网络安全问题是网络的同生事物,在早期虽然也时有发生,但是并不受重视,大概也是因为当时的网络更像是一种自娱自乐空间而尚未汇集复杂的利益关系之故。网络安全问题首先作为一种事实得到认识,作为一种存在现象,网络安全成为进入网络时代以来的不可避免的一种灾害或危害事实,并且不断升级、复杂化,形成了网络设备安全、网络软件安全、网络信息安全等形态。但是,如果从具体的原因来看,网络安全问题则存在区分,这些作为事实形态而表现的网络安全问题,既可以是纯技术的安全事实,例如基于技术原因而产生的各种网络漏洞、网络缺陷,也可以是人为的安全事实,从黑客入侵、爬虫搜索、病毒攻击(如蠕虫病毒、木马病毒)等,到通过网络或介入网络,针对他人的财产、人身进行攻击、侵害甚至犯罪。所以,对于网络安全问题,不能局限于事实层面而应该深入到利益关系中去思考。网络技术和应用发展到一个阶段之后,特别是随着网络空间不断社区化、商业化乃至实境化,网络空间滋生出各种利益关系且不断复杂化,网络空间与真实空间的互动也日趋密切,网络空间安全问题也同样影响越来越大。关于应对网络安全问题的意识随着网络安全事件不断升级也就不断得到强化。按照美国政府在关于网络安全的立法建议中的说法,当今时代网络和计算机安全之所以被认为十分重要,其原因至少体现在两个方面:一是信息技术进步和电子商业发展越来越扮演重要的作用,使得网络安全成为经济的一个关键要素;二是网络安全对于美国应急反应等安全系统和国家能源设施等关键系统来说,已经至关重要。 但是,人们虽然相信网络安全重要,却对于是否需要专门赋予政府一套网络安全管制权力,却一直存在疑虑,担心一旦允许国家以网络安全为名建立专门的管制,把握不好可能会变成一种国家对于网络空间的任性管理。这里,产生疑虑的原因,既有管制理论上的困惑,更有现实中对于政府可能借用安全问题而擅用扩权的畏惧。所以,很长时期以来,一种观点认为,网络安全的治理不应该有特殊性,从管制基础和范围来说,只需将一般法律关于安全的治理规则推及于网络空间即可,这些法律如国家安全法、刑法、侵权法中的有关安全的规则等,没有必要通过专门立法来确立一套所谓的网络安全专门管制体系。这种观点反对专门的网络安全立法,认为这样只会导致任意增加政府权力而没有效率,进而添加网络负担,甚至妨碍网络发展。例如,来自美国网络信息技术机构的代表和网络政治家就激烈反对政府管制论,美国信息技术协会主席HarrisMiller、TechNet的总裁Rick White等呼吁,在所谓网络安全问题上,过多的政府规制,会对于网络企业通过革新提升网络安全能力,带来阻碍或限制,或者影响其灵活性。所以,美国国会和联邦政府早期虽然试图发起一些网络安全管制方面立法,但是多数没有成功,那些立法议案失利的主要原因,是遭到网络企业代表等方面对于政府管制的警惕和反对。 遗憾的是,网络安全的恶性事件不断,特别是在2010年之后大量的全球范围网络安全事件的发生和带来的巨大破坏,促使人们反思:仅仅寄希望于网络企业和民间力量似乎是不够的,在市场力量和政府力量之间应该有所平衡。此外,2013年斯诺登事件出现之后,人们甚至一些国家政府还意识到,网络安全治理需要应对的,还有国家任意行为问题,网络安全管制包括对国家行为的管制。在这种背景下,主张通过专门的网络安全立法,确立国家和政府主导的管制体系以有效应对网络安全问题的观点,逐渐占据上风。这些观点,有的是从网络活动的价值追求和利益保护的角度,有的是从管制技术效用的角度,有的则是从其他的正当化辨识角度,支持通过立法建立政府主导的网络安全管制体系。例如在美国,政府官员和网络安全专家,包括著名的RichardClarke、Bruce Schneier、RickBoucher等,就属于力推政府应当介入网络安全管制的代表人物,他们极力主张应当通过建立政府特别管制来提升网络安全。他们认为,私有机构已经失败于自己解决网络安全问题,所以需要引入政府的规制,通过具有威胁性的规则或者经济刺激等办法,以便让私有机构有压力或动力去采用或写出更加安全的软件或代码。最终支持加强政府管制的观点,在世界范围推动了一轮网络安全立法,主要网络国家包括日本、美国、欧盟等,2014年之后纷纷做出立法决断,纷纷出台专门的网络安全法,尽管架构和范围不尽相同,但都呈现了一种强化政府管制权力的趋势。我国2016年《网络安全法》也是在这股浪潮中应运而生,旨在通过确立强大的政府管制手段,以便应对当下非常复杂、非常重要的网络安全治理需要。 三、我国网络安全管制架构:概念、原则和事项的分析视角 我国《网络安全法》的治理基础,系以一个更加多层次的综合化的网络安全概念为面向,重在强化国家对于网络安全的管制力。其架构原则,体现为由复杂原则组合指导的特点,一定程度考虑了网络技术和组织特点而照顾多样化协同治理的需要,但关注点在于如何指导构建一套体现国家地位的强管制架构;其管制事项,名目繁多,可谓体系广泛而内容绵密。 (一)《网络安全法》管制的概念面向 《网络安全法》既以管制“网络安全”作为对象,可见该概念的界定处于体系解释的中心位置。《网络安全法》第76条对“网络“和“网络安全”进行了法律界定,意在避免法律适用的模糊性。即,“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”该条关于网络安全的定义方式,是一种技术事实层面的描述,立足网络安全实施主体的行为和能力的角度。这一定义与我们见到的欧盟指令(NIS Directive)的相关界定极为近似,应该说这是一种比较可观、容易把握的定义。 |