網絡安全法(草案)公開征求意見工作在不斷推進,從草案中公布的相關內容以及國外的先進經驗來看,這份立法的涉及內容、關鍵信息基礎的界定以及是否需要大篇幅涉及個人信息保護內容等三個問題值得斟酌。
涉及內容是否需要無所不包?
網絡安全的概念眾說紛紜,歸納看來可以分三個層面來定義:第一層面指網絡層面的安全,主要涉及網絡設施等;第二層面的安全包括網絡層面的安全及信息內容的安全,如違法有害信息處理等;第三層面的網絡安全主要是網絡空間的安全,既包括第一及第二層面,又包括其他因網絡引起的安全,如反恐、網絡詐騙等網絡犯罪等。這三個層面的概念由小到大,依次遞進。
從國際經驗來看,美國沒有統一的綜合性網絡安全法。網絡安全主要由一系列的州和聯邦法規,以及特殊行業立法實現。目前美國50多個州法直接或間接對網絡安全予以規定,并且在內容上主要強調的是網絡層面的安全,包括關鍵基礎設施的網絡安全等。
需要指出的是,美國部分立法中也出現“信息安全”字樣,但其含義與我國立法中信息安全并不一致。我國的信息安全更強調內容安全,而美國的信息安全指的是保護信息及信息系統免于非授權訪問、使用、泄露、干擾、修改或破壞以保障信息的完整性、秘密性及可用性。在《聯邦信息安全現代化法案》中,該概念與網絡安全并沒有實質區別,只是表述不同。
另外,反恐及網絡犯罪等內容各國通常在其他立法中進行規定,而非網絡安全法。如近年英國通過的《反恐及安全法案》,要求互聯網服務提供商和移動運營商保存用戶IP地址并應向監管機構要求提交等。
從我國的網絡安全法草案中“重點對網絡自身的安全作出制度性安排,同時在信息內容方面也作出相應的規范性規定,從網絡設備設施安全、網絡運行安全、網絡數據安全、網絡信息安全等方面建立和完善相關制度”的內容可以看出,我國要立的是一部綜合性的、無所不包的網絡安全法,涵蓋網絡層面安全、信息安全,甚至整個網絡空間安全。
網絡安全的概念界定也是立法的核心問題。當前草案指出,網絡安全是指通過采取必要措施,防范對網絡的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡存儲、傳輸、處理信息的完整性、保密性、可用性的能力,但立法內容遠遠大于此概念,尤其大篇幅闡述個人信息保護,這點需要斟酌。
個人信息保護是否還需濃墨重彩?
個人信息保護是網絡時代的重要法律問題,但是否需要在網絡安全法中占據大量篇幅值得商榷。
當前世界各國個人信息保護立法無非兩種模式,歐盟模式和美國模式,即統一立法與分散立法模式。歐盟各成員國有專門的《個人數據保護法》,美國并沒有統一的個人數據保護法,而是分散在各行業立法中,例如《健康保險可攜帶性和責任法案》、《金融服務現代化法案》、《公平準確信用交易法案》、《兒童線上隱私保護法案》等。縱觀歐美兩種模式,個人信息保護立法或通過專門的《個人信息保護法》解決,或通過各行業分散的立法解決,均沒有通過統一的網絡安全立法來解決個人信息保護問題。
在此問題上,我國已經頒布了一些相應的法律。2012年,我國頒布《全國人大關于加強網絡信息保護的決定》;2013年,工信部頒布《電信和互聯網個人信息保護規定》,《信息安全技術公共及商用服務信息系統個人信息保護指南》正式實施;目前,工信部正在制定《電信和互聯網服務用戶個人信息保護技術要求》等系列標準。總體而言個人信息保護制度已經初步形成,是否還要在網絡安全法中再繼續規范一遍也值得考慮。
事實上,個人信息保護制度與網絡安全制度在某種程度是沖突的。如個人信息保護制度要求在服務結束后盡快刪除個人信息,而網絡安全角度則需要個人信息保留越長越好。
關鍵基礎設施如何過渡到關鍵信息基礎設施?
這份草案提出,國家對提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統,軍事網絡,設區的市級以上國家機關等政務網絡,用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統(以下稱關鍵信息基礎設施),實行重點保護。這里誕生一個新概念,即“關鍵信息基礎設施”。
從美國立法情況來看,僅有關鍵基礎設施概念,并沒有關鍵信息基礎設施的概念。根據美國國土安全局官方解釋,關鍵基礎設施指任何資產或網絡系統,無論是物理設備或虛擬的(系統),只要其失常或者損毀將對美國的安全、國家經濟安全或國民公共健康健全造成嚴重損害,都將視為關鍵基礎設施。2014年2月,美國白宮發布《促進關鍵基礎設施網絡安全機制》。這份文件主要包括三個方面內容:機制核心,機制藍圖,以及機制執行分級。其中,機制核心列出了在關鍵基礎設施領域常見的網絡安全活動,相應的標準和最佳范例等,目的在于促進機構內部不同層級之間(包括高級行政層面和日常運營層面)關于網絡安全信息的溝通。這份文件指出,關鍵基礎設施社群通過信息技術或者工業控制系統對基礎設施功能運行提供支撐服務,對于技術及通信的依靠,IT技術的互連接性及工業控制系統加劇了基礎設施的脆弱性并增加了潛在運行風險。例如,工業控制系統和信息技術中產生的數據正廣泛應用于提供關鍵服務,支持商業決策,網絡安全事故的潛在影響對于相關組織商業、資產、健康及個人安全、環境等影響都需要考慮。
由此可見,美國是定義了“關鍵基礎設施”,隨后指出關鍵基礎設施社群通過信息技術手段或者工業控制系統對基礎設施功能運行提供支撐服務。因此強調了關鍵基礎設施的網絡安全問題。我國草案中并沒有明確定義“關鍵基礎設施”,如何過渡到“關鍵信息基礎設施”值得討論。
建議
建議網絡安全法內容與附則中網絡安全定義保持一致。即網絡安全,是指通過采取必要措施,防范對網絡的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡存儲、傳輸、處理信息的完整性、保密性、可用性的能力。據此定義,網絡安全主要指網絡運行方面安全。而目前草案中大篇幅的個人信息保護內容應刪除,包括第三十七條,公民發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。此類內容并不屬于網絡安全范疇,而屬于個人信息保護法的范疇,可在個人信息保護立法中涉及。
建議細化數據存儲本地化要求。這份草案第三十一條規定,關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲在運營中收集和產生的公民個人信息等重要數據;因業務需要,確需在境外存儲或者向境外的組織或者個人提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。從國際經驗來看,目前僅俄羅斯一項最新法律規定所有收集俄羅斯公民信息的互聯網公司都應當將這些數據存儲在俄羅斯國內,該立法將于2016年實施。但在實踐中,由于互聯網的互聯互通及全球性,這一規定很難實施,且會對產業帶來相應損失。今年巴西曾在相關立法草案提出數據存儲本地化要求,但經過激烈爭論,最終刪除了該規定。當前草案關于網絡數據的概念極為廣泛,網絡數據是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據,此種概念各國立法并沒有先例。目前即使俄羅斯的立法也僅規定個人數據的本地化,因此,建議立法對于數據限定明確范圍,細化數據存儲本地化要求。
建議將用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統納入關鍵信息基礎設施的內容再加斟酌。主要原因在于,關鍵信息基礎設施概念需明確,目前用語模糊,可能所有的網站都可被納入關鍵基礎設施并施加相應義務。
此外,目前草案在預留眾多立法接口,相關概念的統一性及一致性等方面都需要進一步推敲。