11月7日,十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》。中國社會科學院法學研究所研究員、中國法學會互聯網與信息法學研究會副會長周漢華今日接受正義網記者專訪時表示,該部法律是國家安全立法體系的重要組成部分,開啟我國信息網絡立法進程。

北京師范大學副教授吳沈括同樣認為,《網絡安全法》的制定出臺,是貫徹落實網絡強國戰略的重要一環,將有力地促進并服務于“互聯網+”行動和網絡強國戰略的進一步實施。對于完善我國在網絡空間的規范治理體系具有基礎性意義。

推動網絡安全立法2013年出現契機

7日上午,十二屆全國人大常委會第二十四次會議以154票贊成、1票棄權,表決通過了網絡安全法。周漢華說,這項立法從最初提出,到現在正式通過,立法進程算是比較快的。

“要不要制定《網絡安全法》?這個話題在十年前就開始引發討論,當時設想是制定《信息安全條例》。”周漢華回憶,推動網絡安全立法,2013年出現契機——國家互聯網信息辦公室在中央的統一部署下,啟動了制定國家信息網絡專項立法工作。同時推進的,還有國家安全立法的系統設計。

在他看來,這一年里,對《網絡安全法》有了明確的觀念和認識,其定位是國家網絡信息立法的基礎性法律。“這部法律是國家信息網絡立法工作邁出的第一步,它確立了網絡安全的基本制度,回應了重大的問題,把中央的一系列戰略部署通過法律形式予以反映。”周漢華說,這是他最欣慰的地方,實現從零到一的跨越,將改變我國信息網絡領域長期以來缺少基本法律支撐的狀況。

回顧立法經過,周漢華告訴正義網記者,這部法律從起草之初,就體現出科學立法的精神。他舉例,如對《網絡安全法》的基本定位,最初就有科學的界定,它是國家信息立法的基礎性法律,是以網絡的運行安全為主,提出“關鍵信息技術設施的運行安全”,然后兼顧個人信息保護、網絡信息內容管理,以及如何推動、促進網絡安全產業發展。

“這部法律的框架或叫 線路圖 在2013年便確定下來,從基本結構上算是科學立法的典范。一、二、三審稿,直至最終出臺稿,在基本結構、基本內容方面,沒有根本性的修改。”周漢華說,足見,2013年的立法規劃很科學。

首次引入網絡安全“地基”概念

周漢華對正義網記者說,他們提出將整個信息網絡立法劃分為四個層面:最基礎層是互聯網信息的關鍵基礎設施;基礎層之上的是互聯網中間平臺,要制定《電子商務法》;平臺之上的是互聯網用戶;用戶之上就是互聯網信息。這個基本架構是在2013年被國家信息網絡立法規劃全盤接受。

“《網絡安全法》該完成什么任務,這部法的起草,充分的吸收了我們的意見。”周漢華認為,信息網絡立法分層中屬“地基”性的需要兩部法律,《網絡安全法》和正制定尚未出臺的《電信法》。《電信法》解決的是傳輸問題,《網絡安全法》的核心是解決關鍵信息基礎設施安全,要維護網絡數據的完整性、保密性和可用性。

他解釋,這如同蓋樓房一樣,最重要的是打地基。這部法律第一次引入網絡安全“地基”概念。如何妥善處理信息安全等級保護制度和關鍵信息基礎設施保護制度之間的關系,這是立法難點。因為等級保護制度已推行19年,國家投入很大,也積累了一些經驗,但與國際社會的關鍵信息基礎設施保護制度的理念不完全匹配。所以,此次立法既有延續性,延續了計算機信息系統等級保護制度的傳統做法,又引入了關鍵信息基礎設施保護這個新的理念。

吳沈括也表示,對關鍵信息基礎設施的制度安排,是《網絡安全法》的突出亮點。

周漢華認為,《網絡安全法》的關鍵義務主體或核心義務主體是網絡運營者。網絡運營者不僅要承擔網絡運行的一般責任,如開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,承擔社會責任等。若被界定為關鍵信息基礎設施的運營者,其還要承擔關鍵基礎設施運營者的相應法律義務。

記者注意到,《網絡安全法》第三十四條規定,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;定期對從業人員進行網絡安全教育、技術培訓和技能考核;對重要系統和數據庫進行容災備份;制定網絡安全事件應急預案,并定期進行演練;法律、行政法規規定的其他義務。

怎樣界定網絡運營者?周漢華認為,包括網絡系統的所有者、管理者和網絡服務的提供者,如幾大電信運營商、BAT等企業,以及國家機關中的網絡執法部門。

在個人信息保護方面有許多創新

周漢華說,《網絡安全法》對其他主體也規定了相應的法律義務,包括其他組織或個人。大家享受依法使用網絡的權利,同時要遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網絡安全,不得利用網絡從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。

在權利保障方面,周漢華特別提到,《網絡安全法》加強了對個人信息的保護。此次立法在2012年全國人大常委會通過的《關于加強網絡信息保護的決定》的基礎上,對個人信息保護有多方面的創新,比如在一定程度上確立了被遺忘權。

他解釋,個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定,收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

另外,網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。

周漢華告訴記者,在過去,個人可以要求商家刪除或更張自己的錯誤信息,而隨著《網絡安全法》實施后,若發現運營商沒按約定使用自己的個人信息,就可以要求對方刪除。此前只有在構成侵權或違法的情況下,才能要求刪掉。“我們基于過去的制度和借鑒國外的做法,在一定程度上確立了被遺忘權。”周漢華說,此次法律還規定,泄露個人信息的,要告知個人。

開啟我國信息網絡立法的進程

談到《網絡安全法》出臺的意義,吳沈括表示,其作為我國新一代信息網絡立法的首部立法成果,及時總結了網絡安全領域的中國經驗,為參我國與跨國對話合作、提高國際話語權奠定了堅實的制度基礎,對于后續互聯網信息服務、電子商務、個人信息保護等領域的立法具有深刻的導向意義。

周漢華表示,《網絡安全法》是整個國家安全立法體系的重要組成部分。在完善我國安全立法、維護國家根本利益、抵御各種風險等方面意義巨大。開啟了我國信息網絡立法的進程。

“過去,我們的信息網絡立法也有,但層級、位階較低,存在分散化、碎片化的情況。”周漢華回顧,2000年,國務院制定的《互聯網信息服務管理辦法》,至今實施已16年;2012年,全國人大會常委會通過了《關于加強網絡信息保護的決定》;2015年通過的《刑法修正案(九)》,規定了對涉網絡犯罪的幾個主要行為如何懲罰。《網絡安全法》此次出臺,奠定了整個信息網絡立法的基礎。

周漢華認為,《網絡安全法》的成功立法經驗,首先體現在頂層設計。“這次的國家安全立法和國家信息網絡立法,都是在頂層設計的強力推動下進行的。”其次,完善國家信息網絡立法規劃,體現了立法的科學性原則,也遵循了互聯網的發展規律。再次,打破了過去由部門立法的弊端,改由全國人大法工委直接起草,更加超脫地體現立法的民主性。另外,從過程看,立法做到了公開透明。一次審議稿、二次審議稿、三次審議稿,在網上都能找到。

“這部法律實現了從零到一的突破,但很多制度都還停留在零。”周漢華表示,我們要制定關鍵信息基礎設施保護的相關條例,有關部門已開始啟動。大量的配套規定、配合制度,要在這部法律正式實施前到位。不足七個月的過渡時間太短。

他舉例,如法律引入了網絡關鍵信息基礎設施保護制度,而關鍵信息基礎設施的具體范圍和安全保護辦法要由國務院制定。關鍵信息技術設施運營者采購網絡安全產品和服務,可能影響國家安全的,要進行安全審查。但如何審查?操作標準是什么?程序有哪些?

周漢華還提到,在此次立法中,數據本地化的要求首次寫入法律。即關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。怎樣評估?這同樣涉及制度安排。

周漢華表示,諸如此類的一系列問題,亟待解決。立法只是走完第一步,后面有更大的挑戰。