《网络安全法》在网络一般运行安全要求方面,比较其他国家和地区的规定,确立了较多的管理权力和刚性义务,因此导致网络经营者和用户较重的负担。例如在欧盟指令(NIS Directive),其适用于数字服务提供者的网络安全监管义务,相当于我们的网络一般运行安全义务,总体上较轻且具有灵活性(关于与程度适应的要求),多属于事后监督。欧盟指令还特别鼓励小微企业(工人在10-50人之间,且年营业额或资产总额在200-1000万欧元之间为小型,之下为微型)的发展,将之排除在监管之外,明令对于数字服务提供者的网络安全监管义务不适用于小微企业。许多国家包括欧盟、美国也没有像我国《网络安全法》第28条那样宽泛规定一种为依法维护国家安全和犯罪侦查而提供技术支持和协助的义务。我国《网络安全法》第24条关于实行实名制的规定,在立法过程更是争议颇多,而韩国在2012年就通过宪法法院的一个著名判决推翻了实名制要求,认为实名制或者说身份认证虽然是控制网络安全的一种有效手段,但是另一方面却也可能成为妨碍网络自由、威胁个人信息等的原因。 4.关键信息基础设施运行的安全保障。 各国都将关键信息基础设施视为网络安全保障的核心部分。这是因为关键信息基础设施不仅对于具体的运营者和用户而言,而且对于整体的经济安全、社会安全甚至对于国家安全而言,都具有至关重要性,属于与国家安全和社会公共利益息息相关,因此国家重点保障其运行网络安全非常必要。美国在2015年《网络安全法》(该法重点网络安全信息共享制度)之前,就将关键基础设施视为网络安全核心的组成部分,但是联邦立法虽然一直在努力,却进展并不顺利。白宫在2014年初发布《促进关键基础设施网络安全的框架》,提出了实际操作和相关技术标准的指引,成为全球典范。 我国《网络安全法》与其他国家一样,特别强调保障关键信息基础设施运行的网络安全的要求。第31条对“关键信息基础设施”采取了列举加限定的办法,为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”,并且授权关键信息基础设施的具体范围和安全保护办法由国务院制定。从比较法上看,不同国家对于“关键信息基础设施”范围理解并不一致,但大都是从自身据以为国计民生的角度来界定。比如,欧盟界定为能源、运输、银行、金融市场基础设施、医疗卫生领域、饮用水供应及分配、数字基础设施等领域。 我国《网络安全法》赋予国家在此事项保障运行安全的强大权力或职责。对于关键信息基础设施,除了网络一般运行安全的保障职责之外,还具有以下多项重大保障权力:(1)实行重点保护。(第31条)(2)明确专门机构负责规划和监管。(第32条)。(3)确保设施性能和保证安全技术措施同步。(第33条)。(4)运营者应当履行特别安全保护义务。(第34条)。(5)实行国家安全审查。(第35条)。(6)采购应签订安全保密协议。(第36条)。(7)实行境内个人信息和重要数据境内存储。(第37条)。(8)实行运营者安全年检和报告。(第38条)。(9)国家网信部门还应统筹协调其他安全保护措施,包括抽查检测、定期组织进行网络安全应急演练、促进网络安全信息共享、对网络安全事件的应急处置与网络功能的恢复等提供技术支持和协助。(第39条)。对于上述特殊权力,立法前后也产生不少争议,一种观点认为,这些保障措施特别是其中的审查机制、境内存储要求等过于严苛,但没有被立法采纳。 5.网络信息安全保障。 我国《网络安全法》第4章引入了多层次的信息安全概念,并在第41条至50条,确立了极有特色的网络信息安全保障制度。除了对于用户个人信息安全(立足个人隐私和身份信息利益的安全角度)的重点保障之外,还涉及到对“禁止信息”(有害信息)的安全监管。后者立足的不再是个人信息利益保护,而是基于法律和行政法规上的社会安全、经济安全、国家安全的需要,实践中甚至可能超出一般意义的法律范围,扩及到一般的政治安全、文化安全、意识形态安全。比较起来,其他国家网络安全法关于网络信息安全的监管,没有采用广义的网络信息安全概念,而是以个人信息保护为重点,对于我们所谓的禁止信息问题,根据其涉及到网络言论、商业经营权等问题,认为通常只需要纳入一般法律框架处理即可,而不需要特别监管。 在比较法上,用户或个人信息安全监管,相对而言是网络安全管制中走得较快、立法上比较容易达成妥协的领域。在许多立法支持者看来,网络信息安全保障规制问题,是处理用户私的权利对网络商业私的权利的关系,和其他问题涉及可能会导致武断赋予政府权力不太一样。欧盟较早就制定了《个人数据保护指令》。以对网络安全立法比较谨慎的美国为例,关于网络信息安全这一块除了得到许多州法支持之外,也比较早获得一些联邦立法支持。欧盟关于个人信息安全保护措施比较明确,甚至建立了一些新型权利,比如可携带权、遗忘权等;但是在美国,有关联邦立法还是很有阻力,难以明确确立施加所有互联网企业的相应保障义务,目前只是笼统地规定了有关特殊机构(医疗、金融、联邦机构等)需要承担信息安全的保护义务,且缺少具体措施和标准,只要求达到所谓“合理水平”,实践中用户信息保护目前主要靠各州法律、判例和企业自律。 我国《网络安全法》第四章,总体上可以区分两项监管事项。第一部分是用户信息安全保障,第二部分是禁止信息管制保障。 (1)用户信息安全保障。 |