而是以个人信息保护为重点,对于我们所谓的禁止信息问题,根据其涉及的网络言论、商业经营权等问题,认为通常只需要纳入一般法律框架处理即可,而不需要特别监管。

   在比较法上,用户或个人信息安全监管,相对而言是网络安全管制中走得较快、立法上比较容易达成妥协的领域。在许多立法支持者看来,网络信息安全保障规制问题,是处理用户私的权利对网络商业私的权利的关系,和其他问题涉及可能会导致武断赋予政府权力不太一样。欧盟较早就制定了《个人数据保护指令》。 以对网络安全立法比较谨慎的美国为例,关于网络信息安全这一块除了得到许多州法支持之外,也比较早获得一些联邦立法支持。欧盟关于个人信息安全保护措施比较明确,甚至建立了一些新型权利,比如可携带权、遗忘权等;但是在美国,有关联邦立法还是很有阻力,难以明确确立施加所有互联网企业的相应保障义务,目前只是笼统地规定了有关特殊机构(医疗、金融、联邦机构等)需要承担信息安全的保护义务,且缺少具体措施和标准,只要求达到所谓“合理水平”,实践中用户信息保护目前主要靠各州法律、判例和企业自律。

   我国《网络安全法》第四章,总体上可以区分两项监管事项。第一部分是用户信息安全保障,第二部分是禁止信息管制保障。

   (1)用户信息安全保障

   这一部分我国以保障用户信息安全为重心,通过设定网络运营者若干信息安全保障义务、用户享有特别保障权利、禁止窃取等非法针对信息活动以及对接触用户信息的管理机构设置特别保障义务多个方面建立保障体系。

   首先,规定网络运营者负有多项信息安全保障义务。包括:(1)严格保密信息和健全信息保护制度。(2)合规收集和使用信息。 即应当遵循合法、正当、必要、公开、明示、用户同意的原则和要求,禁止超出服务范围收集、违反法律或者约定收集或使用,应当依照法律和约定处理其保存的信息。(3)妥当保全信息。包括:禁止泄露、篡改、毁损收集的个人信息;禁止未经同意向他人提供收集信息(应当采取技术等必要措施确保信息保全,发生泄露、毁损、丢失的信息安全事件应当立即补救并告知用户和向主管机构报告。不过,前两项保全规定不是绝对的,考虑到数据产业的发展,立法为合理加工数据和合法数据交易留下余地,第42条第 1款最后一句立法表述为“但是,经过处理无法识别特定个人且不能复原的除外”。

   其次,规定用户享有多项特殊保障权利,包括删除和更正权。 对于运营者违法或者违约的收集、使用可以要求删除信息;发现运营者收集、存储信息错误可以要求更正。应当注意到的是,这里的删除权与欧盟指令的遗忘权有相似之处,但并不相同,有条件的即以运营者违法或违约为前提。此外,我们没有规定欧盟和其他国家的可携权。

   再次,禁止针对信息的非法活动。 包括:任何组织不得以窃取或其他非法方式获得信息;不得非法出售或提供个人信息。这一规定在《网络安全法》属于不完整规定,其本身在法律责任部分并没有对应的特别责任规定,因此需要依据法律责任部分的第74条等转接规定,作为确立一种法定义务的基础规范而链接其他法律的适用。

   最后,设定管理机构和人员的尽职管理的保障义务。 监管机构和人员对于知悉的信息严格保密,不得泄露、出售或非法提供。

   (2)禁止信息管制保障

   《网络安全法》从第四十六条到第五十条建立了独特的禁止信息管制制度,发布涉及违法犯罪活动的信息或者其他法律和行政法规禁止的信息的,受这一制度管制。

   首先,禁止发布涉及犯罪或者违法的有害信息,包括直接行为,也包括间接行为。第四十六条规定禁止设立用于违法犯罪活动的网站、通讯组群,禁止利用网络发布涉及违法犯罪活动的信息。 第四十八条规定,禁止利用应用软件或设置恶意程序发送禁止信息。

   其次,规定网络经营者负有监管有害信息的义务。第四十七条规定网络运营者对有害信息有加强管理义务,发现情况应当立即停止传输,采取措施防止扩散,并且保存记录并报告。 第四十九条规定网络运营者应当设置网络信息安全投诉、举报机制(包括建立制度公布信息、及时受理和处理等要求,这既适用于用户信息保护,也适用于有害信息管制;同时应当配合有关部门的监督检查。

   再次,规定管理机构依法监管和采取特殊措施的权力。 网信部门和相应机构依法履行监管,发现问题信息,应当要求运营者停止传输或采取消除等处置措施、保存有关记录;对于境外来源应当通知有关机构通过技术等必要措施阻断传播。应该说,这是非常强大的一种准司法权力。

   6.网络安全监测预警与应急处置

   《网络安全法》第五章专章建立监测预警和应急处置制度。应该说,这一制度在国际上属于网络安全增强制度的范畴,已经成为应对网络安全问题的一种非常必要机制的共识要求。但是,对于应该如何建构(刚性还是柔性),以及是否得以赋予国家或政府单方面强大行动权力,则存在许多争议。欧盟和美国在此往往采取双管齐下:一方面,借助其他法律特别是国土安全法等,将其效用延伸到网络安全上来,因为网络上也有国土安全问题;另一方面,基于网络架构的特殊性,除了对政府主导的网络可以直接立法强化其安全增强要求之外(例如美国《网络安全法》相关规定,包括政府之间网络信息共享、国家应急响应、安全评估和报告、安全人事计划等),对于政府控制以外的网络空间,则或基于最大限度尊重商业经营自由和选择的考虑,或基于规则有效的考虑,转而寻求政府与企业共治,通过立法引导和建议,在此问题上引导建立信息共享、应急响应、企业安全人事等机制。

   我国《网络安全法》立足强化政府管制作用,确立了我国网络安全管制中的两大特殊权力:监测预警权与应急处置权,赋予国家和政府在网络应急事项上的事先管理、事中管理的较大行动力。《网络安全法》在第五条原则宣示了这种立场及其目的所在:“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”首先,建立网络安全预测预警机制。授权国家应建立预测预警和信息通报制度,并且授权由国家网信部门统筹协调此项机制;授权负责关键信息基础设施的部门也应当建立相应机制,包括建立健全制度和按规定报送监测预警信息。 其次,建立网络安全应急处置机制。包括:网络安全事故风险评估和应急工作机制、政府在网络安全事故风险增大时的应对机制、建立网络安全事故发生应急处理机制。我国上述网络安全预测预警和应急处置的权力,非常强大。省级以上部门在履职过程中发现风险或发生事故时,还可以约谈运营负责人和责令整改。政府部门对于导致发生突发事件和生产安全事故的网络安全事件,援引《突发事故应对法》、《安全生产法》等处置。 经国务院决定或批准,为维护国家安全和社会公共利益,基于处置突发社会安全事件的需要,可以在特定区域对网络通讯采取限制等临时措施,这相当于一种准司法权力。

  

四、我国网络安全管制实施的限定因素

  

《网络安全法》推崇国家管制功能,建立了一个强大的国家监管体系,通过具体制度设计赋予了国家广泛的事项管制力,要求较高且普遍刚性。 然而,对于这样一部强监管法律,(点击此处阅读下一页)

进入 龙卫球 的专栏     进入专题: 网络安全法   网络安全管制  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/104473.html
文章来源:《暨南学报(哲学社会科学版)》2017年第5期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2019 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网