以立法保障網絡安全是國際社會的共識。早在上世紀90年代,我國就開始了網絡安全立法工作,在基礎信息網絡安全、計算機信息系統安全、網絡信息保護、打擊網絡犯罪等方面出臺了多部法律規范。當前,我國不是沒有網絡安全法律法規,而是缺乏一個完善的法律制度體系,尤其是缺乏一部能統籌網絡安全各種關系的基本法。2015年7月6日,全國人大全文公布了《中華人民共和國網絡安全法(草案)》(以下簡稱“網絡安全法草案”),標志著我國網絡安全立法進入了一個新階段。總體來看,該草案涉及內容廣泛,亮點突出,但同時也有一些不足,還需要進一步修改完善。
網絡安全法草案亮點突出
一是明確提出維護網絡空間主權。網絡空間主權是國家主權在網絡空間的體現和延伸。草案明確將“維護網絡空間主權和國家安全”作為立法目的,是將網絡空間安全提升到國家主權高度。
二是將現有行之有效的制度上升為法律,與已有法律法規實現了較好銜接。在草案之前,我國已經出臺了多部網絡安全法律法規,如《關于加強網絡信息保護的決定》、《電子簽名法》、《計算機信息系統安全保護條例》、《互聯網信息服務管理辦法》等。確立了諸如信息安全等級保護、信息安全專用產品認證、個人信息保護等制度,這些制度在實踐中被證明是切實可行且行之有效的。對于這些制度,草案都將其上升為法律,還根據實踐完善了相關制度。這樣做,一方面與專門立法呼應、很好地銜接已有法律法規,另一方面提升原有的立法層級,為網絡安全工作提供更充分的法律保障。
三是確立關鍵信息基礎設施安全保護制度,對關鍵信息基礎設施進行重點保護。以立法手段保護關鍵信息基礎設施是國際上的通行做法。草案將關鍵信息基礎設施作為國家網絡安全保障的核心內容,定位十分準確。草案一方面明確了關鍵信息基礎設施的保護范圍,基本與美等國外規定一致;另一方面確立了一些新的制度,如采購網絡產品或服務要通過安全審查、向境外提供數據要進行安全評估、網絡安全風險檢測評估、定期應急演練、威脅信息共享等,都是國外實踐中有效或積極推進的制度,初步構建起了關鍵信息基礎設施保護制度體系。
四是納入網絡安全戰略規劃、人才培養、技術研發、標準制定等綜合性內容。從美國等國家看,網絡安全立法普遍經歷了一個由點及面、由具體到綜合的過程,人才培養、技術研發、意識教育等成為近年來各國立法的重要關注點。例如,2014年底美國公布的《網絡安全增強法》中,主要對技術研發、意識教育、從業人員培養、標準規范等作了規定;我國網絡安全立法目前還主要是針對某一領域的專門立法,對上述綜合性內容關注較少。草案將這些內容納入,符合其網絡安全基本法的定位,為下一步工作開展提供了法律支撐。
網絡安全法草案的主要不足
一是法律調整范圍的表述不夠準確。草案第二條規定“在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用本法。”現有表述將網絡的建設、運營、維護和使用行為都納入了調整范圍,過于寬泛。草案的本意應當是在建設、運營、維護和使用網絡過程中維護網絡運行安全的行為適用本法,不是將所有的建設、運營、維護和使用網絡行為都納入。按照現有表述,電信網絡、廣電網絡的建設、運營、維護和使用都屬于本法調整范圍,但上述行為事實上應當由電信條例等相關法律法規調整。而且,草案第六十五條關于網絡的界定也不夠準確,現有表述陷入了“網絡是網絡和系統”的邏輯錯誤,使得法律的適用范圍更為模糊。
二是對政府信息系統安全沒有涉及。在網絡空間國家對抗日趨嚴峻的形勢下,保護政府信息及信息系統對國家安全至關重要。盡管美等國家都將政府信息系統納入關鍵基礎設施范圍,但都有專門立法對政府信息及信息系統安全進行規定,涉及年度安全評估、政府采購產品和服務滿足相應要求等。我國目前此方面的規定很少,雖然采取了減少政府機關互聯網連接點數量、嚴格政府信息技術服務外包安全管理等措施,但卻缺乏相關立法,草案對此也未有涉及,可增加一兩條對政府信息及信息系統安全相關制度作出規定。
三是個人信息保護未反映大數據時代的特點。大數據給個人信息及隱私保護帶來巨大挑戰,主要是數據收集無處不在,數據用途不斷被挖掘,個人信息和非個人信息越來越難以區分。面對這些挑戰,原有的以“告知與同意”為框架的框架越來越難以發揮作用,美歐等都在積極構建新的個人信息及隱私保護法律制度,如美國提出《消費者隱私權利法案》、歐盟提出《一般數據保護條例》,主要的變革包括增強數據處理活動的透明度、建立數據使用的事后問責機制、擴展數據主體對數據的權利、引入數據泄露通知制度等。草案目前主要側重信息采集方面,對大數據時代數據使用及相關責任涉及較少,可以參照國外立法變革增加相關規定。
四是一些條款較籠統、操作性差。首先,草案第一章、第二章中有些條款停留在口號式呼吁,沒有實質內容,如第八條、第九條第一款、第十三條第二款等。其次,草案雖然納入了人才培養、技術研發等綜合性內容,但這些內容都還較原則。再次,草案第十八條、第十九條明確要符合國家標準和行業標準,但目前行業標準都是非強制性的、國家標準中強制性的標準也少之又少,在此種情況下,如若不點明要符合的標準的話,會導致相關規定流于形式。
完善網絡安全法草案的幾點建議
一是修改關于法律適用范圍的表述,將其限定為“建設、運營、維護和使用網絡過程中維護網絡運行安全的行為,以及網絡安全的監督管理。”
二是在關鍵信息基礎設施保護方面增加條款,明確政府信息及信息系統區別于其他關鍵信息基礎設施保護的特殊要求,如在采購信息技術產品和服務方面、政府信息技術服務外包安全管理方面等。
三是在個人信息保護方面增加條款,明確規定網絡運營者與第三方分享個人信息,應當明確將分享的目的等告知被收集者,并應當確保接收個人信息的第三方遵守本法規定的個人信息保密等義務;一旦第三方泄露、出售或非法向他人提供個人信息的,網絡運營者也承擔相應責任。
四是刪除或修改草案第一章、第二章中口號式呼吁的條款,并在第十八條、第十九條規定由國家網信部門或相關部門明確并定期更新網絡產品和服務、網絡關鍵設備和網絡安全專用產品應當符合的國家標準、行業標準目錄。
此外,目前《刑法修正案(九)》草案也正在征求意見,對于入侵關鍵信息基礎設施造成重大經濟損失、人身傷亡等危害的,可以建議提高法定刑標準,加重對犯罪行為的處罰力度。