2016年9月20日,第三届国家网络安全宣传周论坛现场,来自中俄美各国的网络信息企业汇聚一堂,探讨网络空间的安全发展之道。图/本刊记者 潘树琼 摄

  如何应对网络安全威胁已是全球性问题,国际网络安全的法治环境正发生变革,欧美等网络强国纷纷建立全方位、更立体、更具弹性与前瞻性的网络安全立法体系,网络安全立法演变为全球范围内的利益协调与国家主权斗争,有法可依成为谈判与对抗的必要条件。

  2015年《中华人民共和国国家安全法》和《中华人民共和国反恐怖主义法》相继通过;2015年7月,作为网络安全基本法的《中华人民共和国网络安全法(草案)》第一次向社会公开征求意见;2016年11月7日,全国人大常委会表决通过了《网络安全法》。立法的迅速推进源自我国面临国内外网络安全形势的客观实际和紧迫需要,标志着我国网络空间法治化进程的实质性展开。

    立法定位:网络安全管理的基础性“保障法”

  科学的立法定位是搭建立法框架与设计立法制度的前提条件。立法定位对于法的结构确定起着引导作用,为法的具体制度设计提供法理上的判断依据。

  第一,该法是网络安全管理的法律。《网络安全法》与《国家安全法》《反恐怖主义法》《刑法》《保密法》《治安管理处罚法》《关于加强网络信息保护的决定》《关于维护互联网安全的决定》《计算机信息系统安全保护条例》《互联网信息服务管理办法》等法律法规共同组成我国网络安全管理的法律体系。因此,需做好网络安全法与不同法律之间的衔接,在网络安全管理之外的领域也应尽量减少立法交叉与重复。

  第二,该法是基础性法律。基础性法律的功能更多注重的不是解决问题,而是为问题的解决提供具体指导思路,问题的解决要依靠相配套的法律法规,这样的定位决定了不可避免会出现法律表述上的原则性,相关主体只能判断出网络安全管理对相关问题的解决思路,具体的解决办法有待进一步观察。

  第三,该法是安全保障法。面对网络空间安全的综合复杂性,特别是国家关键信息基础设施面临日益严重的传统安全与非传统安全的“极端”威胁,网络空间安全风险“不可逆”的特征进一步凸显。在开放、交互和跨界的网络环境中,实时性能力和态势感知能力成为新的网络安全核心内容。

    立法架构:“防御、控制与惩治”三位一体

  在上述背景下,传统上将风险预防寄托于惩治的立法理念面临挑战。为实现基础性法律的“保障”功能,网络安全法需确立“防御、控制与惩治”三位一体的立法架构,以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范,从多方主体参与综合治理的层面,明确各方主体在预警与监测、网络安全事件的应急与响应、控制与恢复等环节中的过程控制要求,防御、控制、合理分配安全风险,惩治网络空间违法犯罪和恐怖活动。

  法律界定了国家、企业、行业组织和个人等主体在网络安全保护方面的责任,设专章规定了国家网络安全监测预警、信息通报和应急制度,明确规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、入侵、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”,已开始摆脱传统上将风险预防寄托于事后惩治的立法理念,构建兼具防御、控制与惩治功能的立法架构。

    制度设计:网络安全的关键控制节点

  《网络安全法》关注的安全类型是网络运行安全和网络信息安全。网络运行安全分别从系统安全、产品和服务安全、数据安全以及网络安全监测评估等方面设立制度。网络信息安全规定了个人信息保护制度和违法有害信息的发现处置制度。法律制度设计基本能够涵盖网络安全中的关键控制节点,体系较为完备。除了网络安全等级保护、个人信息保护、违法有害信息处置等成熟的制度规定外,产品和服务强制检测认证制度、关键信息基础设施保护制度、国家安全审查制度等都具有相当的前瞻性,成为该法的亮点。

  《网络安全法》规定了网络安全等级保护、关键信息基础设施安全保护、网络安全监测预警和信息通报、用户信息保护、网络信息安全投诉举报等制度,以及网络关键设备和网络安全专用产品认证、关键信息基础设施运营者网络产品和服务采购的安全审查、网络可信身份管理、网络安全事件应急预案/处置、漏洞等网络安全信息发布、网络安全人员背景审查和从业禁止、网络安全教育和培训等制度。可以看出,一部契合网络安全战略,关注技术、管理与规范的网络安全保障基本法,由十多套(部)配套制度共筑框架的法律体系已悄然成型。

    重中之重:关键信息基础设施安全保护办法

  关键信息基础设施保护制度是网络安全法若干制度设计的核心之一。《网络安全法》在“网络运行安全”一般规定的基础上设专节规定了关键信息基础设施保护制度,首次从网络安全保障基本法的高度提出关键信息基础设施的概念,并提出了关键信息基础设施保护的具体要求。

  第一,《网络安全法》中明确界定了关键信息基础设施概念的本质,即“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,并规定关键信息基础设施的具体范围由国务院另行制定。这表明,作为网络安全领域的基本法,应当尽可能确保网络安全法的稳定性而不宜进行过于细化的条款设定这一立法需求。

  第二,关键信息基础设施安全保护办法是《网络安全法》中预留接口的下位法,也是法律中唯一明确规定“由国务院制定”的行政法规。政治、法律传统等国情的差异导致我国关键信息基础设施保护制度的构建不能简单照搬外国的经验,应建立符合我国国情且具有较强可操作性的关键信息基础设施保护制度;同时也科学合理地推动网络安全等级保护制度的演进与变革,有效融合等级保护评测和关键信息基础设施的风险评估等,实现制度间的互补和融合,降低关键信息基础设施运营者的守法成本和行政执法成本。

  第三,《网络安全法》规定,“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系;国家网信部门和有关部门在关键信息基础设施保护中取得的信息,只能用于维护网络安全的需要,不得用于其他用途。”这在一定程度上鼓励了网络运营者,尤其是承担重要社会职能的网络运营者能够利用其自有的技术能力和资源优势更加积极地投入关键信息基础设施保护的工作中,促进政府和企业双方共同保障关键信息基础设施安全运行。(黄道丽:西安交通大学法学院、公安部第三研究所)