如何應(yīng)對(duì)網(wǎng)絡(luò)安全威脅已是全球性問(wèn)題,國(guó)際網(wǎng)絡(luò)安全的法治環(huán)境正發(fā)生變革,美歐等網(wǎng)絡(luò)強(qiáng)國(guó)紛紛建立全方位、更立體、更具彈性與前瞻性的網(wǎng)絡(luò)安全立法體系,網(wǎng)絡(luò)安全立法演變?yōu)槿蚍秶鷥?nèi)的利益協(xié)調(diào)與國(guó)家主權(quán)斗爭(zhēng),有法可依成為談判與對(duì)抗的必要條件。2015年《中華人民共和國(guó)國(guó)家安全法》和《中華人民共和國(guó)反恐怖主義法》相繼通過(guò);2015年7月,作為網(wǎng)絡(luò)安全基本法的《中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》第一次向社會(huì)公開(kāi)征求意見(jiàn);2016年11月7日,全國(guó)人大常委會(huì)表決通過(guò)了《網(wǎng)絡(luò)安全法》。立法的迅速推進(jìn)源自我國(guó)面臨國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)的客觀實(shí)際和緊迫需要,標(biāo)志著我國(guó)網(wǎng)絡(luò)空間法制化進(jìn)程的實(shí)質(zhì)性展開(kāi)。
科學(xué)的立法定位是搭建立法框架與設(shè)計(jì)立法制度的前提條件。立法定位對(duì)于法的結(jié)構(gòu)確定起著引導(dǎo)作用,為法的具體制度設(shè)計(jì)提供法理上的判斷依據(jù)。
第一,該法是網(wǎng)絡(luò)安全管理的法律。《網(wǎng)絡(luò)安全法》與《國(guó)家安全法》《反恐怖主義法》《刑法》《保密法》《治安管理處罰法》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)共同組成我國(guó)網(wǎng)絡(luò)安全管理的法律體系。因此,需做好網(wǎng)絡(luò)安全法與不同法律之間的銜接,在網(wǎng)絡(luò)安全管理之外的領(lǐng)域也應(yīng)盡量減少立法交叉與重復(fù)。
第二,該法是基礎(chǔ)性法律。基礎(chǔ)性法律的功能更多注重的不是解決問(wèn)題,而是為問(wèn)題的解決提供具體指導(dǎo)思路,問(wèn)題的解決要依靠相配套的法律法規(guī),這樣的定位決定了不可避免會(huì)出現(xiàn)法律表述上的原則性,相關(guān)主體只能判斷出網(wǎng)絡(luò)安全管理對(duì)相關(guān)問(wèn)題的解決思路,具體的解決辦法有待進(jìn)一步觀察。
第三,該法是安全保障法。面對(duì)網(wǎng)絡(luò)空間安全的綜合復(fù)雜性,特別是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施面臨日益嚴(yán)重的傳統(tǒng)安全與非傳統(tǒng)安全的“極端”威脅,網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)“不可逆”的特征進(jìn)一步凸顯。在開(kāi)放、交互和跨界的網(wǎng)絡(luò)環(huán)境中,實(shí)時(shí)性能力和態(tài)勢(shì)感知能力成為新的網(wǎng)絡(luò)安全核心內(nèi)容。
二、立法架構(gòu):“防御、控制與懲治”三位一體
在上述背景下,傳統(tǒng)上將風(fēng)險(xiǎn)預(yù)防寄托于懲治的立法理念面臨挑戰(zhàn)。為實(shí)現(xiàn)基礎(chǔ)性法律的“保障”功能,網(wǎng)絡(luò)安全法需確立“防御、控制與懲治”三位一體的立法架構(gòu),以“防御和控制”性的法律規(guī)范替代傳統(tǒng)單純“懲治”性的刑事法律規(guī)范,從多方主體參與綜合治理的層面,明確各方主體在預(yù)警與監(jiān)測(cè)、網(wǎng)絡(luò)安全事件的應(yīng)急與響應(yīng)、控制與恢復(fù)等環(huán)節(jié)中的過(guò)程控制要求,防御、控制、合理分配安全風(fēng)險(xiǎn),懲治網(wǎng)絡(luò)空間違法犯罪和恐怖活動(dòng)。
法律界定了國(guó)家、企業(yè)、行業(yè)組織和個(gè)人等主體在網(wǎng)絡(luò)安全保護(hù)方面的責(zé)任,設(shè)專(zhuān)章規(guī)定了國(guó)家網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、信息通報(bào)和應(yīng)急制度,明確規(guī)定“國(guó)家采取措施,監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、入侵、干擾和破壞,依法懲治網(wǎng)絡(luò)違法犯罪活動(dòng),維護(hù)網(wǎng)絡(luò)空間安全和秩序”,已開(kāi)始擺脫傳統(tǒng)上將風(fēng)險(xiǎn)預(yù)防寄托于事后懲治的立法理念,構(gòu)建兼具防御、控制與懲治功能的立法架構(gòu)。
三、制度設(shè)計(jì):網(wǎng)絡(luò)安全的關(guān)鍵控制節(jié)點(diǎn)
美國(guó)大法官霍姆斯說(shuō)過(guò)“法律的生命不在于邏輯,而在于經(jīng)驗(yàn)”。無(wú)論從霍姆斯時(shí)代出發(fā),還是從網(wǎng)絡(luò)社會(huì)領(lǐng)域來(lái)探索,在“堅(jiān)持問(wèn)題導(dǎo)向”的立法原則下,經(jīng)驗(yàn)之于網(wǎng)絡(luò)安全法的作用比邏輯更加根本,更加精髓,更加有推動(dòng)力。全國(guó)人大發(fā)布的《關(guān)于〈中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)〉的說(shuō)明》明確表示,“該法將近年來(lái)一些成熟的好做法作為制度確定下來(lái)”。
《網(wǎng)絡(luò)安全法》關(guān)注的安全類(lèi)型是網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)運(yùn)行安全分別從系統(tǒng)安全、產(chǎn)品和服務(wù)安全、數(shù)據(jù)安全以及網(wǎng)絡(luò)安全監(jiān)測(cè)評(píng)估等方面設(shè)立制度。網(wǎng)絡(luò)信息安全規(guī)定了個(gè)人信息保護(hù)制度和違法有害信息的發(fā)現(xiàn)處置制度。法律制度設(shè)計(jì)基本能夠涵蓋網(wǎng)絡(luò)安全中的關(guān)鍵控制節(jié)點(diǎn),體系較為完備。除了網(wǎng)絡(luò)安全等級(jí)保護(hù)、個(gè)人信息保護(hù)、違法有害信息處置等成熟的制度規(guī)定外,產(chǎn)品和服務(wù)強(qiáng)制檢測(cè)認(rèn)證制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、國(guó)家安全審查制度等都具有相當(dāng)?shù)那罢靶裕蔀樵摲ǖ牧咙c(diǎn)。從制度具體內(nèi)容來(lái)看,部分規(guī)范性?xún)?nèi)容較為細(xì)化,打破了傳統(tǒng)“原則性思路”的束縛,具有較強(qiáng)的可操作性。
《網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)、用戶(hù)信息保護(hù)、網(wǎng)絡(luò)信息安全投訴舉報(bào)等制度,以及網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品認(rèn)證、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)的安全審查、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者信息/數(shù)據(jù)境內(nèi)存儲(chǔ)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者信息/數(shù)據(jù)境外提供安全評(píng)估、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者年度風(fēng)險(xiǎn)檢測(cè)評(píng)估、網(wǎng)絡(luò)可信身份管理、建設(shè)運(yùn)營(yíng)網(wǎng)絡(luò)或服務(wù)的網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案/處置、漏洞等網(wǎng)絡(luò)安全信息發(fā)布、網(wǎng)絡(luò)信息內(nèi)容管理、網(wǎng)絡(luò)安全人員背景審查和從業(yè)禁止、網(wǎng)絡(luò)安全教育和培訓(xùn)、數(shù)據(jù)留存和協(xié)助執(zhí)法等制度。可以看出,一部切合網(wǎng)絡(luò)安全戰(zhàn)略,關(guān)注技術(shù)、管理與規(guī)范的網(wǎng)絡(luò)安全保障基本法,由十多套(部)配套制度共筑框架的法律體系已悄然成型。
四、重中之重:關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度是網(wǎng)絡(luò)安全法若干制度設(shè)計(jì)的核心之一。近年來(lái),世界主要國(guó)家和地區(qū)都陸續(xù)出臺(tái)了國(guó)家層面的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略、立法和具體的保護(hù)方案。以美國(guó)為主的西方國(guó)家都將關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)視為網(wǎng)絡(luò)安全的最核心部分。
《網(wǎng)絡(luò)安全法》在“網(wǎng)絡(luò)運(yùn)行安全”一般規(guī)定的基礎(chǔ)上設(shè)專(zhuān)節(jié)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度,首次從網(wǎng)絡(luò)安全保障基本法的高度提出關(guān)鍵信息基礎(chǔ)設(shè)施的概念,并提出了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的具體要求。
第一,《網(wǎng)絡(luò)安全法》中明確界定了關(guān)鍵信息基礎(chǔ)設(shè)施概念的本質(zhì),即“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益”,并規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍由國(guó)務(wù)院另行制定。這表明,作為網(wǎng)絡(luò)安全領(lǐng)域的基本法,應(yīng)當(dāng)盡可能確保網(wǎng)絡(luò)安全法的穩(wěn)定性而不宜進(jìn)行過(guò)于細(xì)化的條款設(shè)定這一立法需求。而關(guān)鍵信息基礎(chǔ)設(shè)施的范圍將基于國(guó)家安全和社會(huì)運(yùn)行的風(fēng)險(xiǎn)評(píng)估進(jìn)行不斷調(diào)整,即其認(rèn)定范圍遵循動(dòng)態(tài)調(diào)整機(jī)制。
第二,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法是《網(wǎng)絡(luò)安全法》中預(yù)留接口的下位法,也是法律中唯一明確規(guī)定“由國(guó)務(wù)院制定”的行政法規(guī)。我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施法律制度在法律調(diào)整的社會(huì)關(guān)系及調(diào)整對(duì)象上更具復(fù)雜性。政治、法律傳統(tǒng)等國(guó)情的差異導(dǎo)致我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的構(gòu)建不能簡(jiǎn)單照搬外國(guó)的經(jīng)驗(yàn),應(yīng)堅(jiān)持國(guó)內(nèi)經(jīng)驗(yàn)總結(jié)和國(guó)外經(jīng)驗(yàn)借鑒,建立符合我國(guó)國(guó)情且具有較強(qiáng)可操作性的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度,同時(shí)也科學(xué)合理地推動(dòng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的演進(jìn)與變革,有效融合等級(jí)保護(hù)評(píng)測(cè)和關(guān)鍵信息基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)評(píng)估等,實(shí)現(xiàn)制度間的互補(bǔ)和融合,降低關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的守法成本和行政執(zhí)法成本。
第三,為了鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系,促進(jìn)網(wǎng)絡(luò)運(yùn)營(yíng)者、專(zhuān)業(yè)機(jī)構(gòu)和政府有關(guān)部門(mén)之間的網(wǎng)絡(luò)安全信息共享,并加強(qiáng)對(duì)這些信息的保護(hù),《網(wǎng)絡(luò)安全法》規(guī)定,“國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系;國(guó)家網(wǎng)信部門(mén)和有關(guān)部門(mén)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中取得的信息,只能用于維護(hù)網(wǎng)絡(luò)安全的需要,不得用于其他用途。”這在一定程度上鼓勵(lì)了網(wǎng)絡(luò)運(yùn)營(yíng)者,尤其是承擔(dān)重要社會(huì)職能的網(wǎng)絡(luò)運(yùn)營(yíng)者能夠利用其自有的技術(shù)能力和資源優(yōu)勢(shì)更加積極地投入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的工作中,促進(jìn)政府和企業(yè)雙方共同保障關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行。
五、結(jié)語(yǔ)
網(wǎng)絡(luò)安全法對(duì)維護(hù)網(wǎng)絡(luò)空間主權(quán),規(guī)范網(wǎng)絡(luò)安全實(shí)踐,指導(dǎo)下位法的制定完善等意義重大,影響深遠(yuǎn)。為持續(xù)推動(dòng)我國(guó)網(wǎng)絡(luò)空間的法制化發(fā)展進(jìn)程,落實(shí)頂層設(shè)計(jì),一方面亟需有效梳理基礎(chǔ)性法律與現(xiàn)行法律法規(guī)之間的關(guān)系,開(kāi)始部門(mén)、地方立法和政策的制定、調(diào)整和完善工作;另一方面也亟需出臺(tái)系列配套規(guī)定,不僅包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法》等下位法的制定,也包括更為詳細(xì)的制度規(guī)定、具體行業(yè)的網(wǎng)絡(luò)安全規(guī)劃和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系等,實(shí)現(xiàn)與基礎(chǔ)性法律的有效銜接。