在之前與E安全的約稿中,本文作者從不同視角簡述了合規主體的典型合規義務和實現思路。但有些合規義務需從《網絡安全法》(以下簡稱“網安法”)與現行有效之其他基本法綜合研判得出,此即構成網安法相關特定主體合規的隱性成本。本文簡述如下:
1、刑法擴張及后果的評估
從行刑銜接的視角來看,網安法第三章27條、第四章44條和46條與刑法修正案(九)的關系無疑緊密,兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》則可視為對網安法第四章個人信息保護制度的及時“補位”。網安法考慮與刑事司法的優先對接,概因網絡安全事件具有同時侵害國家安全、社會公眾利益、不特定個人合法權益等“國家網絡空間整體安全”的“不對稱性”特征,傳統民事途徑面臨立法資源、價值效率和實現的多重局限等問題,例如新近爆發的勒索軟件攻擊事件同時波及多個重要和一般領域系統、網絡,需要以公法的“綜合防范與治理”思路予以快速回應;但另一方面,泛化和背離刑法謙抑性的介入則會徒增網絡運營者等責任主體的合規成本。例如對公民個人信息保護,刑法的提前和全面規范,在市場發育尚欠充分的場景下則可能會抑制數據流通和(大)數據分析技術,也導致無法通過市場化交易的方式構筑數據價值形成機制。對此,2007年的賽門鐵克“誤殺”案件就是一個負面參照,應考慮對網安法進行持續的立法效果監測與評估,正視與刑法的對接問題。
2、行政法上的可訴性問題
網安法的一些制度安排體現了行政執法的效率性思考,同時對傳統意義上的“可訴性”也構成了挑戰。特別包括第50條“境外信息阻斷”、第56條“安全事件約談”、第58條“通信臨時限制”等措施,這些制度安排一方面毫無疑問提升了網絡安全事件響應效率,另一方面則可能對特定主體權益構成潛在和不可逆的影響。
以約談為例,學術界通說認為約談限于“行政指導”的功能,不具有《行政處罰法》意義上的可訴性。在具體實施中,如2017年6月1日通過的《互聯網信息內容管理行政執法程序規定》(該規定直接對應網安法第12條、第47條、第50條等內容),其第五章專門規定了聽證、約談,但這兩者在行政法上對行政相對人(如網絡運營者)的意義顯然相反,前者屬于網絡運營者的權利,后者則為不確定的雙重義務,即不僅約談行為本身無法通過復議、訴訟等方式救濟,且約談并不免除后續行政處罰的責任。
綜上,盡管網安法30條 “網信部門信息用途限定”等進行了事先約束,并在第73條等規定了監管者瀆職的法律責任,但隨著網絡空間民事、行政與刑事立法的進一步夯實與平衡,相關制度設計和落地應有各自歸位的長遠考量。
京公網安備 11010502049343號