TheFoundation,Framework,Limitationof the Cyber-Security Regulation 龙卫球* 【载《暨南大学学报》(哲学社会科学版)2017年第5期,1-13】 [内容摘要]本文对于我国刚刚出台的《网络安全法》确立的网络安全管制体系进行审视,重点研究了我国网络安全管制的基础、架构以及限定性问题。我国《网络安全法》奉行着一种关于网络安全治理的强监管理念,在当今世界的网络安全专门立法中可谓独树一帜,系以一个更加多层次的综合化的网络安全概念为面向,重在强化国家对于网络安全的管制力。其体系架构,在原则上体现为一种由复杂原则组合指导的特点,但格外强调国家管理的本位性和直接性;在管制事项上则体现为名目繁多,内容绵密,并呈现不少独特的体制特色。所以,为了有效而合理地实施《网络安全法》,应当深刻理解有关网络安全管制正当化基础及其演化,更加准确解读和把握我国网络安全管制的内在基础和外在边界,并且还要特别注意实施中的目的体系、行政权属性以及网络技术架构等限定问题。 [关键词]网络安全法网络安全管制 管制框架 正当化基础 适用限定 一、 导言:网络安全管制的释义问题 近年来网络安全管制观念有了重要发展。随着全球范围移动互联网、云计算、大数据、物联网等新一代信息技术风起云涌,网络空间发展提升到一个前所未有的新阶段。网络普及化、商业化、实境化程度远非以前可比,不仅人们一般的生产生活网络化,个人财产和隐私与网络系统紧密相联,而且国家的重要基础设施运营越来越依赖于网络信息系统,国家安全、社会安全和经济安全也越来越与网络信息系统相关。此外,网络的国际关联性和互动也愈加复杂,导致复杂的网络空间国际竞争和合作的要求。这些,使得网络安全事件的破坏性和威胁程度更加严重,网络安全建设的基础性、保障性更加凸显。 这种背景下,主要网络大国一反过去对于网络安全专门立法的犹豫,在构建网络安全管制体系方面似乎有了默契,纷纷出台专门的网络安全法,赋权确立国家网络安全管制的正当性,强调发挥国家在网络安全管制中的作用。美国在2015年12月18日通过了《网络安全法》,作为《2016年综合拨款法案》中的一部分,重点确立了规制网络安全信息共享的较为完备体系,首次明确网络安全信息共享的范围包括“网络威胁指标”(Cyber Threat Indicator, CTI)和“防御性措施”(DefensiveMeasure)两大类,规定网络安全信息共享的参与主体、共享方式、实施和审查监督程序、组织机构、责任豁免及隐私保护规定等,同时通过修订纳入2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项。欧盟在2016年7月6日由议会正式通过了《网络与信息系统安全指令》,8月8日正式生效,责令欧盟国家必须在此后21个月内转化为国内法,并确立了多项制度,包括:实行网络与信息安全国家战略管理、增强欧盟国家间网络安全战略合作与跨境协作、建立计算机安全事件响应团队并建立欧盟合作网络、区分基本服务运营者和数字服务提供者分别赋予不同监管义务(前者为重监管,后者为轻监管)、针对不同主体建立不同程度的网络安全事件报告制度、鼓励产业发展并将小微企业排除监管之外等。 我国在2016年11月7日出台了《网络安全法》,2017年6月1日起正式施行,堪称一部全面规范网络空间安全管理方面问题的基础性法律。这部立法确立了一个更加系统、更加强大的国家网络安全管制框架,因此也受到国内外同行的密切关注。全法分7章,总计79个条文,第1章总则,第2章网络安全支持与促进,第3章为网络运行安全,第4章为网络信息安全,第5章为监测预警与应急处置,第6章为法律责任,第7章附则。我国《网络安全法》的出台,从立法上确立了我国网络安全管制的依据,然而从法律实施的角度来说,却依旧存在理论释疑的必要。因为从世界网络发展和治理的过程来看,当前的网络安全法的管制理论本身是从历史争议中一路走来的,确立专门网络安全管制框架特别是赋予国家和政府主导管制之力,毕竟是一种重大观念和体制突破,这种突破绝对不会是没有边界的。因此,我们还需要深入研究相关规范,以求更加基础的理解,这样才能更加准确地把握好立法赋予的国家管制内涵和界限,便于下一步更好地组织好这部法律的实施。为此,本文下面拟就我国《网络安全法》确立的网络安全管制的基础、内容框架及其限定性问题进行重点探讨,以期提供有益的参考。 二、网络安全管制的正当化基础及其演化 网络安全管制是网络管制诸中最为敏感的问题之一。网络安全管制区别于网络其他可管制事项而更令人敏感,不在于网络安全保障本身对于网络空间而言是否具有根本性,而在于人们对于是否应当基于网络安全需要而加以特殊管制的正当化基础的认识上面,对此存在重大的辨识分歧。 网络理论家在早期网络体验中,持有一种网络自由且不可管制的信念,认为网络空间具有一种天生抗拒管制的能力,是不可管制的并且也是不应被管制,政府对于网络空间施加管理的必要和能力都极为有限。这种网络不可管制以及不受管制思想,很快在网络现实发展的面前逐渐变得不切实际。随着网络普及到社会的方方面面,并且不断升级换代,网络空间变得复杂起来,不仅产生了网络复杂的人际关系,还与真实世界互动日益密切。这些,不仅导致关于既有网络空间本身的观念发生变化,也使人们认识到网络普及化之后网络世界和真实世界之间存在越来越多的交集。特别是在网络商业化利用出现之后,建立在追求所谓“最小化”的、以技术中立、开放共享为表达的TCP/IP通讯协定基础上的网络空间,其发展越来越呈现一种经济利益主导的受商业利益控制的倾向。新的网络系统,为迎合商业化的需要,不断地被在应用层加入各种控制结构。在这种情况下,人们产生了有关网络空间的新管制观念,网络可管制以及应该受到管制的思想逐渐兴起。 |