龙卫球:我国网络安全管制的基础、架构与限定问题

——兼论我国《网络安全法》的正当化基础和适用界限
选择字号:   本文共阅读 518 次 更新时间:2017-05-26 08:16:06

进入专题: 网络安全法   网络安全管制  

龙卫球 (进入专栏)  

   内容提要:我国《网络安全法》奉行着一种关于网络安全治理的强监管理念,在当今世界的网络安全专门立法中可谓独树一帜,系以一个更加多层次的综合化的网络安全概念为面向,重在强化国家对于网络安全的管制力。其体系架构,在原则上体现为一种由复杂原则组合指导的特点,但格外强调国家管理的本位性和直接性;在管制事项上则体现为名目繁多,内容绵密,并呈现不少独特的体制特色。所以,为了有效而合理地实施《网络安全法》,应当深刻理解有关网络安全管制正当化基础及其演化,更加准确地解读和把握我国网络安全管制的内在基础和外在边界,并且还要特别注意实施中的目的体系、行政权属性以及网络技术架构等限定问题。

   关键词: 网络安全法;网络安全管制;管制框架;正当化基础;适用限定

  

一、导言:网络安全管制的释义问题

  

   近年来网络安全管制观念有了重要发展。随着全球范围移动互联网、云计算、大数据、物联网等新一代信息技术风起云涌,网络空间发展提升到一个前所未有的新阶段。网络普及化、商业化、实境化程度远非以前可比,不仅人们一般的生产生活网络化,个人财产和隐私与网络系统紧密相联,而且国家的重要基础设施运营越来越依赖于网络信息系统,国家安全、社会安全和经济安全也越来越与网络信息系统相关。此外,网络的国际关联性和互动也愈加复杂,导致复杂的网络空间国际竞争和合作的要求。这些,使得网络安全事件的破坏性和威胁程度更加严重,网络安全建设的基础性、保障性更加凸显。

   这种背景下,主要网络大国一反过去对于网络安全专门立法的犹豫,在构建网络安全管制体系方面似乎有了默契,纷纷出台专门的网络安全法,赋权确立国家网络安全管制的正当性,强调发挥国家在网络安全管制中的作用。美国在2015年12月18日通过了《网络安全法》,作为《2016年综合拨款法案》中的一部分,重点确立了规制网络安全信息共享的较为完备的体系,首次明确网络安全信息共享的范围包括“网络威胁指标”(Cyber Threat Indicator,CTI)和“防御性措施”(Defensive Measure)两大类,规定网络安全信息共享的参与主体、共享方式、实施和审查监督程序、组织机构、责任豁免及隐私保护规定等,同时通过修订纳入2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项。欧盟在2016年7月6日由议会正式通过了《网络与信息系统安全指令》,8月8日正式生效,责令欧盟国家必须在此后21个月内转化为国内法,并确立了多项制度,包括:实行网络与信息安全国家战略管理、增强欧盟国家间网络安全战略合作与跨境协作、建立计算机安全事件响应团队,并建立欧盟合作网络、区分基本服务运营者和数字服务提供者分别赋予的不同监管义务(前者为重监管,后者为轻监管)、针对不同主体建立不同程度的网络安全事件报告制度、鼓励产业发展并将小微企业排除监管之外等。

   我国在2016年11月7日出台了《网络安全法》,2017年6月1日起正式施行,堪称一部全面规范网络空间安全管理方面问题的基础性法律。这部立法确立了一个更加系统、更加强大的国家网络安全管制框架,因此也受到国内外同行的密切关注。全法分7章,总计79个条文,第1章为总则,第2章为网络安全支持与促进,第3章为网络运行安全,第4章为网络信息安全,第5章为监测预警与应急处置,第7章为法律责任,第7章附则。我国《网络安全法》的出台,从立法上确立了我国网络安全管制的依据,然而从法律实施的角度来说,却依旧存在理论释疑的必要。因为从世界网络发展和治理的过程来看,当前的网络安全法的管制理论本身是从历史争议中一路走来的,确立专门网络安全管制框架特别是赋予国家和政府主导管制之力,毕竟是一种重大观念和体制突破,这种突破绝对不会是没有边界的。因此,我们还需要深入研究相关规范,以求更加基础的理解,这样才能更加准确地把握好立法赋予的国家管制内涵和界限,便于下一步更好地组织好这部法律的实施。为此,本文下面拟就我国《网络安全法》确立的网络安全管制的基础、内容框架及其限定性问题进行重点探讨,以期提供有益的参考。

  

二、网络安全管制的正当化基础及其演化

  

   网络安全管制是网络管制诸中最为敏感的问题之一。网络安全管制区别于网络其他可管制事项而更令人敏感,不在于网络安全保障本身对于网络空间而言是否具有根本性,而在于人们对于是否应当基于网络安全需要而加以特殊管制的正当化基础的认识上面,对此存在重大的辨识分歧。

   网络理论家在早期网络体验中,持有一种网络自由且不可管制的信念,认为网络空间具有一种天生抗拒管制的能力,是不可管制的并且也是不应被管制的,政府对于网络空间施加管理的必要和能力都极为有限。这种网络不可管制以及不受管制思想,很快在网络现实发展的面前逐渐变得不切实际。随着网络普及到社会的方方面面,并且不断升级换代,网络空间变得复杂起来,不仅产生了网络复杂的人际关系,还与真实世界互动日益密切。这些,不仅导致关于既有网络空间本身的观念发生变化,也使人们认识到网络普及化之后网络世界和真实世界之间存在越来越多的交集。特别是在网络商业化利用出现之后,建立在追求所谓“最小化”的、以技术中立、开放共享为表达的TCP/IP通讯协定基础上的网络空间,其发展越来越呈现一种经济利益主导的受商业利益控制的倾向。新的网络系统为迎合商业化的需要,不断地在应用层加入各种控制结构。 在这种情况下,人们产生了有关网络空间的新管制观念,网络可管制以及应该受到管制的思想逐渐兴起。

   网络安全问题是网络的同生事物,在早期虽然也时有发生,但是并不受重视,大概也是因为当时的网络更像是一种自娱自乐空间而尚未汇集复杂的利益关系之故。网络安全问题首先作为一种事实得到认识,作为一种存在现象,网络安全成为进入网络时代以来的不可避免一种灾害或危害事实,并且不断升级、复杂化,形成了网络设备安全、网络软件安全、网络信息安全等形态。但是,如果从具体的原因来看,网络安全问题则存在区分,这些作为事实形态而表现的网络安全问题,既可以是纯技术的安全事实,例如基于技术原因而产生的各种网络漏洞、网络缺陷,也可以是人为的安全事实,从黑客入侵、爬虫搜索、病毒攻击(如蠕虫病毒、木马病毒)等,到通过网络或介入网络,针对他人的财产、人身进行攻击、侵害甚至犯罪。所以,对于网络安全问题,不能局限于事实层面而应该深入到利益关系中去思考。网络技术和应用发展到一个阶段之后,特别是随着网络空间不断社区化、商业化乃至实境化,网络空间滋生出各种利益关系且不断复杂化,网络空间与真实空间的互动也日趋密切,网络空间安全问题也同样影响越来越大。关于应对网络安全问题的意识随着网络安全事件不断升级也就不断得到强化。 按照美国政府在关于网络安全的立法建议中的说法,当今时代网络和计算机安全之所以被认为十分重要,其原因至少体现在两个方面:一是信息技术进步和电子商业发展越来越扮演重要的作用,使得网络安全成为经济的一个关键要素;二是网络安全对于美国应急反应等安全系统和国家能源设施等关键系统来说,已经至关重要。

   人们虽然相信网络安全重要,但是对于是否需要专门赋予政府一套网络安全管制权力,却一直存在疑虑,担心一旦允许国家以网络安全为名建立专门的管制,把握不好可能会变成一种国家对于网络空间的任性管理。这里,产生疑虑的原因,既有管制理论上的困惑,更有现实中对于政府可能借用安全问题而擅用扩权的畏惧。所以,很长时期以来,一种观点认为,网络安全的治理不应该有特殊性,从管制基础和范围来说,只需将一般法律关于安全的治理规则推及网络空间即可,这些法律如国家安全法、刑法、侵权法中的有关安全的规则等,没有必要通过专门立法来确立一套所谓的网络安全专门管制体系。这种观点反对专门的网络安全立法,认为这样只会导致任意增加政府权力而没有效率,进而添加网络负担,甚至妨碍网络发展。例如,来自美国网络信息技术机构的代表和网络政治家就激烈反对政府管制论,美国信息技术协会主席Haris Miler、TechNet的总裁 Rick White等呼吁,在所谓网络安全问题上,过多的政府规制会对网络企业通过革新提升网络安全能力带来阻碍或限制,或者影响其灵活性。所以,美国国会和联邦政府早期虽然试图发起一些网络安全管制方面立法,但是多数没有成功,那些立法议案失利的主要原因,是遭到网络企业代表等方面对政府管制的警惕和反对。

   遗憾的是,网络安全的恶性事件不断,特别是在2010年之后大量的全球范围网络安全事件的发生和带来的巨大破坏,促使人们反思:仅仅寄希望于网络企业和民间力量似乎是不够的,在市场力量和政府力量之间应该有所平衡。此外,2013年斯诺登事件出现之后,人们甚至一些国家政府还意识到,网络安全治理需要应对的,还有国家任意行为问题,网络安全管制包括对国家行为的管制。在这种背景下,主张通过专门的网络安全立法,确立国家和政府主导的管制体系以有效应对网络安全问题的观点,逐渐占据上风。这些观点,有的是从网络活动的价值追求和利益保护的角度,有的是从管制技术效用的角度,有的则是从其他的正当化辨识角度,支持通过立法建立政府主导的网络安全管制体系。例如在美国,政府官员和网络安全专家,包括著名的 Richard Clarke、Bruce Schneier、Rick Boucher等,就属于力推政府应当介入网络安全管制的代表人物,他们极力主张应当通过建立政府特别管制来提升网络安全。他们认为,私有机构已经失败于自己解决网络安全问题,所以需要引入政府的规制,通过具有威胁性的规则或者经济刺激等办法,以便让私有机构有压力或动力去采用或写出更加安全的软件或代码。最终支持加强政府管制的观点,在世界范围推动了一轮网络安全立法,主要网络国家包括日本、美国、欧盟等,2014年之后纷纷做出立法决断,纷纷出台专门的网络安全法,尽管架构和范围不尽相同,但都呈现了一种强化政府管制权力的趋势。我国2017年《网络安全法》也是在这股浪潮中应运而生,旨在通过确立强大的政府管制手段,以便应对当下非常复杂、非常重要的网络安全治理需要。


三、我国网络安全管制架构:概念、原则和事项的分析视角

  

   我国《网络安全法》的治理基础,系以一个更加多层次的综合化的网络安全概念为面向,重在强化国家对于网络安全的管制力。其架构原则,体现为由复杂原则组合指导的特点,一定程度上考虑了网络技术和组织特点而照顾多样化协同治理的需要,但关注点在于如何指导构建一套体现国家地位的强管制架构;其管制事项,名目繁多,可谓体系广泛而内容绵密。

   (一)《网络安全法》管制的概念面向

《网络安全法》既以管制“网络安全”作为对象,可见该概念的界定处于体系解释的中心位置。《网络安全法》第 77条对“网络“和“网络安全”进行了法律界定,意在避免法律适用的模糊性。即,“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,(点击此处阅读下一页)

进入 龙卫球 的专栏     进入专题: 网络安全法   网络安全管制  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/104473.html
文章来源:《暨南学报(哲学社会科学版)》2017年第5期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2018 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网