摘要：全国人民代表大会常务委员会提出拟制定网络安全法以来,经过两次公开征集意见,2016年11月正式出台《网络安全法》,于2017年6月1日起正式生效。其中亮点颇多,然而也有不少需要斟酌的地方。文章就《网络安全法》的立法背景、亮点制度、存在的不足和展望进行论述,以期进一步完善《网络安全法》。

　　关键词：网络安全法;监管机制;网络实名制;关键信息基础设施

　　一、《网络安全法》的立法背景

　　在2013年6月公布的《第十二届全国人大常委会立法规划》中,网络安全立法被认定为立法条件尚不完全具备、需要继续进行研究论证的立法项目。然而,2016年《网络安全法》已然出台。对于这一现象,我认为有以下三方面的原因:

　　(一)国内外网络安全形势严峻

　　根据世界银行数据库显示,2015年全球互联网用户达到43.998%,多数发达国家互联网用户甚至高于65.57%。1逐年激增的互联网用户数量也警示着,一旦网络安全出现问题,将造成不可估量的损失,近年来这样的例子不计其数。如,美国“棱镜门”事件曝光引发全球恐慌、朝鲜网络遭攻击导致瘫痪、美国政府两千万人事信息数据外泄波及美国近7%公民人身安全等。国际网络安全问题层出不穷,国内网络安全形势同样不容乐观。截至2016年12月,我国网民数量达到7.31亿,互联网普及率达到53.2%。据中国互联网协会发布的《2016中国网民保护调查报告》显示,2015年下半年至2016年上半年一年期间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受经济损失达到915亿元,人均损失133元。

　　(二)我国网络安全法律法规不健全

　　在《网络安全法》出台前,我国专门用于规范互联网安全的法律仅有三部:《电子签名法》《全国人民代表大会常务委员会关于网络信息保护的决定》及《全国人民代表大会常务委员会关于维护互联网安全的决定》。此外,与网络安全相关的法律更多地散见于其他法律、行政法规、部门规章、司法解释、规范性文件或政策性文件之中。从上述分析中可以看出,我国关于互联网安全的立法存在法律位阶低、缺乏系统完善的法律规范两大问题。乌尔比安曾说过,“法是权威的,但并不是永恒的”。这句名言在网络安全领域更具适用性。随着网络技术发展的日新月异,其中一部分法律内容陈旧,已不再适应当前的形势。

　　(三)网络安全问题引起国家高度重视

　　2014年2月27日,在中央网络安全和信息化领导小组第一次会议表示,“没有网络安全就没有国家安全,没有信息化就没有现代化”,将网络安全上升到国家安全层面。同时建议抓紧制定网络安全立法规划,完善关键信息基础设施保护、网络信息管理等法律法规,使网络空间治理有法可依,维护公民的合法权益。这一举措直接推动《网络安全法》的顺利出台。

　　二、《网络安全法》的制度亮点

　　中国工程院院士李建成教授指出,“网络安全建设,应当以法律为根,技术为基。”《网络安全法》是在吸取国内外立法经验的基础上,经过两次公开征集意见,人大常委会三次审议之后完成的。尽管立法过程历时较短,但其中不乏制度亮点。

　　(一)明确了“1+X”的监管机制

　　《网络安全法》中对网络安全监管机制有了一个系统完整的规定,明确网络安全监管责任主体、监管责任权限及监管主体法律责任。亮点有三:其一,改变过去不制定专门的网络安全监管法律规范,仅将其纳入相关法律、行政法规和部门规章中的“渗透式”模式,现今以法律形式确定网络安全监管机制,强化对互联网市场的监管;其二,尽管在《网络安全法》出台前,我国已初步确立起以网络安全和信息化领导小组统筹协调,工业和信息化部、公安部、国务院信息产业主管部门等相关部门分职权监管的网络安全监管体系,但因无明确的立法依据,实际生活中多存在互相推诿、协作不利导致效率低下的现象。目前《网络安全法》不仅明确了政府监管机构的职权范围,规定在国家网信部门的统筹协调下,公安部门、国务院电信部门等相关部门在各自权限范围内负责监管工作,同时将网络相关行业组织纳入到监管主体中来,兼具“自上而下”及“自下而上”的监管模式。其三,《网络安全法》中强调监管主体的法律责任,以避免监管部门工作人员出现玩忽职守、滥用职权、徇私舞弊的情况。

　　(二)首次以法律形式规定网络实名制

　　网络实名制,是指政府机关、网络服务提供者要求网络服务使用者在接受网络服务之前进行真实身份信息认证的一种网络管理规则。也就是“前台可匿名,后台需实名”,以便营造良好的网络环境。2012年12月28日,全国人民代表大会常务委员会通过《加强网络信息保护的决定》,这是我国第一部规定网络实名制的法律性质文件。2013年9月1日,工信部发布的《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》正式施行,规定手机用户实名制,为网络实名制认证奠定基础。2014年8月7日,网信办发布《即时通信工具公众信息服务发展管理暂行规定》,规定即时通信工具服务使用者应当通过真实身份信息认证后注册账号,以此“试水”。2015年3月1日,网信办发布《互联网用户账号名称管理规定》,将原先“即时通信工具服务使用者”扩大到“互联网信息服务使用者”,这也是我国网络实名制真正落实的第一步。网络实名制是以公民身份制度为依托建立的“网络身份证”,理应比照规定现行身份制度的立法层级。从上述发展历程来看,网络实名制存在立法等级低的问题,而《网络安全法》的出台恰好有力地解决了这一问题。

　　(三)准确定义关键信息基础设施

　　国际社会上有两个类似的概念,即关键基础设施和关键信息基础设施。在国际社会中,各国对关键基础设施有着基本的共识,主要包括两大特征:一是该设施为国家正常运转提供必不可少的支持;二是一旦遭到破坏,会对国家安全、社会稳定、公众健康和安全造成严重的影响。然而各国对如何界定关键信息基础设施则存在着较大的分歧。在这里,可以简单将其理解为需要进行网络安全保护工作的关键基础设施。随着网络信息技术的迅速发展,越来越多的基础设施逐步接入互联网,关键信息基础设施这一概念所涵盖的范围也不断扩大。现今两者的概念边界逐渐模糊,经常交错适用,可理解为从传统安全和网络安全两大不同的领域来界定同一保护对象。我国《网络安全法》延续了国际上的惯常做法,采用了“关键信息基础设施”这一概念。同时,在经过两次公开征集意见后,改变了最初采用的“列举式”定义,而以“列举式”与“概括式”相结合的方式来界定关键信息基础设施。这种定义方式既突出了“关键信息基础设施”的本质,同时也列举出“关键信息基础设施”较常见的类型,以便实践中更具操作性。

　　(四)明确规定跨境数据流动规则

　　《网络安全法》规定,关键信息基础设施的运营者在我国境内运营过程中所收集和产生的重要数据和个人信息,不得在境外储存。确因业务需要向境外流动的,应当先接受相应的安全评估。然而,在《网络安全法(草案)》面世公开征集意见时,这条规则掀起了不小的风浪。美国商会等46家来自世界不同地区的国际企业团体联名抵制本条规则,认为该条规则增加了贸易壁垒。实际上,以欧盟和美国为代表,基于优先考虑不同的群体利益,形成了两种不同的保护规则。欧盟将保护消费者放在首要位置,而通过个人数据保护立法规定个人数据权。美国在世界互联网企业前十位中占据六席,故将保护产业利益放在核心地位,仅对敏感的个人数据单独立法。各个国家会根据自身的经济、社会情况选择不同的跨境数据流动规则,同时以此对其他国家进行批评,因此该制度从初起草时就收到毁誉参半的评价。目前我国的互联网行业正处于蓬勃发展的阶段,在世界互联网企业前十位中占据四席,互联网产品和服务要求迅速、创新、用户量大,如果给企业太多的规则限制,将会降低企业创新的积极性,慢慢失去竞争力。然而,某些涉及国计民生、公共利益的数据无限制地向境外转移可能危及国家安全。因此,我国《网络安全法》对此采取了一种非常谨慎的态度,仅规定关键信息基础设施运营者收集和产生的数据向境外转移时需要进行安全评估,但并未指明“安全评估”是“国际安全”“产业安全”“个人数据安全”或三者的集合,试图保持规范性和灵活性的平衡。

　　三、《网络安全法》存在的不足与完善

　　《网络安全法》中不乏诸多亮点制度,这是网络安全立法领域向前发展的一大步。然而,在对上述亮点制度的分析过程中,笔者发现其中仍存在一些不足,主要可以概括为以下三个方面:

　　(一)网络安全政策不应列入《网络安全法》

　　国家网络安全布局,是指国家综合考量本国国情和国际形势后,对未来网络安全领域将采取何种政策所做的一个中长期的规划。而重点领域网络安全政策,正是国家网络安全布局在某一领域的具体表现。布局、政策和法律属于现代社会治理中相辅相成的两种手段。笔者认为,《网络安全法》将国家网络安全布局和重点领域网络安全政策纳入其调整内容中,这种做法不仅混淆了三者之间的概念,有损法律的权威性、可执行性,同时在一定程度上可视为对立法资源的浪费。反观世界各国和各地区关于网络安全的立法进程,普遍是综合运用法律、战略、政策、规划来对国家网络安全进行全方位保护。目前,我国并未明确制定国家网络安全布局,仅在2006年中共中央办公厅、国务院办公厅印发的《2006-2020年国家信息化发展战略》中提到将“建设国家信息安全保障体系”作为我国信息化发展的战略重点之一。笔者相信在接下来的网络安全立法进程中,这对我国制定国家网络安全布局及重点领域规划网络安全政策具有一定的指导作用。

　　(二)偏重赋权赋能,忽视保护程序

　　前文提及《网络安全法》首次以法律形式规定网络实名制是本次立法中的一大亮点。不可否认网络实名制具有主体追踪和身份识别的功能,有助于预防网络诈骗、减少网络暴力行为,以整治低俗有害、信息层出不穷的网络乱象,构建更加和谐的网络环境。然而,任何事物都有其两面性,推行网络实名制也在一定程度上代表着增加个人信息的曝光率,倘若不能以充分保障网民的信息安全,该项制度将难以真正落实下来。《网络安全法》在严格执行网络实名制时,仅仅规定网络产品、服务的提供者应当为其产品、服务提供安全维护,以及网络运营者应当协助公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动。其中并未明确网络运营者对个人信息进行安全维护的程序、国家机关依法开展个人身份信息查询的程序等。《网络安全法》是一个集中反映公权力与私权利激烈冲突的领域,这也正是两种法律价值——秩序和自由之间的博弈。网络安全涉及国家安全与社会利益,立法优先保护秩序价值无可厚非,但“优先保护”并非“只保护”。因此,笔者建议在《网络安全法》正式生效前,应加紧《个人信息(下转第73页)(上接第70页)保护法》的出台,明确网络产品、服务提供者、网络运营者及相关国家机关对网络用户个人信息进行保护的程序性规范,落实保护不当的法律责任,实现法律效益的最大化。

　　(三)重大突发事件网络通信限制的适用条件不明晰

　　遇到重大突发社会事件时,因维护国家安全或公共秩序的需要,对网络通信进行临时限制是国际上的一种通行做法,这在多数国家的《电信法》和历史实践中均有反映。2005年7月7日,英国伦敦发生极其恶劣的自杀式爆炸案,随后政府对蜂窝网络实行临时通信管制。2011年1月25日,埃及政府为应对该国三十年以来最大规模骚乱,维护社会秩序和公共安全,同样对境内通信网络实施临时限制。实际上,我国在2009年7月5日的打砸抢烧暴力事件发生后,为避免犯罪分子通过网络通信与境外反动势力再次勾结犯罪,迅速实施了局部通行管制。本次《网络安全法》明确规定重大突发事件网络通信限制这一项制度,将原本分散的规定和实践做法加以制度化,这同样是本次立法的亮点之一。然而,随着互联网、物联网、云计算、大数据的蓬勃发展,公众的人身权和财产权与网络息息相关。因此,一旦对网络进行通信限制,公众的人身权和财产权也将受到重大影响。根据我国《宪法》规定,全国人大常委会有权决定全国或个别省、自治区、直辖市进入紧急状态,而国务院仅有权决定省、自治区、直辖市范围内部分地区进入紧急状态。比照《宪法》对紧急状态决定权的规定,笔者建议《网络安全法》对重大突发事件网络通信限制的规定应当更加明晰。全国人大常委会有权决定或批准对全国或省级行政单位网络通信进行限制,国务院有权决定或批准对省级行政单位内的特定区域采取网络通信限制。

　　四、结语

　　互联网近年来快速发展,网络安全问题日益受到各界广泛关注,我国为解决网络安全问题,在2016年颁布了《网络安全法》,对网络监管机制、网络实名制、关键数据信息以及信息跨境流动等作了相对明确的规定,但同时仍然存在一些不足。所以,在今后的立法中应加强各方面的保障和监管,从而保障我国网络安全。

　　注释：

　　1张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律,2016(12):136-154。

　　2顾伟.关键信息基础设施保护制度的国际接轨与中国特色——《网络安全法》亮点解读[J].信息安全与通信保密,2016(11):48-53。

　　3丁道勤.“上天入地”,还是“度权量利”——《网络安全法》(草案)述评[J].中国矿业大学学报(社会科学版),2016(03):34-41。

　　4张素伦.网络安全法及其与相关立法的衔接——我国《网络安全法(草案)》介评[J].财经法学,2016(03):26-33。

　　5唐旺,宁华,陈星,朱璇.关键信息基础设施概念研究[J].信息技术与标准化,2016(04):26-29。

　　6刘德良.关于网络安全立法的几点看法——兼评网络安全法草案和刑法及其修正案[J].中国信息安全,2016(03):103-106。

　　7刘德良.网络实名制的利与弊[J].人民论坛,2016(04):36-37。

　　8崔翀.2015年网络安全事件之国际篇[J].保密科学技术,2015(12):26-27。

　　9陆冬华,齐小力.我国网络安全立法问题研究[J].中国人民公安大学学报(社会科学版),2014(03):58-64。

　　10黄道丽.我国网络安全监管主体法律问题研究[J].网络安全技术与应用,2010(04):15-17。