[编者按:《网络安全法(草案)》的推出,有利于以法律的方式固化、提升国家治理体系和治理能力现代化,成为依法治国的一个标志性事件。《网络安全法》作为国家网络治理的基本遵循,在治理系统、治理过程、治理重点上尤其要注重七个关键问题,即平衡网络安全与运营的利益关系;确立统一领导、分工管理的体制架构;完善战略制订主体、内容和实施的配套机制;制定网络安全分级及信息共享制度;强化个人信息保护和数据资产化;加强数据开放、流动和国际合作;建立行业自治、社会共治的规范体系,从而实现在保护用户隐私和数据开放、维护国家安全利益和保护企业权利之间达到动态平衡,为国家网络空间治理奠定基础。] 作为我国网络安全治理基本法的《网络安全法》,不同于传统法律,从法律定位来看,其具有治理法的典型特征,在立法中宜对此种定位加以明确。网络安全法的此种定位主要体现在治理系统、治理过程、治理重点三个方面。从治理系统方面来说,应从体制、战略、机制整套制度安排的角度,完善以治理思维为基础的综合、动态立法。从治理过程来看,《网络安全法》自身具有动态管理与配置的过程特点,实有必要以“治理思维”为抓手,妥善安排国家、社会、企业、个人四元关系。从治理重点来看,由于《网络安全法》涉及多方面、复杂的纵横交错的法律关系,所以存在系统设计与重点兼顾之必要,尤其应重点解决以下七个问题。 一、厘清网络安全与运营的关系 网络安全法的立法中,网络运营、网络公平、网络安全作为三大平衡价值不可偏废,当前世界各国的网络安全立法均对网络运营促进意识不足,过分片面地强调维护安全问题。美国政府固然倡导网络自由,但近期政府部门为了安全过度压制、强制企业协助配合问题被曝光,例如前段时间发生的“苹果解密门”案。在网络安全法中,对网络安全与运营自由的协同方面应进一步加以明确,避免单纯强调安全而不当限制网络的自由和发展。实践中侦查部门超过范围,绝对化地要求网络运营商提供短信及公司留存的相关信息在我国十分常见,使得公民的通信秘密权和隐私权与作为公权力的监管权直接冲突的情形频发,在此类情形中,互联网服务提供商的信息支配权成为矛盾的焦点。从运营自由及涉及的企业和个人正当利益保护与网络安全的协同关系角度,有关行政权和侦查权的配置和行使,应当以尊重企业正当利益、用户个人信息权等为出发,以必要性和可控可追溯为原则作为条件限制。信息社会,政府部门对于信息的获取,应当具有法律依据的权力,并且依据必要的程序和资质条件,方可对信息进行收集,以保证信息获取的过程可控、信息处理过程可追溯。 二、完善网络安全体制架构 从网络安全主体框架角度来看,鉴于网络安全对于当今国家整体利益和安全重要性及战略性,应当建立统一的、立体化的网络安全领导体制,同时又要结合网络安全事务特点、现行机构职能分工特点处理好具体管理的部门分工配置问题,确立领导、分工管理协作的基本架构,建立职权监管与行为监管相互结合的治理模式。目前我国《网络安全法》草案在网络安全体制上没有专门突出一章,而且并未明确网络安全治理体制实施统一领导与分工协作监管相配合的体制,虽然区分上下层有特殊意义,仅第六条的模糊表述显然不能满足网络安全管理需求。 一方面,尚未明确上层是否具有统一领导职责。相关法条中“国家网信部门负责统筹协调网络”的说法,比较微妙难解。究竟谁是最终的上层机构(本法作为专门法都不明确,就不可能再有其他法律加以明确),是现在有的国务院的网络信息化办公室,还是党中央设立的最高领导小组呢?依据笔者理解,现有国务院网信办应该级别不够,而且其本身也没有法律既有授权,上层似乎是目前的中央领导小组,但如何从政治体制向国家体制转化有待进一步明确。 另一方面,下层分工管理说法也不明确,虽提及“依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作”显然不够,有必要就网络安全管理事项作出明确重点分工。从现行机构职能的科学设计来看,应该由工信部负责网络基础设施安全及网络运行、技术和管理安全中的技术范畴,应该由新闻总署专设信息管理机构负责网络运行、技术和管理中的信息范畴,应该由工商部门负责网络基础设施、运行、技术和管理中的公平问题、市场秩序问题。 至于公安部门和检察机关等,则比较复杂,既有既定的治安、侦查权力延伸到网络空间行使问题,还有特殊网络监控权力的新配置问题,后者体现为在网络技术以及活动复杂化之后,以网络安全预防、网络安全有效处置和应急管理为必要的体制配置(我国缺少此方面的配置依据,导致公安、检查等执法部门、司法部门不能有效预防、发现和控制网络犯罪、严重违法行为,具有极大的滞后性,例如网络诈欺、电信诈欺、违法竞标广告现象愈演愈烈都源自于此)。 三、完善网络安全战略管理机制 网络安全必须提升到战略管理层次,方可有效从整体上加以重点保障。这里所谓战略层次,并非单纯的管理意识问题,而是一种实实在在的科学机制,包括战略制订主体、战略内容、战略实施过程的配套体系。以美国为例,2016年2月9日,奥巴马推出《网络安全国家行动计划》,将从加强网络基础设施建设、加强专业人才队伍建设、加强与企业的合作、加强民众网络安全意识宣传以及寻求长期解决方案5个方面入手,全面提高美国在数字空间的安全。奥巴马还计划仿照美国公司的运行模式,设立联邦首席信息安全官,负责联邦政府网络安全政策与行动的规划与执行,这是美国政府首次设立专职的高级官员主管网络安全。 我国《网络安全法(草案)》以专章确立网络安全战略机制,此为重大机制安排,实有必要。例如:第11条规定了“国家制定网络安全战略”的要求,并对安全战略的内容加以明确,第12-16条对各部门职责进行了细致阐释,此做法固然有前瞻性,但是比较而言战略内容方面针对性还有不少含糊之处和可操作性问题,虽然战略一般性强调了保障基础建设、保护能力建设等内容,却没有强调哪种保障属于战略保障、哪种能力属于战略能力,以及谁来实施或执行,是否该通过特别立法手段来促进。 四、制定网络安全关键基础设施分级制度及信息共享制度 |